1、城鄉(xiāng)融合發(fā)展之路融合思路打造可信安全環(huán)境部分在過去一年里取得顯著進(jìn)步的安全企業(yè)及產(chǎn)品榮獲2008年度中國信息安全值得信賴品牌獎等獎項(xiàng) （詳見第九屆中國信息安 全大會特刊） 。 通過報(bào)紙和網(wǎng)絡(luò)報(bào)名參加此次大會的與會者多 達(dá)800人。當(dāng)信息化被提升到前所未有的戰(zhàn)略高度的時(shí)候，信息安全也經(jīng) 歷了從xx年的產(chǎn)業(yè)井噴，xx年的自我調(diào)整，xx年的理性回歸，到 xx 年的全面融合。安全產(chǎn)業(yè)的發(fā)展，也實(shí)現(xiàn)了由特定領(lǐng)域的保護(hù)向 全面和強(qiáng)制的信息安全保護(hù)的過渡。與此同時(shí)，可信安全的提出再一次明確了信息安全的前景和發(fā) 展趨勢。在企業(yè)內(nèi)部形成可控的安全管理環(huán)境，維護(hù)企業(yè)秩序，成為 可信安全的重要任務(wù)。順應(yīng)這種形勢，

2、4月 22日，以“可信安全 ?生態(tài)融合”為主題 的第九屆信息安全大會在北京召開。 作為一年一度的安全業(yè)內(nèi)最大的 盛會，本次大會繼續(xù)保持中國信息安全業(yè)內(nèi)綜合性、前沿性、權(quán)威性 的特點(diǎn)，論壇議題覆蓋到目前信息安全的各個(gè)熱點(diǎn)領(lǐng)域，包括：安全 政策、安全服務(wù)、等級保護(hù)、安全管理、防病毒技術(shù)、防火墻技術(shù)、 反垃圾郵件技術(shù)、漏洞掃描等。本次大會觀眾千余人， 會場參與廠商超過 80 家，主流安全廠商 代表悉數(shù)到會。 圍繞安全產(chǎn)業(yè)的各層面的來賓包括近 200 名高校、金 融、電信等行業(yè)典型用戶信息化主管， 50 名風(fēng)險(xiǎn)投資商代表， 50名 安全顧問及評測機(jī)構(gòu)代表， 近 100 名安全分銷集成商代表以及百余名

3、安全學(xué)術(shù)界代表。 通過嘉賓演講和現(xiàn)場各種展覽及活動， 大會成為一 次大平臺、高起點(diǎn)、效率精準(zhǔn)、效果明顯的交流盛事?？尚沤尤胧前踩y題在過去的十多年中，信息安全已經(jīng)從單一的技術(shù)部門需求發(fā)展 到整個(gè)網(wǎng)絡(luò)世界的需求， 從面向脆弱性的安全發(fā)展到現(xiàn)在面向結(jié)構(gòu)性 的安全。 信息安全的目的在于通過各種安全手段和措施， 在開放的網(wǎng) 絡(luò)系統(tǒng)中構(gòu)建一個(gè)邊界清晰的安全網(wǎng)絡(luò)。 那么，如何構(gòu)建一個(gè)安全的 邊界？這是安全業(yè)界一個(gè)非常大的難題。國家信息化專家咨詢委員會委員曲成義介紹說，從信息安全的 發(fā)展看，有幾種動向值得關(guān)注。第一，信息安全的重點(diǎn)正在從早期的 防外轉(zhuǎn)向內(nèi)控； 第二，正由 OSI 的底層防護(hù)在向多層集成聯(lián)動管

4、理平 臺過渡；第三，基于威脅特征向基于威脅行為防控轉(zhuǎn)變；第四，由靜 態(tài)防御向動態(tài)防御發(fā)展；第五，由單域防控向跨安全域可信交換防控 遷移；第六，由邊界防控向源頭與信任防控轉(zhuǎn)移?？尚沤尤胝窃谶@種背景下提出的一個(gè)網(wǎng)絡(luò)要求。在這個(gè)網(wǎng)絡(luò) 中應(yīng)該滿足什么？天融信戰(zhàn)略方案中心總監(jiān)楊慶華認(rèn)為：“要滿足邊界的安全、主體的安全、客體的安全，還要滿足行為的安全、監(jiān)管的 安全。通俗地說，就是要做到網(wǎng)絡(luò)邊界安全、用戶身份可信、數(shù)據(jù)資 源安全、訪問行為可控這樣一些目標(biāo)?！币袁F(xiàn)實(shí)生活為例，一個(gè)人帶一臺電腦接入一個(gè)公司的網(wǎng)絡(luò)，這 個(gè)公司能相信這臺電腦不帶有病毒嗎？如果相信了， 就非常容易把帶 有危害性的病毒帶到這個(gè)公司里來

5、，這就是所謂不可信的安全行為。 絕大多數(shù)的安全事件都是于內(nèi)部。而恰恰在現(xiàn)在的網(wǎng)絡(luò)安全系統(tǒng)里面， 內(nèi)部防護(hù)是非常脆弱的。另外，由于內(nèi)部缺乏可信的監(jiān)控與分析制度， 對接入行為缺乏嚴(yán)格有效的可信監(jiān)控措施，也需要對主體可信和個(gè)體 可信做一個(gè)全面的安全認(rèn)證。那么，該如何保證網(wǎng)絡(luò)可信接入？楊慶華表示，第一，要禁止外部非法設(shè)備的接入；第二，要限制合法設(shè)備的非法接入；第三，要 限制合法接入設(shè)備的非法訪問； 第四，對網(wǎng)絡(luò)行為要進(jìn)行監(jiān)測和保護(hù)。 對于主體可信的接入要做上述接入認(rèn)證控制， 而對于客體的訪問則要 做訪問對象的監(jiān)控。 第一，要根據(jù)安全級別的不同來劃分不同的安全 域；第二，要在不同安全域之間劃分邊界隔離與

6、訪問控制；第三，對 內(nèi)部的網(wǎng)絡(luò)要做IP與MAOB定；第四，要對每一個(gè)計(jì)算環(huán)境做安全 管理；第五，對遠(yuǎn)程接入的用戶要做控制；第六，要對所有接入行為 進(jìn)行監(jiān)控。目前，很多企業(yè)都在提出關(guān)于網(wǎng)絡(luò)接入的技術(shù)標(biāo)準(zhǔn)，包括思科 的網(wǎng)絡(luò)接入控制（NAC、微軟的網(wǎng)絡(luò)準(zhǔn)入保護(hù)（NAP、可信計(jì)算組 的可信網(wǎng)絡(luò)連接（TNC等。盡管標(biāo)準(zhǔn)尚不統(tǒng)一，但是它們都遵循一 個(gè)基本的框架和基礎(chǔ)，這樣就會明顯提升網(wǎng)絡(luò)接入的可信度。信息泄漏有新特點(diǎn)信息防泄漏一直是信息安全的焦點(diǎn)問題之一。在這次大會上， 與會專家認(rèn)為， 信息泄漏的形勢依然嚴(yán)峻， 但是在解決方案的探索方 面，也有了積極的進(jìn)展。信息是多樣化的，可以是個(gè)人的信息，可以是企業(yè)的信

7、息，甚 至是國家的信息。 依據(jù)信息內(nèi)容的不同， 泄漏以后影響的范圍也不一 樣。信息泄漏的方式也是多樣的，可能是信息存在的介質(zhì)、設(shè)備被不 可靠的人使用， 或者說這些介質(zhì)和設(shè)備被遺失會造成信息的泄漏； 也 有可能是操作系統(tǒng)或者是軟件的漏洞造成信息的泄漏； 同樣，未經(jīng)保 護(hù)的信息通過網(wǎng)絡(luò)傳輸?shù)臅r(shí)候， 也會造成信息的泄漏； 而未能有效地 防木馬和病毒造成的信息泄漏會大面積地發(fā)生?，F(xiàn)在，病毒和木馬已經(jīng)成為竊取信息并造成信息泄漏的主要方 式。根據(jù) IronPort 威脅運(yùn)營中心發(fā)布的 xx 年互聯(lián)網(wǎng)安全趨勢報(bào) 告，XX年，病毒種類接近30萬種，70%為木馬程序，每天感染的用 戶數(shù)量接近 100 萬。而且從

8、病毒到惡意軟件再到木馬， 這些惡意軟件 的制造目的也發(fā)生了本質(zhì)的變化。 以前可能單純是搞破壞， 或者說顯 示自己的技術(shù)特點(diǎn)或者是技術(shù)的能力， 到現(xiàn)在已經(jīng)轉(zhuǎn)變成了以獲取他 人隱私和追求實(shí)際利益為主要目標(biāo)。針對這種新形勢，惡意軟件制造者也呈現(xiàn)出了新的特點(diǎn)。他們 不再是個(gè)人，或者說小的團(tuán)體，已演變?yōu)樯⒉荚诰W(wǎng)絡(luò)上，以分工嚴(yán)密 的龐大組織為特征，以追逐利益為目標(biāo)，形成了包括發(fā)現(xiàn)漏洞、制造 木馬、傳播木馬并竊取信息在內(nèi)的利益鏈條。他們在利益的驅(qū)使下，在網(wǎng)絡(luò)上以極高的速度傳播木馬并竊取信息。 受害對象已經(jīng)不僅僅局 限于互聯(lián)網(wǎng)用戶，也包括企業(yè)內(nèi)部的網(wǎng)絡(luò)用戶。為此，衛(wèi)士通信息產(chǎn)業(yè)股份有限公司副總經(jīng)理李學(xué)軍表示：

9、“在防止信息泄漏的總體思路上，我們對信息泄漏的問題需要做一個(gè)綜合 的 判斷。尤其是企業(yè)和組織，要知道信息泄漏的途徑和方式，造成 的危害有哪些。而且現(xiàn)在泄漏涉及到的不僅僅是技術(shù)方面的問題，同時(shí)涉及到了監(jiān)管、政策和法律等多個(gè)方面?！崩顚W(xué)軍還提出，由于目前缺乏一些相關(guān)的法律法規(guī)，對這些違 法行為的打擊力度也不夠，使得以木馬為核心的利益鏈條存在著生存 的空間，因此需要安全企業(yè)在技術(shù)方面能夠提供可靠的終端控制機(jī)制， 保證終端的環(huán)境可信、終端的信息源頭準(zhǔn)確、數(shù)據(jù)安全，還要能夠提 供靈活的、安全的共享機(jī)制。而在關(guān)鍵的技術(shù)方面，需要將多種密碼 技術(shù)有效地融入到信息安全的控制和防御技術(shù)手段中， 為信息安全提 供

10、一個(gè)有效的全方位的保障。等級保護(hù)成為必然目前，我國正在大力推行信息安全等級保護(hù)制度。談到等級保 護(hù)，對一些用戶來講多少還是帶有被動性質(zhì)。事實(shí)上，等級保護(hù)不是 一個(gè)產(chǎn)品，更不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)過程。據(jù)綠盟科技服務(wù)產(chǎn)品部高級安全顧問孫鐵介紹，等級保護(hù)是一 個(gè)政策性的工作，它的實(shí)施要參考相關(guān)文件相應(yīng)的技術(shù)要求， 對各個(gè) 等級保護(hù)單元測評項(xiàng)進(jìn)行詳細(xì)的歸類，采用的是風(fēng)險(xiǎn)評估手段。對等級保護(hù)和風(fēng)險(xiǎn)評估這兩個(gè)概念的關(guān)系，很多用戶存在一定 的困惑。對此，孫鐵解釋說，風(fēng)險(xiǎn)評估是等級保護(hù)工作中的重要工具 和方法。在等級保護(hù)過程中，無論是產(chǎn)品的實(shí)施，還是技術(shù)的應(yīng)用， 都需要風(fēng)險(xiǎn)評估作為重要手段。風(fēng)險(xiǎn)評估所采用

11、的技術(shù)測試工具和數(shù) 據(jù)收集手段，對等級保護(hù)也是適用的。等級保護(hù)是一種安全服務(wù)，而且是一個(gè)過程。因此，等級保護(hù) 的目標(biāo)絕對不是完成一個(gè)簡單的項(xiàng)目就算結(jié)束了。 這個(gè)目標(biāo)是什么呢? 孫鐵認(rèn)為，應(yīng)該是圍繞著用戶的安全戰(zhàn)略，圍繞著用戶的業(yè)務(wù)安全需 求，對組織體系、管理體系、技術(shù)體系的建設(shè)。繞不開的安全管理在信息安全實(shí)施過程中，真正的產(chǎn)品部署和技術(shù)應(yīng)用難題有兩 個(gè)：一個(gè)是管理問題，一個(gè)是運(yùn)維問題。在解決了具體技術(shù)方面的問 題后，企業(yè)應(yīng)該建立一套完整的安全模型， 能夠覆蓋安全管理和運(yùn)維， 包括對網(wǎng)絡(luò)的安全機(jī)制的管理和監(jiān)控、 統(tǒng)一的防護(hù)等， 這樣可以為信 息安全提供一個(gè)可持續(xù)的衡量和改進(jìn)的途徑和方法。 正如一

12、位專家所 言，信息安全的保障，三分靠技術(shù)，七分靠管理。安全管理可以說是 信息安全保障工作的一項(xiàng)基礎(chǔ)性的工作。對于安全管理的現(xiàn)狀，與會專家表示出擔(dān)憂。東軟軟件股份有 限公司安全解決方案部部長曹鵬一針見血地指出：“在過去幾年里， 作為安全防護(hù)者的我們好像沒有做出太了不起的事情， 因?yàn)槲覀兊膶?手在不停地顛覆我們對于安全的控制、理解、保護(hù)能力。隨著網(wǎng)絡(luò)不 斷的擴(kuò)容，現(xiàn)在很多客戶開始著手興建第 2 張網(wǎng)絡(luò)、部署第 3 張網(wǎng)絡(luò)， 今年還有 4個(gè)新系統(tǒng)可能要上線， 可是或許安全維護(hù)人員連 5個(gè)都不 到技術(shù)與人的比例出現(xiàn)失調(diào)?！痹谥赋鰡栴}所在的同時(shí)，還需要有合理的解決方式。安言咨詢 總經(jīng)理王懷賓描述了企業(yè)實(shí)

13、施信息安全風(fēng)險(xiǎn)管理的成果， 它包括符合法律法規(guī)、行業(yè)規(guī)范以及業(yè)務(wù)需求的組成部分。此外，它還要有符合組織構(gòu)架，包括組織策略和技術(shù)構(gòu)架的管理層制度，面對人員、技術(shù)、流程的各種控制點(diǎn)，面對事件風(fēng)險(xiǎn)和業(yè)務(wù)連續(xù)性各種管理活動。精彩觀點(diǎn)中國電子信息產(chǎn)業(yè)發(fā)展研究院院長劉烈宏目前，我國信息安全產(chǎn)業(yè)正處在一個(gè)歷史發(fā)展的機(jī)遇期，國家 以建立網(wǎng)絡(luò)世界可信環(huán)境與次序?yàn)榘l(fā)展目標(biāo)， 從整體上為我國信息安 全領(lǐng)域發(fā)展創(chuàng)造了良好的政策環(huán)境。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副總工程師杜躍進(jìn)對網(wǎng)絡(luò)安全來說，時(shí)間因素帶來的挑戰(zhàn)會更大。如果網(wǎng)絡(luò)癱瘓， 你可能要求一天之內(nèi)恢復(fù)，甚至?xí)罂s短到小時(shí)。至關(guān)重要的數(shù)據(jù) 可能就在很短的時(shí)間內(nèi)流失。因此網(wǎng)絡(luò)的預(yù)警能力是很重要的。當(dāng)前 我們可以依賴的信息源其實(shí)很不足，只有防火墻、入侵檢測系統(tǒng)和防 病毒系統(tǒng)等。Secure Computin g大中華區(qū)總經(jīng)理蔡勇怎么去保證網(wǎng)絡(luò)安全呢？我們認(rèn)為要在扎實(shí)的應(yīng)用安全基礎(chǔ)上 部署獨(dú)有防御模塊。今天我們迫切需要進(jìn)行一些針對自身漏洞的主動防護(hù)，包括對 外部威脅的主動判斷，對應(yīng)用層的分析，做雙向流量的分析和安全審 計(jì)、審核。天融信戰(zhàn)略方案中心總監(jiān)楊慶華如何做到可信接入？第一，要禁止外部非法設(shè)備的接入；第二, 要限制