2014年4月应该是信息安全界非常值得纪念的日子,这一天我们可爱的XP停止更新了,各大厂商八仙过海各显神通,360推出了XP盾甲、北信源推出金甲防线、腾讯金山联想推出扎篱笆计划,好像是2亿用户是个巨大的市场。可惜的是中国人不太争气,没有意识到自己国产系统这种绝佳的反击机会,中国的操作系统,特别是个人市场看来是遥遥无期了,其实不管是XP和win7/8对小白用户来讲都是不安全的,如果没有安全意识,任何的操作系统都是有漏洞的。
有人故意选择4月8发布OpenSSL心脏出血漏洞,这绝对就是个阴谋,据我估计这个漏洞是被黑客玩剩下的,对于娱乐大众是很有震撼力的。这一安全漏洞很可能会被黑客们所利用,从而破解加密信息,窃取到用户的个人数据。“Heartbleed”漏洞是由谷歌和一家在线安全公司Codenomicon的研究人员发现,它是OpenSLL开源网络数据加密工具中包含的大约10行简单的代码,它将会影响到OpenSSL这一关键网络加密技术。
对于信息安全来讲绝对是一门永恒的攻防战役,没有胜负、没有结局、充满未知。信息安全太复杂,对于信息安全工程师来讲其实是大大落后于市场需求的,总是跟在黑客的屁股后面,总是有了漏洞再想办法。总是幻想安全设备是一劳永逸的。
所以有人提出了方法论,既然我在具体细节上没法防住你那么我就在信息安全方法论、安全设计上来进行弥补;有人还想到了白名单下的白环境,既然我不知道你有多少招数要放出来,那么我就规定下我的地盘的规矩;有人想到了云安全与沙盒技术,我先让你运行下,有没有问题,沙盒的结果一清二楚;有人说既然我总是亡羊补牢,不如我就让系统在设计过程中进行完整的安全测试和渗透......在工程师看来有问题总能搞定,方法总是有的,但是问题总比方法多,这就是安全的现状。
其实企业的信息安全现状是,思想上很重视,行动上很滞后;企业里被砍掉的项目大部分来自于信息化,信息化被砍掉的项目大部分是信息安全;人们对于信息安全的深度理解和认识还不够。
企业重视信息安全设备防护,过于轻视信息安全管理和安全服务,还是存在上了防火墙就OK的老思路里。大部分用户了解企业肯定会面临各种安全攻击和事件,但是我不知道这些事件来自于何方,即使通过IPS/IDS等了解到威胁,但是我不知道这些威胁的级别和对系统造成的影响是什么。对于APT这样的威胁而言,用户就是小白鼠。
APT的出现恰恰是考验信息安全的综合防范能力,主机的恶意代码防范、数据防泄露、应用安全、入侵检测、沙盒运行都需要综合进行防护防范,任何一个点出现问题APT防护就存在着漏洞。
最近我们在搞三全工作,即全面梳理、全面诊断、全面加固,意愿是好的,真正想做全,确实很难也很漫长。但是三全工作是一个信息安全的闭环建设,比如全面梳理考虑到了信息化常年建设过程中需要的梳理工作,比如信息资产的梳理、信息流的梳理、信息安全策略梳理、管理制度的梳理;全面诊断是一项综合服务性工作,包含等级保护测评、风险评估、漏洞扫描、渗透测试等等;全面加固就是针对发现问题的加固措施,有产品的、有策略的、有应急的、有管理的,总之这是一项比较全面的信息安全工作。
最后想说的是信息安全不是亡羊补牢,是未雨绸缪,不是结果,是动态的过程,习大大说了没有网络安全就没有国家安全,偶也