城乡融合发展之路_融合思路打造可信安全环境
部分在过去一年里取得显著进步的安全企业及产品荣获2008年度中国信息安全值得信赖品牌奖等奖项(详见第九届中国信息安全大会特刊)。 通过报纸和网络报名参加此次大会的与会者多达800人。
当信息化被提升到前所未有的战略高度的时候,信息安全也经历了从2005年的产业井喷,2006年的自我调整,2007年的理性回归,到2008年的全面融合。安全产业的发展,也实现了由特定领域的保护向全面和强制的信息安全保护的过渡。
与此同时,可信安全的提出再一次明确了信息安全的前景和发展趋势。在企业内部形成可控的安全管理环境,维护企业秩序,成为可信安全的重要任务。
顺应这种形势,4月22日,以“可信安全•生态融合”为主题的第九届信息安全大会在北京召开。作为一年一度的安全业内最大的盛会,本次大会继续保持中国信息安全业内综合性、前沿性、权威性的特点,论坛议题覆盖到目前信息安全的各个热点领域,包括:安全政策、安全服务、等级保护、安全管理、防病毒技术、防火墙技术、反垃圾邮件技术、漏洞扫描等。
本次大会观众千余人,会场参与厂商超过80家,主流安全厂商代表悉数到会。围绕安全产业的各层面的来宾包括近200名来自高校、金融、电信等行业典型用户信息化主管,50名风险投资商代表,50名安全顾问及评测机构代表,近100名安全分销集成商代表以及百余名安全学术界代表。通过嘉宾演讲和现场各种展览及活动,大会成为一次大平台、高起点、效率精准、效果明显的交流盛事。
可信接入是安全难题
在过去的十多年中,信息安全已经从单一的技术部门需求发展到整个网络世界的需求,从面向脆弱性的安全发展到现在面向结构性的安全。信息安全的目的在于通过各种安全手段和措施,在开放的网络系统中构建一个边界清晰的安全网络。那么,如何构建一个安全的边界?这是安全业界一个非常大的难题。
国家信息化专家咨询委员会委员曲成义介绍说,从信息安全的发展看,有几种动向值得关注。第一,信息安全的重点正在从早期的防外转向内控;第二,正由OSI的底层防护在向多层集成联动管理平台过渡;第三,基于威胁特征向基于威胁行为防控转变;第四,由静态防御向动态防御发展;第五,由单域防控向跨安全域可信交换防控迁移;第六,由边界防控向源头与信任防控转移。
可信接入正是在这种背景下提出的一个网络要求。在这个网络中应该满足什么?天融信战略方案中心总监杨庆华认为:“要满足边界的安全、主体的安全、客体的安全,还要满足行为的安全、监管的安全。通俗地说,就是要做到网络边界安全、用户身份可信、数据资源安全、访问行为可控这样一些目标。”
以现实生活为例,一个人带一台电脑接入一个公司的网络,这个公司能相信这台电脑不带有病毒吗?如果相信了,就非常容易把带有危害性的病毒带到这个公司里来,这就是所谓不可信的安全行为。绝大多数的安全事件都是来自于内部。而恰恰在现在的网络安全系统里面,内部防护是非常脆弱的。另外,由于内部缺乏可信的监控与分析制度,对接入行为缺乏严格有效的可信监控措施,也需要对主体可信和个体可信做一个全面的安全认证。
那么,该如何保证网络可信接入?杨庆华表示,第一,要禁止外部非法设备的接入;第二,要限制合法设备的非法接入;第三,要限制合法接入设备的非法访问;第四,对网络行为要进行监测和保护。对于主体可信的接入要做上述接入来源认证控制,而对于客体的访问则要做访问对象的监控。第一,要根据安全级别的不同来划分不同的安全域;第二,要在不同安全域之间划分边界隔离与访问控制;第三,对内部的网络要做IP与MAC绑定;第四,要对每一个计算环境做安全管理;第五,对远程接入的用户要做控制;第六,要对所有接入行为进行监控。
目前,很多企业都在提出关于网络接入的技术标准,包括思科的网络接入控制(NAC)、微软的网络准入保护(NAP)、可信计算组的可信网络连接(TNC)等。尽管标准尚不统一,但是它们都遵循一个基本的框架和基础,这样就会明显提升网络接入的可信度。
信息泄漏有新特点
信息防泄漏一直是信息安全的焦点问题之一。在这次大会上,与会专家认为,信息泄漏的形势依然严峻,但是在解决方案的探索方面,也有了积极的进展。
信息是多样化的,可以是个人的信息,可以是企业的信息,甚至是国家的信息。依据信息内容的不同,泄漏以后影响的范围也不一样。信息泄漏的方式也是多样的,可能是信息存在的介质、设备被不可靠的人使用,或者说这些介质和设备被遗失会造成信息的泄漏;也有可能是操作系统或者是软件的漏洞造成信息的泄漏;同样,未经保护的信息通过网络传输的时候,也会造成信息的泄漏;而未能有效地防木马和病毒造成的信息泄漏会大面积地发生。
现在,病毒和木马已经成为窃取信息并造成信息泄漏的主要方式。根据IronPort威胁运营中心发布的《2008年互联网安全趋势》报告,2007年,病毒种类接近30万种,70%为木马程序,每天感染的用户数量接近100万。而且从病毒到恶意软件再到木马,这些恶意软件的制造目的也发生了本质的变化。以前可能单纯是搞破坏,或者说显示自己的技术特点或者是技术的能力,到现在已经转变成了以获取他人隐私和追求实际利益为主要目标。
针对这种新形势,恶意软件制造者也呈现出了新的特点。他们不再是个人,或者说小的团体,已演变为散布在网络上,以分工严密的庞大组织为特征,以追逐利益为目标,形成了包括发现漏洞、制造木马、传播木马并窃取信息在内的利益链条。他们在利益的驱使下,在网络上以极高的速度传播木马并窃取信息。受害对象已经不仅仅局限于互联网用户,也包括企业内部的网络用户。
为此,卫士通信息产业股份有限公司副总经理李学军表示:“在防止信息泄漏的总体思路上,我们对信息泄漏的问题需要做一个综合的 判断。尤其是企业和组织,要知道信息泄漏的途径和方式,造成的危害有哪些。而且现在泄漏涉及到的不仅仅是技术方面的问题,同时涉及到了监管、政策和法律等多个方面。”
李学军还提出,由于目前缺乏一些相关的法律法规,对这些违法行为的打击力度也不够,使得以木马为核心的利益链条存在着生存的空间,因此需要安全企业在技术方面能够提供可靠的终端控制机制,保证终端的环境可信、终端的信息源头准确、数据安全,还要能够提供灵活的、安全的共享机制。而在关键的技术方面,需要将多种密码技术有效地融入到信息安全的控制和防御技术手段中,为信息安全提供一个有效的全方位的保障。
等级保护成为必然
目前,我国正在大力推行信息安全等级保护制度。谈到等级保护,对一些用户来讲多少还是带有被动性质。事实上,等级保护不是一个产品,更不是一个项目,它应该是一个过程。
据绿盟科技服务产品部高级安全顾问孙铁介绍,等级保护是一个政策性的工作,它的实施要参考相关文件相应的技术要求,对各个等级保护单元测评项进行详细的归类,采用的是风险评估手段。
对等级保护和风险评估这两个概念的关系,很多用户存在一定的困惑。对此,孙铁解释说,风险评估是等级保护工作中的重要工具和方法。在等级保护过程中,无论是产品的实施,还是技术的应用,都需要风险评估作为重要手段。风险评估所采用的技术测试工具和数据收集手段,对等级保护也是适用的。
等级保护是一种安全服务,而且是一个过程。因此,等级保护的目标绝对不是完成一个简单的项目就算结束了。这个目标是什么呢?孙铁认为,应该是围绕着用户的安全战略,围绕着用户的业务安全需求,对组织体系、管理体系、技术体系的建设。
绕不开的安全管理
在信息安全实施过程中,真正的产品部署和技术应用难题有两个:一个是管理问题,一个是运维问题。在解决了具体技术方面的问题后,企业应该建立一套完整的安全模型,能够覆盖安全管理和运维,包括对网络的安全机制的管理和监控、统一的防护等,这样可以为信息安全提供一个可持续的衡量和改进的途径和方法。正如一位专家所言,信息安全的保障,三分靠技术,七分靠管理。安全管理可以说是信息安全保障工作的一项基础性的工作。
对于安全管理的现状,与会专家表示出担忧。东软软件股份有限公司安全解决方案部部长曹鹏一针见血地指出:“在过去几年里,作为安全防护者的我们好像没有做出太了不起的事情,因为我们的对手在不停地颠覆我们对于安全的控制、理解、保护能力。随着网络不断的扩容,现在很多客户开始着手兴建第2张网络、部署第3张网络,今年还有4个新系统可能要上线,可是或许安全维护人员连5个都不到――技术与人的比例出现失调。”
在指出问题所在的同时,还需要有合理的解决方式。安言咨询总经理王怀宾描述了企业实施信息安全风险管理的成果,它包括符合法律法规、行业规范以及业务需求的组成部分。此外,它还要有符合组织构架,包括组织策略和技术构架的管理层制度,面对人员、技术、流程的各种控制点,面对事件风险和业务连续性各种管理活动。
精彩观点
中国电子信息产业发展研究院院长刘烈宏
目前,我国信息安全产业正处在一个历史发展的机遇期,国家以建立网络世界可信环境与次序为发展目标,从整体上为我国信息安全领域发展创造了良好的政策环境。
国家计算机网络应急技术处理协调中心副总工程师杜跃进
对网络安全来说,时间因素带来的挑战会更大。如果网络瘫痪,你可能要求一天之内恢复,甚至会要求缩短到小时。至关重要的数据可能就在很短的时间内流失。因此网络的预警能力是很重要的。当前我们可以依赖的信息源其实很不足,只有防火墙、入侵检测系统和防病毒系统等。
Secure Computing大中华区总经理蔡勇
怎么去保证网络安全呢?我们认为要在扎实的应用安全基础上部署独有防御模块。
今天我们迫切需要进行一些针对自身漏洞的主动防护,包括对外部威胁的主动判断,对应用层的分析,做双向流量的分析和安全审计、审核。
天融信战略方案中心总监杨庆华
如何做到可信接入?第一,要禁止外部非法设备的接入;第二,要限制合法设备的非法接入;第三,要限制合法接入设备的非法访问;第四,要对网络行为进行监测和保护。
东软软件股份有限公司安全解决方案部部长曹鹏
今天的安全产品不应该再是传统的安全产品延伸,我们不应该一再购买很多安全产品,而不去注重它们。
安全管理平台应该是面向未来的管理方向之一。对于厂商来讲,我们必须要承担起这个责任。
虽然,我们在过去十年一直在重复国外厂商所走的路,但是拐点即将出现,我们必须要走出具有中国特色的信息安全道路。