FlashSky：让安全成为IT系统的基础属性（2）

        让安全成为IT系统的基础属性，实际上包含了如下的要求：

        1） IT系统的自主开发的代码必须是达到一定安全度的：针对IT系统的代码安全漏洞发起攻击日益成为当前针对IT系统发起远程攻击的重要手段。相对来说：管理等问题带来的侵害基本都是接触式的攻击，而远程非接触式的侵害基本都需要配合IT系统的安全漏洞来发起。而安全开发的意识基本还未普遍形成，导致安全漏洞在IT系统中普遍大量存在。必须强化系统设计与开发人员的意识，采用一定的技术手段，来降低IT系统开发时引入大量的安全漏洞和其他各种安全瑕疵。

        2） 针对IT系统的外部来源组件必须有一定的安全监控和管理手段：IT系统是在一个开放式架构复杂组合而成，大多数IT系统必然需要采购或者本身就是建立在其他第三方的外部组件之上来构建的。针对这些第三方来源的组件，必须有一套准入、验收、保证、响应与追责的体系，来保证第三方来源的组件进入时初步的安全，安全问题产生时的快速响应与修复，对第三方来源的组件的安全问题追责和管理。

        3） IT系统的外部防御体系：目前业界已经建立了一套IT系统的外部防御体系，但是在目前IT系统的安全风险与威胁之下，也遭受着各种各样的挑战，原因正在于：

        a) 检查滞后性：缺乏及时发现最新攻击和被入侵的能力。IDS/IPS依赖对漏洞和攻击代码的已知信息上，杀毒产品依赖于对病毒和木马的样本和具体行为信息上。难以针对0DAY和特马做出及时的响应。

        b) 缺乏智能分析和关联能力：一般做法要么粗暴的阻断导致由于误报导致可用性大幅度降低，要么将非常专业的信息递交给无专业技能的用户做决断，用户既不能正确判断也非常烦恼频繁的提示导致的易用性损失，最后可能导致用户关闭相关安全功能。

        要想达到以上几个目标，最终让安全成为IT系统的基础属性，整个IT产业界和安全业界必须做出以下的努力：

         1） 树立安全意识：通过越来越多的安全事件，IT系统的安全的重要性开始被越来越多的人们所重视。但是如何来解决IT系统的安全问题，很多人都抱有简单的幻想，希望用一个简单的改善就能获取安全；必须认识到安全是一个非常复杂的体系，需要全方面的投入和改善，每一个安全的措施只能提高一点攻击者的成本或降低特定情况的风险而不能大幅度改善安全境况。用户信息泄密事件之后，很多厂商号称自己换用了MD5加密存储用户的密码手段，因此是安全的就非常可笑。问题在于攻击者是通过安全漏洞获得用户敏感信息的，解决方案并没有解决自身的安全漏洞问题，只是让攻击者拿到的是MD5加密的信息，攻击者通过彩虹表就已经能查询出大部分强度不够的密码，攻击者甚至可以入侵服务器修改代码，让用户密码在做MD5运算之前就传递给攻击者等等。当然有了改善总比没有改善要好，至少攻击者需要做出更多额外的工作增加了攻击成本。所以针对有重要信息资产的系统，安全投入会不断增高，很多企业不愿意在安全上做投入，认为安全只是成本没有正向收益，但是企业需要想一想，如果没有安全来保障IT系统的运营，引入IT系统带来的效益或者依赖IT系统带来的效益，就只是空中楼阁，在罪犯和竞争对手攻击之下飞灰湮灭。以安全为看点可能为你争取到更大的蛋糕，但即使安全不能为你增加什么，但没有安全你就无法守住你已经获得的蛋糕。当然，安全也必须在可能的损失、成本、用户体验、系统可用性等各种竞争性需求之下寻求一个平衡，但安全必须成为一个重要的考虑因素。