时间:2023-09-13 17:14:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇金融行业网络安全解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
英特尔公司旗下的全资子公司,安全软件厂商McAfee提出以3.89亿美元现金收购芬兰上市公司Stonesoft,这是一家防火墙安全软件公司。消息一经公布,该公司的股价瞬时飙升。Stonesoft的投资者以每股5.9美元出让股份,相当于该公司收盘价的两倍多。
这是McAfee自2010年以768万美元被英特尔收购以来最大的一笔交易。
此次要约收购交易已经获得了Stonesoft公司CEO Ilkka Hiidenheimo、主席Hannu Turunen,及一名董事会成员(共持有Stonesoft 34.7%股权)的同意。Stonesoft的董事会,亦建议其他股东支持该方案。
赫尔辛基调查机构Inderes Oy的分析师米克尔·拉塔尼表示:“正如你经常听到有些企业的网站被入侵,网络安全的大趋势从未展现出放缓的迹象。而Stonesoft有潜力看到这强劲的增长,因此这对英特尔来说是一项不错的交易。而此次交易提出的价格对Stonesoft的股东而言也是一项非常好的交易。”
总部位于赫尔辛基的Stonesoft为企业客户提供一系列的安全解决方案,包括下一代防火墙,规避防御系统以及SSL VPN解决方案,帮助企业免遭网络安全威胁。它通过软件、硬件和虚拟设备提供军事级别的防火墙。研究公司Gartner最近的安全报告授予该公司“有远见的企业”称号。该公司提供行业内最完整的安全解决方案,这也是吸引迈克菲的主要原因。
英特尔网络安全部的高级副总裁兼总经理派特·卡尔霍恩在他的博客中写道:“McAfee已经设计生产出了高安全度的防火墙,为全球包括政府机构在内的最重要的网络提供防护。此次收购,我非常有信心,我们将为下一代防火墙提供最先进的技术,Stonesoft的技术能够满足一个全新的、巨大的企业细分市场的需求。”
卡尔霍恩还说:“有了英特尔的支持,我们现在提供两种领先的防火墙解决方案,这将是我们安全连接战略中至关重要的一个层级。此次对Stonesoft的投资也将允许我们将我们的资源集中在我们IPS平台的开发上,使之能够成为市场领先的解决方案,帮助企业抵御绝大多数复杂且高级的威胁。将IPS和防火墙与我们领先的威胁智能感知系统、解决威胁专家,以及领先的网络和邮件保护解决方案结合在一起,McAfee必将在网络安全领域处于领先地位。”
成立于1990年的Stonesoft拥有超过6500名客户,其中包括政府、零售商和金融服务公司。尽管该公司今年第一季度的净收益为1200万美元,与去年同期相比增加了12%,但股价与去年同期相比有所降低,为0.04美元/股。此次交易的接受期为从5月21日起的三星期。
撰稿:Red Herring Editorial Team
当今,网络技术高速发展,网上应用的数据量迅速膨胀,数据管理越来越复杂。数据存储和备份、数据安全保护、网络监控和数据加速等都已经成为关系企业生存发展的关键性因素。于是,为政府和企业提供解决方案的网络公司应运而生。他们预见政府或企业内部的网络可能发生的技术问题,提出切实可行且能降低成本、提高效率的有效问题解决方案,提供稳定的数据存储,保护数据安全,并进行网络优化和加速,帮助客户取得更有效的管理成果。
北京合力共创网络技术有限公司(以下简称“北京合力”)成立于2001年,是一家以存储为核心的网络产品与技术服务集成商。他们紧密跟踪网络先进技术和最新发展动向,通过专业的以数据存储、数据安全为核心的网络设备系统集成服务,为各行各业提供完整、个性化的企业级存储系统整体解决方案,得到了众多政府机构和企业的广泛认同。
储存备份:“稳”中求胜
在数据存储领域,北京合力是美国NetApp大中国区白金商、注册服务和签约服务提供商,NetApp作为IT存储业界的佼佼者,它的存储解决方案为开放网络环境提供了无缝的存储管理。北京合力提出基于NetApp共享云存储方案,在加大数据存储容量的同时,提升存储设备稳定性,并有容灾备份功能,保护企业数据不流失。北京合力已为中石油、中国联通等多家大型企业提供存储产品与技术服务,深受好评。
在金融行业中,北京合力基于NetApp的存储方案,可以提升银行办公效率,大大降低系统死机的概率,使系统更加稳定。某商业银行的办公系统经常遇到宕机、系统效率低下、磁盘阵列饱和的问题。由于应用系统由多台主机运行,数据不能共享和备份。在遇到系统重新安装,或数据库导入数据以及作数据一致性检查时,系统就会死机。这些现象严重制约着企业的生产效率,困扰着信息部门,他们期待北京合力能给出解决方案,优化办公系统,提升银行的工作效率,减少损失。
为了解决这些问题,北京合力将NetApp的双机存储设备作为办公系统的主存储,用千兆以太网与银行原来的IBM RS/6000和NT服务器相连,IBM RS/6000小型机和NT服务器分别通过NFS和CIFS协议共享存储上的数据。该方案实施后,明显提高了银行办公存储系统的效率和稳定性,在系统导入数据和做一致性检查时,死机现象不再发生,用户发送帐单、报表的到达时间缩短为原来的1/5,IBM RS/6000和NT服务器可以相互备份,它们经过授权可以访问存储上的任何数据,并且在一台应用服务器出现故障,其它应用服务器可以直接替代它。
新的方案不仅增加了系统的稳定性,新的存储设备还提供了数据保护和备份。如病毒攻击、人为误删除等可以通过到Snapshot备份的目录下拷贝回来,同时还提供了介质层的保护,如出现硬盘损坏,系统自动完成数据重建,不需要任何人为的干预。系统的磁盘检查程序会在磁盘损坏以前提供报警信息,管理员可以主动让有潜在问题的磁盘失效,避免性能下降;NetApp还具备集群容灾功能,存储系统没有任何一个单点故障,系统的任何部件包括主板、CPU、内存等都可以在应用系统不中断,用户服务不中断的情况下进行更换和维修,如果要进行存储系统扩充,可以在线完成,方便快捷。
数据安全:“邮”刃有余
在邮件安全领域,北京合力和全球信息安全的领导者Secure Computing公司合作,为企业打造各类网络安全产品,为用户提供包括邮件安全、Web审核、攻击防护、身份认证等在内的、全面的网络安全解决方案。
电子邮件系统承担着企业内部和外部信息通讯的重要角色,安全可靠的电子邮件系统是企业信息化战略过程中必不可少的重要组成部分。随着信息化系统规模的增大,和外部合作的增多,邮件系统不断受到来自外部Internet的攻击和企业内部的邮件病毒困扰,大量的垃圾邮件和病毒邮件涌进员工与用户的邮箱,导致很大一部分网络带宽被消耗,同时还占用了邮件服务器的大量资源,邮件系统的运行和维护成本迅速增加,垃圾邮件比例剧增,使正常邮件被“淹没”在垃圾邮件之中,严重影响工作效率。
为了解决用户垃圾邮件问题,并保护邮件免受病毒侵扰,合力共创公司提供了以Secure Computing公司的IronMail邮件安全网关为核心的安全解决方案,为网络安全加了一把安心的大锁。它通过卓越的处理性能、方便灵活的配置和管理能力,提供电子邮件安全性和99.99%以上准确的垃圾邮件过滤技术,来帮助企业识别垃圾邮件、病毒、网页仿冒、拒绝服务和其他对电子邮件安全性构成的威胁。
北京合力还运用Secure Computing专利的Trusted Source互联网信誉评分体系,通过结合Ironmail邮件安全网关的专利操作系统、高效垃圾邮件判断引擎和多层防病毒引擎,提供全球主动防御和本地智能分析的完美结合,能够抵御来自Internet针对邮件业务的各种攻击,降低了网络安全风险,节省了网络带宽。用户部署的IronMail网关通过自动更新垃圾邮件特征库,结合本地基于遗传优化算法实现的策略调整,时刻保证运行在最优状态,实现无人管理。
IronMail邮件安全网关在同一台设备上可以同时进行邮件,病毒扫描,垃圾邮件过滤,邮件安全发送等功能,并且能够和邮件系统完美、无缝集成。用户在用了基于IronMail的邮件安全解决方案之后,大大增加了邮件的安全性。
网络优化:立“监”成效
在网络优化领域,北京合力与全球领导厂商Riverbed合作,致力于为用户提供广域网监控和数据加速的解决方案。
北京合力为“首都之窗政风热线频道”提供应用性能监控,作为首都市民参政、议政的窗口,颇受市民欢迎,运行系统分为“咨询与投诉系统”和“走进直播间”。
“咨询与投诉系统”主要用于接收网民信件并转发政府相应部门和单位,各部门和单位凭帐号登录后接收并处理信件、予以回复。设置有监督人,可以审批退信申请、时限修改申请、内部重办、对来信人重办审批、查询所有信件、查看信件处理状态;“走进直播间”主要用于前台网民在直播时发言,通过数据库方式进行审批之后;网民可以看到审批之后的网民留言、嘉宾访谈记录、现场图片。任何数据的对外均需要经过后台审核。同时每次的历史记录均可通过系统对外并查询。
“咨询与投诉系统”和“走进直播间”系统存在着例如系统响应变慢、经常性的系统停机等性能问题,亟待解决。首都之窗希望在北京合力的帮助下,寻找一个能够分析和监控政风系统的工具,以解决性能问题上的监控、定位和分析问题。
北京合力通过CA Wily应用性能管理方案大大提高了网站的监管能力。方案实施后,能够全天候严密监控应用系统使用情况,简单的监控界面大大加快了运维。同时,通过CA Wily管理方案,使人员对运行故障的判断和跟进速度,改变了过去大海捞针和部门扯皮的做法。方案还能清晰地判断现有系统的性能瓶颈问题,并协助用户解决内存泄漏、配置和 HTTP 会话管理等问题,改变被动救火管理模式为主动预防的管理模式,管理人员实时掌握整个应用系统性能变化,通过有效的管理流程以及灵活的性能报警机制,可以避免问题的发生和更快地解决问题,提高系统的可用性和可靠性。
法国作家拉封丹有言:若不团结,任何力量都是弱小的。在APT等高等级的信息安全威胁面前,团结似乎显得更加重要。
联合、协作始终是信息安全领域的话题。从厂商的角度,似乎没有哪些厂商会像安全厂商那样有着强烈的合作愿望;从用户的角度,似乎也鲜有用户会排斥更为有效的、集成的信息安全解决方案。
放眼全球,厂商内部各个产品线、厂商与厂商之间的联合、协作的信息安全解决方案已经成为主流。然而在国内,我们看到更多的仍然是各个厂商单打独斗的局面。在日益强大的安全威胁面前,不团结即弱小的防御方式,终究会让用户遭受损失。
好在,很多安全厂商已经意识到了这一问题,并开始做出了实质性的动作。近日,山石网科与趋势科技在北京召开联合会,宣布双方已经达成战略性合作框架。同时,双方还了联合的APT防御解决方案,该方案也成为双方联合的第一个解决方案,给国内信息安全市场带来了一缕联合、协作的阳光。
趋势TDA+山石安全网关
在联合会现场,趋势科技全球研发长暨大中华区总经理张伟钦、山石网科CEO罗东平双双到场,代表两家厂商共同见证了合作的开始。
“保护网络安全需要集体的智慧,优势互通将帮助用户无惧威胁。网络威胁在攻击方法和侵入途径上不断进化,依靠单一技术的厂商和解决方案,或是产品层面的简单堆砌,用户都很难组织起有效的威胁发现和阻断措施。而山石网科和趋势科技联合推出的高级威胁解决方案,则实现了业界领先的安全网关和威胁发现设备的智能整合,进而形成了一体化的高级威胁防御平台。”罗东平表示。
罗东平口中的高级威胁防御平台,基于山石网科M系列企业安全网关和趋势科技TDA威胁检测设备两种安全设备联合打造。两种设备可并联在企业网络出口位置,网络中的流量会同时镜像到趋势科技TDA威胁检测设备,同时与山石网科安全网关保持数据同步。
事实上,山石网科的安全网关和趋势科技的TDA威胁检测设备都是双方各自的拳头产品,在企业安全防护方面颇有建树。NSS实验室评测趋势科技TDA威胁发现设备的整体入侵侦测率最高,同时零误判;山石网科企业级安全网关也被Gartner认可。 二者的协同使用,实现了“威胁识别―威胁预警―威胁阻止”的自动处理。
在面对APT攻击时,能够快速检测和识别威胁非常重要。张伟钦告诉记者,做到未知威胁检测的零误判非常困难。趋势科技TDA威胁检测设备能够实时分析从网络层到应用层的多种协议流量,通过沙箱动态分析技术快速精确地识别未知威胁。在具体应用中,趋势科技TDA威胁发现设备独有的侦测和关联引擎,能更精确快速地检测出来自不同攻击源的威胁,并在第一时间预警。同时,这些威胁分析数据将自动添加到山石网科安全网关中,智能地切断恶意代码内外部之间的联系。
当前大多数信息安全解决方案存在威胁误检出率较高,威胁的持续监控和未知威胁识别能力较弱的缺陷。这是因为传统的威胁检测工具主要基于特征扫描技术,只能检测出已知威胁;另外在系统的防御体系中威胁发现设备和安全网关之间缺乏紧密联动,只能通过人工方式对威胁进行有限的处理,既消耗大量时间和人力资源,又无法在发现威胁的第一时间对系统进行保护。
“山石网科和趋势科技联合的高级威胁防御平台正好弥补了这些缺陷,让各个安全设备联动起来。同时,智能化、自动化的处理模式可以大大缩短防御响应时间。企业一旦受到恶意攻击,可以把损失降到最低。”罗东平说。
据了解,高级威胁防御平台可应用于安全防护级别较高的金融企业,部署在企业网络的出口,在面对利用社交工程方式的APT攻击中,通过沙盒来分析未知的恶意附件,得到威胁样本,并实时地对来自威胁源的大流量攻击数据包进行过滤阻截,从而保障金融企业网络系统的可用性和可靠性。此外,在政府、教育等行业,在数据服务区域前端部署高级威胁防御平台后,可精确识别网络中窃取服务器和终端设备数据的异常行为,并通过防御功能阻止恶意攻击对敏感数据访问,保护核心数据的安全。
想象空间巨大
张伟钦对记者表示,趋势科技和山石网科都是非常专精的安全公司,两者分别从端点安全和网络安全起步,在各自的领域取得了不菲的成绩。“我们只做我们擅长的事情。特别是在信息安全领域,如果做不到专精,很难立足,很难对客户负责。所以,双方的合作都是把自己最好的产品和技术拿出来,站在不同的视角共同抵御安全威胁,形成从威胁检测到处置的完整防御链条,为客户提供最好的高级威胁防御解决方案。”张伟钦说。
据记者了解,在这个联合解决方案中,双方不仅是简单地将自己产品的接口开放给对方,还将进行深层次的协同,比如研发统一的用户界面、共享威胁特征库和云服务平台等,从而为用户提供更好的服务和体验,让用户在信息安全上的投资价值最大化。
1企业网络安全需求分析
1.1网络安全概念及特征
网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施,以确保信息完整、可用、无泄露,保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。
1.2企业网络安全面临的主要问题
企业网络安全面临的问题归纳如下:(1)网络安全目标不明确。虽然《网络安全法》已于2017年6月1日起施行,但企业对网络安全的重要性依然认识不足,缺乏网络安全规划,没有明确的网络安全目标[3]。(2)网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性,企业网络安全存在很大隐患。(3)网络安全设施不健全。无论大型企业,还是中小企业,都存在网络安全基础设施投入不足的问题,以致设施陈旧、不完整,面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。(4)缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4],缺乏系统性、协同性、灵活性,面对万物互联和更高级的威胁,传统防护手段捉襟见肘、防不胜防[5]。
1.3企业网络安全需求
企业因网络安全需要而产生的要求即为企业网络安全需求,这是由企业内部网络因素与外部网络形势共同决定的,内外都不会一成不变,所以企业网络安全需求是一个动态过程,具有时效性。基于此,要准确把握企业网络安全需求,必须对企业网络安全现状进行调查分析,一般而言,企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6],具体体现在以下几个方面:(1)网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单,而且没有形成完整的体系,对企业网络安全的指导性不足。(2)网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构,负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。(3)网络安全运行管理需求。企业应建立科学高效的运行管理体系,采用实用的运行管理方法,对服务器安全、网络访问可控性、网络监控等进行管理。
2企业网络安全解决方案
2.1企业网络安全方案设计原则
网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案,避免失于偏颇和“词不达意”,设计原则可以有很多,笔者认为最重要的原则如下:(1)多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。(2)简单适用原则。过于复杂的方案漏洞多,本身就不安全。(3)系统性原则。企业网络安全面对的威胁是多方面的,只专注于一点无法保障网络安全。(4)需求、风险与代价平衡原则。没有任何方案可以做到绝对安全,追求过高的安全性要付出巨大代价,所以要学会取舍,平衡风险与代价。(5)可维护性原则。没有任何系统可以做到无懈可击,要做到能随时调整、升级、扩充。(6)技术与管理相结合原则。在改善安全技术的同时也要加强管理,减少管理漏洞,对于复杂的安全形势,要多做预案,提前防范突发事件。
2.2企业网络安全解决方案
2.2.1网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发,将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域,如图1所示。互联网域接入互联网服务,服务区域即企业服务器放置区域,外联域接入分公司区域,内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内,便于各个安全子域内部署相应等级的防护策略。2.2.2部署安全网关方案在外网与内网之间设置安全网关(如图1所示),作为企业网络系统的物理屏障,以保护内网安全。安全网关不是单一的防火墙,而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理(unifiedthreatmanagement,UTM)概念,将多种安全特性的防护策略整合到统一的管理平台上,按需开启多种功能,其由硬件、软件、网络技术组成。UTM在硬件上可以采用X86、ASIC、NP架构中的一种,X86架构适于百兆网络,若是千兆网络应采用ASIC架构或NP架构。在升级、维护及开发周期方面,NP架构比ASIC架构更有优势。UTM软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能,通过模式匹配实现特征库统一和效率提升。UTM管理结构基于管理分层、功能分级思想,包含集中管理与单机管理的双重管理机制,实现功能设置管理和数据分析能力。
2.2.3部署IPS与IDS方案IPS是入侵防御系统(intrusionpreventionsystem)的英文缩写,用于监视网络或网络设备上的数据传输,发现异常数据可以即时中断传输或进行隔离,先于攻击达成实现防护,与防火墙功能上互补,并支持串行接入模式,采用基于策略的防护方式,用户可以选择最适合策略达到最佳防护效果。IPS部署在服务区域与内网核心区域之间,或核心交换机与内部服务器之间(如图1所示),可实时监测外部数据向内部服务器的传输过程,发现入侵行为即报警、阻断,同时还能精确阻击SQL注入攻击。IDS是入侵检测系统(intrusiondetectionsystem)的英文缩写,能对网络数据传输实时监视,发现可疑报警或采取其他主动反应措施,属于监听设备,其安全策略包括异常入侵检测、误用入侵检测两种方式,可部署在核心交换机上,对进出内网与内部服务器的数据进行监测,如图1所示。
2.2.4部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库,通过扫描检测远程系统或本地系统漏洞行为,与防火墙、IDS配合以提高网络安全性,扫描对象包括网络、主机和数据库。漏洞扫描运用的技术有主机在线扫描、端口扫描、操作系统识别、漏洞监测数据采集、智能端口识别、多重服务检测、系统渗透扫描等。漏洞扫描系统部署方式包括独立式部署和分布式部署。前者适于比较简单的网络结构,例如电子商务、中小企业等;后者适于复杂、分布点多、数据相对分散的网络结构,例如政府、电力行业、金融行业、电信运营商等。图1为采用独立式部署的漏洞扫描系统方案。
据IDC报告,在金融危机对IT安全硬件市场产生直接影响的2008年,联想网御逆市增长。
日前,IDC了2008年下半年中国IT安全硬件市场分析报告。报告指出,2008年,中国IT安全硬件市场的市场规模为 4.849亿美元,同比增长28.1%。其中,入侵防御硬件市场(IPS)、统一威胁管理硬件市场(UTM)、安全内容管理硬件市场和VPN 硬件市场出现了高速增长。IDC预测,随着市场的进一步扩大,这些高速成长的子市场在整体IT安全硬件市场中所占比例将逐渐加大。
IDC认为,2008 年第三季度,国际金融危机对中国的影响开始显现,第四季度经济形势加剧恶化,对IT安全硬件市场产生了迅速和直接的影响。而正是在整体经济环境持续恶化的一年中,联想网御实现了高速增长。
IDC的数据充分证明了这一点,2008年下半年,联想网御总收入名列前茅; 除防火墙、IDS等传统优势产品继续保持市场第一军团地位之外,IPS异军突起,达到23.1%的市场占有率; 与此同时,UTM、VPN也成长为国内厂商的第二名。
据联想网御总裁刘科全介绍,在2008年,联想网御通过在产品、技术、服务及解决方案等方面的全面创新,在传统的防火墙、VPN、网闸和IDS产品继续保持优势的基础上,扩充了包括UTM、IPS、异常流量管理、内网安全管理在内的全线产品。开发出一系列面向用户、面向应用、面向网络可信接入的网络安全解决方案。随着自主研发的万兆安全网关产品、数据安全交换平台的推出与完善,联想网御在电信、教育、能源等多个新的行业增长点上也取得了突破。
刘科全认为,信息安全企业唯有眼光长远,苦练内功,把握需求,持续创新,并据此制定正确的企业发展战略,才能有所建树。2008年,联想网御明确提出了“巩固网络安全,发展应用安全,布局管理安全”的三年发展战略。在该战略的指引下,通过对信息安全产业发展趋势的敏锐判断,率先开始了在应用与数据安全领域的战略布局。
“自1999年进入信息安全领域以来,联想网御始终致力于技术的积累和不断创新,拥有信息安全领域的多项核心技术,拥有专利50多项。联想网御还将持续加大在产品创新上的投入,为联想网御的科技创新之旅注入发展动力,为民族安全产业创造更大的价值。” 刘科全表示。(文/陈广)
近日,东软集团了160G高性能下一代防火墙――东软NetEye NISG 7000-Ⅻ。对于这款产品的推出,东软方面显示出了极大的自信。对于国内早已开始的下一代防火墙市场竞争,东软是否有点后知后觉?面对强手如林的下一代防火墙市场,东软的自信又来自哪里?
应用层的高性能
东软集团网络安全事业部副总经理张泉告诉记者,160G高性能下一代防火墙NISG 7000-XII依托东软集团自身技术优势与近20年的网络安全行业积累,针对运营商、金融、大型行业客户数据中心等超大规模业务应用场景而设计,旨在帮助大型行业客户完成数据中心边界的安全防护和应用安全管控。
事实上,东软集团在安全领域具有足够的积淀,总是希望在精耕细作之后,把最成熟的产品和技术推向市场。这是东软安全对产品负责的态度,也是其自信的原因之一。
东软集团网络安全事业部资深产品设计师翟海涛指出,当前企业数据中心网络中75%的安全风险都来自于应用层流量。他认为,传统的高性能安全网关类产品正在遭遇前所未有的尴尬。这是因为,它们的高性能都是指网络层,而网络层的高流量却无法完整地进行应用控制、IPS检测等工作,无法实现应用层的安全防护,使这类安全网关产品的防护能力大打折扣。
“东软这次推出的160G下一代防火墙,其应用层的吞吐量和网络层一致,同样可以达到160G。这是该产品的巨大优势。”翟海涛自信地认为,东软的下一代防火墙产品在应用层的出色表现,才能证明下一代防火墙对用户安全防护所具有的巨大价值。
翟海涛介绍,应用层的超高吞吐量得益于针对数据中心业务流量特征设计的Rocky高速并行计算架构,东软NetEye NISG7000-Ⅻ除了网络层160Gbps的吞吐量和160Gbps的应用识别与控制吞吐量,还具备每秒60万个新建应用层会话、最大并发连接数3000万等性能,真正称得上是“高性能”下一代防火墙。
翟海涛提到的Rocky高速并行计算架构,是东软安全基于Intel DPDK技术和东软安全操作系统NOS针对数据中心流量特性而设计的安全架构。通过对网络接口行为的重构,支持基于流的多核负载分配,确保全局无锁化,保证多核高速并行计算的性能。同时,NOS自主设计的调度系统解决了上下文切换带来的巨大开销,以及Cache失效带来的性能丢失,确保了每次数据访存都能命中Cache,极大地提升了性能;通过重构文件系统的方式大大优化了I/O操作的性能,并根据需求改变I/O行为,保证块模式扫描性能得到提升。
为数据中心而生
综观东软NetEye NISG 7000-Ⅻ的特性,不难发现,它正是为数据中心安全而生。
“在Rocky高速并行计算架构下重新调校的智能IPS引擎,更是把这款产品的IPS检测能力提升到了80Gbps的水平,完全满足数据中心在高带宽、高并发下,对复杂应用数据进行安全检测和管控的需求。”翟海涛介绍,该产品搭载的智能IPS引擎被称为NEL,是东软拥有完整自主知识产权和多项国家及国际专利的IPS检测引擎,它为东软NetEye NISG 7000-Ⅻ带来了强大的攻击事件描述能力和强大的扩展性,也对其检测机制进行了调优。它采用基于以位并行(Bit Parallelism)和q-grams作为技术基础并改进的模式匹配算法,通过概率计算预测运行效果,对模式集进行合理统筹分组,更智能优化了过滤效果,并通过多层过滤技术加速检测。首先从高速流量当中快速锁定有潜在威胁的数据区域,然后通过逐层局部放大的方式进行深入检查,在大幅提升检测效率的同时,也能够准确识别攻击数据。同时,各层次过滤条件可以根据实际网络流量实时调优,达到最高检测性能。
当然,该产品还具备强大的灾备能力,作为数据中心安全网关产品,这一点必不可少。在硬件设计上,系统采用双电源设计、网络接口硬件Bypass设计。在极端硬件故障情况下,保障数据业务的连贯性。在软件功能上,东软NetEyeNISG 7000-Ⅻ支持多系统、冗余接口、VPN冗余网关、链路备份、负载均衡、主-主模式热备、主-备模式热备等多种灾备解决方案,保证应用访问业务的连续性,增强运营的可靠性。
“这款产品具有高密度接口,可以通过选配达到最大单板配置为32个10GE接口或64个GE接口,同时支持40GE接口的选配。多种的接口配置使其更易于部署在数据中心网络中。”翟海涛说。
紧贴应用需求
尽管各个厂商对下一代防火墙的认知有些许不同,但是有一点可以肯定的是,下一代防火墙必须在应用层具备出色的表现,能够有效保障应用层安全。
提到应用,东软的优势不言而喻。东软集团拥有大量的软件产品和行业解决方案,对企业的应用需求非常了解,这恰恰成为东软做下一代防火墙乃至下一代安全的重要砝码,也成为东软自信满满的另一大原因。
上海众人网络安全技术有限公司(简称“众人科技”)成立于2007年9月,注册资金6600万元,坐落于上海浦东新区张江高科技园区,主要从事拥有完全自主知识产权的iKEY身份认证系统及系列产品的研发、生产和销售,并已通过ISO 9001质量管理体系和ISO 27001信息安全管理体系认证。众人科技是专业从事网络信息安全技术研发和产品生产的高新技术企业。企业以“做中国自己的网络安全技术”为使命,以“自主设计、自主研发、自主生产”的“国产化”发展为战略,建立以密码技术为核心、以信息安全为主导的产业模式。主要技术和产品包括拥有完全自主知识产权的动态密码身份认证系统、智慧城市公共区域安全网络系统、面向有信息安全需求的加密邮件系统、针对APT攻击的多维度网络威胁预警系统等。
二、主要做法和特点
1.针对金融和电信信息安全,研发iKEY多因素动态密码身份认证系统。该系统的核心服务器控制着所有用户对特定系统的访问,并提供严格的身份认证,用户根据业务系统的授权来访问系统资源。iKEY认证服务软件具有自身数据安全保护功能,同时支持多种应用接入认证。在提供整体解决方案的同时,软件具有高兼容性,提供全面的API接口,使客户能方便地将各种基础的应用系统与iKEY认证系统整合。产品的应用领域主要集中在金融、证券和电信等信息安全要求较高的行业;其中金融领域主要是通过多因素动态密码身份认证保障用户的财产安全,在电信行业领域主要通过动态密码口令进行企业内部的管理认证,进行员工行为的内控和授权管理,保障了电信行业的内部信息安全。该系统已成为众人科技自主研发的拳头产品,并获得国家专利。
2.针对公共信息安全,研发智慧城市公共区域安全网络系统。该系统通过各类认证技术和安全机制的结合,提高了公共区域网络的身份认证的安全性,从而提高了用户使用的便捷性和满意度。同时以其强大的用户认证机制以及安全监管功能,助力于规范国家公共网络管理,在大数据时代为国家信息安全保驾护航。
3.积极参与相关标准制订,成为行业标准的制定者。众人科技是国家密码管理局国标项目组的组长单位,参与制定了国家密码行业标准GM/T 0021-2012《动态口令密码应用技术规范》;作为国家密码管理局密码检测标准项目组组长单位,组织编写“动态口令密码检测”的相关规范;参与制定和推动了工信部动态口令产品行业标准、央行身份认证技术相关标准以及银联身份认证技术相关标准等。众人科技已成为网络安全国家标准的积极参与者和推动者。
三、主要成效
1.动态密码产品,处于领先水平。众人科技已申报国家专利近百项,其中动态密码专用安全芯片、后台认证系统、全自动化生产线,以及对应不同行业的各类型终端产品拥有自主知识产权。今年又获得上海市知识产权试点企业资质。公司所开发的产品获得多项国家密码管理局颁发的产品型号证书,如国内首张动态口令产品及挑战应答产品型号证书等,另外相关产品还获得了国家密码管理局、公安部、国家保密局等多个部门认证的产品资质和产品认证证书等,其iKEY身份认证产品通过中国科学院科技查新中心评定为“属填补国内空白,国际同类产品的先进水平”。
2.专业化的安全产品和配套服务,应用场景前景广阔。目前公司的相关产品已进入国内重要市场领域,广泛应用于政府机关、军队、金融机构、电信公司、电商企业、门户网站等组织的各类身份认证场景。首先,动态密码身份认证产品是全球商业银行身份认证的主流技术,可满足互联网金融业务全方位的身份认证需要;其次,众人科技的产品能为提供随需应变的安全解决方案及其产品,包括移动安全支付方案及智能终端、公共WiFi上网管理平台方案、健康安全云服务平台方案、电信系统安全方案、云安全综合方案等都在相继推出;另外,对于有信息安全需求的政府部门、大型企业等,众人科技在加密邮件系统、针对APT攻击的多维度网络威胁预警系统等具有特殊优势,在“后斯诺登”时代将会有更大的市场需求。
3. 立足“四新”,创新发展。随着智慧城市、电子商务O2O的发展,移动入口和移动支付成为商家、互联网用户和银行间的枢纽。移动支付安全是保障用户、平台、第三方支付、银行、商家之间正常商业活动的基石。众人科技立足“四新”,拥有扎实的安全认证技术,并不断研发最新、最前沿、国产自主的密码认证技术。在此基础上,正全力探索“移动互联网入口+安全支付平台+大数据安全应用”的创新发展模式,以入口安全、支付安全、数据安全为核心打造城市、社区和商圈的可信网络空间,以融合上下游产业链,推出一个国产安全标准的移动互联网安全平台的全新经济模式,力争在上海形成示范效应,逐渐向全国推广。
四、小结
为了了解一下这家机构的置信度,我们不妨先看看去年它的预测是什么:
端到端服务的颠覆全面开花(不仅仅是Uber、Airbnb)
物联网变得更加智能
支付世界版图发生重大变化
3D打印产品化
新媒体业务发展迅速
一站式广告技术不断出现
重新聚焦移动游戏客户的长期价值
SaaS向企业端渗透
全面网络安全保护成常态
技术及产品退出表现强劲
其自评是除了3D打印产品化和SaaS向企业端渗透略有失误外,其他预测都是准确的。
下面是预测:
1、虚拟现实变成现实
2016年是虚拟现实粉丝翘首以盼的年份。很多虚拟现实产品都将上市(FacebookOculusRift、索尼PlaystationVR、HTCVive/SteamVR上半年将发行),但是要想成为普通消费者“必备”的电子产品尚有待时日。不过产品的上市本身可以把对这个市场的感知从“很酷”提升到“游戏改变者”的地位。
虚拟现实预计会变革媒体、体育、游戏、娱乐及教育等多个行业,预计到2020年,光游戏和媒体业就能够产生1600亿美元的收入。
在这种乐观的预期下,2016年将成为虚拟现实的大年,各种头条、投资、产品会不断涌现。但是在体验、内容、价格都做好之前,虚拟现实还只能吸引早期采用者。
2、“量化自我”从小众进入主流
以数字化健身与可穿戴技术为表现的“量化自我”,在移动设备、大数据、社会化媒体的催化下,在公众对自身健康的日益重视背景下,今年将会从小众进入主流。
据IDC测算,2015年可穿戴设备的发货量达到了7600万,比2014年增长了164%。预计到2019年将达1.73亿(复合年增长率23%)。
3、汽车准备迎接创新
随着苹果CarPlay、GoogleAndroidAuto等闯入驾驶室,软件开始蚕食汽车。而无人车的一举一动都在抓住媒体的眼球和公众的想象,但是商用化还需要时日。车载技术开始突飞猛进,一些信息娱乐中间件的出现使得它几乎可以运行在任何车载系统上,为车载娱乐应用的第三方市场打开了大门。
相比之下,有的传统车商仍然抗拒技术公司的入侵。而那些主动拥抱的则正在收到回报。比如GM把苹果的CarPlay集成到了自己的27款车型,还对Lyft进行了5亿美元的投资,老牌汽车巨头则表示不惧苹果竞争,自己也可以成为造车的软件服务公司。
不过汽车业的技术变革还需要突破隐私和安全问题才能迎来最终的繁荣。
4、金融创新继续繁荣
尽管最近金融技术创新主要集中在移动支付和加密货币上,但替代性借贷方案,尤其是P2P借贷平台已经成为领先的金融创新趋势之一。跟传统方式相比,P2P的灵活快速、低成本、客户方便可达等优势显露无疑,必将驱动着P2P继续向各类垂直市场拓展。但是缺乏监管也导致乱象丛生,需要行业整顿来引导有序发展。
5、游戏巨头强者愈强
游戏一直是最有利可图的数字内容形式。一直霸占着移动app收入排行榜的大部分榜单(美国前10有8个是游戏,中国前10都是游戏,日本、德国、英国前10至少也有8个是游戏)。
所以巨头都抓紧了并购的节奏(2015年暴雪59亿美元收购KingDigital,任天堂与DeNA合作)。最近3年最赚钱的游戏基本上已经被Supercell、KingDigital、MachineZone、EA等少数游戏商持有。
合并后的主要游戏商已经拿下了收入前30的93%游戏,以及前100的70%,强者恒强、富者愈富成为越来越明显的趋势。
6、数字视频不断壮大
数字视频是主要的媒体形式之一,占据了64%的全球互联网流量。Hulu、Netflix及Amazon等OTP平台因订阅人数不断增长和内容创新而繁荣。UGC(用户生成内容)也不断热络,甚至诞生了不少网红。社交网络也开始利用这一势头推出自己的视频产品。2015年,美国成人日均消费数字视频的时间(115分钟)甚至开始超过了社交网络(104分钟)。
但是跟这种繁荣不相称的是数字视频的广告收入并未相应爆发。预计2016年美国的数字视频广告收入将达96亿美元,虽然数字不小,但在整个美国数字广告支出(671亿美元)的占比仍不算大。
其主要障碍之一是观看效果的可测性。有调查显示,如果效果测量手段得到改进,70%的营销主管愿意增加这方面的广告支出。因此,这可能会驱动数字视频观看效果的分析和衡量技术的发展。
7、移动办公、远程办公走上前沿
技术还改变了企业的工作方式。云计算让企业日益接受了SaaS服务,BYOD(自带设备)和消费化的现象迫使企业重新思考协作和改进生产力的方式。娴熟掌握新技术的新生代员工要求能够即时访问到关键信息,而对有没有位置坐和办公桌并不怎么感冒。
因此企业移动化日益成为趋势。据Gartner预计,到2017年以前,企业移动app的需求增长速度将至少为供给速度的5倍。所以移动优先的技术公司(如Slack)会享受到这一红利。
此外移动技术还可以在无桌化办公的行业(医疗、建筑、零售、交通、外勤等)中寻找到更大的机会。据Google估计,全球有80%的劳动力(约30亿)每天要从事无桌化工作。人人手持智能手机为这些行业的企业app提供了广阔的市场空间。
8、信息安全矛盾之争继续上演
技术本无善恶,只是放大了人性。在软件蚕食一切连接无所不在的背景下,恶的势力也在抓紧利用技术(实际上往往是最先利用先进技术的人)。所以最近几年,网络安全事件呈现出爆发的趋势。据估计网络犯罪给企业每年造成的损失约达4000亿美元,信息安全解决方案已成企业的必备选项。
但是道高一尺魔高一丈,安全问题一直都是个未解之难题。从来都没有一劳永逸的安全解决方案。随着网络犯罪手段的加强,信息安全防护不仅需要能够对抗网络威胁,而且日益要求具备前瞻性、反应性以及引入人的参与。
为此,在过去2年,投资者已经往安全领域注入了46亿美元的资金,使得安全领域成为最热门的创投趋势之一。不过在过热的情况下,较少的公司今年也将面临巨大挑战。
9、无人机逆风飞翔
今年的CES最大的亮点之一无疑是无人机,有30多家参展商带来了自己的产品无人机已经引起了消费者市场和企业市场的同时兴趣。据估计,2015年消费者无人机的发货量达到了430万,比上年增长了167%。
无人机应用的焦点目前主要集中在物流、拍摄方面。但是在农业、能源房地产、新闻、科研、执法等领域也有着广阔的应用前景。各种初创企业和巨头都纷纷在这个领域展开努力。
但是2016年无人机可能会遭遇逆风。主要障碍包括法律和监管问题。此外无人机技术尚未成熟,还有许多技术问题需要突破。比方说载荷有限、电池续航能力不足、机身不够耐久、网络连接不稳定等仍制约着该技术的实用性。
像松下电器这样的大型制造企业,从一个零部件的生产开始,到组装、销售,客户服务,IT系统早已成为企业业务的重要支撑。但是,正如相对论中提到的那样,任何事物的发展都带有正负两种效应,网络也是一把“双刃剑”。然而,十几年来,松下电器部署在全球很多区域的分属企业虽然屡屡遭遇到网络病毒的攻击,却从未发生过重大的网络安全事故。他们是如何做到的呢?
防范病毒扩散在于服务器防毒
以松下在中国华北地区的一家合资子公司为例,作为其重要的元器件生产基地,这家子公司的PC客户端数量和服务器数量分别达到了500台和30台的规模。“从1999年开始,我们就使用了趋势科技的终端防毒产品,其企业级防毒墙产品OfficeScan 经历了近年来冲击波、震荡波、熊猫烧香等重大网络病毒爆发的多次考验,但都实现了及时的防护,让我们的企业网络得以避免当时许多企业所遭受的重大损失。”该公司信息科的负责人谈道。
据了解,在完成了终端防护的全网部署后,该公司服务器又进行了全面升级,由于使用了微软最新的活动目录技术,对文件和邮件服务器的安全防护再次成为了信息科的重要工作。作为网络信息共享和交叉访问的核心,如果这些服务器遭遇病毒感染,就会发生全网范围的感染,若文档、数据库、电子邮件或其他重要的数据项没有最近的或可用的备份,则可能完全丢失。对生产制造企业来说,丢失一个关键的文档将会给业务造成重大影响。很多时候,工程师花费了一天的时间在一份产品的设计中取得的重大进展,很可能会因为病毒损坏了文档而让他们的工作全部归零。而邮件服务器一旦遭遇病毒、垃圾邮件等侵蚀,最直接的后果就是导致工作效率的降低。
信息科的工程师曾经试用过不少防毒软件,但大多都无法为Exchange系统提供安全防护。由于未能采用特殊设计,传统防毒软件对文件级扫描程序的调用非常频繁,文件扫描会让 Exchange 的日志或数据库文件经常出现锁定或隔离文件的问题,从而导致 Exchange 系统的运行故障。
最终,基于松下全球数万台工作站上部署了趋势科技网络版防毒墙OfficeScan的成功经验,松下电器选择了与之配套的趋势科技防毒墙――服务器版ServerProtect产品。在接下来的实际部署中,IT部门分阶段安装了针对Windows服务器版本的ServerProtect产品,并通过SP三层式的架构强化了整个业务网络的安全预警功能,成功将国内各个分厂接入上海网络总部,实现了统一安全等级的全面管理。
用云安全应对数据大集中
从ERP到SCM,再到CRM,还有OA系统,一般企业在信息化建设方面所需要的系统,在制造行业都能见到。分属子公司众多,业务系统“广而全”的特征,也督促着松下电器的IT建设朝着新一代数据中心、虚拟化和云计算的方向发展。
据松下电器公司的IT部门负责人介绍,松下电器将搭建了一个基于云的协同办公网络,员工可以借助该社区上的新服务,更加高效地与来自世界各地的客户、合作伙伴和供应商开展沟通与协作。而针对网络安全方面,下一阶段的计划就是对云和虚拟化的安全防护。
当前,松下电器非常关注趋势科技提出的云安全3.0技术和配套的安全解决方案。他们认为,趋势科技云安全3.0的出现,可以从本质上解决从单纯的利用云技术来保护互联网安全,到对“云”平台本身进行安全保护的重大提升。
至今,趋势科技已赢得了全球3亿用户,30%的全球财富500强企业都在使用趋势科技的产品,华尔街80%的金融机构也都是趋势科技的长期用户。松下电器IT系统的下一个10年,很可能将在其云安全体系的保护下继续安稳运作。
毫无疑问,Windows XP作为微软截至目前最为成功的一款操作系统软件,在其服役的13年中,积累了大量的用户。有专家指出,如果按照微软目前有14亿Windows用户数来算,那么中国市场就有近2亿的Windows XP用户。而停止Windows XP的系统和补丁的更新,给很多无法快速升级的用户特别是企业级用户带来了操作系统层面的安全隐忧。
企业用户进退两难
出于采购成本和时间成本等方面的考虑,企业用户不可能在一夜之间将所有的操作系统升级。而微软官方不再提供XP内核代码的更新给企业所带来的安全风险被无限放大。IDF互联网情报威胁防御实验室的裴伟伟指出,可能会有蓄谋已久的黑客发现Windows XP系统的漏洞,等到4月8日之后再伺机发动攻击。如果那个时候Windows XP被发现存在远程触发的溢出漏洞,攻击者就可利用漏洞构造攻击指令,主动攻击用户电脑,在用户毫无知觉的情况下将病毒木马安装到用户电脑中,从而控制或破坏用户电脑。
“Windows XP的退出对于整个物流行业影响是巨大的。这不仅是采购成本的问题,还有兼容性和安全的问题。这件事情将让很多企业不得不重新思考自身的IT规划。” 青岛某国际物流公司CIO陈先生表示,他们正在寻找解决方案,然而该问题并非简单的系统升级就能解决的。“我们本来是想支出一笔费用来升级操作系统,但是后来我们发现公司常用的软件在升级后并不能很好地运行,也就是说兼容性不是很好,所以暂时搁置了Windows的升级计划。”陈先生介绍,公司很多软件都是针对Windows XP开发的,例如货代系统、传真系统,若操作系统升级后对这些软件都不能很好地支持,那将严重影响公司的业务和效率。
“虽然我们认为升级到新操作系统是大势所趋,但是对于企业用户而言,做出升级系统决策所需要考虑的因素显然要更多,运营应用平台支持、服务器平台升级周期较长或成本原因都可能导致其无法及时升级到新操作系统。”趋势科技中国区业务发展总监童宁表示,如果企业陷入这种进退两难的境地,可以使用内置了虚拟补丁技术(Virtual Patching)的趋势科技服务器深度安全防护系统Deep Security和防毒墙网络版Office Scan,它们可以帮助企业用户迅速修补漏洞,也符合它们的成本效益。
快速修补+定制
事实上,Windows XP停止服务给企业所带来的安全隐忧,主要在于漏洞得不到及时修补所可能带来的严重后果。WatchGuard 中国区市场总监万熠表示,国内基于Windows XP的企业业务应用十分广泛,它在酒店、金融、中小企业中的用户群体十分庞大。如果Windows XP停止服务之后,有严重的漏洞被黑客发现,又没有补丁可以修补,用户将面临大范围的木马病毒感染、敏感信息泄露等信息安全风险。因此,在尚未升级到新一代操作系统之前,用户最好的防范措施,是借能更强、管理更简单的安全网关、防毒网关,以及信誉评估技术,在恶意代码进入企业之前进行拦截。
童宁告诉记者,漏洞修补时间的长短是决定漏洞安全威胁大小的至关重要的因素。通常情况下从漏洞被发现到提供通过兼容性和稳定性测试的补丁,需要一定的周期。而漏洞未修补前系统会面临最严峻的威胁。“有机构统计,漏洞攻击带来的大多数损害发生在消息后的前15天内,而80%的攻击出现在60天内。趋势科技虚拟补丁解决方案则通过强化修补时间这个核心要素,可最快在2小时内提供深度防护加固技术策略,防止安全威胁乘虚而入。”童宁说。
事实上,对操作系统进行漏洞挖掘和修复补丁的技术门槛很高,同时结合不同企业用户的业务需求提供定制化的解决方案,也成为此次Windows XP停止服务事件中各个安全厂商角力的关键点。“除了漏洞挖掘和修复补丁技术,安全厂商的测试实力也非常重要。由于不同用户具有不同的使用环境与业务环境,因此补丁防护方案的兼容性与稳定性显得尤为重要。针对这一点,瑞星制定了严格的产品质量监督标准和完整的测试流程,最大程度保证用户的系统安全和业务稳定性。”瑞星市场总监唐威告诉记者。
另辟蹊径
显然,企业所面临的安全隐患远不止Windows XP停止服务所带来的这些。企业所面临的网络威胁会融入到更高层面的攻击中,构成隐匿性更强、破坏力更大的威胁。所以,安全厂商希望另辟蹊径来解决问题。万熠告诉记者,WatchGuard提供的一体化安全解决方案最显著的特点就是“轻结构”,这也意味着企业可以享有更简单的部署和更低的TCO,接入网线即可开通上线。
针对安全管理的复杂性,WatchGuard提供了很多符合行业特点的安全策略模板,用户只需要按照向导启用,就可以解决网络安全准入、负载均衡带宽管理、防病毒、反垃圾邮件、数据防泄露等诸多网络层与应用层的配置问题。
其实,另辟蹊径的还有其他厂商。4月3日,中国电子信息产业集团有限公司(CEC,下文简称中国电子)旗下的中电长城网际和北京可信华泰了基于可信计算技术的以系统自身免疫为特征的信息系统安全架构,它被命名为“白细胞”操作系统免疫平台。和传统的依靠杀毒、打补丁等技术进行被动防御的做法不同,该平台是我国自行研发构建的一套统一的以系统自身免疫为特征的信息系统安全架构,利用以密码为基础的信任链传递,使用可信计算技术的静态度量、动态度量、访问控制等技术,实现计算机主动识别“非己”的程序、数据等,从而排斥进入计算机的病毒、木马、恶意程序等,以维持计算机的健康。
“白细胞”操作系统免疫平全不同于以杀毒为特征的传统网络安全机制,它通过为计算机系统建立自免疫系统实现了主动防御的目标。通过自主的可信计算体系,实现从硬件到软件、从芯片到系统的逐级信任,从而排斥非信任的程序和攻击行为,达到企业信息系统安全可控的目标。
“可信计算是中国电子主要的攻坚方向,中国电子也在可信计算领域具备很长的产品链条和独特的优势。‘白细胞’操作系统免疫平台就完全构建在自主的、基于可信计算的IT架构之中,同时它不仅可以为Windows XP提供安全防护,还可以为Linux、安卓等各类操作系统提供安全防护。”可信华泰副总经理告诉记者。
通过报纸和网络报名参加此次大会的与会者多达800人。
当信息化被提升到前所未有的战略高度的时候,信息安全也经历了从2005年的产业井喷,2006年的自我调整,2007年的理性回归,到2008年的全面融合。安全产业的发展,也实现了由特定领域的保护向全面和强制的信息安全保护的过渡。
与此同时,可信安全的提出再一次明确了信息安全的前景和发展趋势。在企业内部形成可控的安全管理环境,维护企业秩序,成为可信安全的重要任务。
顺应这种形势,4月22日,以“可信安全•生态融合”为主题的第九届信息安全大会在北京召开。作为一年一度的安全业内最大的盛会,本次大会继续保持中国信息安全业内综合性、前沿性、权威性的特点,论坛议题覆盖到目前信息安全的各个热点领域,包括:安全政策、安全服务、等级保护、安全管理、防病毒技术、防火墙技术、反垃圾邮件技术、漏洞扫描等。
本次大会观众千余人,会场参与厂商超过80家,主流安全厂商代表悉数到会。围绕安全产业的各层面的来宾包括近200名来自高校、金融、电信等行业典型用户信息化主管,50名风险投资商代表,50名安全顾问及评测机构代表,近100名安全分销集成商代表以及百余名安全学术界代表。通过嘉宾演讲和现场各种展览及活动,大会成为一次大平台、高起点、效率精准、效果明显的交流盛事。
可信接入是安全难题
在过去的十多年中,信息安全已经从单一的技术部门需求发展到整个网络世界的需求,从面向脆弱性的安全发展到现在面向结构性的安全。信息安全的目的在于通过各种安全手段和措施,在开放的网络系统中构建一个边界清晰的安全网络。那么,如何构建一个安全的边界?这是安全业界一个非常大的难题。
国家信息化专家咨询委员会委员曲成义介绍说,从信息安全的发展看,有几种动向值得关注。第一,信息安全的重点正在从早期的防外转向内控;第二,正由OSI的底层防护在向多层集成联动管理平台过渡;第三,基于威胁特征向基于威胁行为防控转变;第四,由静态防御向动态防御发展;第五,由单域防控向跨安全域可信交换防控迁移;第六,由边界防控向源头与信任防控转移。
可信接入正是在这种背景下提出的一个网络要求。在这个网络中应该满足什么?天融信战略方案中心总监杨庆华认为:“要满足边界的安全、主体的安全、客体的安全,还要满足行为的安全、监管的安全。通俗地说,就是要做到网络边界安全、用户身份可信、数据资源安全、访问行为可控这样一些目标。”
以现实生活为例,一个人带一台电脑接入一个公司的网络,这个公司能相信这台电脑不带有病毒吗?如果相信了,就非常容易把带有危害性的病毒带到这个公司里来,这就是所谓不可信的安全行为。绝大多数的安全事件都是来自于内部。而恰恰在现在的网络安全系统里面,内部防护是非常脆弱的。另外,由于内部缺乏可信的监控与分析制度,对接入行为缺乏严格有效的可信监控措施,也需要对主体可信和个体可信做一个全面的安全认证。
那么,该如何保证网络可信接入?杨庆华表示,第一,要禁止外部非法设备的接入;第二,要限制合法设备的非法接入;第三,要限制合法接入设备的非法访问;第四,对网络行为要进行监测和保护。对于主体可信的接入要做上述接入来源认证控制,而对于客体的访问则要做访问对象的监控。第一,要根据安全级别的不同来划分不同的安全域;第二,要在不同安全域之间划分边界隔离与访问控制;第三,对内部的网络要做IP与MAC绑定;第四,要对每一个计算环境做安全管理;第五,对远程接入的用户要做控制;第六,要对所有接入行为进行监控。
目前,很多企业都在提出关于网络接入的技术标准,包括思科的网络接入控制(NAC)、微软的网络准入保护(NAP)、可信计算组的可信网络连接(TNC)等。尽管标准尚不统一,但是它们都遵循一个基本的框架和基础,这样就会明显提升网络接入的可信度。
信息泄漏有新特点
信息防泄漏一直是信息安全的焦点问题之一。在这次大会上,与会专家认为,信息泄漏的形势依然严峻,但是在解决方案的探索方面,也有了积极的进展。
信息是多样化的,可以是个人的信息,可以是企业的信息,甚至是国家的信息。依据信息内容的不同,泄漏以后影响的范围也不一样。信息泄漏的方式也是多样的,可能是信息存在的介质、设备被不可靠的人使用,或者说这些介质和设备被遗失会造成信息的泄漏;也有可能是操作系统或者是软件的漏洞造成信息的泄漏;同样,未经保护的信息通过网络传输的时候,也会造成信息的泄漏;而未能有效地防木马和病毒造成的信息泄漏会大面积地发生。
现在,病毒和木马已经成为窃取信息并造成信息泄漏的主要方式。根据IronPort威胁运营中心的《2008年互联网安全趋势》报告,2007年,病毒种类接近30万种,70%为木马程序,每天感染的用户数量接近100万。而且从病毒到恶意软件再到木马,这些恶意软件的制造目的也发生了本质的变化。以前可能单纯是搞破坏,或者说显示自己的技术特点或者是技术的能力,到现在已经转变成了以获取他人隐私和追求实际利益为主要目标。
针对这种新形势,恶意软件制造者也呈现出了新的特点。他们不再是个人,或者说小的团体,已演变为散布在网络上,以分工严密的庞大组织为特征,以追逐利益为目标,形成了包括发现漏洞、制造木马、传播木马并窃取信息在内的利益链条。他们在利益的驱使下,在网络上以极高的速度传播木马并窃取信息。受害对象已经不仅仅局限于互联网用户,也包括企业内部的网络用户。
为此,卫士通信息产业股份有限公司副总经理李学军表示:“在防止信息泄漏的总体思路上,我们对信息泄漏的问题需要做一个综合的 判断。尤其是企业和组织,要知道信息泄漏的途径和方式,造成的危害有哪些。而且现在泄漏涉及到的不仅仅是技术方面的问题,同时涉及到了监管、政策和法律等多个方面。”
李学军还提出,由于目前缺乏一些相关的法律法规,对这些违法行为的打击力度也不够,使得以木马为核心的利益链条存在着生存的空间,因此需要安全企业在技术方面能够提供可靠的终端控制机制,保证终端的环境可信、终端的信息源头准确、数据安全,还要能够提供灵活的、安全的共享机制。而在关键的技术方面,需要将多种密码技术有效地融入到信息安全的控制和防御技术手段中,为信息安全提供一个有效的全方位的保障。
等级保护成为必然
目前,我国正在大力推行信息安全等级保护制度。谈到等级保护,对一些用户来讲多少还是带有被动性质。事实上,等级保护不是一个产品,更不是一个项目,它应该是一个过程。
据绿盟科技服务产品部高级安全顾问孙铁介绍,等级保护是一个政策性的工作,它的实施要参考相关文件相应的技术要求,对各个等级保护单元测评项进行详细的归类,采用的是风险评估手段。
对等级保护和风险评估这两个概念的关系,很多用户存在一定的困惑。对此,孙铁解释说,风险评估是等级保护工作中的重要工具和方法。在等级保护过程中,无论是产品的实施,还是技术的应用,都需要风险评估作为重要手段。风险评估所采用的技术测试工具和数据收集手段,对等级保护也是适用的。
等级保护是一种安全服务,而且是一个过程。因此,等级保护的目标绝对不是完成一个简单的项目就算结束了。这个目标是什么呢?孙铁认为,应该是围绕着用户的安全战略,围绕着用户的业务安全需求,对组织体系、管理体系、技术体系的建设。
绕不开的安全管理
在信息安全实施过程中,真正的产品部署和技术应用难题有两个:一个是管理问题,一个是运维问题。在解决了具体技术方面的问题后,企业应该建立一套完整的安全模型,能够覆盖安全管理和运维,包括对网络的安全机制的管理和监控、统一的防护等,这样可以为信息安全提供一个可持续的衡量和改进的途径和方法。正如一位专家所言,信息安全的保障,三分靠技术,七分靠管理。安全管理可以说是信息安全保障工作的一项基础性的工作。
对于安全管理的现状,与会专家表示出担忧。东软软件股份有限公司安全解决方案部部长曹鹏一针见血地指出:“在过去几年里,作为安全防护者的我们好像没有做出太了不起的事情,因为我们的对手在不停地颠覆我们对于安全的控制、理解、保护能力。随着网络不断的扩容,现在很多客户开始着手兴建第2张网络、部署第3张网络,今年还有4个新系统可能要上线,可是或许安全维护人员连5个都不到――技术与人的比例出现失调。”
在指出问题所在的同时,还需要有合理的解决方式。安言咨询总经理王怀宾描述了企业实施信息安全风险管理的成果,它包括符合法律法规、行业规范以及业务需求的组成部分。此外,它还要有符合组织构架,包括组织策略和技术构架的管理层制度,面对人员、技术、流程的各种控制点,面对事件风险和业务连续性各种管理活动。
精彩观点
中国电子信息产业发展研究院院长刘烈宏
目前,我国信息安全产业正处在一个历史发展的机遇期,国家以建立网络世界可信环境与次序为发展目标,从整体上为我国信息安全领域发展创造了良好的政策环境。
国家计算机网络应急技术处理协调中心副总工程师杜跃进
对网络安全来说,时间因素带来的挑战会更大。如果网络瘫痪,你可能要求一天之内恢复,甚至会要求缩短到小时。至关重要的数据可能就在很短的时间内流失。因此网络的预警能力是很重要的。当前我们可以依赖的信息源其实很不足,只有防火墙、入侵检测系统和防病毒系统等。
Secure Computing大中华区总经理蔡勇
怎么去保证网络安全呢?我们认为要在扎实的应用安全基础上部署独有防御模块。
今天我们迫切需要进行一些针对自身漏洞的主动防护,包括对外部威胁的主动判断,对应用层的分析,做双向流量的分析和安全审计、审核。
天融信战略方案中心总监杨庆华
如何做到可信接入?第一,要禁止外部非法设备的接入;第二,要限制合法设备的非法接入;第三,要限制合法接入设备的非法访问;第四,要对网络行为进行监测和保护。
东软软件股份有限公司安全解决方案部部长曹鹏
今天的安全产品不应该再是传统的安全产品延伸,我们不应该一再购买很多安全产品,而不去注重它们。
一年前,浪潮正式首个国产主机系统,高性能和可靠性成为替代国外品牌的重要依据。作为系统核心和自主可控的产品,性能佳、可靠和安全才是国产主机顺利在行业推广的三大敲门砖。近日,浪潮正式启动主机安全战略,中国首个硬件、操作系统、安全软件“三位一体”的主机安全方案,填补了我国在主机安全领域的空白,也就此打开了市场推广的大门。
三大敲门砖
浪潮主机系统自之后,在金融、政府、能源等行业都有了第一批用户。它的第一个用户——新疆建行目前已经正常运转近两年时间,可靠性得到了时间验证,且性能完全可以替代国外小型机系统。在自主可控的大方向下,安全已成为行业推广的第三块敲门砖。
与业内熟知的网络安全、终端安全不同,主机安全这一层面的系统安全更为贴近系统本身,需要主机企业在自主研发、自主可控的基础上才能实现。应该说信息安全是一个整体性的概念,而主机系统主要担负数据处理和存储的任务,信息系统中最具价值的各类关键数据和核心业务系统都要依靠主机系统,这个环节一旦受到攻击,整个信息系统中最有价值的部分就面临失窃的风险。
尤其在大数据时代,每个用户都认识到,随着云计算、大数据应用的不断发展,数据的实质正在发生根本改变,它不再是简单的过程记录的依据,而是变成一种生产要素。数据是一种跟能源、矿产、水资源同样重要的新型战略性资源,可以说,谁掌控了数据,谁就拥有了未来。
因此,主机安全是信息安全的核心环节。而浪潮信息安全战略聚焦在主机安全领域,着力于国产“主机安全体系”建设,其核心在于依托自主创新,发展安全可控的主机安全关键技术和系列产品、方案。
自主可控是前提
然而,我国关键信息系统对国外主机长期依赖。浪潮集团信息安全事业部总经理张东表示:“我国信息安全的核心问题在于核心技术的缺失,导致关键信息化基础设施长期依赖国外主机,解决这一问题的首要前提是自主可控。”他认为,主机系统要从硬件逻辑、软件源代码和系统运维层面实现自主可控,以消除国外主机系统的安全威胁。
据了解,此次浪潮的主机安全解决方案首次集合了硬件、操作系统和安全软件,由浪潮天梭K1、K-UX操作系统和SS主机安全防护方案组成,实现了全自主化。其中,天梭K1是中国首台关键应用主机系统,在硬件板卡、系统固件、系统维护管理等各方面实现安全可控,而K-UX操作系统则是中国首款、国内唯一通过Unix 03认证的主机操作系统。
张东认为,主机安全的实现途径有两点:一是自主可控,二是安全可靠,自主可控是前提,安全可靠是保障。他解释说,自主可控是指主机系统国产化,国内客户可以使用自主生产的主机系统,这在美国、日本等发达国家基本上已经成为惯例。而安全可靠则是指通过一系列安全技术措施和安全管理手段,保证主机系统在数据处理和业务运行中的保密性、完整性和可用性,能够持续、安全地为用户服务。
据悉,在主机安全战略的推动下,浪潮将从关键技术、产品和服务三个维度入手,在未来两年内进一步完成高速互联芯片/固件安全设计技术、主板安全设计技术、虚拟化安全技术、可信计算应用技术和主机安全性评估技术的自主研发,不断丰富和完善安全产品线。另据透露,浪潮预计将在2015年推出中国自主研发的64路大型主机系统。
