时间:2005年4月22日上午
地点:友谊宾馆友谊宫聚英厅
主持人:尊敬的各位领导、各位来宾,女士们、先生们:
大家早上好!
欢迎大家在百忙中来参加“第六届中国信息安全大会”。我是计算机报网络与安全副主编辑李刚。作为今天大会的主持人,能够与各位来宾共同分享本次大会的主题,也是当前安全界前沿与热烈的话体——全程安全与应急服务。我感到非常荣幸。
当前,在我们日益享受信息化给我们带来方便与迅捷的同时,我们也面临着越来越大的挑战,这就是安全。当我们的网络、应用、人员日益庞杂,而同时我们网络依赖程度和网上价值却不断增加,我们认识到,靠单纯的产品,靠静态的系统与解决方案,已经不能保证我们的安全,安全已经不再是一个静止的围城,而是一个动态的过程,为此,本次大会将就“全程安全与应急服务”的主题进行探讨。以满足我们大家一个共同愿望—安全,还是安全。
本次大会我们也非常荣幸得到我国安全界一些权威机构和单位的对我们的指导与支持,它们是:国务院信息化工作办公室、公安部公共网络监察局、中国计算机学会计算机安全专业委员会、国家计算机应急处理协调中心、中国互联网协会、中国PKI论坛、中国国家信息安全产品检测与认证中心。在此,我们谨表示衷心的感谢。
同时,更令我们感动的还有一大批在我国安全界德高望重的领导和专家,今天在百忙中莅临我们现场和我们各位来宾交流与探讨,例如有来自政府以及行业协会的领导吕诚昭副司长、等领导,同时更有安全学识界德高望重的何德全院士、贾颖禾教授等业内专家,他们能在百忙之中抽出时间到大会现场与我们所有的来宾共话安全的明天,让我们致以热烈的掌声,对领导、业内专家、厂商朋友以及所有嘉宾的到来,表示深深的敬意!
大会正式开始。
首先我们荣幸邀请本次大会指导单位之一——国务院信息化办公室网络与信息安全组副组长吕诚昭副司长致辞!让我们以热烈的掌声,欢迎吕司长致辞!
吕诚昭:
谢谢大会,大会主席和专家领导早上好,随着信息化的推进,信息及网络系统的技术性全球性继续加强,对经济社会发展影响越来越深刻的斗争日益激烈,涉及到政治、经济、国防、科技各方面,保证国家信息安全,把握信息化发展,维护国家网络空间的根本利益,是信息时代重大战略问题。
我们必须按照中央提出的确保国家的经济安全、政治安全、文化安全,和信息安全的要求,增强忧患意识和危机意识,清晰认识世界化进程中的各种困难,主动应对各种考验和挑战,积极防范出现的风险和负面影响,以新的思路,新的机制,新的方法,加强信息安全工作。
信息安全是国际性技术和设备运用,是各国面临共同挑战,对于网络与信息系统高度依赖性,是我国国民经济和社会发展面临新的风险,信息安全风险管理是信息安全保障工作的核心必须把提高信息安全风险意识加强,信息安全风险管理落实到信息安全工作中全过程,信息技术应用产生的问题,给维护社会稳定带来新的考验,信息技术发展和网络的普及,在推动经济社会发展的同时,也使安全问题不断遇到新的问题,打击网络违法犯罪,更加困难,代价很大,各种势力更容易利用新技术与网络信息系统进行客观叛乱,搞网络恐怖活动。安全信息化的发展和信息安全保障要求,不断提高防伪保证能力,信息安全、信息支持能力,信息对抗能力,和我国在国际信息安全领域的影响能力,这就是最近提出来我们信息安全工作达到的能力。建立和完善维护国家信息安全的长效机制,形成国家信息安全保障体系,掌握国家信息安全的战略主动权。
建设国家安全保证体系是个复杂的系统性的问题,必须坚持以下原则。第一,安全管发展,在发展中求安全,正确处理发展与安全的关系,坚决两手抓,一手抓发展,一手抓安全,但是这个问题大家都是承认的,但是在落实到实际问题中,实际工作中,非常好处理的关系,但是还面临着很多问题,比如保密和公开的问题怎么搞好,发展和安全的关系,在出现安全问题怎么发展,这一系列问题,我们全程安全的过程中怎么解决这个问题,并不是很容易的问题,有很多新的问题需要我们去研究。
另外是坚持从实际出发,保证重点,从实际安全需求出发,综合建设成本和安全风险,分级、分类、分阶段信息安全建设和管理,最大限度控制和化解安全风险,坚持以法先行,依法行政,要加强信息安全法制建设,依法明确信息安全各方面的责任利益,保证公民、企业和社会其它组织的合法权益,为社会打击违法活动,通过立法规范信息安全管理,规范维护信息安全领域的各种行为,为维护国家安全,社会稳定,以及公民合法权益提供有利的法律保障,坚持以我为主,技术并重,信息安全高技术对抗,解决信息安全问题离不开高科技、高技术,要坚持自主创新,加大投入力度,加快信息技术和信息安全技术发展,大力支持我国的信息安全产业和信息安全,信息产业和信息安全产业,以上我给大家也介绍了最近第四次协调小组会通过的一些主要的问题,给大家介绍一下。
信息安全产业是建设信息安全保障体系的基础,政府和企业为了认真分析信息安全和信息安全产业的发展趋势,要重视新技术发展所带来新的机遇和挑战,比如可行应该起到信息通用技术的结合,一些信息安全模块,与信息技术产品的部分,要研究新技术,给新产业发展,提高我国企业的市场竞争力是夯实信息安全保障的基础,这是我国信息安全技术企业面临的坚决而光荣的任务,最后我想解释一下,我最后提出的问题,就是可行计算,很重视,现在科学上有两个方面发展,一个终端的科学计算,把很多安全的模块夹到终端里边去,还有网络可行计算,要在服务器加上安全功能,过去讲,我们过去计算机转轨产品和安全产品,安全分开,现在可能出现这么一个趋势,就是安全的专用技术和信息的功能技术,是一个结合,两个可能融合在同一种产品,所以这个为我们提出问题,我们信息安全怎么发展,但是我想可能仍然有信息安全的产品,但是在从网络和终端都出现安全模块,所以我就是说我们国内信息技术企业要研究这个发展,研究整个动向,联想公司比较早,有终端的模块,但是我们其他的公司在网络可行方面,研究不是很多,在路由器上,在国内大的企业路由器生产,华为在这里面起到很大的作用,所以我在这里讲我们重视新技术发展,给我们信息发展和信息安全产业带来影响,我们要重视这个形式和发展,我们国内从政府从企业分析这个问题,找到对策。最后祝大会圆满成功。谢谢。
主持人:谢谢吕司长给我们带来精彩的祝词和讲话。
本次大会的主办单位是中国电子信息产业发展研究院,下面,让我们以热烈的掌声有请中国电子信息产业发展研究院副院长、赛迪传媒董事长、中国计算机报社社长李颖女士,为大会至欢迎辞。有请李院长。
李颖:
尊敬的吕司长、何院士,尊敬的各位领导,各位来宾大家上午好!
非常感谢大家抽出宝贵的时间出席“2005年第六届中国信息安全大会”,在此我仅代表主办方中国电子信息产业发展研究院及赛迪集团对大家抽出宝贵的时间出席今天的大会,以及长期以来对中国电子信息产业发展研究院和赛迪集团,中国计算机报社的大力支持,表示热烈的欢迎和最衷心的感谢。
近年来计算机网络环境愈加复杂,各种病毒泛滥,漏洞攻击,黑客大战,网络钓鱼,间谍软件等攻击方式在全国范围内出现,引起了社会各界的高度重视,而且随着信息化带动工业化步伐的加快,电子商务、电子政务的不断推进,作为信息化建设重要环节的信息安全建设,也成为日益关注的焦点,我国政府曾多次强调,要一手抓信息化建设,一手抓信息安全,为此政府出台了一系列政策和法规,以维护国家的网络和信息安全,作为国家安全重要组成部分,信息安全得到了蓬勃发展,稳定的经济形势给中国信息安全产品、市场提供了良好的发展环境,市场也保持了较高的增长速度,据赛迪公文统计,2004年中国网络安全产品市场总销售额达34.92亿元,同比2003年增加48.2%,增长速度大于往年,实现高速增长,可以说从20世纪90年代中期开始,经过几年的努力,我国信息安全已经进入高速发展期,在我国从事信息安全产品的生产销售服务的企业已达一千多家,产品覆盖防病毒、防火墙、安全认证,以及整体解决方案等各个领域产业规模迅速增长。由此可见,我国信息安全产业已经成为信息化建设中不可缺少的重要组成部分。
一年一度的中国信息安全大会,到今年已经第六届,多年来,我们一直关注信息安全产业的发展,积极推进信息安全技术产品的推广,宣传国家的安全政策,提高人民的安全意识,今年大会的主题是“全程安全与应急服务”,从某种程度上看,说明信息安全理念正在发生重大转变,从单纯追求技术产品转变为全面追求主动整体的全程信息安全,评估决策管理服务以及法律法规,在信息安全中发挥的作用越来越重要,我们在本次会议上,将与大家共同探讨如何推进信息安全产业的发展和提升。
我国信息安全的水平,作为本次大会的主办单位,中国电子信息产业发展研究院及赛迪集团,拥有政府支撑、媒体宣传、咨询顾问、资质认证,产品测试多方位、多元化专业信息体系,《中国计算机报》自1985年创刊至今,已经有20年发展历史,经过20年不懈努力,《中国计算机报》已经发展成为中国大型权威的IT专业媒体,我们将长期关注信息安全产业的发展,积极推进信息安全事业,为我国信息化事业服务,在此我们要特别感谢国务院信息化工作办公室、公安部公共网络监察局、中国计算机学会计算机安全专业委员会、国家计算机应急处理协调中心、中国互联网协会、中国PKI论坛及中国国家信息安全产品测评与认证中心的指导和支持,特别感谢各位对赛迪集团和《中国计算机报》的支持,最后再次感谢大家的光临,预祝大会圆满成功,谢谢大家。
主持人:谢谢李院长!
今天我们有幸请到我国安全界的泰斗,中国工程院何德全院士给我们致辞。大家欢迎。
何德全:
刚才一听吓了我一跳,应该说中国网络安全的先行者是我们缪道期先生,老缪是我们国家一开始在计算机安全和网络安全做了大量的工作,所以我不敢当,叫我讲什么,实际上刚才吕司长已经都说了,我讲一点,我们现在确实很忙,我们现在考虑一个什么问题呢?就是为国家制定,就是能够在一个难得的一个战略机遇期,2005年,在这么一段时间里,中国特色信息安全战略究竟应该是什么,中国的信息安全的成效机制应该是什么,我看这是我们现在想的一个问题,但今天我想换一种讲法,我建议大家提一个建议,就是建议大家重视一下,今天是星期五了,就是上个星期五,4月14,4月初,就是美国的信息化总统信息化咨询委,就像我们现在这个信息化咨询委一样的,给布什提供的一个报告,这个报告提供叫(英文)怎么翻译,应该翻译成信息安全,这个底下这句话不太好翻,我看就翻译成急中之急,就是现在是一个非常关键的时刻,我想用,也就是到了一个紧要关头,我想是不是这样翻译,大体上能够把这个(英文)这个意思大体上能够表达出来,大家知道了,这个报告是上个星期正式公布,已经提交给布什了,那么这个报告实际上对于2003年美国的信息安全战略,这个大家都很熟悉,很多同志都做过介绍,有一些不同的看法,有一些不同的见解,大家知道了,原来这个战略大家知道,是(克拉克)写的,后来(克拉克)被炒鱿鱼了,大家知道给布什炒了,那个时候他是国家信息安全的顾问,所以古今中外带末能外,这个头被炒了以后,就会有一些新的见解,新的思路,新的问题,所以上个星期五,一个星期以前刚刚公布,实际前2个月已经提交给布什这个报告,我建议大家重视一下,看一看这个报告。
那么这个报告我简单地把这个报告的内容简单地跟同志们介绍一下,因为时间比较少,可能有些同志还没有完全看到,大概这么几个部分,一个部分主要讲这个问题,就是问题的严重性和形式的严峻性,看来在这个报告里面,我第一次感到,至少这个咨询委就总统信息化咨询委把信息安全问题提高到了一个对美国来讲,也是从未有的高度,所以它叫(英文)提高这么一个高度来认识这个问题,它有很多案例,有些是我们知道的,有一些是我们不知道的,比如说美国的信息安全在对于美国的基础网络,基础设施的破坏性,和隐藏的危险性,实际上比我们想像得要大。我们过去知道一些例子,但是有些例子我们不知道,比如对美国水的污染的问题,对于密西西比河监控的问题,也包括像美加大挺的问题,和信息安全的联系在哪里,这些我们都不得而知的,这些报告提出一个看法,现在看来情况不是越来越好,而是情况越来越糟,这个问题,这篇报告里面有一些阐述,我想用我自己的语言,用我自己的体会讲一讲,借用经济领域剪刀差的问题,大家知道经济学里面,苏联的经济和中国的计划经济问题,剪刀差问题很突出,工农业的剪刀差,两个越来越远,不是越来越近,我想至少有四个剪刀差,现在是存在的,第一个剪刀差就是攻击手段的高科技性越来越强,直往上走,攻击者所需要的知识并不一定增长很快,这是一个剪刀差,第二个攻击的成本越来越低,但是防御攻击的成本是越来越高,它并没有降低的趋势,第三个就是攻击者所需要的漏洞信息,传播速度是越来越快,特别是在攻击者这样一个社区里,传播速度极快,可能是一两G,但是我们漏洞的这种传播的,或者共享的这个速度,却是提高得相当慢,所以这个剪刀差又存在了。
总的说来,就攻击能力是快速的增长,而防御能力增长是比较慢的。因此这个报告就提出一个问题,那么我们怎么办呢?现在的这些办法是不是长久之计,有没有什么办法,从根本上把这个剪刀差越来越大,越来越宽地这样一个剪刀差,把它缩小,如果不是,把它消灭的话,我觉得这个报告提出这样一个问题,而这样一个问题,看来这个报告提出来,就是看待我们现在需要一个崭新的机制,和一个崭新的思路,这是这个报告里面一个重要的结论,首先这个崭新的机制,我觉得比较明确地讲清楚了,看来在信息安全包括产业包括市场,以及信息安全整个的这样一个事业来讲,安全用市场机制看来不行,因为大家都很清楚,安全的利润的回报是靠度量这个不发生事情所造成的损失来衡量的,但是你安全又不让它发生,因此它就很难用经常的市场机制来衡量,另外我们需要一个崭新的思路,原来的思路看来基于过去这样一个软件工程的办法,和基于过去的这个协议的这样一个安全深度来讲,看来满足不了信息安全的根本性问题,所以要从根本上从基础上,从核心技术上来解决信息安全问题,那就需要有一个新的思路,需要一个新的做法。
那么在这个报告里面,实际上提出4条建议,如果我没有记错的话,第一个大大加强信息安全科研的投入,第二个要大大加强信息安全队伍的建设,据这份报告估计,在美国既有实践经验,又有比较深厚理论基础的信息安全专家不超过250名,整个美国,不超过250名,我看今天在座可能也有一百名,因此要求在2010年以后翻一番,说的是这一部分人,就是有丰富的实践经验,又有深厚的理论基础的信息安全专家,要求把这个队伍增加一倍,这是第二个。第三个就是从对现在的安全创新进行再思考,也就是说信息安全的成果转化成为防御能力的,这样究竟应该怎么把科研成果变产业化,而且寻求真正实际的能力,这个问题需要再思考,所以这些问题我觉得都说明了一些很重要的一些问题。第四个问题就提出来看来需要把现在信息安全从科研到产业的这样一种结构性的弱点,加以克服,如果不克服这种结构性的弱点,也就是说没有一种协作的,没有一种合作的,没有一种协同的一种机制,这样一种结构性的机制,看来很难把信息安全事业推向前进。所以这是一个咨询委,向布什提出的4条建议。
另外还提出来,就是10个优先的领域,所以提出来10个优先的领域,大体是这样的,第一个就是要研究认证的方法论的问题,也就是我们面向一个什么呢?面向一个和社会和人紧吻合的一个非常庞大的这样一个巨细,这样一个系统,怎么能够开发出真正为大家乐用的,有实际效果的一个认证的方法论,这是第一个问题。
第二个问题就是看来我们要从根来研究,安全的基础协议,现在这个协议看来,后加了,它并不是很安全,因此需要有一个安全的基础性协议,包括现在我们正在发展的(英文)和无线等等这些协议,如果不从根上把这个协议弄好,你要费很大的成本,可是只能解决一时的安全所需。
第三个就要重新思考新的安全软件工程,这个大家都很清楚,我不多讲了,就是现在的软件工程,实际上把安全做成一个附加的甚至于是累赘的这样一种思路,必须从根本上改变,而是要基于安全的这样一个安全网络工程,这是第三点。
第四个就是从整体上解决安全问题,因为这个网络太大了,要求所有的信息都安全,都可信,实际上是做不到的,就像一个社会一样,要求没有一个坏人,实际上是做不到的,因此上从整体上解决安全问题是什么意思呢?即使你的部件是安全的,你不等于你的整体就是安全的,反过来说,你的部件既是有一些不安全,那么它整体上还是安全的。大家知道,这个问题最早提出来,不是外国人,而是中国人,就是钱学森同志,在它的工程控制论这本书,就是把在40年代写的一本书,提出来这样一个观点,就是能够用一些不十分可靠的部件搭建可靠的系统,我们两弹一星就是这样制造出来,我们当时制造条件相当差,但是毕竟我们卫星上天了,毕竟我们原子弹爆炸了,并没有发生安全事故,这也是这次报告提出来,整体上来考虑安全问题。
第五个问题大家都很熟悉,要研究实时有效的监控体系,然后还要解决一个什么问题,一个新的减灾和灾变新的结构体系,如果按照现在这一套做法,实际上能不能真正减灾,能不能真正背了灾,还是一个问题。
第六个要从根本上,提高计算机犯罪的发现和控制,我说的是从根本上,不是一个一个具体的结束。
那么第七个就是要有一套,确实是可信的,而且是可操作的一个模拟环境,和实验台,如果没有这样一个真正的一个完整的这样一个问题,恐怕解决不了安全产品的这种可靠性的问题,可可信性的问题。
第八个就是怎么面向一个通用的这样一个安全的基准和安全的度量问题,大家知道我们实际上在科学技术里面,有一整个的东西,但是在信息安全没有一个通用的大家公用的标准,这样如果我们在这个基础上的测评,我讲句不客气的话,这个测评实际上走过程,这是第八个问题。
第九个问题就是这个报告提出来,要解决安全的社会治理问题,他们意识到完全靠技术不可能解决,而必须有社会治理的概念,大概这个报告就提出这10个方面,因为这个报告刚刚出来,我也没仔细看,今天我也没有一字一字核对,我只是把这10点跟同志核对一下,建议大家重视这个报告,我只说重视,没有说(佛楼)这个报告,总之大家参考一下,看人家怎么想的,对于建设我们具有中国特色的信息安全的战略我觉得是会有好处的,我的话完了,谢谢大家。(他自己少说了一个)。
主持人:下面我们将进入本次大会的核心部分—主题报告阶段。
首先我们特别邀请的中国最权威咨询顾问机构之一的赛迪顾问,计算机软件咨询总监肖健发言,他发言的主题是“中国网络安全产品市场,发展形势与前景展望”。
肖健:
各位领导,各位专家,各位来宾,大家上午好!刚才主持人提醒我,由于时间关系,我们演讲时间很紧,所以我简短地给大家介绍一下中国网络安全产品市场的发展形势与前景,刚才吕院长和何院士讲话都非常谦虚,我谈不上报告,只是一点我们研究结果和大家一起共同分享。我汇报的内容包括4个方面,一个是网络安全环境以及网络安全市场发展的现状、前景和机会。
那么我首先看一下全球及中国网络安全的现状,可以用两个词来形容,严重和严峻,严重就是网络安全的威胁日益严重,而网络安全的形势则更加严峻,那么提到安全首先大家想到的就是病毒,那么从过去这几年来,可以看到各种病毒正日益侵害全球及中国的计算机用户,以中国为例,到2004年计算机病毒的感染计算机数量已经超过87%,那么近几年来除了病毒还有垃圾邮件、黑客大战、漏洞攻击以及网络钓鱼、间谍软件等等,还有更为严峻的这种内部恶意破坏,这些都使得我们面临的网络安全形势更加严峻。以2004年为例全球的病毒攻击给电脑用户造成损失超过千亿美元,由此网络安全问题也受到了全球及中国的广泛重视和高度关注。
接下来我们具体看一下市场发展情况,我们赛迪顾问定义中国网络安全产品包括防火墙、防杀毒软件、入侵检测系统、数据备份、信息加密几大产品,从01年到04年中国网络安全产品市场基本处于快速增长的阶段,那么年均复合增长率超过40%,2004年达到市场销售35亿元的规模,增长度84.2%,可以说受到政策驱动和需求拉动的影响,中国网络安全市场正在快速增长,并日益走向成熟。
那么再简单看一下中国网络安全的市场结构,应该说防火墙仍旧占据重大的市场份额,接近半壁江山,而防杀毒软件仍然是最主要的安全防护产品之一,除此之外受到更多样化的攻击手段影响,用户需求日益广泛,因此包括网闸信息安全认证其它网络安全,需求增长非常快,市场份额也持续增大。
接下来这张片子就是对三大类细分产品的一个市场规模的具体情况,分为防杀毒软件、防火墙、卫星检测系统,时间关系我不说了。
分析中国安全网络产品所处的阶段,任何产品有生命周期,从导入期到成熟期到衰退期,2003年中国安全市场处于导入的阶段,从2001年以来,我们市场已经处在一个高速增长的快速发展阶段,刚才我提到04年市场规模已经接近35亿元,在这样一个环境当中,我们竞争也日趋激烈,企业数量不断增多,那么在优胜劣汰过程中,树立了很多国内国外的优秀品牌,除此之外,网络安全服务正在快速发展,成为网络安全产业发展的一个利润增长点,那么国内网络安全产品市场的发展,与厂商贡献所分不开的,在中国网络安全产品市场发展过程当中,国内厂商和国外厂商都起到不可忽视的作用,曾经一度国外厂商占据绝对优势,那么现阶段国内厂商的这种增长速度非常之快,已经超过了一半的市场份额,凭借这种渠道,用户以及厂商数量这些综合优势,国内厂商发展速度非常快,那么从技术角度来讲,国内外的技术差距也日益缩小。
那么我们再来看一下,中国安全产品行业细分结构,很显然电信、金融和政府,三大市场仍占据最主要的市场份额,其中电信和金融的市场增长速度稍有放缓,很突出全是政府这一块,政府和教育这些两大非商用市场,采购需求增长非常明显,增速非常快,除此之外包括制造、交通、流通卫生、邮政,随着建设阶段的进展,网络安全需求日益突出,这几个市场份额也增长非常快速,我们刚才提到了政府市场是最大的一个网络安全行业细分市场,电子政务建设已经成为网络安全的主战场,不仅政府市场是整个安全细分行业里最大的一个行业,那么安全的投资在整个政府信息化的投资当中,也占据了最大的比重,超过25%,这里面有一幅图,可以看出政府在各个细分产品上的一个投资。
那么接下来进入我们对未来市场一个预测,据赛迪顾问的研究,未来5年,中国网络安全市场将逐步走向成长和成熟,年均复合增长率达到27%我们看看增长率呈逐渐下降,这也是中国网络安全市场成熟的一个标志和表现,那么预计到2009年中国网络安全产品市场规模将接近120亿元人民币,预测还有包括细分产品和细分行业的,那么从细分产品的角度来看,防火墙依旧占据最大的比重,而防沙炉软件市场,多年软件市场发展它已经饱和,向防杀毒硬件的转化,随着网络威胁多样化和严峻,包括信息加密,网闸,其它网络产品得到越来越广泛的应用,所占的市场份额将逐步扩大。从区域的市场来看,主要分成这么两大块,一块北部和西部地区,包括华北、东北、西北、西南,这些 地区发展速度相对其它地区略快,他们主要靠政策驱动,振兴西北,西部大开发政策,包括以北京为代表的华北一些政府,他们这些增长速度快其他地区,华北、华南为代表的地区,发展较为成熟,增长也非常稳健的市场,他们未来的发展主要依靠商业驱动,总的发展趋势来讲,未来5年,中国区域市场将日趋平衡,总的发展速度也将十分接近。
最后我们再来看一看中国网络安全产品市场的发展机会,刚才我反复提到政府市场是目前最大的一块市场,我们从这个图当中也可以看到,电子政务建设将使得政府成为将来网络安全市场发展的一个重要推动力量,而金融、电信行业同样不可忽视,他们仍将是网络安全市场的应用主题,还有包括交通、建筑、能源、卫生传统行业,他们网络安全应用将日益扩大,另外一个不可不提到的就是中小企业,在座各位厂商也关注到,中小企业应该受到用户及厂商还有社会各界的广泛关注的一个热点,那么尤其是很多中低端的产品非常适合中小企业,那么可以想见未来中小企业将是众多厂商争夺的一块焦点,那么还有安全服务,也是非常受关注,包括今天大众提,有应急服务,我们认为安全服务包括安全外招服务,应急响应服务,这些专业化的安全服务,将在未来,受到广泛的重视,而且我国的服务将从从无偿服务走向有偿服务,厂商服务更加专业化、品牌化。
以上就是我汇报的主要内容,谢谢大家。
主持人:谢谢肖健给我们带来的那么多翔实的数据分析和精彩演讲。谢谢。
我们有句广告词:人类失去联想,世界将会怎样?下面,让我们以掌声请出联想信息安全服务总监田野先生来回答这个问题,他的演讲主题是:电子政务等级保护解决方案。有请田总。
田野:
各位领导各、位嘉宾、各位朋友,大家上午好!
我是联想的信息安全服务总监,我叫田野,今天和大家分享的是联想我们新提出的理念,叫等级化安全体系,这个基本上也是响应国信办和公安部的号召,在等级保护方面所做的更后面的一些具体的实施方法和解决方案的这些内容。
我今天给大家带来主要三个方面的内容,我简单介绍等级保护方面的国家标准和政策,当然各位也有非常多的政府的领导,还有专家,这方面我只是简单过一下,然后我讲一下联想在这方面的,我们今年提出安全理念做到等级化安全体系,第三部分要论一下等级化安全体系的实施和落实一些具体的方案。
这个就是说大家都比较熟悉了,在信息这方面,国家近期发布的03年9月份发布27号文件,04年11月份就是66号文件,在66号文件里面,就明确提出,等级保护是今后我们国家信息安全基本政策和根本方法。然后我给大家稍微介绍一下,《电子政务等级保护实施指南》这样一个标准文件,这个是04年7月份,这个马上就要即将发布的,是04年7月份,国办汇集公安等单位,成立了一个叫电子政务等级保护研究特别组,《电子政务等级保护实施指南》在04年7月份到05年3月份,全国经济工作会议讨论的,3月份完成定稿,在3月底在广东省江南市进行一个试点,现在试点以后完成,总体来说,效果还是不错的,解决很多在标准撰写当中,考虑不到的问题,还有一些实际的就是方法进行一些验证,总体效果还是不错的。这个验证的结果就是这个试点的结果在这个月底的时候,我们向国办的领导做汇报,根据汇报结果我们还可能对这个标准进行一些调整,在5月份的时候,将会下发,因为这个标准还没有正式公布,我今天简单地介绍一下,也是为这个标准出台我先吹吹风,造造势。
等级保护这个主要内容一共分为5章,三个附录,第一章引言,第二章基本原理,包括基本概念、模型和原理实施过程、角色和职责,剩下三章是根据等级实施阶段来描述的,描述每个阶段所包含的原则、方法和过程,第三章定级,定级这个过程中,包括定级原则过程及等级划分,定级确定,第五章规划设计主要描述等级保护的建设,如何描述这个系统,选择和调整安全措施,安全规划和设计,第五章安全措施的实施、验收、运行和改进,在江门电子政务试点中,我们觉得重点就是说获得经验,第五章还有一部分调整,原来写的时候,没考虑清楚,附录当中描述了,像附录B,复杂的等级保护过程,因为对复杂保护过程用通用的办法不是很够,因为它要加强优化工具,更复杂的工具来描述,所以这个里面表述,大型复杂这种系统,要进行保护。
等级保护的基本原理在文件中,描述出,定义为依据电子政务系统的使用、目标和系统主要的程度,并综合平均考虑系统安全要求,系统面临风险的要求,实施安全措施的成本,通过调整和定制,依据27号文件,对等级保护进行一定的抽象,形成这样一个基本原理。然后有实施等级保护的目的,主要适应客观规律,它满足不同行业不同发展阶段,不同层次安全要求,有利于突出重点,节省成本,在这个原理当中,我们认为包含这7个主要的要素,包括信件的系统、目标、安全等级、安全风险、安全措施和成本。那么对于描述一个概念的,描述有哪些因素,这些因素之间的观点怎么有机结合的。这些要素之间最根本的关系就是不同等级信息,相对应的措施对应关系,核心问题就是确定安全措施,就是我们做安全,其实最核心的问题,如何建立这些措施,安全措施对抗所面临的风险,系统保护要求,由信息系统的目标、业务特性差异性所决定的,这个针对实际情况,这个业务系统是什么样的,它会决定什么样的保护需求,最后安全措施的确定,它需要系统保护满足程度,风险的控制和降低成本,安全措施之间的成本三者要平衡,从原理角度来讲,它单纯技术角度来讲主要取得等级保护,系统的保护要求和风险就可以有了,但是在实际操作中,有成本的概念,也就是说在成本因素的考虑下,取得三种平衡,在适度的成本下,实现适度的等级保护基本原理。
下面我介绍一个,根据这个原理所形成的模糊,在正式的指南当中,没有选择这个模型,为什么今天我还讲呢?我觉得这个会比较形象,更容易更清晰一些。我们采用一个鸡蛋的模型来描述电子政务,是电子政务的等级保护带,这里面包含的元素7个要素,像蛋黄代表目标,蛋白代表系统,蛋壳代表安全措施,蛋白就是代表信息系统,它的目的是为了支持目标的实现,是需要保护的对象。蛋壳表示安全措施,它是保护蛋白信息系统,它间接保护目标的实现,其实核心目的确定鸡蛋的蛋壳安全保护措施是什么样的。蛋膜它表示系统安全要求,依附于信息特性,所产生的要求安全,然后它和蛋壳紧密相连,安全措施的成本就是安全措施的属性,它比较形象地表示了蛋壳的厚度和强度,也就是说表示了安全措施的功能和强度。安全风险它就是从内外作用蛋壳,从而威胁蛋白的信息系统。整个蛋分为5层,就是说系统分为5层,安全措施也分为5层,对应的保护。那这三个箭头的含义就是描述这个蛋壳,就是一个安全措施它是怎么决定的,它的决定就是说是通过安全措施的成本,安全的保护要求,安全风险三者取得一个平衡,它来决定蛋壳中的点,安全措施,所有点组合起来,通过自己的规则组合形成,形成蛋壳,也就是安全措施的集合,也就是最后形成的安全体系。这个模型最后我们没有采用,把它删除了,征求意见的时候,很多专家说比较形象生动,但是显得不太严肃,最后把它取消了。
等级保护实现过程原理,主要要素和观点,上面等级保护模型所描述的,实现的过程,电子政务的系统,依据定级规则,进行定级确定系统的安全等级,然后根据电子政务基本安全要求,来选择出基本的安全要求,这个情况下,并不是机械的,我定成几级,我选成相应的要求,实际工作中存在很大差距,也就是要采用经过调整和定植,也就是要考虑风险和成本和系统包括要求,这三决定蛋壳点的什么样的,是调整和咨询的过程,这个调整过程之后,形成系统保护措施,分各详细的保护措施,经过规则,决定如何实施,如何管理,最后形成保护措施的体系来保护电子政务这种系统,这是实现过程中的原理。
电子政务保护实施的过程分为三个阶段,第一、定级的阶段,第二、规划和设计阶段,包括选择各种措施,方案措施,第三是实施平衡和改进阶段,主要是包括安全措施实施评审持续改进。
最后我总结一下,等级保护的战略意义,由27号文件,就是到目前5月份推出《电子政务等级保护实施指南》,电子政务保护是国家基本制度,是电子商业的根本方法,工作思路、解决方案、工作规划、产品采购、安全集成都依照等级保护进行,在其他行业领域,等级保护领域具有强制力,公安部门做为根本的标准,也将发挥深远的影响,等级保护促使从安全的业界来讲,促使厂商改变其提供解决方案,产品和服务的方式和内容,产业格局可能进行调整,这个随着等级保护逐渐的推进,力度在加强,产业格局肯定会发生改变。
接下来在这种形势和格局下,联想为了更加顺畅,把等级保护真正实施下去,为国家做一些相关的事情,我们推出我们一个理念,叫等级法安全体系,这个理念推出的原由是什么样?我接触等级保护时间比较早,在27号文件中,它总结成为一种安全工作的方法和原则,在66号文件中,确定信息安全的基本制度,它是一个作为安全工作的根本方法,之后它吸收了应用一个体系的理念,形成等级化安全体系,需要满足大系统的复杂要求,因为等级保护它主要是一种工作方法和原则,但是它不能解决全部的问题,因为它没有描述对一个复杂的大系统,它需要做什么,做到什么程度可以,而且它需要能够实际工作需要,能够日常安全管理中,不要做成另外一层皮。
体系化主要是什么样,主要是结构化的安全目标和措施,对需要安全体系,为了防止结构复杂,为什么引入体系化,主要大型的信息系统描述非常困难,安全覆盖的内容极为广泛,设计也非常困难,体系总体来说是一种结构化的方法,它就是说安全的框架相对规定,它可以保证运作的时机稳定性,内容相对完整,根据发展可以补充完善,总体设计方法,一个采用结构化,形成等级化设计方法,整合安全方案产品和服务,为客户设计覆盖全面,节约成本,持续运行的安全保障体系,理念的要点和特质就是关键组成部分,包括两部分,登记保护和安全体系,设计方法就是说整体化、体系化相结合形成等级方法,特质包括整体性,主要结构化系统化,内容全面,这是体系所能提供的特质。等级化突出重点,节省成本,这是保护所提出的特质,针对性,针对实际情况,符合业务的特性和发展战略,这是体系设计的方法提供的内容,内容可持续完善,对于体系本身结构化方法提供的特性,实施后的状态,是持续运行,覆盖所有安全内容的安全保障体系,是安全工作追求的最终目标。带来价值,就是符合国家政策,它能够给出安全工作的目标和总体轮廓,能够符合客户的实际要求,涵盖所有的安全内容,促使安全内容,适合不同的信息发展阶段,不同层次的要求,给出适当的投资规模和结构,确保重点,总体上节省安全资金的投入。
第三部分,我简要介绍一下,这个等级化安全体系的实施和落实的方案。对于一个安全工作,从客户角度来讲,它的价值愿望是这样的,包括评估体系,规划方案,实施建设和体系运行,这个主要从生命周期来讲,每个阶段提供不同的价值,联想所提供的包括在评估阶段,评估服务体系,设计里面提供的体系设计服务,规划有规划服务,方案有方案服务,提供典型方案,体系运行所包含的外包服务和售后服务,这种情况下,就是我们打包所有的这种产品和服务,形成依据不同的解决方案,全系列,全价值链产品和服务整合在一起,我们形成一个叫,第一个方案安全体系解决方案,但是对不同,对前面的咨询要求并不高这样的客户,打包成另外一个解决方案,叫做等级保护一体化解决方案,这两个方案,第一个方案是相同的,等级化安全解决方案,使用于大型,超大型的,外包的解决方案,第二个方案等级保护应急化解决方案,使用中小型客户,安全相对简单,不要求全价值链的服务,然后提供的经典咨询和产品一体化解决方案。
下面我介绍一下两个方案不同内容,等级化安全体系设计流程,这个解决方案由保护对象到安全要求,到安全目标,到安全措施,这样一个设计流程。在电信行业举一个案例,它的保护对象是这样一个情况,根据业务系统内容不同的模块,然后颜色不同,代表它的等级不同,这是一个定级的过程,由于大的模块定级,有细节模块的定级,然后它的建设规划,根据这个记录体系,分为技术平台和技术所涵盖的项目内容,等级体系恩、运作体系,这样规划和建设,建设过程包括定级阶段、评估,主要是评估和体系设计、定级,规划阶段主要是规划方案,然后在体系建设阶段,根据四个不同的体系阶段进行建设,最后评审团验收。运作模式由工作领导的小组或者安全主管部门,提出安全目标和要求,细化到安全管理员提出详细的指标要求,然后进行体系的定制和改进,最后建设成一套等级化安全体系,这个过程当中,巡检人员进行改进。这是政府行业典型的对象框架。对于等级保护另外一个,适用于中小客户应急化保护方案,主要包含的内容,在启动方案阶段,包括等级保护的培训、方案咨询,然后等级保护建设和管理这些软件的辅助工具,实施包括集成、产品采购、运行外包、评审,所有的内容综合在一起,通过大客户,就是获得所有的经验,把它定义为经典化,或者形成等级保护一体化解决方案,是这样一个总体方案。
在最后我简单介绍一下,就是广东江门市信息中心对这个案例所包含的内容和定义的结果,这是广东省江门市信息中心安全应用的结构,它的定级主要是针对4个系统,包括政府服务热线、人大中心提议、网络自动化等等,通过我们设计5个包,把CIA3性变成不同的属性,获得这样一个值,最后等级确定是二级、一级,二级和二级,总体定义为二级,在江门市电子政务系统总体定为二级情况下,我们设计解决方案,包括管理解决方案,技术类解决方案,大概这些。
时间关系我不细讲,我今天讲演到这里,谢谢大家,希望能对大家工作有所帮助。
主持人:谢谢田野给我们带来了精彩的演讲。
如果有一个公司它的实验室在全球应有3万项发明专利,它拥有过11位诺贝尔获奖者,我想不能够不关注它的声音,就是朗讯,接下来有请朗讯数据产品部经理庄亮,他将告诉我们朗讯这位电信技术巨人对安全所发出的声音,有请庄亮。
庄亮:
主题:端到端管理的安全解决方案
各位专家各位领导,谢谢大家给我这次机会来这里来宣传一下我们朗讯在网络安全管理方面的解决方案。早在6年前,朗讯推出一套网络安全的产品,经过这6年的发展,朗讯网络安全发展非常完善,通过4个主要部分来形成的,第一个是我们的网络安全的硬件,也就是我们硬件的平台,叫做VPN Firewall Brick,它集成各种功能,比如防火墙VPN,还有开放式管理,第二个部分是我们的中央管理系统,在这个中央管理系统里边,它集成了很大的,很多的管理功能,主要防火墙的管理,VPN的管理等等,第三部分是我们一个Proxy Agent通过这个代理服务器,我们可以实现URl的扫描,阻塞等等。第四个在客户端的免费解决方案,通过VPN可以使远程用户接入,安全实现网络。
朗讯这种业务架构,有非常大的伸缩性,就是我们网管系统,在配置上面,它非常灵活,通过网管的截面,可以安全管理,我们几个主要部件都可以实现基于状态的故障切换。同样我们还可以实现这一个网管平台,一套网管平台可以管理上万台的网络防火墙的设备,在这里我们简单介绍一下我们网管,实际上网管我们可以有非常强大的管理能力,我们在这个网管上面,可以对防火墙进行配置,可以对它的策略进行管理,同样我们还可以做到VPN的管理和点到点,还可以做到策略,QOS的策略,带宽的管理,都可以通过网管来实现。另外我们还可以对这个防火墙的状态,实施实时进行检测,可以产生一些日志、报表,对系统管理员来讲,很容易掌握网络安全的重要性,还进行客户端的管理功能。
为什么讲这套网管是端到端的管理,我们可以控制客户端的使用安全策略,并且还可以控制个人防火墙的设置,可以真正实现直接到用户端的管理,同样我们知道一个好的一个管理软件,它可以减少管理员对于网络管理设备的闲余时间工作量。我们的网管还可以做到,分权管理模式,对一些其他用户,对一些商业用户来讲,他可以把他的管理权限下放到他的分公司,或者他分的这些客户,那么这些管理权限,他可以很好地利用,进行一些自己的设备的策略管理,自己的VPN用户的管理,甚至可以观看一些自己权限以内的一些日志,使用日志,那么这样就增加了这种企业或者运营商它的灵活性,网络设备的灵活性,也增加了这种用户的这种独立性和网络管理性。
我们的网络防火墙是这样,有很多的型号,从20一直到1100,可以适用于不同的企业用户,甚至政府用户甚至一些运营商的用户,不同的使用要求,在我们的防火墙里面,有一个非常独特的操作系统,叫做Inferno的操作系统,大家知道朗讯有非常悠久的贝尔实验室,从贝尔实验室里面已经推出这种操作系统UNIX,而Dennis还是C语言的主要设计者,像C语言通过贝尔实验室推出的,同时我们Infemo研发团队由Dennis来领导,由一张软盘可以承载整个操作系统,我们知道一个软件的大小,直接影响着软件大小出现的可能性,软件越小,在追踪上越容易,所以我们Infemo减少了这种出现的可能性。另外软件小它的处理效率非常高,节省系统处理时间、系统的资源,另外提高设备的处理效率。
还有一种我们在这里没有写,我们也知道,对于一个操作系统,熟知程度影响到黑客对网络攻击的可能性,一个不为人知的网络会减少这些攻击的可能性。我们防火墙主要运作在二层调解使用这种网络模式上,它可以做到一个现在透明的连接,在安装上无需改变原有的IP网络配置,也不需要改变原有的网络规划,使用上面非常简单,只要接线就可以。另外由于我们有一个很好的网管,所以在现场安装的时候,并不需要一个非常专业的安装人员,通过网管可以做到有效的管理。二层调解,防火墙最大的特点,它有非常好的隐秘性,黑客很难发现防火墙的存在,对防火墙这种漏洞攻击就很难实施,所以同样也可以很有效地保护客户的专用网络。在防火墙里面可以继承虚拟防火墙的功能,在这个虚拟,在VPN的防火墙设备,我们可以通过划分很多防火墙,这些虚拟防火墙,还可以非常灵活地组织起来,有独立的策略组,那么为这种企业,这种运营商的用户,非常灵活地提供了它的主网的方案,防火墙里面还有一个很好的带宽管理的功能,它的带宽管理功能是非常强大的,也非常精细,我们可以看到在带宽管理的控制上,我们有四种类别,我们可以根据接口来划分带宽,我们也可以根据虚拟防火墙划分带宽,我们可以根据每一条规则分配多少带宽,我们还可以通过美国会话,分配带宽,所以分配的类别非常细。
在流量控制上面,我们也有两个种类,一种我们可以保证做带宽,那么我们可以保证你最大的带宽,最小带宽是多少,另外我还可以对你进行限制,比如说带宽的限制,你最大的带宽不能超过多少,那么对于这些来讲,有很多的网络应用会非常的需要这个。另外我们的网络队员也是非常精细,我们可以做到每一个比特/秒,每秒设置,也可以设置每秒有多少会话,每秒有多少包,这样我们结合前面的流量类别,可以很有效防止攻击,增加它的攻击难度。
我们同样也可以做到内容过滤,定时检测这些功能,这些可以通过我们专业的第三方软件厂商合作,比如信息快进等等,可以实施内部定期检测的功能。我们IPSec在客户端,所以它有一个非常简洁应急的截面,安装非常方便,可以设置好配置完,不需要任何的专业来做,在功能上它非常强大,我们知道很多企业,有自己的DNS,当它通过功能网络,因特乃特网络连接进来,通常有公用网,有一套DNS,在建立一套操作系统,我们可以定义。所有的用户策略都是由RADIUS直接管理控制,用户不需要在配制,所以建立之初,都把安全策略,同时从远程RADIUS参数下载,所以系统管理员完全管理到每个用户,包括个人防火墙的设置,这有一个好处,就是说我在隧道建立之后,我可以设定它的防火墙,丢弃到所有的外来包,这样可以防止这台设备,这台PC,作为终管站,通过它可以攻击到其他网。
下面我介绍到企业网络方面,对于企业网也要设置安全的防火墙,通过防火墙,通过网管可以管理到每个分支,对于分支机构,只要搬一台防火墙,通过因特乃特,网管可以解决管理得到。这种管理可以做到像(英文)安全的策略等等。同样它也可以支撑像这种远程拨号用户,安全的接入,比如一些远程办公,比如移动用户的这种接入。
另外一种可运营的网络安全服务,是为运营商准备的,运营商可以在网管中心设立网管服务器,通过网管管理各个客户的这种安全防火墙,为他提供这种安全的服务,那么对客户来讲,他可以租用,比如说安全防火墙的服务,远程拨号的服务,甚至一些病毒扫描,UIL阻塞,一整套安全网络的服务,对数据安全中心来讲,我们可以根据基于每个VIAN划分的防火墙,根据防火墙为不同的这些Poilicy或者不同的部门、单位,定制相应的安全服务要求,我们知道VIAL有很多安全服务,可以划分不同的虚拟防火墙,根据它的要求来提供。
下面就是我们在虚拟会议中心的一些具体的介绍,在这里我就不多讲了,可以看到,我们主要通过VIAN约束各个客户之间的流量,所以由于进行VLAN,所以跟IP地址无关,所以我们在这张图,把私有的IP地址完全可以重复的,很容易做到有效的分离。
网络侧的安全服务,是针对一些运营商,现在只是简单地为一些中小型企业提供宽带接入服务,这种服务我们知道是固定的费用,通过这种安全服务,可以增加它的价格,那么我们可以看到,中小型的客户,它可以通过服务器连接进来,连接到网络之后,通过网络VPN,划分约束到每一个虚拟防火墙中心,每一个虚拟防火墙,为一个客户提供不同的安全技术要求,同样我们现在也可以支持像H323和SIP VOLP的协议,所以我们在局端支持VOIP服务安全,可以知道现在VOIP很多动态的信息,动态的端口,都是通过VOIP,可以通过它的内容,可以动态打开端口,允许它通过,通过之后,可以有效关闭,完全是动态的,这样真正保证局端的设备的安全。
在这里我们简单总结一下我刚才所讲到的朗讯防火墙的系列的主要特点,最重要的一点就是说我们可以提供一个端到端的管理的网络安全服务,谢谢大家。
主持人:
谢谢庄亮带给我们精彩的演讲,应急服务是一个非常时髦和很漂亮的说法,做起来不那么轻松了,为此本次大赛我们特别邀请了国家计算机网络应急处理协调中心副总工程师、亚太应急处理组织副主席杜跃进博士,他将为我们讲述的是“如何有效而开放的应急合作体系。”热烈的掌声有请杜博士。
杜跃进:
大家好,按照这个时间表,应该在3分钟之前结束了,所以我现在讲过去时,考虑到整个会议的情况,我基本上不讲准备好的胶片,我准备了几行字,讲这几行字,这是根据情况一种动态调整,这种动态调整,我们认为是只有人可以做得出来的,在这儿我跟何院士学到很多东西,一个比如非典期间学到了很多系统控制论的这方面的知识,在这里面有一个基本的理论就是我们是反对这种唯武器论,是不是你的枪比我好,你一定能打赢我,不是这样,关键因素在什么,人的智力,两个人一比你有枪打不赢我就完了,这是关键一点,我们到说应急服务,在安全的服务把人引进来,才可以对抗动态变化的过程,这种动态变化过程,由于攻击者本身是可以变化的,不按常理出台,像一些电视上,我练好的套路,对方没有必要按照你定好的出牌等等,所以人在这里面非常重要的。现在应急的概念其实很多人已经在接受这样的概念,包括我们这次会议也已经开始说应急响应,但是我想再强调一点,其实我们这里说的应急并不是急了以后,才来应一下,其实它是我刚才说了,它用这个概念把人的因素进入到安全保障的这个工作里面来,那么它如果看一下各种应急组织,各种各样不同应急组织它们的服务的话,大家看到他们从准备阶段,好多工作的,所以我们强调应急这个概念,但是不希望,不是说要把安全分成不同的环节,其实正相反,依靠人把不同的环节捏到一起来,我的胶片还会用一点,我的焦点不是想和大家探讨应急的概念,很多人已经了解了,我想探讨应急里面尤其这两年强调的一种合作,在说这种合作之前,我说一下,从2004年的事件,我们可以看出两大趋势,一个趋势就是这种攻击事件的动机与以前不同了,2004年比较多的一个事件比如像银行的欺诈事件,或者电子商务网站的欺诈事件,再比如我们2004年底,2005年处理的江苏网络事件,很多事件已经不再像以前的,只是说攻击者为了炫耀自己的技术,或者就是为了好奇做的事情,攻击者的动机现在逐渐开始为了变成,为了谋取自己的个人利益了,我们以前的病毒制造者,CIH的制造者,给他自己带来什么好处吗,没有带来什么好处,因为病毒一释放出去,谁会中招他也不知道,中招对他有什么好处,也没有好处,在金庸武侠小说里有一个白开心就是损人不利己的。
第二个趋势就是有组织,有计划的攻击开始越来越多,这种组织和计划一方面表现黑客不再单枪匹马来做这件事情,我们在2004年发现一个我认为应该是据说俄罗斯那边的黑客组织,它有计划地做了1700多个假的网站,但是并不是我们看到的那种冒充某一个银行的网站,而是在里面藏着故意代码的网站,他想干什么,去年公布很多IE浏览器的漏洞,所以他构造这么多假网站,通过各种手段诱骗用户访问,我们自己发现,在我们国家至少有2万多个IP访问过这些机器,如果你机器当时IE补丁没有补上,通过这个网站把人家专门的程序送到你的机器里,这个程序是什么,现在很多人关注另外一个间谍软件,银行欺诈,我待会儿结合银行欺诈的例子来讲,一个更直接的作用,可以窃取你银行的有关信息,这是一种组织行为,黑客本身有组织的,人是有组织的。
另外一种特点,它的攻击行为开始变得有组织的,以前我们知道分布式的攻击,知道木马等等,可是如果我们现在回头审视一下,江苏网站,我们会发现,这种概念不同,本质上和很多安全事件可以对应上,总体上来看,和原来非常不一样,这些指技术手段上有组织,有计划性,这两大特点相关联的,攻击者通过互联网为自己获得各方面的利益,经济利益,军事利益,甚至政治方面的利益,会使它逐渐逐渐演化出更多的手段,不再纯粹为了追求技术上的东西,而是走向其他东西,那么我这个报告为什么合作,大家手里有那个材料,我不多讲,我直接讲例子,通过例子来讲为什么要合作。
第一个刚才我提到江苏网络,江苏网络这个词2005年才开始出现的,当然这件事情不是2005年出现,在前几年就出现了,大家看这个报道,在今年上半年1月份,我们国家发现被黑客控制将近10台计算机的江苏网络,攻击者经过很长时间获得这么一个资源,他用这些事情做了一些违法的攻击行为,比如说为了帮助他自己的朋友的这种网站,因为竞争对手,他来压制这个其他的网站,这些网站都是在网上经营的,被压制的结果就是很长一段时间,用户完全没有办法访问这个网站,人家最后算出来,我损失多少多少,最后说,你这种攻击行为给我造成多大严重损失。这件事情给我们带来很大启示,这件事情我们当初接手处理,作为分布市拒绝攻击来分离的,当时为什么做它,DUS,对我们耗费精力非常大,收效很慢的,公共卫生要讲,如果不讲公共卫生,DUS难做的,我不展开讲了,但是这件事情,我们当时就觉得它可能和十一之后,因为网上有人说,有人敲诈互联网上的企业,跟这个传言有关系,我们决定这件事情,很快发现它不是传统的DUS,传统的DUS有很多方法,我说其中一个特点,很多人做传统的DUS,冒充,伪造原地址,伪造原地址,怎么样大范围发布出去,你要有公共卫生,公共卫生,是我们让其他部门来推的,这个事情不是进一步分析,最后我们发现,这个完全不同以前的攻击,是黑客通过控制服务器控制大批计算机,我们通过将近两周时间,掌握完全准确,我们国内6万多个IP,我们亲眼看到的情况,这件事情引起我们重视,我们觉得它相当于,我待会儿说到03年有一人写的文章,叫做“攻击的军队”,这个事情我们发现它有问题,它有组织的,超出我们的能力了。在这之前调查中,也超出我们能力,我们想要获得这个准确的信息,需要用户备份,我们找了运营商,找了ISP,找到了被控制的江苏网络的机主,才得到他们的理解,他们配合得到这个信息,这个信息想有效遏止DUS,把江苏网络拔掉,把背后控制者找出来,这才是解决问题了,我们把这个事情按照以前信息产业部制定的流程,国办非常重视,6万多机器,是我们国家定义为重要的信息部门的计算机,这些计算机被有效控制,把这些用户找来了解情况,直到最后变成一个案件,从事件上升到案件处理掉。这个体现跨行业的合作,我们技术部门,跨到和司法部门的合作,在这里面我留了一个小的线索,再说一下,有人曾经写了一篇把口令叫做“攻击的军队”的文章,我最近写了一篇文章,讲江苏网络,在里面对我们自己做了反省,在2003年3月28号我们最早发现口令蠕虫,其实它就是一个江苏网络,在当时我们已经发现4万多台计算机,不是,应该是3月8号,我们发现4万多台计算机,被口令蠕虫入侵,并且他们向国外AIC的建立流程,就是说以前病毒入侵谁,它也不知道,现在向谁入侵,向谁打报告,告诉CIC,我入侵了你的计算机,你让我干什么,变成一个病毒入侵一个计算机,和另一个病毒入侵另一个计算机,没关,现在变成有关了,2003年发生的事情,我们在2005年才重视,在2005年,一些病毒厂商也发现了,也没有引起重视,我们对这个原因做了一个深刻的反省,这个反省其实因为我以前做贸易,我看东西看得太近,没有从更远的距离来看,看的时候觉得只是皮肤,很远你会看到这只是一头大象,我们只是做皮肤这一块的事情,对于我们来说,口令蠕虫,我们当时很成功的,从传统蠕虫的角度来看,很多校园网拥塞,我们把基础网络运行保证,很多病毒企业他们看到这个事,更着重看到用户终端的问题,帮助用户终端解决,所有人没有看到他们有关联的,并不是一个简单的蠕虫,像我们看到江苏网络,花了很多时间,10万计算机,不像蠕虫一下子让网络拥塞,不会的,他的目的不是干这个事,对病毒企业只是解决终端问题的话,背后控制者不断蔓延,你刚刚修复10个计算机,那边又找出20个计算机,动不了它的根本,这是一个例子。
我再举一个例子,讲合作的问题,比如2004年我们处理了223起(费是)事件,国内的名字很多,网络钓鱼,网络仿冒,网络欺诈,为什么我们来处理这个事情,因为很多的这种银行仿冒事件,他有一个特点是应用第三国,我做的假网站,这时候你寻求对方的合作和支持,2004年11月开始,我们国家出现针对中国的用户的欺诈事件,但是很遗憾,攻击者忘了有这样的原则,假网站在中国很容易被侵掉,估计会逐渐学会,在座听讲座的应该没有试图攻击别人的吧,不要告诉他们,不然他们也会学会的。像这样的事情你也是需要的,而且直接的(费是)只是表现一个现象,它的目的为了吃到鱼,吃到鱼不一定钓鱼,他可以用炸药炸,可以用网捞,说到本质,还有很多刚才我说,利用(英文)在你的机器里植入间谍软件,这个软件也是我们看到直接的案例,可以预知直接的机器,比如花旗银行,所以你从来没有访问任何假网站,从来没有在任何网站输入你的信用卡号码,一样你这条鱼会被别人拿走,这样的事情也是说明,但是这个我想说明,在技术领域,其实不光光说,原来你熟悉网管,你熟悉什么,在技术领域,其实也都需要合作的。
这个报告里面该说的话也都有,大家可以看,这个图我们在不断总结过去一些教训,和正面的经验,逐渐逐渐形成了。时间关系,我不来解释,为什么会有这样一个结构,有机会的话将来再和大家探讨了。
那么在国际上面,我只是在最后说一点点,这里面也有其他例子,包括大型的蠕虫,在其他国家情况怎么样,我们可以在国内亲眼看到,在1小时,两小时看到,这个大型蠕虫的影响是什么,很多人不知道SFIRST,类似的组织在欧洲有6个国家合作形成的,欧洲还有一个(英文)主要一些研究工作,我们在2月份,我们应急年会第一次FIRST,就是自主的, 泛美国家签署框架协议,也建立了类似的框架协议,至于为什么要合作,我刚才举了例子,IPC,也有泛美的情况,IPC,我们沿用APEC的叫法,我们叫经济体,其他跟FIRST,在最主要的合作上面,比FIrst强很多,它在技术上非常超前,很多技术领域,做的形成很多人关注的,通常会早一些。
我要说的话就是这么多,很抱歉,我做了一个动态的调整,没有按照我们报告来讲,谢谢我们大家。
主持人:
谢谢杜博士给我们精彩的演讲,虽然他自己认为一个有点过去时,但是我想听了他演讲,我和在座朋友,有一种豁然开朗的感觉。
各位来宾,接下来我们一个激动人心的时刻就要来临了,由中国计算机报社联合国内信息安全领域权威机构——中国计算机学会计算机安全专业委员会举办的“2005中国信息安全最具影响力”、“2005中国信息安全诚信服务商”、“2005中国信息安全值得信赖的品牌”大型评选活动即将揭晓。
众所周知,目前各类信息安全企业、产品品牌众多,这些品牌中到底哪些产品最受用户欢迎,哪些产品值得用户信赖,哪些企业因为诚信赢得用户的口碑呢?为此《中国计算机报》在承办第六届中国信息安全大会的同时,特别组织了本次大型评选推优活动。本次活动采用读者问卷调查与专家组评议相结合的方式,通过《中国计算报》、赛迪网和其它媒体上广泛刊登调查问卷以及读者数据库直接调查反馈,从今年3月份开始,持续到4月18日为止,共收到有效问卷反馈意见2000余份。在此基础上,我们邀请了业内的资深安全专家,进行再挑选,最终评选了“最具影响力企业”、“诚信服务商”、“值得信赖产品品牌”四个奖共36个小奖。
因为时间的关系,我们将颁奖分为两轮,现在颁发的是“2005中国信息安全最具影响力企业”和2005中国信息安全诚信服务商”两项,而“值得信赖品牌”大奖则将在一会儿几位嘉宾演讲过后,再行颁发。
首先让我们用热烈的掌声,请出本次揭奖嘉宾:中国计算机学会计算机安全专业委员会秘书长樊锦华女士为我们揭奖。有请樊秘书长。
荣获2005年中国信息安全最具影响力的企业是:联想网御科技有限公司、京天融信网络安全技术有限公司、诺基亚(中国)投资有限公司、、安氏互联网安全系统(中国)有限公司、东软软件股份有限公司 。
何德全院士为“2005中国信息安全诚信服务商的企业颁奖。
荣获2005中国信息安全诚信服务商的企业是北京网新易尚科技有限公司、方正信息安全技术有限公司
主持人:
恭喜以上获奖厂商,感谢两位嘉宾。谢谢!
经过刚才激动时刻,接下来让我们继续回到主题报告现场,下面一位将要给大家演讲的是,来自思科系统网络技术有限公司的网络安全高级技术顾问,喻超先生,他将给我们讲述的是“SDN如何让网络智能自动防御安全问题。”有请喻超。
喻超:
各位专家,各位领导,各位来宾上午好,今天我代表思科公司来参加这个盛会,一块儿跟大家交流信息安全领域一些想法,那么思科公司我们是作为世界上第一大家的网络建设者,所以我们的重点来讲,怎么样去保护我们的网络安全,也就是我们的SDN的自管网络,我们希望思科的自管网络,保证我们网络可以自我防御和自我识别危险的网络。今天我汇报有两大部分,第一简单介绍思科网络一些核心思想,第二块会跟大家讲一下思科自防御网络的一些特点,我们跟其他人有什么样的不一样,我们有什么样的特点。
首先我们来看应对当前安全挑战,目前安全威胁越来越快,目前网络钓鱼技术越来越复杂,我们希望或者需要将过去一些安全技术做一些整合,做一些改变,我们需要从过去被动响应到转变到现在主动和自动相应的过程,这是我们思科一个最精髓的一个要求,第二个完全分布是的网络设计,重视防御,层层保护网络安全,第三个从简单的产品支持,到系统的服务,还有一个关联和抑制一个转换,包括我们优质的建设,从基本的安全变到应用级安全,我们可能在以前网络的防护上面,或者安全防护上面,主要集中在PCP的第三层,或者第四层的防护,我们说IP层面,现在我们需要更高层面应用层面的要求,这是几个重要的改变,所以对于这些改变,我们希望或者需要有一种新的方式来构件网络,解决安全问题。
那回过头看我们信息安全建构大家做什么,有我们的PC机的可信,计算组织,有业绩响应中心,安全意识的培养,咨询鼓舞等等,大家都在很努力的做一些,包括创新安全事情,和安全战果,这些对我们厂家来都在努力,思科我们一直在努力,一直在安全领域里面,在逐渐完善我们整个战略,从历史的角度来看,也是给大家一个回顾,最早90年代开始我们从基本安全,多我们的2000年时候我们单点产品,防火墙,到02年深度防御,一直到我们的03年的形成安全防护,到今天我们提倡的自防御网络。能够提供网络自适应能力,应用安全的保护,还有自动响应,一些保护的等等,这是我们整个战略,那么在今天我们自防御网络战略是怎么样一个宗旨,这是一个很简单来和大家方向,首先思科以后具有网络防止和适应威胁的能力,不管来自外网内网自动识别,达到这个目标,实现这个目标并不是那么容易,那需要有很多的技术支撑,和系统的支撑,那这里面的支撑来讲,第一个最重要的我们安全创新,或者叫技术的创新,以前传统技术来讲,已经不能够完全满足我们现在的安全需要,这种自控识别的能力,需要一些新的创新,思科这点包括自动防护安全,自动安全技术创新等等,通过思科自主创新的研发,包括我们主动很多公司来构造安全创新的领域,另外我们还提供几项安全,怎么样将网络不同的部分,甚至包括PC机的终端,以及运行的安全,把它连为一体,实现体系安全,第三部分怎么实现,我们有这些技术职称之后,我们怎么样将这些技术体系结构运用到具体网络之中,这是安全实现这块,我们提供不同行业,不同领域的安全解决方案,我们具体实施,这是思科我们整个网络的框架。目前思科防御战略也是一个过程,我们有三个阶段,第一个阶段知识的安全,每个部分,每个结点,每个设备都是安全的,都有安全的能力,任何地方发生了事件,我们可能在本地设备就能感受到这种安全的威胁,就可以报警,就可以去防御。第二阶段是我们协作式的安全,比如我们将终端安全通为一体,变成一个体系,增强自我适应的能力,第三阶自己防御网络,访问叶面层的一些安全,包括我们网络的控制安全,和网络的安全能力,构造我们自身防御的阶段,我们可以看到思科自防御阶段,还会往前发展,从很多方面来看,我们整个解决方案一个发展,也随着自防御网络的思路,我们思科安全解决方案,网络解决方案不断向前前进,希望我们不断给我们用户,我们行业提供思科先进技术,和先进的思想。
接下来我们简单看一下,思科第一阶段包含的内容,首先我们是这么认为,集成安全来讲,是现在我们的一个必须的一个选择了,安全不再选项,而是必选项,看了这个图比较容易理解,左边是我们以前的思路,我建立一个网络之后,我需要安全,加防火墙,甚至附加的概念,这种概念来讲,或者建设网络思路来讲,跟我们走进这个汽车以往,在往上附加一种能力,这种能力当然比不上,右边汽车里边本身有安全气囊,本身有各种安全的控制,集成汽车整体理念,不是附加的,思科所有的产品,安全网络产品都是按照这种思路,安全不再是选项,而是必选项,所以我们看到思科的安全交换机,各位可以看到,6千交换机本身它的安全的功能已经非常完善,防风暴控制等等功能以及它还有众多安全的防护的模块,我们有VP模块,有安全防护层模块,流量分析模块,还有防盗模块,以及内容交换模块,这样构造思科国际交换机变成一个非常安全的,本身具有各种防护能力的交换机。
第四个路由器也是一样,网络安全变成思科必用的一个标准,我们可以简单看到,对于我们这个路由器来讲,本身具有信任和控制的能力,我们可以用IPS防范,流量的分析,IS防火墙,保证安全的连接,可以去保证我们的领地安全的连接,动态的创建,无缝的连接,我们还可以提供网络基础保护,比如我这个路由器遇到外界攻击子时候,如果这个目标面对我的路由器的时候,是不是有自我防范的能力,或者自我适应的能力,或者自我容忍的能力,我们说来一个攻击,我路由器本身不能工作了,所有的路由器像控制平面的保护,应用层面的保护,自动安全保护等等能力,提高我们整个我们路由器本身的安全水平和控制能力。以及包括我们这边的模块化的设计以及对这个设备本身的安全管理的优化,以及安全管理一些优化的措施等等。
协作式安全理念,我想给大家重点介绍,NAC的控制方面,思科经典的代表,NAC是我们现在在推的非常有代表作用一个解决方案,那么它第一次将终端的安全,PC机的终端安全,和网络控制,以及应用层的安全策略连为一体,各位可以看到,当你的PC机终端安全,本身设备不符合我安全规则,我们可以通过网络准入控制,网络设备的控制能力,路由器也好,交换机也好,将一台具有破坏力的机器,停在外面,或或者放在某一个区域,这样保护全网的安全,提高整体安全的概念,而且在我们协作安全这个解决方案里面,大家可以看到,这个解决方案不是思科一家做,我们联合很多人,包括趋势,包括我们国内的一些厂家,瑞星这些公司我们一起推动整个网络控制的完善和它的优化。这种协作式安全来讲,我们是两部分的概念,一部分就是对于安全技术的融合,不同领域的技术的融合,第二部分对安全的联盟的融合,我们不同领域的厂家,我们集合在一起,因为我们知道安全是一个非常复杂的问题,可能一个厂家没有足够的能力能够去涵盖每个方方面面,反正思科在协作上,是我们一个重要的思想。
第三部分思科自防御的理念,我们在以前看到,注重网络的控制,IP层面,那就是网络安全层面,那现在我们会看到我们新的一些安全的一些攻击手段也好,那么基于应用层面,比如某些攻击层面,它完全在发明在以上的攻击,如果你看到PCP的端口,数据包你可能不会看它后面的内容,防火墙就把它放过去,这时候发现问题,这些攻击,通过防火墙这个孔,然后进入你的系统内,然后做成你的威胁,所以我们现在说我们需要有安全控制,就是我们应用层的控制,这样同时我们需要网络层的控制,是必须的,我们怎么样将两部分融合,有机地控制在一起,那是智能化的网络,在思科整个路由器都具有这样智能化这样一些体系行动,最终将它整合到自动威胁防御体系,不管网络层面安全攻击,还是应用层面的安全攻击,我们都能够提供相应的解决方案。
还有防病毒软件,还有智能软件,我们希望部分融合在一起,提高不管是病毒的还是蠕虫的统统叫做恶意代码,还是刚才讲的网络钓鱼等等,都叫恶意代码,我们通一成一种攻击,进行防范,第三当网络出现异常现象,异常攻击的时候,我网络依然可以稳定地运营,而不是坏死掉,最终在网络上实现自防御的一个能力。
接下来我给各位分析自防御网络的实现特点,我目前遇到一些问题,思科解决方案有一个什么特殊的地方,首先安全的评估问题,安全评估对思科来讲,我们也是有一定的一些解决方案,包括很安全的评估的,安全评估来讲,我们所面临的问题,用户来讲,用户不太知道安全威胁在什么地方,也不知道什么时候会发生,没有这个前提,没有针对性做安全预防和加固,这是一个潜在的问题,安全评估员和网络扫描,这些如果单单是安全网络和扫描,它系统,不太专业,不能自主完善,做这些工作,那么我们看看,我们建议的或者我们思科可以实现的,也是希望能够给各位分享,思科安全评估应该是流程,我知道网络在什么地方,我们需要怎么打补丁,还需要做安全设计的审查,这个安全设计不仅仅对应用层,服务器怎么打补丁,而是一个全面,所以这个里面需要应用层的安全专家,也需要网络的专家,思科这方面应该说网络专家,很了解我们,思科这边非常完善的安全网络设计,达到相当的流程,接下来我们对一些异常事件发生怎么控制恢复,ICA,怎么相应怎么恢复,思科我们能够提供一些附加一个优势,那么还有一块,思科我们会提供自主安全评估系统,也就是不我们不愿意人工,自主,我们完全自主,自动审计网络系统有什么漏洞,有什么安全可能性的威胁,提供一个随时报告,一个礼拜做一次,在这个时候网络在什么时候脆弱的,需要怎么补,包括在网络里面出现什么安全漏洞,会随时提供你的怎么打补丁,还是怎么修复也好,叫它能够随时提供我们的网络的健壮性。
第二块计算机终端安全保护,尽管这块不是计算机的重点,我们认为在整个网络安全领域,都来自于终端系统,所以我们对终端系统的安全,提供我们一些看法,一些解决方案,如果将终端安全系统控制比较好,整个安全信息系统叫做,有效的,所以我们来看一下终端安全隐患来讲,一般采取各种方案,防病毒软件,防火墙比较难集中管理,同时对一些黑客的攻击,比如刚才看到江苏网络的形成,这些都是没有办法防范的,因为黑客进入你机器里面做一些动作,跟病毒没有关系,他做一些侵犯对你没有侧身,对于这样我们提供什么解决方案,我们思科通过基于行为规则的防范系统,我们叫CAC,我们不管理这个客户的,他是什么样的特征,他是什么样的东西,主要你的行为对我的系统有危害,刚才杜博士讲到黑客攻击里面有一种,你到花旗银行做的各种各样的服务的时候,他监控你所有的东西,把你所有的东西拿过来,当他做这个事实,我们基于行为规范的防范,这是一个危险的动作,我们会提示你去把它防范掉,把它弄掉,从这种方式来讲,我们提供免服务库升级的问题,提供一些比较尖锐的安全防范,保证我们终端的安全,包括病毒的,网络钓鱼的等等,提供SDN的解决方案。
还有在传统解决方案里面,我们再更加的前进一步,我们将有俄裔代码,或者我们判断出来,它会对我网络造成影响这些机器,通过思科网络控制,将病毒蠕虫控制在摇篮里,控制住它,而不是等全网爆发再做预防工作。安全预警问题,网络对于用户来讲,用户经常面对我们交换机,终端,PC机,大家知道中了什么蠕虫,对于网络来讲,大家并不清楚,网络像黑盒子,PCP,网络流量攻击,我们响应速度也很慢,没法了解网络的状态,怎么样提供这个方案,SDN能提供这种基于应用层的监控,实时防御网络的监控,对网络进行详细的了解,然后进行控制,提供一个非常快速详细的办法。
安全领域的划分,不是很清晰,没有很明确的边界的划分,我们提供思科的基于SDN的结构安全框架的指导意见,将部分的网络,分成区域,对区域边界进行控制,数据加密,通过一个非常的清晰的一个安全策略,网络自身的安全问题,那么网络技术也成了被攻击的目标,网络资源被耗尽,这是我们基本看的目标,因此没法去确定攻击源,对于思科我们可以使用思科硬件安全特性,安全部件强化硬件本身的防护能力,当毒发作的时候,我底层防护软件可以防护,在这种情况下,我网依然可以运行,提高我们网的特性,思科交换和路由器提供的保证。
用户接入控制问题,当你用户接入网络,提供更高级的保证,大家没有考虑,对思科来讲,我们希望通过更先进的技术,比如ICAS,私秘性保护,一旦发生系统对网络有将危害,马上可以把你隔离,不管公司公司还是谁,对你身份认证,安全状态认证来进行处理。
应用层安全的问题,我们已经很难防范,思科我们提供防火墙也好,都可以提供深刻的检测,能够提供安全层的保证,我们可以提供更高层的设备。
病毒蠕虫泛滥的问题,这是传统方案,升级病毒库,打补丁。我们实施监控病毒,快速响应,将蠕虫病毒在开始进行有效的抑制,各位看到这个流程,思科SDN快速反应,把病毒控制在有效的范围之内。病毒发生了我们并不是在某一个点,在全网进行防范,不管路由器,交换机,还是终端系统,也就是层层防御,纵深防御,层层保护,这样可以有效提高我们网络的整体安全性,这是类似于提高我们公共卫生一样,当每个人每个部分的安全得到提升,我们系统安全得到非常好的提升。
最后一个安全信息管理问题,我们目前遇到一个问题,产量事件,估计的信息缺乏安全保证,思科提供的不同网源管理,进行系统的整合最终给出真实的安全事件,告诉你哪个是真实的攻击,给我们网管提出非常清晰,非常准确的安全建议。
主持人:谢谢喻超精彩演讲。
接下来演讲的厂商,早已将它的深入到我们很多人的手上,如果我们所有的来宾举起自己的手机,说不定好多人都喊出它的名字,对了,它就是诺基亚。接下来,就让我们来听听这位巨匠,对安全究竟有什么独到的见解呢?有请诺基亚技术部经理王磊先生,他演讲的主题是“硬币的另一面:转化安全投入为安全投资,诺基亚安全解决方案的起点”。有请王磊。
王磊:
各位来宾中午好,我是诺基亚的王磊非常荣幸代表诺基亚在这边分享我们一些经验,来领一个重要的奖项,就像刚才所介绍的,对于安全方面已经做了7、8年了,对于安全来说,就我个人来理解,其实它可能不能仅仅单单说一个设备,一间房子,或者一套组合音响是什么,对于安全更重要的是一种生活,就像大家现在我们走在马路上的时候,可能路过一个工地,我们会快点走,防止砖头从上面掉下来砸到我们,我们坐到车上会系上安全带,现在我们把生活搬到了网络上,那网络生活,同样我们要建立的是由常识、设施、思想方法组成一个网络的安全体系,那诺基亚往前想了一点,我们设想未来一种生活,叫移动生活,移动化的网络生活,所以这就是今天为什么诺基亚我们到这里跟大家讨论安全问题一个重要原因,我相信在未来安全诺基亚会起到非常重要的作用,大家知道我的题目叫转化安全投入为安全投资,这是诺基亚我们解决安全方案的起点,诺基亚不仅仅作为一个厂商,我们也是作为安全技术积极的使用者,而且我们也是扮演一个合作者的角色,大家可以看到,现在在座很多企业IT经理,CIO,我们在投入安全的时候,通常把它作为一个成本中心,而我们每年可能最头痛的到财务部申请预算,说我今年要做新的安全投入,那么实际上安全一种持续化的生活,我想已经融入了现代的商业生活,我这儿有一组数据,大家可以看到,这是全球性的数据,目前管理企业安全解决方案78%还是由IT部门来负责的,但是现在已经有14.7%的企业把它放到风险管理里面去了,而有6.3%企业的安是由于风险管理部门,和IT部门共同来完成的,这是一个风险流程的描述图,大家可以看到实际对于网络安全来说,它不仅仅和IT有关系,它可能和我们企业很多部门都有关系,甚至直接影响到我们企业的利用,对于不同的行业来说,可能风险管理的目标也不尽相同,对于金融,高科技,媒体,对于金融也不相同,对高科技可能关心知识产权的保护,对于媒体来说,可能又会不同,所以我们认为安全应该对于企业来说,是一种持续化的风险管理,降低风险当然这个其实跟我们安全理念就非常吻合了,因为安全不是绝对的,它的一个持续化的过程,但是它又是一种很难量化的过程,因为现在我们没有成本计算工具,计算我投入一千块钱在安全上,我回报有多少诺基亚其实我们正式要推进,我们自己一个重要的理想就是移动信息化社会,我们发现安全将是一个理想的一个基石,没有安全很难推进,所以我们设计解决方案的时候,出发点也来自于此,所以我们在做安全的时候,可能和很多厂家有一些不同,在这个构架里面,大家就可以清晰地看到,诺基亚我们传统是一个手机生产商和电信设备的供应商,我们构造一个安全解决方案里面,里面涉及到硬件系统,管理以及安全的应用,那前三种,诺基亚是非常擅长的或者运用商级,还是企业级,我们都非常擅长制作高可靠性高性能的硬件,或者大设备的感觉解决方案,但有一点我们采用合作的方式,就是安全性我们和业界最领先的安全应用开发商紧密合作,提供一系列的安全解决方案,在国外称之为叫做每位里面最好的,因为安全的范围涉及方方面面,确实非常广,所以很合作式非常重要的,那今天这个大会我也学到很多东西,前面何院士和杜博士来讲的,带来很多的教意。
我也不会完全按照我这个资料来讲,如果大家了解我们的产品,可以仔细看这个资料,可以一对一交流,诺基亚是和(英文)合作,提供像类似防火墙的解决方案,像其他的厂家提供不同的解决方案,但是肯定是(英文)。
当然现在安全已经可以控制到应用一层,对于诺基亚来说,我们很重视去保证企业的安全投资所以大家可以看到,从我们的产品系列设置上,有非常鲜明的特点,首先有一个重要的基础就是诺基亚从我们最小的设备到我们运用商及最大的设备,它所有的功能是完全一致的,没有任何的变化,因为在重要的企业实施中,重要的任务需要是同一级来保护,并一个设备便宜了,用在小的地方,它的安全等级需要降低,我相信我们的保护是一个完善和完整的,在任何一个环节都应该有相同的保护的等级,所以诺基亚即使是最小的设备,和最大的设备,它的功能是完全一致的,其差别仅在于硬件的扩展性和性能。另外诺基亚很重视的就是始终能够通过这个灵活的技术构架实现升级去保证我们的安全系统,始终维持在一个相当稳定的基础上,所以我们的构架设置的比较灵活,如果在座的,有我们的客户知道,即使是5年前,我们出的设备已经停产的,它还可以升级到我们最新的系统,来达到现金等级安全保护,所以这是TCO成本的设置,诺基亚在这两点上,充分实现了我们对于安全解决方案设计的初衷。
那我们也不断推出一系列的新的产品,再次我就不详述了。
最新关于提升可靠性和性能,这也是诺基亚我们两点非常擅长的任务。这是传统的防火墙的转发构架,诺基亚在2001年开发防火墙提速技术,在我们最大的意义在安全等级不降低的情况下,去如何提升性能和可靠性,我想这是所有解决方案非常重视一点,安全等级不去降低它,实现提升它的性能。最新诺基亚AEP,超入镜技术,提升产业大家非常熟悉的网络处理器技术,当然我们构架更强调能够适应现金的关于应用这一层安全控制,所以我们不仅仅是把网络处理器做到了系统中,还有强大的CPU来保证分析处理应用层面,来保证比较选方位的安全。
另外就是可靠性,诺基亚的可靠性,我们是做的非常好的,因为我们的很多客户,50%的客户全部是电信厂家,所以诺基亚率先推出了集群技术,其实我们也看到现在我们有很多业界合作伙伴,甚至我们竞争对手推出这个技术,更进一步地把我们的安全性和可靠性提升到同一个量级。
另外在安全系统中,很重要的是服务,诺基亚很荣幸为大家介绍一下我们在中国设立了一个很大的北电中心,并在中国设立支持和服务中心,我相信无论国内厂家还是国外厂家,安全的服务是最重要的,所以诺基亚也把我们的技术支持中心设在了国内。
大家可以看到,基于如何去把安全系统转化为一种投资,我们只是讲其中的几个细节,告诉诺基亚解决方案一些设计特点,因为时间有限,另外诺基亚所做的一个重要的工作,是如何使用安全这种强有力的手段,把我们解决方案推动到移动互联网的领域,因为做到这个领域,我们就发现安全是最重要的,实际上诺基亚很早推出移动银行解决方案,使用非常方便,大家可以在任何地方,处理自己的金融业务,但是时至今日,为什么大家更相信柜台电话银行,其次是因特乃特银行,最后是移动银行呢?其核心问题其实就是安全性,如果给大家一个充分的这个安全性的保障,我相信在座的可能80%的朋友都会使用像类似移动银行或者移动工作这类的解决方案。所以诺基亚我们在这方面做了一些工作。大家可以看到,诺基亚首先在移动接入方面我们提出有一点不同,叫任何时间,任何地点,任何设备,所以我这里面还是阐述几个细节,大家可以注意到,真正的移动生活,任何时间,任何地点,任何设备,作为诺基亚员工,我在休假的时候,从来不带笔记本电脑,因为有移动工作作为保障。大家可以看到,诺基亚其中一个解决方案,NSS,我们为了解决这个设备,肯定要应用一些安全的技术,比如反向的扫描,会对设备进行认证,判断这个设备的可靠性,安全性,这在过去是不可想象的,过去公司一定会要求,单位一定会要求大家使用,单位所聘发的电脑设备,上公司的内部,如何使用一个路边的信息亭,使用网吧的PC,甚至使用手机访问这些关键敏感的内容,如何保证,我相信重要一点,对设备的认证,像诺基亚这个解决方案,可以通过对设备的认证,实现动态授权,也就是同样的身份,同样的证书,你拿到的权限却根据不同的设备而改变。
此外对于设备,大家可以看到,我重点讲一个细节,不同的设备如何接入,我们可以对设备进行加固,比如我们可以创建诺基亚(英文)这种技术,创立一个安全的虚拟桌面,即使在路边信息亭的PC,他会为你创建一个独立虚拟的桌面,它会做什么,就是当你离开这台PC的时候,或者计算机设备的时候,智能终端的时候,不留任何痕迹,你所有的缓存,以及所有的东西都不会留下,保证其安全性。所以大家要看到,要做到真正的移动的安全接入,我们做了一些不同的地方。
另外如果这要加固仍然不够,诺基亚我们还有办法,你可以下载一个更大的客户端,当然还是移动使用的,它甚至内嵌个人防火墙,等等安全保护方式,加固你这台完全陌生的机器,甚至一台移动的终端,所以大家可以看到安全对于推动我们移动工作移动化的生活,确实是一个基础基石,今天我带来这一点诺基亚的经验,主要诺基亚我们是安全的厂商,我们更是合作者,另外我们也是用户,致力于把安全应用于移动信息社会,诺基亚这样一个理想。
谢谢大家。
主持人:
谢谢王磊精彩的演讲。
最后一个将给我们带来演讲的企业是趋势科技,作为一家为了安全的梦想已经在全球奋斗了17年的专业信息安全公司,我想它们对于全程安全的感受与经验一定是比较独到的。下面,有请趋势科技中国技术顾问齐军先生,他的演讲主题是:鄄城安全管理。有请齐军。
齐军:
大家早上好,非常高兴能有这样一个机会,能够共同分享安全方面大家的经验,我们想今天早上有那么多的专家,那么多同行,提出很多很重要的理念,我们在这里只是把我们一点实践经验拿出来跟大家分享,关于趋势科技我不想不多说多少大家知道是国际性的企业,植根在中国,我们有独立的业务,有研发中心,有服务中心,也有成熟的产品在国内来服务大家,我们在全球来讲,有很多领先的指标大家可以查到,我们很荣幸一点就是说根据去年一些调查,我们发现在中国上市一百强企业里边,趋势已经有超过半数的这种客户群,那么在某些领域里面,这些上市的企业里面,基本上都采用的是趋势解决方案来处理他们的日常工作,而且大家也知道,在安全领域里面,防病毒又是一个很基本的工作,趋势提供的整套方案能够帮忙帮助你在不论在网络边界上,那么在你重要的设备上,还是在你的最关心的数量众多的终端设备上,甚至于包括刚刚我们诺基亚同事讲到,移动的计算,在手机上我们都可以做到良好的保护,而且趋势科技有比较先进的安全理念,这个理念就是说安全既然它是总要到你身边,你躲不掉它,最重要一点,你要对它有控制能力,这个控制能力可以确保你,当问题爆发的时候,那么我们可以把问题控制在一个平台期,在这个过程当中,来得到外部一些资源的帮助,从而获得一个良好的安全结果,那么我们管这个东西叫做企业安全防护战略,这个在实践过程当中,取得一个非常好的效果,刚才我们一开始的时候,何院士也提到很多有10项在近期要去完成的任务,其中有几项我很快记得一下,像新的安全软件工程,整体性安全保障,实时有效的监控体系,这些对我们来讲,在何院士讲的时候我们有很强的共鸣,因为这些都是我们日常正在做的。
根据我们在日常工作里我们调查,我们发现有一个很有趣的现象,当我们所访谈的CIO的群体当中,只有20%的人认为他们的安全设备或者安全的产品还没有采购全,通过进一步采购这种行为,来加强他们的安全体系,另有20%的人已经认为在相对完整的产品体系结构下,他们需要有更完善的内部工作流程,牛不得管理及机制来解决这些问题,有60%的人,它的思想高度已经变成对于整个防病毒周期要投入更多的关注,也就是说当大家去谈安全的时间,经常会看到一个正三角,但是在我们调查过程中,我们发现一个反三角,有20%的人认为,还要买产品,另有20%的人认为调整自己工程流程,最大多数人已经把自己的意识上升到要管理整个过程,这也切合我们今天大会的主题,过程的安全管理,这一点让我们欣慰的,18年的工作过程当中,我们发现安全绝对不是一朝一夕就能完成的,不是你吃了某个大力丸能解决的问题,一定是某个过程控制的系统工程,所以我们基于这样一个基础,把整个任务分成几个阶段,在一个企业里面,作为最高的管理者CIO他们最关心的是什么样的事情,我们注意到CIO把整个信息安全建设定了一个属性,跟信息有关的属性像数据本身的安全性,数据的保密性,还有业务的完整性,这些都是安全会有关系,但是他们这些最高领导者,只关心这些属性是否能够完整达成,在执行面,这些信息安全主管他们考虑,最重要我完成过程管理,但是这个过程中,我要去看的那些指标是什么,很多人是主观的去看待这件事情,也就是他没有办法提出数量级,比如他在写他的PKI的时候,说我能不能用量化的指标说,某人某年某月完成某事,算做安全,这是很难定的事情,另外在流程过程中,在与应急相应的整个过程当中,都发现有很多指标需要量化来管理,那么在这样一个条件下,我们作为厂商,和这个客户我们共同来构件这个模型,这个模型之基于这个业务流程,我们把它划成一个流行,AV,防病毒,或者内容安全这样一个领域里面,我们循环反复的一个过程,在这个循环反复的过程里面,我们要去满足在投资方面能达成一个预期回报,再保险方面对风险有指标性的管理,对业务完整性,使业务达到可持续的量级,另外在损失事先量化处理上,要应急响应也有一个量化的指标可以做,具体这些东西我们有厚厚的指南帮助我们完成这个工作。
我们在整个业务实践过程中我们举一个例子来看待这个事情,首先在一年的开始,我们的工作还是基于产品来看待,也就是我们要看,它是不是满足第一个20%的需求,产品买够没买够,产品部署到位没到位,在完成这一部分,我们发现有很多基础工作,基本上大多数企业完成还是不错的,在这之后,我们去完成第二的20%,也就是它的指标它的政策定义合理不合理,内部的流程是否已经健全,是不是已经大家知道做什么事情,必要的培训要不要做,这些事情量化成一个指标,比如很重要的数字,要非病毒爆发下,你整个业务体系里面,这些PC机病毒感染率大概应该控制在什么范围里,在病毒爆发的时候应该什么样的,在病毒爆发的情况下,你在多长时间得到外部的响应,怎么样响应,谁是你的接头人,这些东西是我们一开始已经量化下来的,在整个过程里面,你会看到趋势这些资料都是有的。那么这些经验趋势可以跟你共享,可以跟你一起来设计你这边相对应的体系。我们在很多分类里面,看到具体的指标,具体内容我们不展开说,结果上来讲,经过这些指标的设定,在一年开始我们已经很明确要知道做什么,要怎么样做,用什么样的工具做,达成什么样的效果,在有问题的时候,会是什么样的结果,在没有问题的时候,应该是什么样的结果,在整个04年业务运行里面,我们看到比较讨厌的几只病毒,都没有能能够形成攻击的态势,另外刚才杜博士讲到,有一些新形态的攻击出现了,带有明确的组织,的商业目标的行为出现了,我们帮助它把疑似案件,可以对它进行分析,在攻击行为到达之前,我们可以事先有所察觉,有所准备,我们还有一点,很让我们感到非常高兴的一点就是说,原来的安全管理经常拍脑壳,是一种感性的东西,信息主管对它的信息的CIO们,我领导人他们说,我觉得我的系统还是不错的,你看我们的业务还是完整地运行着,但是它没有量化的指标,换一个角度来看,当它申请下一个年度将要做什么,投多大的资金去做,应该得到什么样的指标做,通过和趋势科技合作,我们发现它的月报表,季报表,年度报表,有大量事实在在的数字支撑你的投资到底取得什么样的效果,你这些投资值不值得,到底能够解决什么样的问题,这些很清楚,用数字表明在那里,这个整个过程是信息主管感觉它的工作,和以前发生了性质上的变化,而不是一个量级上的变化,那么新的攻击在一个系统,在设计阶段已经得到这种考虑,而不是说应急就是说纯粹的应急管理。人员在跑动当中,业务运行当中你人员跑动怎么解决问题,有些技术手段要解决,外部远程监控,比如当事件发生,趋势科技看到全球的情况,这些情况和你有什么样的关系,你是否已经成为中招的受害者,这个趋势科技给你满意的答复,还有一些强制的设备,这些都是有价值的,每个细项都有支撑,这些有实实在在的设备投入人员投入来完成的。很重要一点,在一个企业,一个完整的业务流程,它的安全方面一定要形成很顺畅的很完整的一个应急响应的服务,这一点在我们在实践当中发现,你预先有准备,和预先没有准备,最后的结果差别实在太大,我们投入的还是这么多,投入的还是这些产品,使用的还是这些技术,但是最后的结果有可能会差别很大,所以这一点在于规划,在于设计,在于管理。
我们说在整个安全管理我们强调最后的品质,当我们看做存储的时候,大量安全范围的一部分,当我们做栽培,同样做防病毒,内容管理,同样追求品质,5个9这样的水平,但是大家知道不同安全级别它耗费的成本确实有很大的差异,当你把一块矿山挖出来沙金,70%提高到90%耗费的精力很小的,如果把90%的纯度提高到5个9耗费的精力非常大,需要相当大的专业能力,每9个提升,实际上耗费很多网管人员,厂家,还有使用信息安全他们的血汗在里面,所以每个结果都是非常宝贵的,那么信息安全管理又是一个循环反复的过程,这些过程里面很容易造成一种疲惫,也就是咱们贺岁片里说审美疲劳,安全也会出现疲劳,安全管理员不能用量化指标克服疲劳这种惰性,安全短便很容易出现,大家要有周密的指标,再有外部资源,趋势科技作为企业外部的支撑,我们不仅提供技术,提供产品,同时我们也提供了安全的服务,这些安全的服务可以在你的系统松懈的时候,当你的系统认为外界很安全,没有攻击过来的时候,会实时提醒你说,其实你眼中的世界应该是这个样子的,真实的世界是很危险的,危险来自于哪里,这些东西全部整合在一起,能够为大家的安全提供一个量化可控制的过程管理,这是我们在这几年的工作里面所获得的一些知识,希望这些管理的经验能够给大家的日常工作有所帮助,谢谢大家。
谢谢齐军精彩的演讲,他的演讲为我们上个主题阶段画了非常圆满的句号,第二轮颁奖开始,“2005中国品牌的信息安全信赖品牌”奖,让我们以热烈的掌声有请颁奖嘉宾:中国计算机学会计算机安全专业委员会缪道期副主席上台为获奖企业颁奖。
“2005中国信息安全值得信赖网络品牌”有:
第二次:第一轮10个
思科系统(中国)网络技术有限公司 荣获
2005中国信息安全值得信赖防病毒品牌
8、趋势科技网络(中国)有限公司 荣获
2005中国信息安全值得信赖防病毒品牌
9、冠群金辰软件有限公司 荣获
2005中国信息安全值得信赖防病毒品牌
10、亿阳信通股份有限公司
2005中国信息安全值得信赖防火墙品牌
11、深信服电子科技有限公司 荣获
2005中国信息安全值得信赖VPN品牌
12、Array Networks(北京)有限公司 荣获
2005中国信息安全值得信赖VPN品牌
13、朗讯科技(中国)有限公司 荣获
2005中国信息安全值得信赖电信级VPN品牌
14、中联绿盟信息技术(北京)有限公司 荣获
2005中国信息安全值得信赖安全服务品牌
15、北京安全诚信科技有限公司 荣获
2005中国信息安全诚信值得信赖服务品牌
16、中创软件商用中间件有限公司InforGuard 荣获
2005中国信息安全值得信赖网页防篡改产品品牌
第二轮11个
17、RSA信息安全公司 荣获
2005中国信息安全值得信赖身份认证品牌
18、北京飞天诚信科技有限公司 荣获
2005中国信息安全值得信赖身份认证品牌
19、赛孚耐(北京)信息技术有限公司 荣获
2005中国信息安全值得信赖身份认证品牌
20、上海宝信软件股份有限公司 荣获
2005中国信息安全值得信赖内网安全产品品牌
21、美讯智软件科技有限公司 荣获
2005中国信息安全值得信赖内容安全品牌
22、Cipher Trust 荣获
2005中国信息安全值得信赖邮件安全品牌
23、深圳亚略特生物识别科技有限公司 荣获
2005中国信息安全值得依赖生物识别品牌
24、赛孚耐(北京)信息技术有限公司 荣获
2005中国信息安全值得信赖软件保护品牌
第三次8个
37、中国软件与技术服务股份有限公司 获奖
2005中国信息安全值得信赖信息泄密品牌
28、ArrayNetworks(北京)有限公司 荣获
2005中国信息安全值得信赖电信行业品牌
29、美讯智软件科技有限公司 荣获
2005中国信息安全值得信赖电信行业品牌
30、联想网御科技有限公司 荣获
2005中国信息安全值得信赖电信行业品牌
31、美国Fortinet公司 荣获
2005年度中国信息安全值得信赖的政府行业品牌
32、亿阳信通股份有限公司 荣获
2005中国信息安全值得信赖政府行业品牌
34、北京天融信网络安全技术有限公司 荣获
2005中国信息安全值得信赖政府行业品牌
