应用与安全两张皮
2012-03-02 22:10
211 查看
信息安全之初,集中在解决有无的问题,基本都是“老三样”
防火墙、入侵检测加防病毒
这些都有非常成熟的货架产品,拿来就可以直接用上,因此重研制,轻建设。
当时,工程建设的实施非常容易,要调研掌握的应用相关信息并不多,
了解一下企业IT系统对外都存在哪些业务关系,具体需要开放哪些协议和端口,
工作难度不大,本身也并不复杂。
因此,那时候的工作主要集中在研制安全产品本身,设计硬件平台,提供足够
的性能和可靠性,实现具体的访问控制、攻击检测等安全功能。
在发展的过程上,与IT系统的发展非常类似。在计算机和网络刚刚普及时,
建设好网络,员工有了计算机工作,似乎企业信息化就实现了。
后来,才逐步发现那仅仅是个基础设施,缺少管用的应用和数据,就是一个空架子,
对企业的推动力相当有限。
逐步认识到IT系统的内涵,但一个企业在刚上IT系统时,对应用却又提不出具体的需求,
这个时候,货架产品就大行其道,基本上是提供给什么就用什么,最后的结果很可能
就是与实际情况相距太远,无法真正使用起来。
交了学费,走过弯路后,对信息集成的认识加深,特别是当企业发展到一个成熟
的阶段,特别是IT系统对企业业务的作用越来越重要,越来越离不开IT系统的时候,
对IT系统的认识和理解会非常具体。
这个时候,企业开始会根据自己的需要来选择IT系统。这样一来,IT系统提供者就
需要深入到企业,去了解真实的需求,从而提供最适合的IT系统,否则是自己是没有出路的。
信息安全也是一样,光堆砌一堆的安全设备,并不能真正解决安全问题。
现在已经过了安全厂商为企业单方面提供解决方案,而不需要深入企业,去了解企业的
需求的阶段。
我们在路上,虽然很难,特别是应用经过长时间发展,就规模已经非常庞大,复杂性超乎想象;
而能够清楚说明应用具体情况的人几乎没有的情况下,要了解应用谈何容易,与应用融合,让
安全深入到应用的流程中,提出这样的方案就更加困难。
但我们认识,这件事情非常有意义,没有现成可借鉴的东西正是我们的机会。
这件事必须要做,如果还是停留在买安全产品的阶段,而不是为企业设计一个适应它的
核心流程、保护它的核心资产的安全方案,信息安全的未来是没有出路的。
深入企业,在第一线调研,让我们成为企业认可的专家,改变它们常挂在嘴边的,“你们不了解
我们的领域”。
我们现在已经迈出了第一步,我们通过调研,掌握了初步的应用情况,从抽象的业务流程、访问关系
到具体的报文格式、网络协议等等。我们不断在积累,不断在迭代进步。
在具体操作中,我们结合了自上而下和自下而上两种相互补充、相互印证的方法。
开展调研,与设计和研制应用的人打交道,了解应用的情况,形成对应用的理论上的认识;
另外一方面,研制验证平台,可以在实际的应用环境中运行,通过分析网络流量和业务操作日志,形成
对应用的实践上的认识。
二者的结合,既解决了理论上的认识存在人为的偏差的问题,又解决了实践上的认识不全面、不完整的问题,
我们提出的方案让企业耳目一新,与过去千篇一律的方案相比,方案更实了,没有虚无缥缈的架构、理论,只有
与应用紧密结合的安全机制,安全设备也软件化甚至构件化,与应用融合一体。
虽然少了安全设备,表面上我们的收入少了,但是安全推向深入,面广了,口碑有了,对于信息安全这个朝阳、新兴
的产业,挖掘市场比买安全设备有前途,我们坚信。
防火墙、入侵检测加防病毒
这些都有非常成熟的货架产品,拿来就可以直接用上,因此重研制,轻建设。
当时,工程建设的实施非常容易,要调研掌握的应用相关信息并不多,
了解一下企业IT系统对外都存在哪些业务关系,具体需要开放哪些协议和端口,
工作难度不大,本身也并不复杂。
因此,那时候的工作主要集中在研制安全产品本身,设计硬件平台,提供足够
的性能和可靠性,实现具体的访问控制、攻击检测等安全功能。
在发展的过程上,与IT系统的发展非常类似。在计算机和网络刚刚普及时,
建设好网络,员工有了计算机工作,似乎企业信息化就实现了。
后来,才逐步发现那仅仅是个基础设施,缺少管用的应用和数据,就是一个空架子,
对企业的推动力相当有限。
逐步认识到IT系统的内涵,但一个企业在刚上IT系统时,对应用却又提不出具体的需求,
这个时候,货架产品就大行其道,基本上是提供给什么就用什么,最后的结果很可能
就是与实际情况相距太远,无法真正使用起来。
交了学费,走过弯路后,对信息集成的认识加深,特别是当企业发展到一个成熟
的阶段,特别是IT系统对企业业务的作用越来越重要,越来越离不开IT系统的时候,
对IT系统的认识和理解会非常具体。
这个时候,企业开始会根据自己的需要来选择IT系统。这样一来,IT系统提供者就
需要深入到企业,去了解真实的需求,从而提供最适合的IT系统,否则是自己是没有出路的。
信息安全也是一样,光堆砌一堆的安全设备,并不能真正解决安全问题。
现在已经过了安全厂商为企业单方面提供解决方案,而不需要深入企业,去了解企业的
需求的阶段。
我们在路上,虽然很难,特别是应用经过长时间发展,就规模已经非常庞大,复杂性超乎想象;
而能够清楚说明应用具体情况的人几乎没有的情况下,要了解应用谈何容易,与应用融合,让
安全深入到应用的流程中,提出这样的方案就更加困难。
但我们认识,这件事情非常有意义,没有现成可借鉴的东西正是我们的机会。
这件事必须要做,如果还是停留在买安全产品的阶段,而不是为企业设计一个适应它的
核心流程、保护它的核心资产的安全方案,信息安全的未来是没有出路的。
深入企业,在第一线调研,让我们成为企业认可的专家,改变它们常挂在嘴边的,“你们不了解
我们的领域”。
我们现在已经迈出了第一步,我们通过调研,掌握了初步的应用情况,从抽象的业务流程、访问关系
到具体的报文格式、网络协议等等。我们不断在积累,不断在迭代进步。
在具体操作中,我们结合了自上而下和自下而上两种相互补充、相互印证的方法。
开展调研,与设计和研制应用的人打交道,了解应用的情况,形成对应用的理论上的认识;
另外一方面,研制验证平台,可以在实际的应用环境中运行,通过分析网络流量和业务操作日志,形成
对应用的实践上的认识。
二者的结合,既解决了理论上的认识存在人为的偏差的问题,又解决了实践上的认识不全面、不完整的问题,
我们提出的方案让企业耳目一新,与过去千篇一律的方案相比,方案更实了,没有虚无缥缈的架构、理论,只有
与应用紧密结合的安全机制,安全设备也软件化甚至构件化,与应用融合一体。
虽然少了安全设备,表面上我们的收入少了,但是安全推向深入,面广了,口碑有了,对于信息安全这个朝阳、新兴
的产业,挖掘市场比买安全设备有前途,我们坚信。
相关文章推荐
- 手机两步验证安全应用盘点
- jboss EAP-6.3.0下配置JAAS安全应用
- 浅谈iOS应用安全自动化审计
- SaaS架构设计之SaaS应用安全
- android应用安全——组件通信安全
- 查看应用的安全码
- Java安全通信、数字证书及应用实践
- 云安全是云计算大规模应用前提
- 深度学习应用,不但要考虑准确性,更要考虑安全
- Flash应用安全规范
- Android安全讲座第八层 android应用的安装和卸载
- 安卓应用安全总结
- 第四章:iOS应用漏洞利用 ——4.4 Keychain数据存储和安全
- 成本安全硬件(二):RFID on PN532 之WINDOWS 环境应用
- 移动应用安全开发指南(Android)--Android组件和IPC
- 基于大数据分析的安全管理平台技术研究及应用
- [VB.NET源码]密码算法及其在信息安全中的应用
- 网站应用需注意的安全验证问题
- 【常见Web应用安全问题】---3、Code Execution