信息安全产品的阿喀琉斯之踵

    北京 2014-12-16(商业电讯)－－相对于传统的信息管理的软件企业遭遇的寒冬而言，最近几年，绝对属于信息安全行业的春天，一个接一个的会议，N轮融资不断，IPO上市，并购，很是热闹。甚至互联网巨头BAT也将一只脚踏进这个领域，管家卫士满天飞。政策也很配合，史上最高规格的网络安全与信息化领导小组成立，并陆续出来了一些引导性政策，例如工信部下发的《加强电信和互联网行业网络安全工作的指导意见》等，军委下发了《关于进一步加强军队信息安全工作的意见》，这些政策和文件背后的本源是政府和企业和整个社会对目前国内信息安全现状的深深忧虑，也表明信息安全行业处于一个历史上一个最好的时期之一。 

    在过去的10余年，国内的信息安全企业处于高速发展期，目前已经形成一定规模，提供了一系列安全产品。例如以天融信为代表防火墙类产品、以启明星辰为代表的入侵检测/防御类产品、以绿盟为代表的漏洞检测类产品，以中软防水坝为代表的数据安全产品，此外，还有数以万计的公司在某些领域里提供着更为细分的产品。这些产品在解决客户安全问题，提升企业信息安全水平中起到了重要的作用，同时，也直接和间接的促进和帮助了企业增强了信息安全意识，完善了信息安全管理体系。但是，事实上，人们往往忽略了一个问题，这就是这些安全产品自身的安全问题。对此，信息安全专家、软件通用产品事业部副总经理王文宇先生认为，目前，安全产品，包括国外的安全产品，其自身都存在着很多安全隐患。当前很多安全产品，把更多的注意力放在了产品功能本身，对自身的安全问题，没有做系统的考虑和设计。 

    据调查，过去几年，虽然信息安全市场蓬勃发展，总体复合增长率达到了10%以上，但是与此同时，安全产品自身漏洞的发现率的复合增长高达30%以上。谈及安全产品为什么会出现这些漏洞，王文宇先生认为，根源在于因为安全产品本身首先是一个软件产品，软件产品存在BUG是一个先天的不可避免的问题，就像人会生病一样。具体细分话，主要有三方面的因素，第一个因素是是产品设计的缺陷，有些安全产品在设计时，较少考虑安全因素或考虑不全面，导致攻击者可以根据分析软件行为，绕过防护机制，直接访问敏感内容。第二个因素是软件编码的缺陷，例如，没有经过安全编码培训的开发人员，在软件开发过程中，容易在字符串操作、动态内存管理、I/O操作等环节出现缓冲区溢出、多次释放等常见漏洞。第三个因素是引入性的缺陷，现在很多软件都利用第三方组件或者开源组件，例如安全产品中广泛使用的openssl和bash在2014年都暴露出了非常严重的问题，心血漏洞影响了无数的安全产品，Shellshock被称为毁灭级漏洞。 

    对于如何避免安全产品中的漏洞，王文宇先生认为，这是一个非常艰巨的问题，很多安全产品的代码都在百万行以上，且在不断变化中，期望一劳永逸，彻底解决是不现实的。但是可以通过强化产品设计，落实安全设计环节的review，规范编码习惯，引入安全编码规范，在产品发布之前，引入渗透测试，进行自我检查。王文宇先生表示，其研发团队从2006年引入CMMI5开发过程模型，经过近10年的不断磨合，又逐渐引入了敏捷模型和SDL安全开发生命周期模型，并结合了中软防水坝产品的开发特点，进行融合和改进，以期从过程管理方面进行控制，减少漏洞产生的可能性。但同时，王先生也承认，即使采取了很多方式，但潜在的安全风险已然存在，这是信息安全产品的阿克琉斯之踵，对于安全漏洞的检测、修复，永远在路上。