首页 >> 运维管理 >> 技术 >> 正文
安全可以被软件定义吗?
通信世界网 http://www.cww.net.cn 2014年5月15日 08:10
标签:软件定义安全 SDIS
 

软件定义网络(SDN)一直以来都是各方关注的热点,网络世界持续对 SDN进行前沿、广泛的报道,但极少呈现有关软件定义信息安全(SDIS)的相关报道文章。然而安全在信息领域一直占有不可撼动的重要地位,重要却鲜有人涉足,不禁引起了笔者对SDIS这个新概念的关注、研究、调查、采访。以期为读者从不同角度、客观地呈现这个概念的概貌。

近日一个由众多用户和安全研究人员组成的名为“逐鹿安全”的组织吸引了笔者的关注与参与,而笔者参与的这次活动正是讨论软件定义与信息安全的关系。通过近4个小时的深入探讨,倾听了几位来自大型企业的应用开发者,新兴互联网公司的高管,以及几位安全研究人员的言论,让笔者对于SDIS有了新的认识。

如何理解SDIS

国内外有个别厂商已经在研究SDN的安全或软件定义信息安全(SDIS)的雏形。然而,研究方向基本上是遵照传统的“软件定义(SDX)”路线来研究。X可以是网络、存储、数据中心等等。但是“软件定义”与“信息安全”碰撞在一起,是否真的可以按照SDX的路线来研究呢?信息安全的那些特质可否改变一般意义上的“软件定义”形式?

首先简单了解下目前已有的一些有关SDIS雏形的研究成果。用友软件公司资深工程师白小勇(微博@quickbundle)的理念代表了目前IT从业人员从SDN视角来理解SDIS的部分观点。他认为,安全硬件设备从前是一个整体黑盒子(硬件+OS+内置安全软件),只有管理员操作界面,极少有面向应用软件的API,这无疑把安全硬件设备和应用割裂开了。遵循SDN的思路,SDIS就是要强调安全设备打开黑盒子、提升可编程性、向应用开放有价值的API、同时确保安全边界(例如API适当开放)。

上述论点仅代表了一类应用开发者的观点,如若从安全从业者的视角观察,可能会发现一些不同。目前所谓的软件定义网络、存储等等全部都依托于硬件。然而,安全的本质是“软”的,对硬件的依赖不是决定性的。一套完善的安全体系不只是涉及硬件,人的因素、管理因素、威胁建模等等都是安全体系中不可分割的重要组成部分。

更进一步,某大型国企的信息安全从业人员黄晟(@phreaker)表示,信息安全需要遵循的“铁律”中包含:纵深防御和最小权限配置。显然,这两条安全“铁律”和之前对于SDIS的认知有些相悖的地方。安全定律是要收窄,而上述的SDIS是要有开放的API。一个要收窄,一个要开放,二者很难相容,因此这样的SDIS意义不大。

SDIS终归何处

黄晟表示,安全的本质就是要确保一件事情通过IT实现后必须按照原有设计的方式去执行,不被一些蓄意导致的因素所改变。比如需要采用信息安全手段确保一个实现了三级审批的应用系统必须严格遵循三级审批,而不能因为系统被攻击而跳过一级审批。这样的应用安全需求是与业务风险控制需求紧密结合的,安全要服务于应用。假设SDIS技术提供了上层应用可以动态控制下层防护策略的机制,那么就有人可以利用各种方式去打破已有的规则,从应用威胁到底层。因此,盲目向上层应用开发API控制接口的软件定义安全形式存在的意义不大。立足加强应用安全防护能力的需求,尊重信息安全的特点,以业务需求、应用特点和风险控制为驱动,为应用系统设计并实现“贴身”的安全防护体系,从而做到安全服务于应用、安全融合于应用的“软件定义”。

逐鹿安全沙龙成员,明朝万达总裁王志海认为,软件定义信息安全本质上是强调应用为中心的信息安全,即还是实现安全与应用的紧密融合,而不是简单的网络安全硬件API化。他的微博也表示:“软件定义信息安全”有几个核心点需要商议:该理念是信息安全防御体系自身整合的需要,是应用与安全融合以提升信息安全防护水平和用户体验的需要,也将推动以应用为中心构造安全防护边界,更是IT异构化及网络边界模糊化趋势的必然结果。

企业想打造一套完善的信息安全体系,就要从应用系统的视角,进行体系化的安全风险、需求分析,以及安全方案设计。目前对于SDIS中与SDN相似的一些理念与想法,可能是SDN相关安全的发展思路,或者只是部分思路,绝不应该是SDIS的全部。通信世界网

 

来源:网界网
相关文章
 
文章评论
 
    昵称:  验证码:
 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网