互聯(lián)網(wǎng)溝通了世界，但也讓世界為此付出了更大的代價

哲學上講，事物總是有其兩面性的，網(wǎng)絡也不例外。越來越多的網(wǎng)絡連通，在滿足使用者創(chuàng)造美好的生活同時也讓侵害延伸的更遠。例如，人們以往對“黑客”一詞的那種技術崇敬度已經(jīng)遠遠被厭惡所覆蓋。從第三方支付信息的竊取到銀行卡的盜刷，從偽基站的詐騙到仿冒郵箱的騷擾等等，基于網(wǎng)絡的侵害隨著網(wǎng)絡的成長而成長。

信息安全如今已經(jīng)是一個齊家治國平天下問題。對于企業(yè)級信息市場而言，祝青柳認為人們也需要認識到這種變化。

首先，信息侵害者已經(jīng)從簡單的技術崇拜演變?yōu)楦綆в猩虡I(yè)利益、政治動機的更大范圍的集體行為。

“這是網(wǎng)絡安全市場過去20年一個比較顯著的變化。以前黑客的攻擊行為更多是為了展示一下自己的能力，如今這種攻擊背后會帶有很多商業(yè)利益、政治利益驅(qū)動。” 祝青柳講。例如，“中國黑客威脅論”近來又甚囂塵上，個別美國高官更是樂此不疲，網(wǎng)絡攻擊侵害設計的已經(jīng)遠不簡單是技術問題，在這之外的國家關系、民族政策，以及打擊網(wǎng)絡犯罪、加強案件協(xié)查、信息共享方面讓信息安全問題變得更加復雜。

同時，企業(yè)級網(wǎng)絡攻擊從以破壞主要目的變?yōu)橐孕畔⒏`取為主要目的。

從近些年黑客技術的升級演變很容易發(fā)現(xiàn)，侵害的手段與企業(yè)經(jīng)營模式的變化有著很大的關系。如今，企業(yè)經(jīng)營越發(fā)依賴自身企業(yè)數(shù)據(jù)的運用，侵害手段企業(yè)網(wǎng)絡的手段也越發(fā)朝著企業(yè)數(shù)據(jù)為核心?！耙郧埃诳桶涯氵@個設備給你攻破了，更多是把你這個系統(tǒng)給搞癱了，但現(xiàn)在他們更多目標你這個設備上的數(shù)據(jù)，如服務器、存儲設備。為此，近些年網(wǎng)絡攻擊更多是社會工程和技術結(jié)合起來的方法來進行攻擊，社會工程和技術結(jié)合起來的方法來進行攻擊” 祝青柳講。

祝青柳介紹，如今的企業(yè)網(wǎng)絡攻擊來源，不僅來自于互聯(lián)網(wǎng)，也來自于企業(yè)內(nèi)網(wǎng)，“只要是存在企業(yè)敏感數(shù)據(jù)的地方，都會成為網(wǎng)絡侵害的重點?！?/p>

第三，不是不努力，只是防不勝防?！皬?000年初，我觀察到了這樣一個變化，那就是企業(yè)已經(jīng)越來越重視信息安全，也從單一手段變成多種手段，例如各種防病毒系統(tǒng)、防火墻系統(tǒng)項目的上馬，但如此多種系統(tǒng)累加卻讓企業(yè)不看重負，同時各種安全風險變的比以前越來越嚴重，保護起來不是越來越簡單而是越來越困難?！?/p>

企業(yè)安全從業(yè)者是怎樣緊張起來的？

企業(yè)信息侵害的變化無疑增強了企業(yè)的不安全感，但同時也讓IT安全從業(yè)者們也變得更加緊張。這種緊張不是因為新的企業(yè)信息安全需求讓他們無所招架，而是自己的能力能否贏得過歷史需求進程在時間里的賽跑的那種焦慮。例如，在滿足現(xiàn)有需求的情況下能否給予突破企業(yè)期待的服務？在頂替外國高端產(chǎn)品占位上能否建立起的本土的信賴？

1、為互聯(lián)網(wǎng)的不負責任負責

熟悉互聯(lián)網(wǎng)歷史的人想必是知道互聯(lián)網(wǎng)的誕生地不在企業(yè)，而是學校、實驗室，縱使經(jīng)過TCP\IP、以太網(wǎng)、AppleTalk等的洗禮，互聯(lián)網(wǎng)從實驗室服務于企業(yè)生產(chǎn)依然有著太多的水土不服。正如從AWS、谷歌、阿里云這里走出那些云原生應用服務于更廣大范圍企業(yè)需要的互聯(lián)網(wǎng)+一樣，總要經(jīng)歷“困惑”的歷史階段。

“傳統(tǒng)互聯(lián)網(wǎng)技術主要發(fā)源于大學，對網(wǎng)絡技術的研究一直偏向自由、方便、高效等。但是一旦把這套模式套用在企業(yè)的生產(chǎn)制造上，或者企業(yè)管理環(huán)境中，可管可控性就會比較弱，帶來的各種安全問題就會顯而易見。為此，2003年聯(lián)軟成立的目標就要致力于為用戶構(gòu)建一個可控的互聯(lián)世界?！?/p>

企業(yè)利用網(wǎng)絡充分互聯(lián)是件好事，但也要為自己的可管可控性負起責任，聯(lián)軟顯然要擔好這份責任。

2、為用戶的防不勝防招架

用戶并非不理解互聯(lián)網(wǎng)在可管可控性上的性格缺陷，正如各類網(wǎng)關、代理、防火墻、防病毒套件在歷史上的陸續(xù)上馬，為此思科、華為、華三、F5等背后幾乎都有著企業(yè)安全的家族圖譜。但當初企業(yè)引以為榮的這份安全圖譜卻成了企業(yè)的一個累贅。

“傳統(tǒng)的企業(yè)安全部署往往是這個路徑：例如網(wǎng)絡準入控制用一個產(chǎn)品，數(shù)據(jù)防泄露用一個產(chǎn)品，終端安全可能又是一個產(chǎn)品，資產(chǎn)管理可能又是一個產(chǎn)品，但這些產(chǎn)品全部整合在一起會則導致他的資源占用很厲害。這種離散的、煙囪式的、孤島式的安全系統(tǒng)需要做整合聯(lián)動，否則的話非常難以防范，特別是利用社會工程的方式進行APP的攻擊。用戶缺乏統(tǒng)一的基礎架構(gòu)來解決這一歷史性難題。這也正是當前越來越多的企業(yè)強調(diào)統(tǒng)一架構(gòu)整合的首要原因。為此，我們在2004年就發(fā)布了LeagView安全統(tǒng)一管控平臺，這個平臺是我們在業(yè)界首創(chuàng)把網(wǎng)絡技術和各種終端管理技術集成在一起，形成統(tǒng)一管控平臺?！?/p>

3、為“道高一丈”不懈努力

在這方面，祝青柳特別提到了聯(lián)軟在2006年率先在國內(nèi)業(yè)界實現(xiàn)的基于802.1X和EOU網(wǎng)絡準入控制的產(chǎn)品以及2008年發(fā)布的硬件網(wǎng)絡準入控制器并在業(yè)界首創(chuàng)了準旁路式部署。

從2003起，EOU一直是Cisco的專有協(xié)議，先后在Cisco的路由器和交換機上實現(xiàn)，一直為思科的獨家技術。EOU技術的實現(xiàn)原理為EAP認證包封裝在UDP包內(nèi)，在EAP認證的內(nèi)容中，身份認證其實并不重要，重要的則是安全狀態(tài)認證。如果安全狀態(tài)不符合企業(yè)策略，匯聚層EOU設備將從策略服務器上下載ACL，限制不安全的客戶端的網(wǎng)絡訪問，并對其進行修復。因其對網(wǎng)絡接入設備要求不高，部署相對容易，覆蓋面較高，具有很大的市場需求。

祝青柳介紹，聯(lián)軟在2006年是業(yè)界第一個實現(xiàn)了基于802.1X和EOU網(wǎng)絡準入控制產(chǎn)品，可以跟思科、華三、華為、北電這些公司的網(wǎng)絡設備很好的聯(lián)動。

還有，祝青柳介紹：“2008年的時候，我們發(fā)布了硬件網(wǎng)絡準入控制器，我們首創(chuàng)了準旁路式部署。以前可能做準入控制，很多傳統(tǒng)的防火墻廠商，他們是通過串聯(lián)式的，串聯(lián)式的會帶來性能問題，可靠性問題，我們通過旁路、準旁路這種方式，一旦這個系統(tǒng)發(fā)生故障的情況下，對他的業(yè)務完全沒有影響?！?旁路模式一般是指通過交換機等網(wǎng)絡設備的“端口鏡像”功能來實現(xiàn)旁路控制。

4、為企業(yè)IT合規(guī)承擔責任

熟悉IT治理的人更會深切明白，IT合規(guī)是一個企業(yè)長期穩(wěn)定發(fā)展的基石，企業(yè)的合規(guī)風險給企業(yè)所帶來的打擊無疑是致命的，同時也是難以彌補甚至是無法彌補的。要做好網(wǎng)絡的可控性，勢必要為企業(yè)的IT合規(guī)承擔責任。

在這方面，祝青柳似乎更有發(fā)言權(quán)，因為在其展示案例中，聯(lián)軟的用戶更多集中到了金融企業(yè)，而祝青柳介紹這些金融機構(gòu)選擇聯(lián)軟的一個重要原因就在于聯(lián)軟可以滿足這些IT企業(yè)的合規(guī)需求。

例如，祝青柳介紹，聯(lián)軟曾經(jīng)為中國四大銀行的其中一家部署了可以針對所有終端的集中化管控，“很好的解決了他的外來人員、外包人員、合同工的管理問題，通過統(tǒng)一的身份認證，使得這些策略讓他管理更有效，實現(xiàn)了網(wǎng)絡接入管理，終端的設備管理，以及數(shù)據(jù)防泄露的集中管控?！背酥?，聯(lián)軟還幫助一家政策性銀行實現(xiàn)了“一個全網(wǎng)的邊界管控，實現(xiàn)路網(wǎng)的賬號和安全檢查，以及對所有IP電話接入進行控制”的需求。

“掌控”是個價值觀

互聯(lián)世界正在進一步進化，“掌控”的聲音也開始無處不在。人人都能掌控這個世界的安全不是一個口號，在人們對安全問題的認識過程中，正在凝聚成一種力量，這種力量讓“掌控”變成一種價值觀，祝青柳帶領聯(lián)軟正在順應這一趨勢。

王珂玥

存儲在線（DOSTOR）主編