F5专家观点：网络安全始于流程

F5中国区技术总监 吴静涛

“道高一尺，魔高一丈”, 这一说法一直是网络安全的真实写照。事实上，无论软件与硬件安全，其每次升级的背景，总与新的威胁出现有着直接的关系。真正做到对任何网络威胁的“前瞻性”防御，几乎是“不可能完成的任务”。

近来，新闻报道警告表示包括支付系统在内的很多 IT 产品与应用缺乏足够安全性。其原因首先是安全问题具有滞后性，其次，设计与实施阶段的相关人员缺乏专业培训。

F5认为，无论国际还是国内，随着网络环境的不断演进，接入设备从数量到种类的激增，人们对各种应用的日趋依赖……这些趋势也使得网络安全从业人员的任务变得愈发繁重。

在F5看来，安全性的关键在于流程。安全性应当按照下述方法管理实施：由安全专家制定政策以确保组织内部的安全性与合规性，这一点十分重要。由编程人员开发软件也同样重要。但是这两类人员截然不同。

企业应用是一个企业的关键资产。安全性不应是软件工程师的独立任务，因为软件工程师毕竟不是安全专家。因此，谨慎的做法是将软件编程人员承担的代码安全责任转移至可靠的安全解决方案专家。

从这一角度出发，安全性就是端到端流程，应由政策管理企业内部任何发生用户交互的区域 — 设备、访问、网络、应用与存储。鉴于各个移动部件的复杂性，有时需要将多个独立安全节点整合至融合解决方案中。简而言之，这与流程简化十分相似，与企业顾问所说的“BPR-业务流程重组”并无二致。不管怎样，从首席财务官的角度来看，这都意味着运营成本和资本成本的巨大节约。

拿应用安全来说，未来趋势就是将应用安全性内建至应用交付控制器。应用交付控制器(ADC)的设计目标就是安全地为最终用户交付原生应用。在今天的环境下，ADC 可作为应用的安全防护工具;ADC 可防止未经授权的访问，并增加功能以缓解应用级别的复杂攻击(如 OWASP)。

然而，实际场景日益复杂。Y 世代希望能够自由选择办公设备并且在社交网络与企业网络之间无缝切换，这一年轻化群体的要求更为苛刻，他们需要的功能更为强大，因此为企业的首席信息官提出了更高挑战。首席信息官面临的挑战是如何在日益复杂的威胁环境下保护企业资产。如果还需要利用云环境的低成本和可扩展性优势，则安全挑战就更为艰巨了。

现实安全环境迫切需要创新型安全解决方案 — 该方案既要了解企业应用的状态又要了解用户行为，既要能够有效实施企业安全政策又要能够将对用户体验的影响降至最低。F5 认为安全性是一项可靠的业务。选择正确的流程与政策要比选择厂商重要。是政策与流程决定着解决方案，而非解决方案决定政策与流程。