安全的出发点不是标准化.pdfVIP

本期特稿 联想网御缔造信息安全第一品牌 · Features 【前 言】2005 年 7 月，杂志社曾以《安全标准的难点在哪里》为题，阐述了标准对这个产 业的重要性以及实施难点。当时杂志社的观点就认为，从企业方面来说，制订标准首先需要 制订者具有过硬的自主知识产权，要有一定的规模和实力；从国家层面来说，产业的规模是 制约标准形成的一大因素。其中最大的难点在于产业规模不够大，企业自主创新的能力不够 强，企业拥有的自主产权微乎其微。因为这种情况的存在，对制定安全标准就不能过于乐观。 现在5年多的时间过去了，国内的企业克服了种种困难，在自主创新方面发挥了强大的能动性。 5 年前尚在规划起步阶段的标准化工作，其重要性成为了业内的共识，大大小小的标准都已 经运用到市场中来。在这样的情况下，标准的境遇却又发生了一丝悄然变化。 安全的出发点不是“标准化” 本刊记者 周 雪 相信很多业内人士看到“安全的出发点不是标准化”这 现象。他告诉记者，在实际部署安全产品时，出现这样的情 个标题之后，并不能认同记者的观点。诚然，目前很多业内 况并不少见，曾经有过一家证券机构，在经过支付卡行业 专家和厂商都在致力于安全产业内大大小小产品、技术和系 (PCI) 认证后，依然发生了数起数据泄露事故。 统标准化的制定，正所谓“无规矩不成方圆”，无论在哪个 记者对此同样疑惑。经过一番调查，记者发现，这种现 领域内，如果有一套通用普及的安全标准，厂商和用户有标 象无独有偶，国外也并不鲜见。 准可依，按照标准部署产品，测试系统，必将减少资源重复 2009 年，McAfee 的一位发言人透露，美国知名的支付系 建设，降低产品兼容性的冲突，双方皆能大大受益。 统厂商 Heartland Payment Systems 在经过 PCI 标准化认证后， 这也曾经是记者的观点，只有标准化了，整个安全产业 信息泄露事件仍然屡禁不止。这就回到了文章的起点。安全 才能营造出一个健康良性的发展环境。然而一次偶然的采访 的出发点是什么？是实现标准化么？答案是“不”。因为标 改变了记者的看法。 准化并不能百分百地解决用户的实际安全问题。安全的出发 赵为信曾经是思科一家银牌代理商通天至达公司的网络 点应该是解决实际应用的安全性，也就是用户业务的安全性。 售前工程师，对思科网络产品的性能和部署标准都非常了解， 业务的安全性是本质 后来由于意识到网络安全产品的前景，于是自己变身成为一 个以销售安全认证与加密产品为主的渠道商。一次在对一家 艾瑞咨询高级分析师张燕玲认为，用户作为一切安全设 五星级酒店提供安全认证服务时，他发现一个很奇怪的现象， 备的使用者，应该最先关注自身业务的安全性，而不仅仅是 这家酒店使用的全是思科的网络设备，据赵为信对思科产品 用标准化来衡量自己的安全系统。对厂商而言，“符合标准” 的了解，仅仅凭借思科部署的这些网络设备本身的安全性能， 是宣传产品的一大卖点，而不是实际解决问题的手段。张燕 就足以满足这家酒店的安全需求，因为这些网络设备的部署 玲认为，“规章制度对企业维护信息安全并不起到决定性的 完全符合国际标准。为什么酒店还对整个网络的接入认证、 作用”。她解释道，企业用户即使其安全架构完全符合规章 与国际集团总部的机密资料传输有着更为严格的要求呢？ 执行的标准化要求，这也并不意味着它拥有良好的商业安全 经过了解，赵为信发现，虽然酒店很多的网络安全需求 性。因为每个企业的需求和业务系统都