4月的信息安全，―个安全工程师的随想

2014年4月应该是信息安全界非常值得纪念的日子，这一天我们可爱的XP停止更新了，各大厂商八仙过海各显神通，360推出了XP盾甲、北信源推出金甲防线、腾讯金山联想推出扎篱笆计划，好像是2亿用户是个巨大的市场。可惜的是中国人不太争气，没有意识到自己国产系统这种绝佳的反击机会，中国的操作系统，特别是个人市场看来是遥遥无期了，其实不管是XP和win7/8对小白用户来讲都是不安全的，如果没有安全意识，任何的操作系统都是有漏洞的。

有人故意选择4月8发布OpenSSL心脏出血漏洞，这绝对就是个阴谋，据我估计这个漏洞是被黑客玩剩下的，对于娱乐大众是很有震撼力的。这一安全漏洞很可能会被黑客们所利用，从而破解加密信息，窃取到用户的个人数据。“Heartbleed”漏洞是由谷歌和一家在线安全公司Codenomicon的研究人员发现，它是OpenSLL开源网络数据加密工具中包含的大约10行简单的代码，它将会影响到OpenSSL这一关键网络加密技术。

对于信息安全来讲绝对是一门永恒的攻防战役，没有胜负、没有结局、充满未知。信息安全太复杂，对于信息安全工程师来讲其实是大大落后于市场需求的，总是跟在黑客的屁股后面，总是有了漏洞再想办法。总是幻想安全设备是一劳永逸的。

所以有人提出了方法论，既然我在具体细节上没法防住你那么我就在信息安全方法论、安全设计上来进行弥补；有人还想到了白名单下的白环境，既然我不知道你有多少招数要放出来，那么我就规定下我的地盘的规矩；有人想到了云安全与沙盒技术，我先让你运行下，有没有问题，沙盒的结果一清二楚；有人说既然我总是亡羊补牢，不如我就让系统在设计过程中进行完整的安全测试和渗透......在工程师看来有问题总能搞定，方法总是有的，但是问题总比方法多，这就是安全的现状。

其实企业的信息安全现状是，思想上很重视，行动上很滞后；企业里被砍掉的项目大部分来自于信息化，信息化被砍掉的项目大部分是信息安全；人们对于信息安全的深度理解和认识还不够。

企业重视信息安全设备防护，过于轻视信息安全管理和安全服务，还是存在上了防火墙就OK的老思路里。大部分用户了解企业肯定会面临各种安全攻击和事件，但是我不知道这些事件来自于何方，即使通过IPS/IDS等了解到威胁，但是我不知道这些威胁的级别和对系统造成的影响是什么。对于APT这样的威胁而言，用户就是小白鼠。

APT的出现恰恰是考验信息安全的综合防范能力，主机的恶意代码防范、数据防泄露、应用安全、入侵检测、沙盒运行都需要综合进行防护防范，任何一个点出现问题APT防护就存在着漏洞。

最近我们在搞三全工作，即全面梳理、全面诊断、全面加固，意愿是好的，真正想做全，确实很难也很漫长。但是三全工作是一个信息安全的闭环建设，比如全面梳理考虑到了信息化常年建设过程中需要的梳理工作，比如信息资产的梳理、信息流的梳理、信息安全策略梳理、管理制度的梳理；全面诊断是一项综合服务性工作，包含等级保护测评、风险评估、漏洞扫描、渗透测试等等；全面加固就是针对发现问题的加固措施，有产品的、有策略的、有应急的、有管理的，总之这是一项比较全面的信息安全工作。

最后想说的是信息安全不是亡羊补牢，是未雨绸缪，不是结果，是动态的过程，习大大说了没有网络安全就没有国家安全，偶也。