| 出版日期:2003-11-10 总期号:1265 本年期号:84 |
|
 |
好技术也要好管理
从技术发展角度看,前面提到的这两种技术——以防火墙为代表的在信息系统边界起限制作用的系统,和以入侵检测为代表的通过分析信息流来发现可疑行为的系统,都还存在相当大的技术发展空间。 前者的难点在于,如何更细粒度地控制网络通信的行为,尤其是对应用层的控制,并且在这种控制粒度下保持足够好的性能。CheckPoint在2003年最新版本的Firewall-1中实现的“ApplicationIntelligence”技术,以及东软NetEye防火墙中的“流过滤”技术,都是在这方面的一种突破性的技术进步,已经具备了基本的应用层控制的架构,只是在描述的范围以及在加载了复杂的应用层策略时的性能方面还需要进一步提高。 对于入侵检测类的系统,最根本的问题在于,如何突破现在普遍采用的基于简单的信息特征的检测技术,而发展到结合对应用系统的行为特征进行跟踪分析的阶段。或者说,这类系统应该对所监控的信息系统要有非常全面和细致的了解,无论是静态的部署情况还是动态的上下文关系,才更准确地判断访问行为是否带有“恶意”,也才能摆脱过于“神经质”。目前很多研究机构都在进行这方面的研究,相信在不久的将来会有所突破。 上面仅是从核心技术的角度看。从产品使用角度看,安全管理人员需要更加方便好用的工具产品,或者说,一些基本的安全产品都应该具备作为工具的特征,他们绝不应该像交换机那样,只要配置好了,一直放在那里就没有问题了;相反,每一个安全产品都应该提供丰富的信息供安全管理人员进行分析和判断,并提供方便的工具供安全管理人员进行进一步的诊断以及采取必要的动作。这些工具包括网络的实时分析、日志系统、扫描工具等等。一些公司提供了专业的独立的产品。但是也有一种趋势,这些工具在逐渐集成到一些基本的安全设施上,尤其是入侵检测产品,它作为一种安全的监控平台,集成各种安全工具几乎是很自然的,它所带来的方便性的直接效果就是安全管理人员的快速响应能力提高了。 当然,对于安全管理人员来说,安全问题绝不仅仅是上述一些基本的技术和产品的使用。一个完整的安全系统还应该具备身份鉴别、信息保密和完整性保护等其他设施。限于篇幅,本文不再详细介绍。同时,安全管理人员对于信息网络的分析和安全知识的了解也是一个永不停顿的过程。可以说这是一个很特别的工作,从事这个工作的群体还相当小,但是可能在不久的将来,这个群体会迅速壮大,并具备相当高的技术水准。这是企业或组织获得信息安全保障所必需的。 |
||||||||||||||||||||||||||
