用发展的眼光看IT之安全的悖论

发展的眼光看IT，今天我们来看看安全。

安全和不安全，本来就是“道”和“魔”的关系，没有了对立面，本方也就没有存在的意义了。在IT的世界里，安全是唯一的一个很难被明确归类到某个技术模块里的东西。安全存在于网络、存储、服务器、软件安全必须无所不在，因为它的对立面——不安全无所不在。

安全技术的发展几乎贯穿了整个IT发展历程。防病毒是最早被熟知的专用安全技术，而防火墙是最常见到的安全产品。安全可以从多个维度去划分层次和类别，从硬件安全到软件安全，从事前防范到事后追踪，从身份认证到传输加密。如果仔细地研究，会衍生出无数的技术子类。可谓“乱花渐欲迷人眼”，安全的悖论有二：

◆ 功能悖论——涉及的安全技术门类越多，反而越不容易规划和建设安全。

◆ 性能悖论——技术越多，性能越差，性能永远是安全的阿基琉斯之踵。

因此从最朴素的防火墙，到最庞杂的安全规划咨询，说到根儿上都是解决这两个问题。

举防毒的例子。没有网络的时候，防病毒软件都是以单机软件形态存在的，和操作系统绑定，对付某种或者某些病毒。网络普及后，产生新问题，一是网络本身作为关键信息节点，一旦染毒，其后果比单机染毒严重的多；二是似乎可以有新的技术手段将若干不同终端上的防毒软件集中管理起来，提高效率。所以衍生了网络安全防护的需求，也衍生了集中式的防毒软件。集中式的防毒软件是装载在一台服务器上，面向多个终端同时提供服务。于是随着网络的扩展和终端应用的增多，就出现了性能的瓶颈，所以就出现了在路由器上搭载的“分布式防毒墙”。这个演进的过程看似无章，实则有其内在规律。

再看入侵防御系统（IPS）的例子。早先没有网络的时候，有防毒软件就足够了，有了网络后，有防火墙也就足够了，是什么原因促使IPS的出现和流行呢？原因之一在对面——安全威胁从三、四层到七层，不断地发展，防不住了，就要向上升级；原因之二在于IT本身的演进路线。有了数据中心之后，由于需要对集中起来的重点数据严加防护，IPS成了必选。然而IPS由于需要做深至7层的报文分析，因此性能成了大问题。

从以上的两个例子中，我们依稀可以感觉到IT演进和安全发展的关系。安全技术的走向，固然主要取决于“不安全”技术的走向，但在IT演进的脉络中，则隐藏了安全需求的演化，以及在怎样的时空环境中，以怎样的次序来排列的规律。

安全与IT-CMM

网络是IT－CMM2的标志。那么安全的存在实际上早于网络，可以认为在单机时代即IT－CMM1的阶段就已经有安全部署的概念。当时是相对简单的部署，比如一个防毒软件。但是安全真正开始从一个点的概念走向面的概念，应该说和网络有着密不可分的关系。在IT－CMM2的阶段，安全真正具有了全局部署的需求。从本质上讲，由于网络扩展了“不安全因素”的传播范围，例如病毒，因此势必要求对应的安全技术要从局部扩展到全局。在这个阶段常见的搭配是“防火墙＋IDS＋VPN网关”。但实际上有一个意义更重大的方法，需要在这个阶段部署，那就是端点准入防御。端点准入防御技术真正使得内网的每一个节点都具备了安全检查和接入的能力。但在真实的发展历程中，端点准入技术却是近几年才发展成熟的，因此这几年各行各业的CIO都在迅速部署这个技术就不足为奇了，因为这个部署行为本身就已经滞后了。全局安全是IT－CMM2走向IT－CMM3的一个必然的结果，全局安全意味着构建一个以网络为轴心的平面安全体系已经成熟。

在IT－CMM3，数据中心实施前后，安全的中心则逐渐从网络转向数据。自然的，安全部署的重心，也就从关注安全的平面全局性转向关注安全的立体深度。在数据中心阶段，一方面数据由于集中，导致安全防护等级提高了（除了病毒的复制扩散，很少有人会蓄意攻击一个普通的PC，但是银行的数据中心则是黑客向往的地方）；另一方面由于攻击的复杂性、多样性，要求安全防护的手段也对应增强。不再基于固定端口的攻击，必须深入的检查其应用层的报文内容，才能够识别攻击类型，才能够采取防护措施。

IPS并不是在数据中心时代才出现的设备类型，但的确是在数据中心时代随着关键数据防护的需求才凸现出其重要性的。其他的如负载均衡、SSL VPN的卸载、WEB优化与加速等泛安全四/七层技术的应用，都是和数据中心的二元模式密不可分的。因此在数据中心阶段，从全局安全走向深度安全是一个标志性的特征。

在数据中心时代解决的另外两个重要问题，一是前面提到的悖论二——性能问题；二是以数据安全为核心，跨越网络技术、服务器技术和存储技术几个领域的统一安全规划。性能问题的解决，需要广泛地应用高性能多核CPU技术，同时也需要更好的借助和依赖网络平台。而第二个问题，就引发了安全下一个阶段的提升，即从深度安全走向智能安全的需求核心。例如数据容灾是数据中心安全的一个子集，而数据容灾更多地隶属于存储的技术范畴，在管理上如何做到统一的部署和调度，是之后的最大的需求指向。

后数据中心时代，即IT－CMM4的阶段，重点解决的就是智能安全的问题。到这个阶段，安全已经逐渐从技术维度提升到了管理维度。越来越纷繁复杂的安全技术造就的第一个悖论，最佳的解决办法就是从管理的平面来组织和解决问题。此时的安全，必须有“安全管理中心”的实体，跨越具体的领域、具体的技术，从事件管理和行为管理的角度出发，对各种不同的安全要素能够进行系统性的分类、分析，提出对策和实施——这是我们希望在这个极端实现的“智能安全”的模型。无论是交换机的地址解析协议（ARP）防护，还是存储的数据安全管理，还是端到端的数据加密，或者深度的分布式淹没（DDOS）攻击防护，抽离掉具体的技术手段，都是整体智能安全管理的一个组件。在智能安全的阶段，所有的安全部署和组织都是围绕着流程来进行，反而屏蔽了具体的技术细节，解决了第一个悖论。

只要攻击技术、威胁技术不断的发展，安全技术就会不断发展。与其不断地追踪每一个新的安全技术细节，不如跳出来，从流程的角度，从应用的角度，从管理的角度来规划安全模型。

在不同的阶段，安全模型有不同的侧重点，相互之间又有一定的承接关系，这正是IT－CMM应用到安全领域的精髓。因此，从发展的眼光来看，从全局安全到深度安全，从深度安全到智能安全，一步一步，有章可循。有法可依。吃透其中的演进关系，等于就把握了实施整体安全规划的关键。

来源：信息周刊