由于经因特网传送的商业通信量不断增加,在企业网络边缘进行安全防护成了习以为常的事情。但人们往往想当然地认为安全软件包会解决企业安全系统脆弱性问题,而对其他所有功能没有任何损耗。其实安全几乎涉及商业运作的方方面面,如果无法确保安全方法对商业的影响,就会导致网络应用程序性能无法接受,实施新技术时陷入僵局。
如果带宽充足、延迟时间受到控制,许多组织会依靠因特网把基于服务器的应用程序传给边远办事处的员工和流动员工。但这是因特网,所以我们就要采用防火墙和×××过滤***、保护数据,是不是?遗憾的是,这样一来,多半会阻碍这些应用程序送至节点的性能,结果用户会话常常中断,任务实行进度如同蜗牛般缓慢。
近期一家名为TollyResearch的公司开展了一项专门针对网络安全设备对信息系统的影响的Itclarity研究计划,该项研究的结果,部分试认证实了这点。在使用可以支持上万路同时通讯和快速以太网连接的安全设备上,应用程序响应时间大大增加。如果同时进行的会话不超过80路,防火墙和×××的基本功能最多会使响应时间增加三倍。
对终端用户而言,这意味着每次点击后要等应用程序的菜单出现,而且在文字输入与显示之间要忍受长时间的延迟。一般而言,如此长的响应时间无异降低了生产力和效率。
说到企业网络安全,IT业面临的挑战在于———最大限度增加商业功能。这包括控制安全风险,以及安全措施对商业运作的影响。有很多的用户认为,安全产品采用越多,企业的计算机系统就越安全;也有的用户不经过任何考虑和思索就采购安全产品。其实这完全是一种错觉,可以说,软件是一切信息安全问题的“罪魁祸首”,信息系统的安全问题最终可归结为软件系统的安全问题。无论是易损芯片还是病毒,无论是后门程序还是系统的弱点漏洞问题,也无论是***方法还是防护技术都表现在软件方面。安全问题必须用软件来解决,可同时它也被软件系统所暴露。
目前信息安全产品纷繁复杂,品种众多。无论是硬件还是软件,无论是复杂的集中访问控制系统还是一个简单的小程序,它的实现主要都是利用软件程序来实现。繁杂的信息安全产品给用户如何挑选合适的安全产品带来了不便。
1)安全软件多了会降低效率
大多数信息安全产品需要消耗系统资源或者网络带宽资源,显然,这将降低系统或者网络的工作效率。有些信息安全产品,如***检测系统IDS,它需要全面监控网络数据流,准确分析网络行为。这样,它就需要占用大量的带宽资源,这势必影响网络效率。特别是基于主机的***检测系统,尽管它是一种很有效的信息网络安全工具,但它需要消耗部分的系统资源,降低了系统运行效率。另外,尽管目前防火墙产品很好地解决了吞吐量的问题,但它仍然是企业网外联的“瓶颈”。链路层和网络层加密设备是目前解决广域网线路安全问题的有效手段,但使用它们的同时,也大大降低了本来就不太富裕的带宽的传输效率。
2)安全软件多了也会“相互冲突”
不假思索地采用多种信息系统安全产品,可能会适得其反,达不到应有的效果。任何软件系统都有自己的生存条件和运行环境,一种安全产品的采用,可能会“破坏”另一种安全产品的生存条件,导致这一安全产品不能充分发挥其作用,起不到“1+1=2”的功效。还是举防火墙和IDS的例子,***检测系统IDS需要全面监控网络数据流,分析网络行为,准确判断访问者的行为特征,对***行为的连接进行实时阻断。但如果网络上同时又安装防火墙,而防火墙的配置可能很苛刻。
因此,能绕过防火墙***网络的人,其手段都是非常高明。这样,IDS可能就无法对这种行为有效地收集到需要的多种综合信息,从而不能准确地判断***者的***行为,导致IDS不能充分发挥其作用。其实,还有很多产品的安全功效是相互冲突和抵消的。