由於經因特網傳送的商業通信量不斷增加,在企業網絡邊緣進行安全防護成了習以爲常的事情。但人們往往想當然地認爲安全軟件包會解決企業安全系統脆弱性問題,而對其他所有功能沒有任何損耗。其實安全幾乎涉及商業運作的方方面面,如果無法確保安全方法對商業的影響,就會導致網絡應用程序性能無法接受,實施新技術時陷入僵局。
如果帶寬充足、延遲時間受到控制,許多組織會依靠因特網把基於服務器的應用程序傳給邊遠辦事處的員工和流動員工。但這是因特網,所以我們就要採用防火牆和×××過濾***、保護數據,是不是?遺憾的是,這樣一來,多半會阻礙這些應用程序送至節點的性能,結果用戶會話常常中斷,任務實行進度如同蝸牛般緩慢。
近期一家名爲TollyResearch的公司開展了一項專門針對網絡安全設備對信息系統的影響的Itclarity研究計劃,該項研究的結果,部分試認證實了這點。在使用可以支持上萬路同時通訊和快速以太網連接的安全設備上,應用程序響應時間大大增加。如果同時進行的會話不超過80路,防火牆和×××的基本功能最多會使響應時間增加三倍。
對終端用戶而言,這意味着每次點擊後要等應用程序的菜單出現,而且在文字輸入與顯示之間要忍受長時間的延遲。一般而言,如此長的響應時間無異降低了生產力和效率。
說到企業網絡安全,IT業面臨的挑戰在於———最大限度增加商業功能。這包括控制安全風險,以及安全措施對商業運作的影響。有很多的用戶認爲,安全產品採用越多,企業的計算機系統就越安全;也有的用戶不經過任何考慮和思索就採購安全產品。其實這完全是一種錯覺,可以說,軟件是一切信息安全問題的“罪魁禍首”,信息系統的安全問題最終可歸結爲軟件系統的安全問題。無論是易損芯片還是病毒,無論是後門程序還是系統的弱點漏洞問題,也無論是***方法還是防護技術都表現在軟件方面。安全問題必須用軟件來解決,可同時它也被軟件系統所暴露。
目前信息安全產品紛繁複雜,品種衆多。無論是硬件還是軟件,無論是複雜的集中訪問控制系統還是一個簡單的小程序,它的實現主要都是利用軟件程序來實現。繁雜的信息安全產品給用戶如何挑選合適的安全產品帶來了不便。
1)安全軟件多了會降低效率
大多數信息安全產品需要消耗系統資源或者網絡帶寬資源,顯然,這將降低系統或者網絡的工作效率。有些信息安全產品,如***檢測系統IDS,它需要全面監控網絡數據流,準確分析網絡行爲。這樣,它就需要佔用大量的帶寬資源,這勢必影響網絡效率。特別是基於主機的***檢測系統,儘管它是一種很有效的信息網絡安全工具,但它需要消耗部分的系統資源,降低了系統運行效率。另外,儘管目前防火牆產品很好地解決了吞吐量的問題,但它仍然是企業網外聯的“瓶頸”。鏈路層和網絡層加密設備是目前解決廣域網線路安全問題的有效手段,但使用它們的同時,也大大降低了本來就不太富裕的帶寬的傳輸效率。
2)安全軟件多了也會“相互衝突”
不假思索地採用多種信息系統安全產品,可能會適得其反,達不到應有的效果。任何軟件系統都有自己的生存條件和運行環境,一種安全產品的採用,可能會“破壞”另一種安全產品的生存條件,導致這一安全產品不能充分發揮其作用,起不到“1+1=2”的功效。還是舉防火牆和IDS的例子,***檢測系統IDS需要全面監控網絡數據流,分析網絡行爲,準確判斷訪問者的行爲特徵,對***行爲的連接進行實時阻斷。但如果網絡上同時又安裝防火牆,而防火牆的配置可能很苛刻。
因此,能繞過防火牆***網絡的人,其手段都是非常高明。這樣,IDS可能就無法對這種行爲有效地收集到需要的多種綜合信息,從而不能準確地判斷***者的***行爲,導致IDS不能充分發揮其作用。其實,還有很多產品的安全功效是相互衝突和抵消的。