信息安全的核心竞争力

      纵观信息安全领域，在纷繁复杂的安全体系和林林总总的安全技术中，总有一些东西处于发展的前沿，作为安全厂商而言，不求全求大，在其中之一颇有建树，便具有了信息安全技术的核心竞争力。这里暂且罗列，反映个人观点。

     首先是有关***对抗的知识。不知攻，焉知防。对系统漏洞、恶意代码及***手段的认知基本决定了安全防护的水平，这是信息安全的第一大圣杯。******引发的安全事件是信息安全技术发展的原动力。从莫里斯蠕虫的始作俑，到红色代码、冲击波蠕虫的喧嚣，再到当今震网病毒等APT的暗超涌动和“棱镜门”事件背后NSA武器库的曝光，人们对信息安全的认识和重视随威胁的发展而加深。这也是一个需要不断更新的领域，缓冲区溢出、XSS等各种漏洞利用技术随着操作系统、浏览器、应用平台和编程语言的发展而潮起潮落，时至今日，移动互联网、工控等高价值领域的漏洞和***利用又成为研究的热点。大数据、云计算等新的技术也用于漏洞和恶意代码的分享和挖掘之中，甚至形成互联网上有关***对抗海量知识的处理平台，能够及时为无数的终端、网络设备、安全设备提供服务。这个领域既需要快速的应急响应，也需要长期的积累，更需要***那种对技术的极致追求。

      其次是有关安全的基础——密码。密码学是信息安全中唯一完备的理论，是加密、认证、授权、防篡改等许多安全机制依赖的基础，在移动通信、IPSEC、数字防伪、数字版权管理、电子货币等领域都有着广泛的应用。就漏洞而言，***的天平倾向于***一边，漏洞总是会出现，总是还有未知，防护需要弥补所有的漏洞，而***只需要找到一个漏洞。但密码而言，却恰恰相反，***的天平却神奇地倾向于防护一边，保护花费的计算开销远小于破解，这是由密码学的数学性质决定了的。然而遗憾的是，理论上的牢不可破绝不意味着实现上的万无一失，密码在实现、使用、管理等环节有着太多太多的薄弱，弱密钥、密钥管理的不慎、不正确的实现、密码软件的漏洞等都有可能导致一招不慎，满盘皆输。因此，密码受制于有关***对抗的知识。更为可怕的是，由于相信理论的严密而忽视现实的漏洞，密码的使用有可能带来一种安全的假象。这个领域也是一个相对封闭的领域，有着太多的管制，太多的Security by obsecurity，这种违反Kerckhoff原则的安全太不让人放心。以开放的心态，构建广泛使用和久经考验的安全基础，应该是密码所追求的目标。

     最后是对信息系统和业务的掌控与结合。防火墙对Cisco等高端网络厂商不在话下，微软们也可以轻松地在操作系统中集成杀毒软件，Vmware们更可以成为云安全和虚拟化安全解决方案的核心。当然现实存在着一定的偏差，IT巨头们并没有一手遮天，安全厂商们仍然有着自己的生存空间，这与前两大核心竞争力不无关系。然而，对系统的掌控终究可以构建一个更完美的“一体化”安全解决方案，这也是安全业界总是频繁出现有关安全厂商与系统厂商合从联横的原因。对于那些安全需求突出的互联网巨头，早已不满足第三方安全厂商的产品，他们不惜重金构建自己的安全研究团队，结合自身系统和业务开展针对性的研究。对网银这些业务而言，安全不再是安全，安全已是真金白银，这应该是安全的终极目标。