应用与安全两张皮

信息安全之初，集中在解决有无的问题，基本都是“老三样”

防火墙、入侵检测加防病毒

这些都有非常成熟的货架产品，拿来就可以直接用上，因此重研制，轻建设。

当时，工程建设的实施非常容易，要调研掌握的应用相关信息并不多，

了解一下企业IT系统对外都存在哪些业务关系，具体需要开放哪些协议和端口，

工作难度不大，本身也并不复杂。

因此，那时候的工作主要集中在研制安全产品本身，设计硬件平台，提供足够

的性能和可靠性，实现具体的访问控制、攻击检测等安全功能。

在发展的过程上，与IT系统的发展非常类似。在计算机和网络刚刚普及时，

建设好网络，员工有了计算机工作，似乎企业信息化就实现了。

后来，才逐步发现那仅仅是个基础设施，缺少管用的应用和数据，就是一个空架子，

对企业的推动力相当有限。

逐步认识到IT系统的内涵，但一个企业在刚上IT系统时，对应用却又提不出具体的需求，

这个时候，货架产品就大行其道，基本上是提供给什么就用什么，最后的结果很可能

就是与实际情况相距太远，无法真正使用起来。

交了学费，走过弯路后，对信息集成的认识加深，特别是当企业发展到一个成熟

的阶段，特别是IT系统对企业业务的作用越来越重要，越来越离不开IT系统的时候，

对IT系统的认识和理解会非常具体。

这个时候，企业开始会根据自己的需要来选择IT系统。这样一来，IT系统提供者就

需要深入到企业，去了解真实的需求，从而提供最适合的IT系统，否则是自己是没有出路的。

信息安全也是一样，光堆砌一堆的安全设备，并不能真正解决安全问题。

现在已经过了安全厂商为企业单方面提供解决方案，而不需要深入企业，去了解企业的

需求的阶段。

我们在路上，虽然很难，特别是应用经过长时间发展，就规模已经非常庞大，复杂性超乎想象；

而能够清楚说明应用具体情况的人几乎没有的情况下，要了解应用谈何容易，与应用融合，让

安全深入到应用的流程中，提出这样的方案就更加困难。

但我们认识，这件事情非常有意义，没有现成可借鉴的东西正是我们的机会。

这件事必须要做，如果还是停留在买安全产品的阶段，而不是为企业设计一个适应它的

核心流程、保护它的核心资产的安全方案，信息安全的未来是没有出路的。

深入企业，在第一线调研，让我们成为企业认可的专家，改变它们常挂在嘴边的，“你们不了解

我们的领域”。

我们现在已经迈出了第一步，我们通过调研，掌握了初步的应用情况，从抽象的业务流程、访问关系

到具体的报文格式、网络协议等等。我们不断在积累，不断在迭代进步。

在具体操作中，我们结合了自上而下和自下而上两种相互补充、相互印证的方法。

开展调研，与设计和研制应用的人打交道，了解应用的情况，形成对应用的理论上的认识；

另外一方面，研制验证平台，可以在实际的应用环境中运行，通过分析网络流量和业务操作日志，形成

对应用的实践上的认识。

二者的结合，既解决了理论上的认识存在人为的偏差的问题，又解决了实践上的认识不全面、不完整的问题，

我们提出的方案让企业耳目一新，与过去千篇一律的方案相比，方案更实了，没有虚无缥缈的架构、理论，只有

与应用紧密结合的安全机制，安全设备也软件化甚至构件化，与应用融合一体。

虽然少了安全设备，表面上我们的收入少了，但是安全推向深入，面广了，口碑有了，对于信息安全这个朝阳、新兴

的产业，挖掘市场比买安全设备有前途，我们坚信。