谈谈等保服务几个感想

作者:陆麟
转载请征得作者同意.
2018.3.24



从去年网安法正式实施开始,大量企业主动或被动调整了很多系统的安全防护措施。就上海地区而言,18年度预计会有新增5000个系统通过网络安全等级保护体系的测评。


经历了好多等保业务后,基本可看到一些信息安全业界的大趋势。


首先,等保业务大量消除了明文存在的各种协议。因为信息安全领域讲究保密性,完整性,可用性。因保密性的要求,目前非常常用的协议都必须通过加密来提供服务。换言之就是http走向全站https,telnet/ftp/pop3/imap4等传统非加密协议必须通过ssl加密来替换服务方式。 这样一来,传统的明文协议大大消除。明文协议的生存范围被压缩到了自制应用的私有协议中。即便是自制应用的私有协议,在极大范围内也已经加密化。如果不是拿下了私有协议的通信密钥,要解开通信内容还是相对困难的一件事情。(也有很多开发人员把base64或者压缩库 当加密在用) 目前有相当多的网络安全设备是通过监视进出网关的数据流量,通过还原出协议来检查内容。延伸出来了网络探针,数据防泄露,上网行为管理等多种信息安全产品。此类安全产品在全网流量加密的大趋势下,变得越来越缺乏生命力。直接的原因就是再也不能“看到内容”,直接 变成了瞎子产品或者半瞎产品。每新增一个满足等保的系统,就意味着受众范围又少了一个。功能上的实用性萎缩非常明显。由于等保推动,虽然可能因某些特殊要求还有一阵生命力,最终会该类产品会快速沉沦。


其次,就是在各大企业IT部门中,绝大部分对于信息安全的理解还是停留在信息安全就是买防火墙的状态。从业人员的水平上下非常悬殊。信息安全整体经过了那么多年,仍然处于非常原始的状态。整体有非常大的提升空间。产业前景很好,而且全国范围内有能力处置各种信息 安全事件的人员总量非常集中。整个产业的活力其实也就掌握在其中少数人的手中。整合这些人,其实就整合了信息安全产业的走向。


防火墙就目前而言,变成了一个比较微妙的产品。它本身核心功能是控制端口的开关。决定某端口是否可暴露给外界。现在的防火墙里面还加了一堆包检测甚至“杀毒”的附加功能,即便只用核心功能,当负载比较小,防火墙勉强可发挥作用,当负载高到一定程度,防火墙反而成 为了性能瓶颈。而且防火墙自身具有的功能,其实现在大家在用的操作系统本身均已经自带。其焦点在于如何让大家合理使用。或者可将问题转化成如何将负载分摊到不同的机器上。


最后,就是层出不穷的“漏洞”,究竟有无根治的方法。显然是没有的。这些漏洞到底是“信息安全”没做好吗?我个人的看法更多是应用系统的设计者和开发者没有把工作做好。因为大家会发现,要解决漏洞,本身就是要联系开发商才会得到彻底的解决办法。在外围堆积安全设备 其实都只是“临时方案”,不解决根本问题。很多开发商也确实非常不给力,修漏洞的同时还能做入更多的漏洞:D 由于没有根治的方法,因此就要求有一双明亮的眼睛和警觉的神经,发现各种异常和黑客行动的蛛丝马迹。这个确实困难。尤其需要大量经验累积。