根据中国互联网络信息中心最新发布的数据,截至2010年6月底,我国网民规模已达4.2亿人,互联网普及率持续上升增至31.8%。2010年上半年CNCERT共接收4780次网络安全事件报告(不包括扫描和垃圾邮件类事件),与2009年上半年相比增长105%。其中,恶意代码、漏洞和网页仿冒事件报告次数居前三位。仅2010年上半年就有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击;30.9%的网民账号或密码被盗过;电子商务网站访问者中89.2%的人担心假冒网站,其中,86.9%的人表示如果无法获得该网站进一步的确认信息,将会选择退出交易。网络安全和信任问题已经成为网络向深层次发展的最大制约因素,互联网向政务、商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
发达国家已经将网络安全列为国家发展的战略话题,特别是OBAMA总统上台后,更是将加强网络安全列为《2009国家情报战略》的六大任务之一。他专题演讲中屡发居安思危之慨。倡导政府部门、公益机构、科研院校和公司企业等加强合作,共同应对信息安全挑战,甚至将中国视为假想敌和战略对手,大肆鼓噪“中国网络威胁论”。美国相继推出《国家网络空间安全战略》与“曼哈顿计划”(HSPD23/NSPD54总统令),随后2009年6月25日,英国政府发布《网络安全空间战略》,并宣布成立网络安全办公室和网络安全运作中心;2009年7月,法国成立国家网络与信息安全局,年预算9000万欧元;澳大利亚宣布启动新的国家网络安全战略,突出重要基础设施保护;韩国宣布提前于2010年建立网络司令部;日本则强调“信息安全是日本综合安保体系的核心”,加大相关设施投入。
信息技术已经渗透并影响到我国政治、经济、军事、文化和社会生活的各个方面,我国在核心技术、高端设备和主流应用方面受制于人,技术漏洞和安全隐患日益突出。我国政府部门已经成为国内外网络攻击和窃密的重点目标,2010国家有关部门查处窃密案件百余起,窃取文件数量为30多万份,已发现受控主机数量2000多台。2009年以来,网络信息安全与社会稳定相互交织,2009年的77件重大公共突发事件中,有23件在网络论坛上率先暴光,网上群体事件以维权居多、泄愤为主,诱发社会性骚乱的风险不断增大。而且网络动员具有煽动面广、组织号召力强、事前预兆不多、公众参与度大、聚集速度极快等鲜明特点。“个案”很快变为“公案”、“一呼百应”迅速发展为“一呼百万应”,“网络曝光、舆论推动、影响扩大、问题解决”已成为网络群体事件的发酵路径。
面对严峻的安全挑战,从基础设施到上层应用,从跨媒体终端到后台存储,一套符合中国国情的完整的信息安全理论体系显得尤为重要,锐捷网络Slab安全研究小组专家提出的“面向法规与人本的新一代信息安全架构”应运而生。
面向法规与人本的新一代信息安全架构示意图
面向法规
美国早在2000年提出《信息保障技术框架》IATF 3.0(2000),后期逐步完善为基线风险评估体系。所谓基线风险评估,就是确定一个信息安全的基本底线,信息安全不仅仅是资产的安全,应当从组织、人员、物理、逻辑、开发、业务持续等各个方面来确定一个基本的要求,在此基础之上,再选择信息资产进行详细风险分析,这样才能在兼顾信息安全风险的方方面面的同时,对重点信息安全风险进行管理与控制。这种信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。在这个领域,ISO27001标准得到了广泛的应用,并被采纳为通用的国际标准。
ISO27001确立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则,以规范组织机构信息安全管理建设的内容,因此,风险评估时,可以把ISO27001作为安全基线,与组织当前的信息安全现状进行比对,发现组织存在的差距,这样一方面操作较方便,更重要的是不会有遗漏。
我国政府也在积极探索为信息安全设立法规政策。特别是电子政务安全关系到政府的办公决策、行政监管和公共服务的高质量和可信实施的大事,必须由国家统筹规划、社会积极参与,才能有效保障电子政务安全。国家必须采用法律威慑、管理制约、技术保障和安全基础设施支撑的全局治理措施才更有效。1994年国家就有最早的政策出台,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),专门规范信息安全保护工作。随后在2004年有明确的《关于信息安全等级保护工作的实施意见》文件为国内信息安全建设规定了基线。等级保护政策根据信息资产的价值等级、所面临的威胁等级,寻求一个投入和风险可承受能力间的平衡点,持续保障电子政务系统健康积极地发展。等级保护政策推行至今,已经成为国内信息系统安全建设的基本准则,2010年4月国家还最新发布了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》。
面向人本
传统上,我们谈到信息安全防护时,首先考虑到的就是网络边界防护,也就是通过防火墙/VPN、网关安全技术给自己的网络安装一道防护的“闸门”,通过网络访问控制技术来实现对内部网络的保护。可是,这种防护的负面影响甚至超过了它能带来的利益,给用户的限制要多于其所能消除的安全隐患。随着互联网的大量普及,我们的网络和信息系统不可避免地要对外开放,要开放给客户,要越来越多地共享应用系统和数据库给合作伙伴,在这种情况下,保护数据本身比建一堵围墙重要得多也有效得多。
我们在数据周围建了很高的墙,但是却忽略了数据是流动的,不会呆在墙内原先的地方,我们要保护的是国王而不是城堡,而国王是要到处走动的。人们建起了更宽的护城河和更厚的城墙,但很多人却忘记在君主打开城门走出城堡时保护他——这恰恰是一个公司最重要的资产。
整体上来看,目前的安全思想整体已不能应对这个无论在公司内外都可以接入公司网络的互联网时代,利用“高打墙深挖壕”方法护卫网络的传统思想需要改变了。因此,人们必须转变观念,将原本清晰的网络边界更加模糊化。准确来讲,今天的网络边界与以往不同,它不再是数据中心中的物理资产,也不是办公室中的桌面电脑,而是应用网络的人。用户才是真正的网络边界。
理念的变化将带来安全防护方式的巨大变化。我们不仅要对自己的信息系统的安全负责,还要对与自己网络紧密相连的用户、客户、合作伙伴的信息系统的安全负责。因此,防护系统不能仅仅局限在网络边缘,而应该融入到所有的信息系统之中,这样才能作到“Keep it open, Keep it safe(保持开放,保持安全)”。
要解决这些问题,就需要彻底摈弃传统的安全策略与控制手段,将目光聚焦在系统中的人、应用、资源。面向人、应用、资源的下一代网络安全技术拥有如下功能:
1)基于精确识别用户身份
作安全策略(对网络上的任何一个人做到可控)
2)基于应用程序技术做策略分类(而不论应用使用何种IP、端口、协议或规避策略)。
3)基于服务器群组和虚拟化应用资源的策略(而不是单一某台硬件服务器)
符合国情的解决方案
以国内政府用户的基础安全需求作为出发点,紧密结合国内等级保护等相关法规要求,面向身份、应用、资源的人本安全策略支撑,我们提出了政府信息安全五大解决方案。
1)内网应用安全域解决方案
内网应用安全域解决方案由安全防护设备、身份管理平台和终端软件组成。通过终端软件接入并由身份管理平台进行身份认证和终端安全状态评估,确保每一个接入端点的安全,预防内网病毒、蠕虫的泛滥。安全防护设备对各个业务区域的数据和应用进行隔离和控制;身份管理平台后与网络和安全设备联动,控制攻击来源,迅速对违规的用户进行处理,让指定的人进入指定的区域。通过点(端点准入)、线(在线控制)、面(统一管理)相结合的立体防护,为用户提供最有效的内网安全解决方案,符合等级保护要求。
2)互联网出口安全解决方案
互联网出口安全解决方案由出口引擎、负载均衡、流量管控、行为管控、防火墙、VPN网关、Web防火墙等组成。出口引擎加速互联网访问的速度与体验,流量与行为管控确保互联网流量与资源的高效利用,防火墙/VPN融合2~4层的包过滤、状态检测、安全接入等技术,配合Web防火墙 4~7层的防护,实现全面的2~7层安全防护,有效地抵御了非法访问、病毒、蠕虫、Web页面攻击、篡改等非法入侵。
3)纵向网安全互联解决方案
VPN方案是目前业内最佳的纵向网互联方案之一,它不仅节省了专线费用,更确保了纵向互联的数据安全性。可以快速实现分支机构、合作伙伴、移动用户的一体化远程安全接入,并通过统一管理平台实现众多防火墙/VPN的统一部署、监控、管理。
4)数据中心安全解决方案
数据中心安全解决方案由安全防御系统、Web防护系统、数据库审计系统组成。安全防御系统融合DDoS防御、区域安全隔离、深度入侵防御等技术,实现对2~7层攻击的防御,并在部署时充分考虑可靠性,保障业务持续不间断地运行;Web防护系统可以有效防止数据中心访问者对Web服务器的攻击、SQL注入、挂马、篡改等行为。数据库审计系统则对数据库使用人员进行控制和监管,并通过日志手段,确保事后的审计。
5)门户网站保护解决方案
门户网站解决方案将网页漏洞扫描、网页入侵防护、网页防挂马、网页防病毒、网页防篡改等多个系统合一,提供事前扫描、事中防御、事后恢复的全循环防护流程。既抵制住来自外界的非法入侵,又确保政府单位满足国家合规性要求,更加避免网站被攻击后可能带来的舆论事件,可能对社会安定带来的影响。
安全与网络的融合
我们非常注重通过发挥解决方案的灵魂作用,实现网络与安全的深度融合,从而最容易地实现全方位安全防护。比如将安全产品以插卡的方式集成到核心网络设备中;将VPN账户与计费账户的统一管理;IDS事件系统与实名制身份认证系统的安全事件联动;防火墙与IDS的联动;流量控制与实名制身份认证系统的联动,实现基于用户的流量管理;防火墙与身份认证系统联动实现动态安全事件的下发等。确保网络与安全的无缝融和,避免设备界限带来的安全死角隐患。
自2003年推出第一台状态检测防火墙至今,锐捷网络的安全产品已经走过了八年的历程。2006年拥有全系列防火墙、IDS、IPsec/SSL VPN网关等传统安全产品,2007年率先推出了高性能NAT和智能负载均衡的网络出口引擎NPE;2008年,推出流量管理功能业界首屈一指的应用控制引擎ACE,这同时也标志着锐捷网络在解决安全与速度这一矛盾方面迈出了坚实的一步。2009年,锐捷网络推出了国内领先的防网页篡改和防挂马的Web安全防护网关,让锐捷真正进入应用层安全防护第一梯队;直到2010年锐捷网络正式推出“面向法规与人本的新一代信息安全架构”,这标志着锐捷网络对信息安全解决方案的深刻理解和精通,同时也是锐捷网络持续关注和贴近国内客户应用,持续为用户网络提供最贴心的安全保障。
锐捷网络将目光投注到打造独具的价值和鲜明的特色上。锐捷网络安全产品结合客户现状和技术发展趋势,全系列产品采用万兆处理,为用户提供高速安全的访问通道,带给用户无阻塞的网络访问体验,同时产品全面支持IPv6和可视化,帮助客户提供了以零成本过渡到下一代互联网,让用户对自身的网络了如指掌,充分感受投资价值。
锐捷网络特色鲜明的技术解决方案与安全产品相配合,已规模应用于政府、金融、电信和教育等行业,成功服务国家环保部、国家审计署、北京奥运会、广州亚运会、深圳大运会、国资委、民政部、新华社、知识产权局、中国移动、歌华有线、中华联保、清华大学、北京大学等客户,并得到用户的广泛认可。
