对于IT业界而言,这是一个概念满天飞的时代。而在这种环境中,在安全技术、产品、解决方案相对成熟的条件下,倡导安全2.0会不会是一种概念炒作呢?赛门铁克中国区业务拓展总监郭训平为我们解开了这个疑惑。
颠覆的起因
郭训平认为之所以会出现安全2.0这个概念,与安全环境的恶化有关。具体来说,郭训平介绍说目前的安全攻击与以往的攻击相比,有以下四点不同。
首先,从攻击目的来讲,原来的攻击很多都是没有特别的利益针对性,以出名和炫耀技术为目的,而现在的攻击都是与窃取商业机密和机密信息、数据、金钱相关。其次,从采用的技术来看,以前由于是以炫耀技术为目的,所以攻击发生之后恨不得让全世界的人都知道,而现在以窃取经济利益为目的,攻击做得非常隐蔽,如同小偷在你未知的情况下行窃。
此外,攻击者原本大多是个人或非盈利团体做案,而现在是有组织的做案。最后,攻击对用户的影响也发生了变化。由于原来是以炫耀技术为目的,因此对于用户的IT资产来说,许多攻击和威胁主要影响其基础架构。在原来的攻击中,蠕虫可能会在一天之内席卷全球,但用户的损失只是服务器的瘫痪,恢复起来相应也比较快,只需打补丁便可解决。而现在以盈利为目的的攻击目标已不再是基础架构,而是以运营在基础架构上的数据为目标。由于攻击的目标改变了,因此相应的防范措施也要发生变化。
从外部来看,用户所面临的安全环境越来越恶化,而从内部看,用户面临的安全管理问题也越来越复杂。郭训平介绍说:“用户所面临的,已不仅仅是技术问题了。举例来说,大型企业级用户的安全终端可能分布特别广,防病毒软件和终端防护解决方案所解决的只是安全防护的问题。但解决了这个问题以后,企业中单个用户可能安全意识较为薄弱,这使得定时升级、打补丁这类日常维护工作成了一道难题。这样,企业就需要一个终端安全管理标准,用户的需求就会从以防护为中心,转向以策略为中心。”
听了郭训平的介绍,我们认为安全2.0就是在原有的安全产品、安全技术、安全解决方案的基础之上,再加上一些安全策略。但郭训平却指出,安全管理思想的复杂性非常高。他说:“安全管理思想的建立并不是一件简单的事情。以萨班斯法案的执行为例,萨班斯法案的出台,要求相关企业具备强制化的内控手段。萨班斯法案对于企业来讲不是一次性的工作,只要你上市,证券交易所不改你就必须按照这个标准去做。
对于企业来说,首先要考虑如何在最少投入的情况下每年尽量快地通过遵从,同时在这个基础上提高自身内部的管理。但很多企业却可能年年都把萨班斯法案当做一个项目来做,无形中增大了投入。赛门铁克针对萨班斯法案有一个很完整的解决方案,实际上就是帮助用户实现IT自动化。所谓自动化就是在客户端、数据库、ERP系统中,要求你的安全措施、配置,包括平常管理的密码、帐号都要能符合萨班斯法案的要求。这样,企业在内控管理上就形成了一个良性循环,成本自然就降下来了。与此相反,一些企业自行开发了一些系统,与这些类统相比,我们的产品和那些自行开发的产品比,完全可以说是职业队和业余队的差别。”因此,郭训平介绍说:“单从合规一项要求考虑,安全2.0就非常有必要得到推行。”
颠覆的内涵
对于颠覆,我们常常爱用“革命”一词来形容它。但大多数人可能并不知道,革命一词源于几千年前就成书的万经之首——易经。因此,当我们谈到安全2.0这个概念时,我们不能仅仅从字面意思去理解它的表象,还需要去了解它的内涵。
