應用與安全兩張皮

信息安全之初，集中在解決有無的問題，基本都是「老三樣」

防火牆、***檢測加防病毒

這些都有很是成熟的貨架產品，拿來就能夠直接用上，所以重研製，輕建設。

 

當時，工程建設的實施很是容易，要調研掌握的應用相關信息並很少，

瞭解一下企業IT系統對外都存在哪些業務關係，具體須要開放哪些協議和端口，

工做難度不大，自己也並不複雜。

 

所以，那時候的工做主要集中在研製安全產品自己，設計硬件平臺，提供足夠

的性能和可靠性，實現具體的訪問控制、***檢測等安全功能。

 

在發展的過程上，與IT系統的發展很是相似。在計算機和網絡剛剛普及時，

建設好網絡，員工有了計算機工做，彷佛企業信息化就實現了。

 

後來，才逐步發現那僅僅是個基礎設施，缺乏管用的應用和數據，就是一個空架子，

對企業的推進力至關有限。

 

逐步認識到IT系統的內涵，但一個企業在剛上IT系統時，對應用卻又提不出具體的需求，

這個時候，貨架產品就大行其道，基本上是提供給什麼就用什麼，最後的結果極可能

就是與實際狀況相距太遠，沒法真正使用起來。

 

交了學費，走過彎路後，對信息集成的認識加深，特別是當企業發展到一個成熟

的階段，特別是IT系統對企業業務的做用愈來愈重要，愈來愈離不開IT系統的時候，

對IT系統的認識和理解會很是具體。

 

這個時候，企業開始會根據本身的須要來選擇IT系統。這樣一來，IT系統提供者就

須要深刻到企業，去了解真實的需求，從而提供最適合的IT系統，不然是本身是沒有出路的。

 

信息安全也是同樣，光堆砌一堆的安全設備，並不能真正解決安全問題。

如今已通過了安全廠商爲企業單方面提供解決方案，而不須要深刻企業，去了解企業的

需求的階段。

 

咱們在路上，雖然很難，特別是應用通過長時間發展，就規模已經很是龐大，複雜性超乎想象；

而可以清楚說明應用具體狀況的人幾乎沒有的狀況下，要了解應用談何容易，與應用融合，讓

安全深刻到應用的流程中，提出這樣的方案就更加困難。

 

但咱們認識，這件事情很是有意義，沒有現成可借鑑的東西正是咱們的機會。

 

這件事必需要作，若是仍是停留在買安全產品的階段，而不是爲企業設計一個適應它的

核心流程、保護它的核心資產的安全方案，信息安全的將來是沒有出路的。

 

深刻企業，在第一線調研，讓咱們成爲企業承認的專家，改變它們常掛在嘴邊的，「大家不瞭解

咱們的領域」。

 

咱們如今已經邁出了第一步，咱們經過調研，掌握了初步的應用狀況，從抽象的業務流程、訪問關係

到具體的報文格式、網絡協議等等。咱們不斷在積累，不斷在迭代進步。

 

在具體操做中，咱們結合了自上而下和自下而上兩種相互補充、相互印證的方法。

 

開展調研，與設計和研製應用的人打交道，瞭解應用的狀況，造成對應用的理論上的認識；

另一方面，研製驗證平臺，能夠在實際的應用環境中運行，經過分析網絡流量和業務操做日誌，造成

對應用的實踐上的認識。

 

兩者的結合，既解決了理論上的認識存在人爲的誤差的問題，又解決了實踐上的認識不全面、不完整的問題，

咱們提出的方案讓企業耳目一新，與過去千篇一概的方案相比，方案更實了，沒有虛無縹緲的架構、理論，只有

與應用緊密結合的安全機制，安全設備也軟件化甚至構件化，與應用融合一體。

 

雖然少了安全設備，表面上咱們的收入少了，可是安全推向深刻，面廣了，口碑有了，對於信息安全這個朝陽、新興

的產業，挖掘市場比買安全設備有前途，咱們堅信。