随着网络发展的日新月异,安全问题日益成为焦点。在病毒肆虐,数据安全问题频发的今天,信息安全成了各行业必须做好防范的首要问题。如果说第一阶段的系统集成业务是以基础网络建设为主,那么现在网络安全已经成为集成商业的最主要业务之一。目前很多企业级用户的安全需求都相当集中,这正在成为诸多系统集成商的业务导向。 在经济危机能省则省的情况下,很多企业采购也唯有在信息安全方面依然舍得投入,也必须投入。而以思科为首的网络厂商近几年也推出了系统集成高级网络安全工程师这样的认证,也从另一个方面反映了网络安全集成在危机下依然需求旺盛。
政府项目是大市场
安全集成业务同传统的集成业务有所不同,它需要建立在一定的安全技术基础上,同时,在行业细分的原则下,我们可以看到这是一个呈梯队形态发展的市场,但几乎每个集成商都在或多或少的向安全集成业务渗透。
沈阳创世科技公司总经理曹英介绍说:“作为安全集成业务的一部分,目前的网络安全问题,主要分为外网安全也叫边缘安全和内网安全,外网安全包括入侵检测、防火墙等业务,也就是我们目前普遍看得到的问题。内网安全则是目前还被很多用户忽视的业务内容。安全问题,可以说随处可见。但目前集中在政府方面的业务比较多,对于集成商来说,是一个不小的机会。”
2006年4月,经国务院同意,国家发展和改革委员会正式批准金财工程(一期)建设项目立项。建立统一的信息安全体系是“金财工程”建设的一个重要方面,要实现全系统的应用安全、系统安全、网络安全和物理安全的统一管理,重点建设以认证中心、数据加密为核心的应用安全平台,制定相应的安全管理制度,为“金财工程”提供有效的安全保障。
这个项目是从06年开始,财政部就开始与“金财办”会同安全产品集成商和安全专家制定网络安全实施方案,整体规划完成了部外网网络和财政网络整合后网络系统的安全建设内容。在做好部机关网络及安全建设的同时,加强对地方网络及安全建设的指导与支持。
类似这样的项目,复制性比较强,能拿下一个地方的项目就有可能还参与到其它类似的项目中。现在看来,政府和金融、电信、电力这些大的行业还是安全集成市场最热的领域。但是,我们发现,新的集成商想进入这些项目还有一定困难,这些用户普遍都有自己合作多年的集成商,为此一些国产品牌的安全产品和国内集成商在初期渗透的时候甚至会采用免费使用一到两年,甚至赠送的手段来介入市场。
整体解决方案是方向
沈阳大兴系统集成有限公司张硕表示:安全集成发展正当时。谁也不能否认,今天,如果一个商家要取得良性发展,那么单一产品或者说单一服务已经不能满足这个需要了。于是也就有了各种集成商的出现。而在安全这一领域,安全集成的概念一经推出就得到了市场的迅速反应和认可,一时间,众多安全厂商纷纷向它伸出了“魔爪”。 为什么是安全集成,其实根本原因是,安全项目涉及的问题越来越多,不是一个单纯的防火墙、VPN就可以解决的。甚至现在,越来越多的大型用户对桌面安全也提出了新的要求,如此多的项目,用户慢慢会发现,一旦出现安全问题,需要找很多的集成商、服务商,而且还会出现互相扯皮的问题。
所以,能否提出一套相对完整的安全集成解决方案就成了很多用户目前对安全的新要求。改变过去以单一安全产品为导向的模式,而转向全面的安全整体解决方案,这对于多数集成商来说,是今后生存发展的必然趋势。
另外,从软件产品方面来讲,开源产品逐渐开始显得热门。很多安全集成商可以在此基础上进行二次开发,实现增值。“前几年,一些小企业并不是很重视网络安全的防护,他们没有专业的技术人员的支持,繁琐的安全设备部署也让这些企业望而却步。他们希望获得一个拥有各种主要安全功能、能够即装即用的网络解决方案,安全集成产品便应运而生,并随着近几年中小企业对网络安全需求和性能要求的提高,安全集成产品的种类、功能、性能都有了飞跃式的发展。”
同时,人才问题也是制约安全集成商走向专业的一个主要问题。由于信息安全的日益复杂,对安全人才的技术和管理能力提出了新的挑战。随着病毒、灾难爆发的日益频繁,信息安全攻防技术在对抗中发展,相关产品种类在不断丰富,多半由CIO兼任负责的信息安全工作越来越趋向专业化的精耕细作。据悉,目前国内的信息安全认证培训体系正在逐步形成。主要有政府相关管理部门的认证(如NCSE和CISP)、相关大学的认证(如北京邮电大学信息安全中心认证)以及一些信息安全企业的技能培训,不少国际知名的信息安全专业培训已在国内开展业务。
SOA兴起促成企业重视“安全集成”
随着企业信息化的迅猛发展,企业面临的IT环境越来越复杂,迫切需要一个松散耦合的、跨平台的,与语言无关的系统来快速应对外界的变化,为了解决这一难题,越来越多的企业注意到了SOA(面向服务的架构),它使企业能够将自身业务整合提供给客户和合作伙伴使用,增强了企业业务的敏捷性,降低了企业信息系统的开发成本。由于SOA体系使企业能够将自身业务整合提供给客户和合作伙伴使用,推动企业信息化的发展,因此越来越多的企业开始向它们的客户和商业合作伙伴开放SOA服务,把内部服务暴露在Web上,能给用户的使用带来方便,但是开放一个大规模的Web Services要网络牵扯到多家企业,各家企业需要对安全技术、安全策略等达成一致。由于SOA的这种跨平台性和基于Web服务的开放性,使原有的系统更加复杂,给企业带来了更多的安全风险。
SOA具有松散的耦合性,高度的微粒性以及通常是分布广泛而且是多步的等特点,它可以将内部服务和外部服务,独立的执行和非独立的平台统统结合起来。但这种松散的耦合引发了挑战,那就是所有的人都可以进行企业级的安全和管理有关的活动。
作为SOA安全的补充,安全软件能够增强SOA支持的业务流程的应变能力。在整合架构中首要的角色是协助管理员和人员进行监控、管理、保全并控制SOA为基础的服务和应用程序组件端对端实施。公司越来越重视通过共享和传播信息来推动业务发展,这个战略也变得越来越重要。
实施SOA方面处于领导地位的企业仍在为别人铺平道路。对一些企业来说,可能存在高级安全很重要的一种业务场景。这类企业可以证明有必要投入成本,来构建高级SOA安全解决方案。这些领导企业会在一路上帮助不断强化行业规范,并帮助厂商不断完善产品。如果贵企业眼下就需要高级SOA安全,市面上有许多产品和标准可以拿来使用,但要小心行事:你应当另外抽出时间,针对建立原型、产品调试以及性能和扩展性测试等方面进行相应的项目规划。在这种情况下,如何把整个系统的信息安全采用一套集成的解决方案就成为SOA项目能否实现的关键。