信息安全的核心競爭力

      縱觀信息安全領(lǐng)域，在紛繁復(fù)雜的安全體系和林林總總的安全技術(shù)中，總有一些東西處于發(fā)展的前沿，作為安全廠商而言，不求全求大，在其中之一頗有建樹，便具有了信息安全技術(shù)的核心競爭力。這里暫且羅列，反映個人觀點(diǎn)。

     首先是有關(guān)***對抗的知識。不知攻，焉知防。對系統(tǒng)漏洞、惡意代碼及***手段的認(rèn)知基本決定了安全防護(hù)的水平，這是信息安全的第一大圣杯。******引發(fā)的安全事件是信息安全技術(shù)發(fā)展的原動力。從莫里斯蠕蟲的始作俑，到紅色代碼、沖擊波蠕蟲的喧囂，再到當(dāng)今震網(wǎng)病毒等APT的暗超涌動和“棱鏡門”事件背后NSA武器庫的曝光，人們對信息安全的認(rèn)識和重視隨威脅的發(fā)展而加深。這也是一個需要不斷更新的領(lǐng)域，緩沖區(qū)溢出、XSS等各種漏洞利用技術(shù)隨著操作系統(tǒng)、瀏覽器、應(yīng)用平臺和編程語言的發(fā)展而潮起潮落，時至今日，移動互聯(lián)網(wǎng)、工控等高價值領(lǐng)域的漏洞和***利用又成為研究的熱點(diǎn)。大數(shù)據(jù)、云計算等新的技術(shù)也用于漏洞和惡意代碼的分享和挖掘之中，甚至形成互聯(lián)網(wǎng)上有關(guān)***對抗海量知識的處理平臺，能夠及時為無數(shù)的終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備提供服務(wù)。這個領(lǐng)域既需要快速的應(yīng)急響應(yīng)，也需要長期的積累，更需要***那種對技術(shù)的極致追求。

      其次是有關(guān)安全的基礎(chǔ)——密碼。密碼學(xué)是信息安全中唯一完備的理論，是加密、認(rèn)證、授權(quán)、防篡改等許多安全機(jī)制依賴的基礎(chǔ)，在移動通信、IPSEC、數(shù)字防偽、數(shù)字版權(quán)管理、電子貨幣等領(lǐng)域都有著廣泛的應(yīng)用。就漏洞而言，***的天平傾向于***一邊，漏洞總是會出現(xiàn)，總是還有未知，防護(hù)需要彌補(bǔ)所有的漏洞，而***只需要找到一個漏洞。但密碼而言，卻恰恰相反，***的天平卻神奇地傾向于防護(hù)一邊，保護(hù)花費(fèi)的計算開銷遠(yuǎn)小于破解，這是由密碼學(xué)的數(shù)學(xué)性質(zhì)決定了的。然而遺憾的是，理論上的牢不可破絕不意味著實(shí)現(xiàn)上的萬無一失，密碼在實(shí)現(xiàn)、使用、管理等環(huán)節(jié)有著太多太多的薄弱，弱密鑰、密鑰管理的不慎、不正確的實(shí)現(xiàn)、密碼軟件的漏洞等都有可能導(dǎo)致一招不慎，滿盤皆輸。因此，密碼受制于有關(guān)***對抗的知識。更為可怕的是，由于相信理論的嚴(yán)密而忽視現(xiàn)實(shí)的漏洞，密碼的使用有可能帶來一種安全的假象。這個領(lǐng)域也是一個相對封閉的領(lǐng)域，有著太多的管制，太多的Security by obsecurity，這種違反Kerckhoff原則的安全太不讓人放心。以開放的心態(tài)，構(gòu)建廣泛使用和久經(jīng)考驗(yàn)的安全基礎(chǔ)，應(yīng)該是密碼所追求的目標(biāo)。

     最后是對信息系統(tǒng)和業(yè)務(wù)的掌控與結(jié)合。防火墻對Cisco等高端網(wǎng)絡(luò)廠商不在話下，微軟們也可以輕松地在操作系統(tǒng)中集成殺毒軟件，Vmware們更可以成為云安全和虛擬化安全解決方案的核心。當(dāng)然現(xiàn)實(shí)存在著一定的偏差，IT巨頭們并沒有一手遮天，安全廠商們?nèi)匀挥兄约旱纳婵臻g，這與前兩大核心競爭力不無關(guān)系。然而，對系統(tǒng)的掌控終究可以構(gòu)建一個更完美的“一體化”安全解決方案，這也是安全業(yè)界總是頻繁出現(xiàn)有關(guān)安全廠商與系統(tǒng)廠商合從聯(lián)橫的原因。對于那些安全需求突出的互聯(lián)網(wǎng)巨頭，早已不滿足第三方安全廠商的產(chǎn)品，他們不惜重金構(gòu)建自己的安全研究團(tuán)隊(duì)，結(jié)合自身系統(tǒng)和業(yè)務(wù)開展針對性的研究。對網(wǎng)銀這些業(yè)務(wù)而言，安全不再是安全，安全已是真金白銀，這應(yīng)該是安全的終極目標(biāo)。