信息安全产品的阿喀琉斯之踵-国土报中文版

本篇文章1608字，读完约4分钟

近10年来，国内信息安全企业正处于快速发展时期，并已形成一定规模，提供了一系列安全产品。如以天荣鑫为代表的防火墙产品、以金星之星为代表的入侵检测/防御产品、以NSFOCUS为代表的漏洞检测产品、以中软防水大坝为代表的数据安全产品，以及成千上万家公司在某些领域提供的细分产品。这些产品在解决客户安全问题和提高企业信息安全水平方面发挥了重要作用。同时，也直接和间接地促进和帮助企业增强信息安全意识，完善信息安全管理体系。然而，事实上，人们经常忽略一个问题，那就是这些安全产品本身的安全性。对此，信息安全专家、中国软件通用产品事业部副总经理王文玉先生认为，目前包括国外安全产品在内的安全产品存在诸多安全隐患。目前，许多安全产品更加注重产品功能本身，没有系统地考虑和设计自己的安全问题。

信息安全产品的阿喀琉斯之踵

据调查，在过去的几年中，虽然信息安全市场得到了蓬勃发展，总体复合增长率达到了10%以上，但与此同时，安全产品自身漏洞发现率的复合增长率达到了30%以上。在谈到安全产品为什么会有这些漏洞时，王文玉认为，根本原因在于安全产品本身首先是软件产品，软件产品中存在缺陷是一个与生俱来的、不可避免的问题，就像人们生病一样。具体细分有三个主要因素。第一个因素是产品设计的缺陷。在设计一些安全产品时，很少考虑或没有充分考虑安全因素，导致攻击者能够绕过保护机制，通过分析软件行为直接访问敏感内容。第二个因素是软件编码的缺陷。例如，在软件开发过程中，没有接受过安全编码培训的开发人员容易出现常见的漏洞，如缓冲区溢出和字符串操作、动态内存管理和i/o操作中的多次释放。第三个因素是引进的缺陷。如今，许多软件使用第三方组件或开源组件。例如，安全产品中广泛使用的openssl和bash在2014年暴露了非常严重的问题。辛勤工作的漏洞已经影响了无数的安全产品。shellshock被称为破坏性漏洞。

信息安全产品的阿喀琉斯之踵

至于如何避免安全产品中的漏洞，王文玉先生认为这是一个非常困难的问题。许多安全产品有超过一百万行代码，期望一劳永逸地解决它们是不现实的。但是，我们可以加强产品设计，实施安全设计审核，规范编码习惯，引入安全编码规范，并在产品发布前引入渗透测试进行自检。王文玉先生说，他的R&D团队在2006年引入了cmmi5开发过程模型，经过近10年的不断磨合，逐渐引入了敏捷模型和sdl安全开发生命周期模型，并结合中软防水坝产品的开发特点，对它们进行了融合和改进，以从过程管理上进行控制，减少出现漏洞的可能性。但与此同时，王也承认，尽管已经采用了很多方法，但潜在的安全风险已经存在，这是信息安全产品的致命弱点，安全漏洞的检测和修复始终在进行中。

信息安全产品的阿喀琉斯之踵