业内人士不赞同存在某种因素使得信息安全专家与系统管理者成为一种商品可以买卖、具有某种使用价值这种看法,但是他们认同的一点是,这个行业确实在飞速发展着。为防范不速到访的媒介、垃圾信息和网络间谍而开发、应用的技术,如申请测试、密码检测、移动/无线安全、IP通讯等,还远远没有达到我们所需要的水平,要想适应今天的市场需求,Linux还有很多路需要走。
对信息安全这个职业的挑战和对安全行业繁荣的挑战,都来自雇佣关系和商业活动。很多公司仍旧指望通过降低成本、提高工作效率,来获取更多收益,却没有清楚地认识到,安全对其长远效益地影响,更没有认识到,安全的缺乏对其将带来的严重后果。
当逐渐有一部分公司明白了投资于安全专家和数据、网络、秘密性的保护的必要时,其他公司却仍将安全束之高阁,因为他们认为安全并没有给他们带来直接的经济效益。由于缺乏清楚的ROI,常常会导致预算缺口、规模缩减,甚至很轻视系统的管理者的作用。很多公司都顺应了IT行业的外部采购这股潮流而纷纷外购安全产品,但是这些安全产品并没有为其带来与其他使用该产品的公司相同的效果。
对于老板而言,能否避免这股外部采购的潮流,或者公司本身就是这股潮流的带动者,是否具有多样性和快速掌握、适应新技术的能力,是保持公司价值的关键。
Bob Blakley是IBM Tivoli Austin公司安全与保密领域的首席科学家,Texas认为对一个组织而言,外部采购能保持安全是十分罕见的,“这让很多人感到紧张,”他说,“如果中间某个环节出错,公司将会承担连带的后果。”
Blakley认为需求的增加与发展的速度正相宜,但他同时也认为,如今缺乏的是安全专家。他强调,现在急需的是正规的对安全工作人员的培训,如Microsoft认证、CISSP认证。
Michael R. Higgins是Tekmark Global Solutions公司首席安全官,他说:“当系统管理者不再继续接受培训扩展知识时,他们的特殊价值就无法体现了。”Edison公司的LLC NJ认为,“那些只顾盯着工作守则做事,只是被动的完成指派给自己的工作,却不知扩展自己的经验与知识的人,他们逐渐就会发现他们是积极平庸的,他们很快就会被更懂得学习的人所替代。”
“技术掌握的娴熟程度很重要,特别是在安全领域内更是如此,因为这里的工作都很复杂。”Blakley这样说道。他建议系统管理者和安全专家尽可能的将他们掌握的技能呈现出来,以得到更多的人的重视。他还建议发展专长、构建一个学习框架,特别是在信息安全技术领域内将有助于提升技术的资源公开。
获得额外收益的另一种途径就是培养一种能力,一种将事物放在商业背景下,充分理解其环境的能力。“客户中心是最有价值的。”Dario Zamarian是ServGate公司里负责Milpitas ServGate产品和公司战略的副总。他相信,有很多维护安全的方法,一个有经验的专家知道并有责任向公司推荐哪种产品最适合公司情况,安全产品的哪些功能是公司所需要的。
Mark Giglietti是Precision IT公司的首席执行官,拥有文学硕士学位,他认为,“决策的制定远比设备的安装与应用更加重要。系统管理者和安全技术专家必须作出成本与效益的分析报告,并证明他的分析推荐是合理的,同时要说服管理者采纳他的建议。”
专家与管理者的价值判断不同。(ISC)2是一家非营利性的国际组织,致力于培训、颁发资质、对信息安全专业人士进行认证,Dow Williamson是(ISC)2董事,他强调,对于今天的信息安全专家而言,品牌不明的普通知识载体和行业最优实践的框架是至关重要的。Dow Williamson说道,“中间商所提供的产品需要与买家特殊的认证需求向符合。” #p#
今天,网络与业务已经密不可分
传统安全机制的缺陷
传统的信息安全机制主要是基于独立的产品、 接连不断的操作系统补丁和定期的防病毒软件更新等 , 这样的信息安全机制已经无法有效地满足当前的网络安全要求。这些方式的缺陷在于它们只能保护网络的某一个部分,然而新的攻击方式可以轻松地绕过这些部分。而且,每种产品都需要自己的接口和策略,因此绝大多数这样的产品都不能互相通信。最后,现有的网络安全防御机制依赖于人为的控制和干预。事实证明,这种方式的速度太慢,无法及时地应对最新的蠕虫和病毒。
由于这些限制,传统的网络防御机制导致企业在网络管理方面投入的开支几乎相当于 -- 甚至高于 -- 网络攻击所造成的损失。网络管理人员现在必须更快地部署大量的防病毒软件更新、操作系统补丁和应用补丁。这往往会使得很多 IT 人员不得不将时间用于这些安全保护工作,以至于一些重要的项目被推迟。通常,企业必须针对新出现的病毒开展计划外的 “ 消灭 ” 行动,从而导致 IT 部门不得不使用被动、中断式的安全措施。
很多传统的网络安全机制都受到了它们的网络安全理念的限制。有些采用的是 “ 堡垒 ” 模式,即通过防火墙和其他技术将除经过授权的员工以外的任何访问者都挡在网络之外。但是,这种方式目前受到了一些新的业务需求的挑战 , 网络系统需要随时随地为不同类型的用户(包括员工、供应商、承包商和来宾)提供访问权限。另外,内部威胁仍然是机构面临的一个重要的危险因素。其他一些机制则没有在网络安全结构中包含个人计算机、服务器和其他 “ 终端 ” ,因而忽略了阻止蠕虫、病毒扩散的关键控制点。
基于网络智能的多层次安全
幸运的是,可以有效防止数字信息和通信基础设施遭受现有安全威胁的核心技术实际上已经面世。网络路由器和交换机可以直接了解网络状况和网络活动,因为它们能够监管和控制所有数据和 IP 通信的传输。通过集成专门的安全技术和服务(例如终端监控软件),这些核心网络组件将会协调一致地提供独一无二的安全功能。
图 2 思科自防御网络的发展历程
思科目前正在利用智能信息网络的基础设施,建设一个层次化、集成化的保护体系,从而弥补传统安全机制的不足。与独立的产品相比,自防御网络是一种能够利用普遍的网络监测和控制功能的防御系统,每个部分都可以与其他部分互相通信,从而加强整个基础设施的安全。这种集成化网络创建了一个协调、统一、主动的管理环境,让用户可以及时地发现、削弱和制止安全威胁。通过采用这种网络安全机制,用户可以获得一种统一的威胁防御功能,从而以计算机速度响应安全警报、缩短漏洞存在时间和减轻管理负担。
思科设计自防御网络的理念类似于我们的身体保护我们免受传染病和其他疾病侵扰的方式。与人体的皮肤和组织层一样,自防御网络拥有多个保护 ?D?DVPN 、防火墙、入侵监测和异常控制等。通过结合先进的可视化功能、深入的数据包分析与处理和与终端系统的行为连接,自防御网络能够有效地发现和控制存在安全威胁的网络组件。但是,与人体一样,网络并不能完全阻止所有不利事物进入。人们需要吃饭、喝水和呼吸,而网络则需要处理和提供来自于多个外部来源的信息。因此,思科所设计的自防御网络能够在遭受恶意实体入侵时仍然正常地 ?D?D 或者接近正常地 ?D?D 行使职能,就如同人体在感染传染病或者其他疾病时仍然可以保持正常机能一样。
#p#终端身份与网络信任的联系
更加重要的是,思科所设计的自防御网络可以适应智能信息网络的安全需求,以及桌面、主机和应用的发展变化。为了支持智能信息网络的第一个发展阶段,自防御网络可以利用用户和设备访问控制、更加智能的防火墙、入侵防范工具来加强网络边缘的安全性,并且利用主动的、基于行为的安全软件提供终端保护。通过以 IP 作为网络核心,思科还在利用先进的虚拟专用网技术,进一步拓展这种保护结构,从而更加有效地将远程和移动用户置于自防御网络的保护伞之下。所有这些工具都与集中的管理系统相结合,以实现协调一致的响应和同步的策略。
图 3 多层次安全
在思科开发自防御网络的过程中,最重要的思科安全创新是安全 IP 网络和终端之间的、基于网络准入控制( NAC )的联系。 NAC 在业界率先为多个企业在网络安全方面的合作提供了一个重要的标准。思科在开发 NAC 的初期与很多领先的防病毒软件制造商进行了合作,其中包括 Network Associates 、 Symantec 和 Trend Micro 。 IBM 和微软此后也宣布支持 NAC ,并与思科开展了密切的合作。 NAC 让网络可以根据某个指定终端是否符合安全策略而控制它的访问权限。 NAC 可以评估某个请求访问网络的笔记本电脑、台式机或者服务器是否安装了最新的防病毒软件和操作系统补丁。 NAC 还可以利用思科路由器和交换机限制任何不符合安全策略的设备的访问权限。
在未来一到三年中,智能信息网络将进入第二个发展阶段。届时它将开始提供更加灵活的资源利用率,尤其是在数据中心内。不断发展的网络安全系统将可以自动地对安全威胁做出响应。思科将致力于通过汇总来自于不同监测技术的信息,来更快地制止新的攻击,并将安全系统集成到动态策略控制系统中。要做到这一点,关键在于能够及时地发现、定位和隔离受到感染的系统,然后协调多个系统清除该网络中的有害流量。这可以防止病毒在系统环境中的其他部分或者其他相联网络中的传播。
思科自防御网络将与安全供应商的产品合作,充分利用不同的网络组件 ?D?D 例如电子邮件服务器、防病毒网关甚至其他台式机 ?D?D 的病毒和行为检测能力。在自防御网络系统中,这些设备可以 “ 揭示 ” 其他行为异常的网络组件 ?D?D 这些行为往往意味着它们被某个恶意程序或者黑客所控制。由路由器和交换机所构成的系统随后会被用于隔离任何受到感染的设备和未受保护的系统,同时网络管理人员可以借此机会升级他们的安全保护机制。
图 4 思科网络准入控制:第一个基于信任和身份的安全解决方案
思科安全的未来
在未来三到五年内,人们对于网络安全的需求将会随着网络复杂性的不断提高而迅速增长。在第三个发展阶段,智能信息网络将开始提供虚拟化的应用和服务,从而让用户可以随时随地,以他们所希望的方式使用他们所需要的应用和信息。但是应用的自由交流也为更多的网络滥用行为提供了机会。随着应用和资源穿越多个网络的频率的日益提高,很多恶意代码也可以沿着这样的路径传播。为了避免这种的攻击,自防御网络将需要对流量进行更加详细的检查,甚至分析应用和消息级别的信息,以确定应用的 “ 目的 ” ,从而更加可靠、更加迅速地发现网络滥用或者安全威胁。尽管这在技术上颇具挑战性,但是这样的功能将可以提供动态的、端到端的应用和内容级安全。进行这种详细检查的同时,未来的自防御网络还需要一个对所有应用保持透明、可以独立实施、基于策略的安全框架。
为了实现这些更加详细的安全流程,思科计划在路由器和交换机的转发路径 ( forwarding paths) 中加入更多的安全功能。就像思科在提高分组处理性能方面处于业界领先地位一样,我们希望在高效能安全网络方面赢得领先。自防御网络的第三个发展阶段还需要更加先进的 ASIC 和处理器,以便进行详细的数据分组包检查和应用级的控制。同时,今天的很多基于软件的工具都将会转移到硬件处理器中成为标准功能,从而进一步降低安全功能对于网络性能的影响。
在所有这些发展阶段中,思科都将与其他供应商进行密切的合作,以加强自防御网络的保护功能。要建立起一个这样的安全机制,关键并不在于让所有组件都来自于同一个系统,而是让所有组件都使用行业标准,在彼此之间进行有效的通信,从而实现协调一致的防御功能。这种紧密的行业合作将会极大地推动安全技术的发展,例如为应用和设备使用通用的数字身份认证。
显然,企业和网络管理人员都需要一种安全机制取代基于独立产品的传统安全机制。思科认为,自防御网络是他们的理想选择。无论技术如何发展,自防御网络的目标都很一致:通过加强网络的安全性而提高通信效率。更高的通信效率意味着更高的业务效率。思科自防御网络的自动保护功能不仅可以提高安全性,还可以降低安全成本,因为它可以消除很多目前对 IT 部门造成不利影响的、繁琐的手动流程。
图 5 思科自防御网络的结构框架
通过加强网络的安全性,机构和个人可以放心地获得 IP 通信所带来的日益增多的优势。利用更高的安全性,网络用户可以更加迅速、轻松地访问应用和服务。这样的自由有助于提高生产率,建立更加紧密的客户和合作伙伴关系。最终,更高的安全性有助于保护最重要的资产:业务的稳定运行。
#p#记者:在Minnesota的一个上诉法庭最近立法说加密软件的产生可以被看作是犯罪倾向的证据,你对此有什么看法呢?SCHMIDT:我对于这个案件的细节不是很清楚,但是我曾经听说过这件事。这个很有趣,因为看到了加密的两个方面--我们可以回顾一下90年代初关于加密的很多争论--在安全公司的我们中的大多数人,都说加密的使用是非常必要的。作为一个例子,可以参见你在大学听到的事情,例如一个笔记本被盗窃,上面带有各种各样的信息。问题就是,为什么不加密呢?不需要加密的理由有很多,但是这些理由在今天的世界里面一点都行不通。事实是,安全专家推荐加密措施。我们使用IPSec,我们使用SSL,我们使用所有的加密技术去改进安全。
但是如果罪犯利用加密技术来进行犯罪活动--这就是加密技术的另外一面--我们已经看到了恐怖主义筹款、诈骗和儿童色情电影等。一般来说如果你看到那种情况,你已经有足够的证据指出他们有犯罪倾向,但是加密技术让他们能够进一步藏起罪证。很明显那些都是犯罪行为,他们应该因为这些行为受到指控。如果我们没有解密数据的技术,那么过去一段时间法律团体就自然会得到结论:使用加密技术去进行犯罪活动的话就是一种犯罪,而不是对于加密技术的纯粹使用将会在某种程度消灭犯罪的企图。
记者:州政府还有什么尚未采取的措施去改进计算机安全呢?
SCHMIDT:第一件而且是最重要的事情是,假设85%或者更多的重要基础设施是由私人企业所有,政府就必须确认国家安全策略以保证计算机安全,这也是我们一直在白宫所做的事情,同时还有通过推动这些策略的实施,让私营企业主知道他们还有很多的工作要做。NINAC(国家基础设施保障议会,总统的咨询机构之一)以及国家安全通信顾问委员会(也是总统的咨询机构之一)、贸易部信息安全以及隐私顾问委员会以及管理及预算办公室的建立,都给私营企业主一个提示,关于国家安全、公众安全以及经济可行性来说,安全是一个重要的问题。
从政府的角度看,政府已经做的非常好了,并确保在重要基础设施安全保护方面让人们意识到自己负有特殊的责任。
另外一个政府已经着手的方面就是某些与法案有关的事务,例如Gramm-Bliley以及Sarbanes-Oxley,这些事务一开始都是让人担心的。当然Sarbanes-Oxley并非为IT安全专门设计的。它是设计用于金融控制的。如果你没有好的IT安全,你就没有好的金融控制。所以IT安全是非常有用的。政府需要下功夫做的是继续理清他们的内部事务。在很长一段时间里面,政府官员,包括我都在说计算机安全必须要有一个模型。我想针对现在稍微有些散乱的状况,我们已经有初步的对策。
记者:你认为未来两三年的网络世界将是如何一种场景呢?
SCHMIDT:在未来,我们对于网络世界将会有更好的划分,这种划分非常类似于我们在物理世界中所看到的,你在里面能够做的事情跟你在实际世界中所能匿名从事的活动类似,这种跟那种需要实名制的活动相反,例如股票交易。我们将会有更好的粒度划分,更好地保护大家的隐私,因为我们将会更好地管理网络世界的身份验证。 #p#Dow Williamson认为,一个拥有很强的学术背景的专业人士,比如信息安全硕士学位,对自己的要求也会很高,会激励自己去获得更多专业人员的认证。(ISC)2的主打认证产品是信息系统安全专业人员认证(CISSP)系统安全操作者认证(SSCP)。凡是达到所需掌握知识的标准并且符合每项认证的细节要求的操作者,都可以被认为是信息安全领域内的专家。许多公司和政府部门都需要拥有CISSP和SSCP认证,且具备良好的实际技能和丰富的从业经验的专业人员。
虽然认证可以使信息安全专家不断地处于学习状态,不会让他们的知识或技能荒废,但是他们价值的发挥则取决于公司自身体制和企业文化。Alex Rosenbaum是NetMacros公司的副董事长,他相信,教育与经验同样重要,因为教育体现了一个人的学习能力。
Rosenbaum说,一个信息安全专家必须要具备理解基本概念、理解技术为什么被应用这种能力。他还提出警告,不要将精力都集中在某一个供货商或者某一项申请上,设计安全方案的能力才是最重要的。
在岗时间和实际的操作经验远比教育与认证更有价值。Nick Brigman是Product Strategy公司红色警报项目的的副总,他这样说道,“一位拥有CISSP的专家无疑是出色的,但是认证只是测量书本知识深浅的尺度。”他对有实际经验和培训经历的人给予很高的评价,他也十分钦佩和尊重来自SANS协会的GIAC安全专家(GSE)。
红色警报在筛选应聘者时,考察是应聘者有深度的、多样的背景经历,以及是否有清白的记录。Brigman这样解释道,当一个组织挑选雇员和卖家时,已有的经历和清白的记录是最重要的。
这项选拔人才的措施几乎没有提供安全职业,但是这项措施的确为战略上准备充分的信息管理者和信息安全专家提供了很多机会。安全的重要性将会不断提高,安全的专业人员,因为他们掌握着最优实践、专业化的专长、广博的知识、多样认证,并很好的将它们糅合运用,他们的职业潜力十分巨大。
关于作者
Jon Boroshok是一位多才华的战略家,也是Groton,Mass的自由撰稿者,在Boston Globe、Christian Science Monitor、Crain Communications、ZDNet、CMP Publications和TechLiving magazine都有他的作品刊登,或者有他的专栏。
