原文请参见XFOCUS链接:https://www.xfocus.net/bbs/index.php?act=ST&f=1&t=62893,作者:-jinifly-

虽然不尽同意作者的比较“极端”的观点,但这毕竟也是我曾经考虑过,想说过的话,值得安全厂家平心静气地思考思考。

看了zhaol’s 的blog《2007年的5大安全技术》终于使我心底产生了一种要说出来的冲动。

信息安全正在把事情弄得越来越复杂,而且不着边际。看看现在的产品种类吧:FW、IDS、SCAN、IPS、AV、UTM、ADDOS、AAA、SOC、GAP、还有上面这些五大技术…

再看看现在的理论成果吧:框架、体系、规范、策略、方针、模型、矩阵、安全域……

KAO!!

IT的历史上重来就没有这么乱过!!

信息安全厂商也正在把自己弄得糊里糊涂的,真得有那么多种产品和产品线吗?真得需要那么复杂的产品线吗?

在把客户弄得晕头转向之前,真得需要先这么折磨自已吗?真得陷入了“头痛医头,脚痛医脚”的境地?无怪乎那么多人得从医学、生物科学、哲学、神学、框架、理论公式、幻想里去牵强地寻找解决问题的方法,这是为什么?

真得需要那么多没有人去多看第二眼无法实施名词缩语一堆不知所云可操作性为0的所谓“安全标准”吗?

真得需要那么多根本毫无关联和整体性可言堆切在一起却不仅不能解决问题还会影响正常业务开展的“安全产品”了吗?

换一种思路吧,那就是—-简单就好!

简单就好!

看看我吧,我从不装AV,也从不中病毒,我只做了3点,开系统自带的FW、IE不自动下载文件、我从不乱点乱访问乱下载。

我只是安静地思考,就明白了以下的道理:

1、所有的安全问题都是软件问题。

(请不要把防火防水防雷防小偷的生产安全和007的间谍手法归为信息安全,不然,信息安全管得也太宽了,而且,警察、特工、医生们也都得下岗,顺便质疑一下CISSP的包含法律、物理安全那么些个十个并无关联的安全域)

2、所有的安全保护都是保护数据。

3、所有的攻击都有访问通路。

想清楚了,就明白了,从根本上来说,只需要三种安全产品而已。与其搞一堆隔靴骚痒的东西,还不如花大力气搞那么一样东西,“搞深搞精搞出名堂”。

另外,依赖知识库或规则库工作的AV、IDS、SCANNER、风险管理等一类产品需要一种更智能、颠覆性的技术才能突破目前“攻击快于防御”的局面,或者这一类东西干脆下课,事实证明,它们是多么的苍白无力。

按照“谁做的事情谁负责”、“责任到户”的原则,既然安全问题都出自各系统厂商(网络、主机、数据库、存储、应用系统)自身所开发系统,”解铃还需系铃人 的”,安全问题理应由他们自已来解决。试问安全厂商们,你们对系统底层的了解和实现过程是否会比厂商自己更清楚呢?显而易见,不会。如果哪一天MS真得把 AV集成到windows系统里,现在的杀毒厂商恐怕也都得下课了。

另一方面,既然各系统都自带了众多的安全功能(身份认证、访问控制、加密、日志审计、备份与恢复),那么就在需要它们的时候把它们启起来好了,又何必借助 于第三方的安全厂商额外的安装一堆的agent呢?事实上如果你善于把这些功能很好的搭配利用起来,是根本不需要什么强化系统的安全产品的。您也许会说厂 商的不够强,那就由厂商自己来解决好了。从这一点来看,安全厂商其实也应该下课,或换一种活法了。

安全厂商活法就应该是不再直接面对最终用户,而是应当面对这些系统厂商,我宁愿把安全厂商理解成对系统有好处的支撑厂商或安全部件厂商,是系统的一部分, 从历年来的各系统厂商不断收购安全厂商似乎说明这一点,安全厂商所应当做的就是开发出好的软件工程工具协助厂商把好产品下线关,或协助厂商及时发现售后问 题,及时报告,让系统厂商尽快打上补丁,这才是真正的安全之道,正如汽车总装与质量控制之间不过是整体和部件之间的关系一样。而不是什么发现一条漏洞高价 去卖给别人,总搞得跟敲诈勒索一般,而安全厂商呢,则出高价去收购,就像是“销脏”渠道一样。

很多人觉得TCP/IP不安全,那就让ISO去处理好了–这事归他们管!!