来源:赛迪网 更新时间:2012-04-13
2005年,网络世界面临无处不在的隐患与无处不在的威胁,风险评估、风险控制、风险管理被不断地提及并被升华为一个更高的层面,它们是信息安全建设的基础,它们应该更多地引起人们的重视;UTM、IPS、内容安全、应用安全、行为管理、安全
运营SOC,占据了记者有限的版面空间与安全厂商研发投入的大半,信息安全技术抛开防火墙、防病毒、IDS老三样,是否要变天;安全芯片TPM、可信计算机、可信网络、可信应用,一个“可信”了得,引发厂商无限想象空间与用户的翘首以待;创新,特别是信息安全领域的创新,是国家的期待与无数厂商的梦想与追求。
所以简单地用八个字来概括2005年的中国信息安全市场:风险,安全,可信,创新。
1 无处不在的隐患与威胁,让人们充分认识风险
计算机安全研究组织SANS发布了2005年“20大互联网安全隐患”排行榜。据榜单显示,web应用、杀毒软件、微软产品以及思科网络产品所存在的漏洞均被列入20大威胁之列。其中, 五大Windows安全隐患包括:Windows服务、IE浏览器、Windows Libraries、Office和Outlook、Windows配置隐患;二大UNIX安全隐患包括:UNIX配置隐患和Mac OS X系统;三大网络产品隐患包括:思科IOS及非IOS产品、Juniper、CheckPoin和赛门铁克的网络产品、思科的设备配置隐患;十大跨平台应用隐患包括:备份软件、防病毒软件、PHP应用、数据库软件、文件共享应用、DNS软件、媒体播放器、即时消息应用、Mozilla和Firefox浏览器、其他跨平台应用。
看一看我们的网络基础设施、我们的服务器和桌面以及上面安装的软件,隐患真真无处不在。根据行业人士试验得到的反馈,在2005年,一台未打补丁的系统,接入互联网,不到2分钟就会被各种漏洞所攻击,并导致电脑中毒。因此,今年虽然病毒的感染率呈现出下降的趋势,但病毒仍然存在巨大的危害,并且利用漏洞的方法仍是病毒传播的最重要手段。
再看一看面临的威胁。据统计,2005年平均每天有30个病毒出现。除传统的病毒、垃圾邮件外,危害更大的间谍软件、广告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列,间谍软件的危害甚至超越传统病毒,成为互联网安全最大的威胁。同时,有关反病毒专家预测,2006年,“间谍软件”对网络安全危害的发展势头将会表现得更为猛烈。
针对1.2万家信息网络使用单位,涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的公安部2005年度全国信息网络安全状况暨计算机病毒疫情调查结果显示:2005年,感染过计算机病毒的用户数占被调查总数的80%,计算机病毒感染率首次下降,而2004年为87.9%。多次感染计算机病毒的比率为54.7%,较2004年下降2.3%。网页浏览、电子邮件和网络下载是病毒传播的常见途径,利用即时通信等传播计算机病毒的情况增长较快,计算机病毒本地化的趋势更加明显,专门盗取互联网用户账号、密码的木马程序和具有僵尸网络特征的计算机病毒感染率增长快。病毒技术逐步被应用到“网络钓鱼”活动和“僵尸网络”中,今年调查期间出现的蠕虫病毒大都具有僵尸网络特点。2005年中国有将近90%的用户遭受间谍软件的袭击,同期的间谍软件感染率则大大高于去年,由2004年的30%激增到2005年的90%。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。2005年病毒造成的危害主要是网络瘫痪,接近总数的20%,而前两年病毒危害集中在系统崩溃,这表明蠕虫病毒造成的网络问题越来越严重。2001年因计算机病毒造成损失的比例为43%,今年为51.27%,这表明计算机病毒造成的危害正在加剧。
网络钓鱼作为一个网络蛀虫,自从2004年出现以后,迅速成为威胁互联网安全的主要攻击方式。据国家计算机病毒应急处理中心统计,目前中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位。黑客攻击日益带有经济利益倾向,哪里有经济利益,那里就有攻击发生,黑客永远在不停地寻求能够获取巨额经济利益的最简单途径。目前在国际上以3000台为一组的“僵尸网络”每天的出租价格是用美元来结算的,且价格不菲。怪不得连微软董事局主席比尔·盖茨也认为网络安全是微软面临的最大技术挑战,甚至认为安全威胁必然是未来可预见的最大问题。
无处不在的漏洞与威胁,让我们深深地体会到了安全的风险。今年发生的多次电信网络的瘫痪,更给我们敲响了警钟。2005年4月11日22点左右,一起全国性的断网事故发生了,大批习惯于网络生存的网民们被硬生生地拽出虚拟世界,紧接着各地的电信系统报障电话迅速接到了大量用户的投诉。3个月后,7月12日下午2时许,承载着超过百万规模用户的北京网通ADSL和LAN宽带网突然同时大面积中断,大约20万北京网民因受这次事故的影响而无法正常上网。事故发生以后,众多网民通过各种渠道,表述自己对网络安全的质疑,这其中也有对相关设备使用的疑虑,新浪网对“7•12”网瘫事故进行的网络调查结果显示,超过70%的网民认为,如果我国电信部门在关键设备上过度使用国外产品,必将带来网络安全问题。
2 安全技术向纵深化发展 2005年的中国信息安全产品市场,除传统的三大件产品:防火墙/VPN、防病毒、IDS依然保持较高增长外,一些新兴安全产品经过几年的发展后,逐渐成熟并再市场中得到应用,安全技术日益向纵深化发展。
2.1 UTM预热,技术上需提高,超越防火墙尚需时日
自从IDC提出将集成防火墙、防病毒、入侵检测等功能的安全网关设备命名为统一威胁管理(United Threat Management,简称UTM),一时间引领了信息安全行业的新潮流。在2005年,UTM逐渐成为业界的一个流行词汇,除国外厂商FORTINET、WatchGuard等大打UTM概念外,国内一些新兴厂商也试图分一杯羹。关于这一概念的种种说法以及用户使用后的感觉,虽然意见不一,但总归还都受到了业界人士的提倡。
毫无疑问,UTM能够对多种安全威胁进行集中处理,降低用户成本;同时降低了应用的复杂性和繁杂的操作过程,并减少了后期的维护量;也使安全政策容易统一定义,安全规则的一致性检验更加容易。
为实现UTM,强调采用无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。这一目标面临多种技术的挑战:
首先是如何用硬件技术实现高速的加密/解密、实时内容分析与处理、特征匹配和数据包扫描、流量整形、防火墙功能,显然X86架构不能够满足要求,ASIC 加速技术或ASIC与X86的组合技术可能是目前最好的选择。尽管如此,目前最好的UTM产品,在性能上,特别是对内容保护的性能上,仍然不如人意。
其次,必须有一个定制的或专用的操作系统,强化安全的OS需要提供精简的、高性能防火墙和内容安全处理平台。而这对于大多采用开放LINUX或BSD操作系统的安全厂商显然是一个难点。同时,在一个专用OS上,一体化安全的概念在不同产品及不同安全功能模块的联动性与协同性也有待完善。
第三,UTM要对已知和未知的威胁如入侵行为和病毒蠕虫攻击进行全面的检测,这个目标对专用的IDS/IPS或是防病毒网关产品都是一个挑战,无论在性能上还是功能上。显然,UTM要做到这一点很难,现实的做法是减少检测病毒或攻击的种类,在提高整个系统的检测精确度上下功夫。
无疑UTM是一种理念的改变,是新技术的挖掘和集成,是接受市场需求挑战的主动迎战,是对付零日攻击、提升检测多种威胁或混合威胁能力的好办法。但想在一个目前还在追求不断提升硬件技术或提高硬件平台处理能力的时代,想做一个“集大成”的UTM还需要时日。这也就出现了两种发展UTM的策略:以防火墙为核心基础,发展UTM,这是目前UTM厂商或防火墙厂商的大多数做法。再一个就是以IPS为核心发展UTM产品,这是TippingPoint的做法。它在IPS而不是传统的防火墙基础上,发展未来的一体化安全设备。换句话说,安全虚拟专用网络(IPSec VPN)、带宽管理、网页内容过滤等安全模块,甚至包括防火墙本身,都会被安放到IPS的平台之上。
无论如何,UTM在一定时期内,都会重点强调某一方面的功能强大,也就是UTM的“特色”,不管是防火墙,还是IPS,还是防病毒。而附加的功能是一个强有力的补充,是业余选手或半职业选手。但即使这样,对于一些用户,如中小企业用户应该已经足够了。 另外,UTM安全网关需要的专业化还是集成,并没有固定的模式,而是依靠安全的需要来选择。因此,可以预见的是,从2006年开始,在不同的安全需求下,会出现不同组合的UTM产品,并且在实际的运用中会不断完善其赖以定位的协同性及联动性。
2.2 应用安全日益引起关注,内容安全管理技术成为支撑
建设网络是为了什么,是为了应用。一个企业或单位的网络必须要支持各种各样的用户群体,这些用户需要随时随地访问各种重要程度和敏感程度不同的企业信息。当各种各样的无处不在的针对应用的安全威胁来临的时候,我们发现,对日益增长并更加复杂的各种应用进行完全的安全防护就显得力不从心了。这也正是目前应用级别的安全对整个企业的安全策略至关重要的原因。
在互联网应用方面,HTTP、SMTP、FTP、POP3等协议,几乎每天都面临不同的安全风险,除了历史悠久的病毒、蠕虫之外,垃圾邮件、木马程序、间谍软件、网络钓鱼等攻击,时时造成个人、企业,乃至社会的极大损失。
互联网的迅速发展壮大,也不断地催生了新的应用的诞生,这也正是互联网的伟大之处。未来社会的各种现实应用都会在互联网上有或多或少的体现。虽然新应用的出现带来全新的功能与商机,但也同时伴随出新的安全风险,包括VoIP、Web Mail、实时通讯、P2P共享软件、RSS阅读器等,其中最使人困扰的,莫过于系统软件中接二连三出现的安全漏洞,为了更新漏洞,又会衍生出额外的成本、管理,甚至系统稳定性与效能上的新问题。
在一个虚拟网络社会当中,应用安全的目标:一是实施安全策略让合法用户能够访问业务资源;二是不让非授权用户或攻击者访问到任何受保护的资源;三是对IT资源的访问过程和内容进行有效的管理、监控和过滤;四是防止企业内部重要资源或业务信息的泄密与丢失。
应用安全的管理除采用一些常规网络安全技术,如防火墙、防病毒等实现以外,目前必须依靠三大内 容安全管理技术支撑即电子邮件过滤、网页过滤、反间谍软件。同时注重对应用程序及业务流程的整理,从多个层面共同治理应用安全问题。
2.3 安全管理技术,百花争放,百家争鸣
“三分技术,七分管理”在安全界谈了多年。当用户面临更多的安全风险时,当用户深刻认识到仅靠一、二个安全产品仍然无法抵御来自内外部的安全威胁时,安全管理才被重视。
然而,不同的用户对安全管理有不同的认识或者说有不同的需求,同时不同厂商开发的安全管理产品也不尽相同。一个“大而全”的安全管理系统是不现实的,我主要论述一下,在国内被用户比较注重的几类产品或技术。
第一类是偏重于IT资产管理和监控的软件,也称网管类软件。它专注对局域网、广域网和互联网上的应用系统、服务器和网络设备的故障监测和性能管理,是集中式、跨平台的系统管理软件,可以对应用系统、网络设备、服务器、中间件、数据库、电子邮件、WEB系统、DNS系统、FTP系统、电子商务等进行全面深入的监测管理。这类综合网管软件不仅方便系统管理人员随时了解整个IT系统的运行状况,而且能从应用层面对企业IT系统的关键应用进行实时监测。但是该类软件其部署条件一般都比较苛刻,应用部署非常困难而且费时,无法针对以文件为单位的进行安全控制。
第二类是偏重于对安全设备和安全软件集中管理的软件。它是为了解决各种安全产品之间的协作问题而建立起来的一个信息交换、信息存储、信息处理的安全管理平台。基于这样的平台能够充分发挥现有安全产品的潜力,为用户建立一个具有全局性的网络安全处理政策制定与处理机制。 具体讲,它支持多种类型安全产品的集成管理;支持多种类型安全产品的安全状态管理和安全配置管理;能够监视安全产品运行状态及性能指标等;能够统一整合各类安全产品的报警信息和日志信息等。这类产品的特点是:统一的安全管理平台,将安全机制变孤立为整体,变分散为集中。具体实现上,将第三方安全产品对象化,并列入网管平台的管理范畴,所有对象化安全产品的工作状态、事件报警、日志浏览、性能分析等均通过网管工作站进行集中管理与监控,改变以往安全产品单打独斗、孤立无援的局面。另外,它结合先进联动技术,能够实现对安全产品和网络产品的统一的、有效的管理,能够实现安全产品之间的联动,使安全管理更加有成效。
第三类是是侧重于安全威胁管理、监控和防御的产品。它将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相结合,可帮助客户更为高效地使用网络和安全设备。通过结合这些功能,可帮助企业准确识别和消除网络攻击,且保持网络的安全策略符合性。一般来讲,这类软件都有一个集中事件库,收集并存储安全设备,如防火墙、认证服务器、网络入侵检测和防御系统及代理服务器等所生成的所有事件。此外,它也收集网络设备事件和工作站及服务器记录,并对所有收集的事件实时相互关联。结合攻击状态机模型等来抽象和描述攻击行为,与多种攻击关联场景进行模式匹配,能有效地从大量安全事件中准确识别出真实的入侵行为,从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。另外,还可以使用图形化界面实时监视收集事件情况,可以查看一定时间段内实时统计信息,使用事件拓扑的方式浏览各个事件之间的关联关系。这类软件的最大特点是:它通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高网络整体的安全防护能力。
第四类内网安全管理软件或是桌面安全综合管理软件。其实这类软件主要实现如下功能:对补丁进行自动分发部署和补丁控制;进行外来笔记本电脑以及其它移动设备的接入控制;实现客户端安装软件自动识别控制,尤其是对未安装防病毒软件的终端进行统计、远程安装;有效的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络;对网络客户端进行有效工作状态监控,监督使用人员规范操作电脑;构架功能强大的网络客户端综合安全报警平台;对网络运行模式及工作流程的控制管理,对数据库等具体应用进行监控;提供对内部网络用户Internet访问操作的实时监管、记录,规范网络有效合法使用,如防止重要资料等的泄密,监督、审查、限定网络使用行为,报警违规联网事件;监控涉密网络用户通过调制解调器、ADSL拨号设备、双网卡、无线网卡等网络设备进行Internet非授权外联行为等。
第五类是侧重于防止内部信息泄漏类的安全管理软件。它实质上是构建了一个内部网的敏感信息泄漏防护体系。通过网络层、传输层、网络层和传输层组合控制、应用层控制实现网络化失泄密防护;通过对SCSI、USB、SERIAL、PARALLEL、 IrDA、 Floppy 、PCMCIA 、DVD/CD-ROM等的管理实现外设与接口失泄密防护;通过对软驱、USB存储、CD-ROM的管理实现媒体与介质失泄密防护;通过对本地打印机、网络打印机的管理实现打印机失泄密防护等。另外采用加密机制实现“文件”级的安全服务体系。如本地文件存储加密和解密支持、文件交换/传输加密和解密支持、数据共享管理、文件操作服务,并支持用户创建加密文件柜、用户访问控制、自动加解密等。这类产品特点是综合利用密码、访问控制和审计跟踪等技术手段,对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护,能最大限度地防止敏感信息的泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。
第六类是侧重于网络访问行为与通信内容审计的管理软件。它对用户的网络行为进行实时的监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等),实现网络传输信息的实时采集、海量存储;实现网络传输信息的统计分析,实现网络行为后期取证等。这类产品更侧重于对上网行为与传输内容的监控、审计,达到对员工合规的管理以及对非法行为和潜在威胁的威慑。审计技术必须要解决三个相互关联的技术难点:数据采集技术、数据清理技术、数据分析技术。审计技术决不仅仅是简单的数据记录和查询,只有广泛采集网络信息,对数据进行剪裁、过滤、聚合、统计与分析,并以直观的形态展示,才能使用户行为审计技术真正成为网络管理者的决策助手。
第七类主要针对防止内容非法泄密而进行权限控制的DRM(数字版权管理)技术,得到了广泛的应用,最具代表性的就是微软最先发布的Office2003,有效控制了Word、Excel、Powerpoint文件的使用权限,国内也有一些优秀的厂商推出了比较完善的DRM技术应用解决方案,从各个方面对比国外的产品及解决方案,已经具有了强大的竞争力。
上述各类安全管理产品从不同方面、不同层次解决了安全管理面临的问题,各有着重点,如何选择各类产品并能够使每一种产品都发挥出最大的优势,还是需要根据用户实际需求从资源整合做起。安全管理是系统信息安全建设的核心,它需要从内网到外网、从网络到应用、从流程到人员、从产品到服务,有主次的有顺序的实施,才能够更好地发挥作用,最终保障系统整体安全。
2.4 IDS/IPS继续进行命运之战
IDS目前是除防火墙/VPN、防病毒以外第三大安全产品。“IDS将死”言论的依据是:误报、漏报问题时有发生,让人“真假难判”;即使检测到真实攻击后,也无法实现攻击阻断;检测到的攻击结果“技术”含量太高,没法当一个通俗易懂的网络摄像机。IDS还要坚持发展的依据是:入侵检测这种功能机制是必要的;事后的审计还需要IDS提供更加详细的数据与“录像”;市场上IDS的主导地位还在继续。综合起来,市场对于IDS的评价就是“批判仍坚持”。特别是在国内安全市场,厂商还在不断提高IDS的性能,付与IDS新的功能:如网络流量分析、页面重组、内容恢复、事件回放、SSL解析等功能,以满足用户的实际需求。以至用户发出“这还是IDS吗?”的感慨。
IDS的必要性与局限性,催生了IPS。由于增加了主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。IPS从技术革新的角度是一个亮点,但并不是完人。性能的限制、检测种类的多少、更高的检测精度、对海量应用的解析等都是IPS发展的瓶颈。
IPS是一种进步,特别是在主动阻断上,但它不代表主动防御的全部,主动的入侵防护不是由IPS这种设备单独来完成的,它还需要加入应用级防火墙与应用级IDS。应用级的IDS 产品能够重组信息流,跟踪应用会话过程,并准确描述和识别攻击,而应用级的防火墙能够阻断向应用层发起的攻击,保护Web 等应用。
IDS与IPS还会在一段时间内继续进行命运之战。IPS产品在2005年已经开始渗透并给IDS带来一定的压力。IDS的未来也许向真正的“网络摄像机”发展,也可能成为安全服务的一部分;IPS也许只是一种过渡,朝着向与防火墙合成或是UTM的方向发展。
2.5 防火墙在变革中日趋成熟,继续领跑网安市场
防火墙作为安全行业的第一大佬,多年来占据安全产品市场的绝对第一位置,并且依然在快速增长。根本原因在于防火墙占据边界安全的核心位置。从一个安全解决方案上来讲,一般会考虑三方面的问题:边界安全、端点安全(包括终端、主机等的安全)以及安全管理与运维服务。由于网络边界是最容易进行控制的区域,它是进出网络的唯一出入口,便于集中实施几乎所有的安全策略(如访问控制、内容过滤、数据加密、入侵防御等),并便于统一的政策管理与实施监控和审查,因此边界的安全防护已经成为网络安全的基本防御手段,防火墙也就成为网络基础实施的组成之一。
随着网络环境愈加复杂、安全风险无处不在,传统的防火墙由于功能单一,难以抵御。整个防火墙市场也在进行深刻的变革。主要表现在几个方面:
功能的不断丰富:除传统的防火墙、VPN功能外,现在不断地在增加入侵防御、病毒防护、网页过滤等功能。是防火墙?是UTM?叫防火墙也好叫UTM也好,反正是一个目的:能够应付更多的威胁。这种设备正在吸引中小企业用户的兴趣,因为它们的安全投资有限,对安全防护的深度又要求不高,它们要的就是一个高性价比。
性能大提速:网络带宽的不断增加、应用与数据流量的不断攀升,还有防火墙功能的不断扩充,对防火墙的性能提出了挑战。同时由于硬件防火墙产品的特殊优势,防火墙产品性能的提高自然就聚焦在芯片及硬件平台的实现与选择上。在2005年国内外陆续有多个厂家推出基于NP或加速ASIC的不同防火墙产品,防火墙硬件平台也因此出现了多样发展的趋势,显示出在不同体系结构下的不同优势与特色。其实,防火墙的性能不仅体现在硬件平台上,还体现在软件设计与新技术的创新上。一个天生的巨人,如果没有灵活性,也不可能成为一个好球员,也不可能成为“姚明”。无论如何,不管在软件上动心思,还是在硬件上下功夫,更快的防火墙无疑对用户是一件好事。
抗攻击能力的不断提升:这是一个老生常谈的问题。其实防火墙也有自己的脆弱性,也更容易成为攻击的目标。现实各种混合性攻击、基于流量的攻击等对防火墙的威胁更大。要保护别人,首先自己要安全,要健壮,要成为一个攻不破的堡垒。
十多年防火墙一统江山的位置铸就了防火墙的辉煌。未来,防火墙依然会黄袍加身,但它要在变革中改变,要在无处不在的风险来临时,保持卓越。
2.6 VPN市场拨云见日,硝烟弥漫
从有了防火墙,就有了VPN,所以防火墙与VPN就向一对孪生兄弟。但过去VPN从没有象防火墙一样引起用户的如此重视,给人感觉就像“龙兄鼠弟”一般。好在,VPN的时代来临了,因为现在用户有了更多的应用、有了更多的数据在网络上跑,而且还要在物美价廉的互联网上跑。如何保护应用的安全,如何保护数据的安全,VPN是最好的选择。
IPsec是一组开放的网络安全协议的总称,提供访问控制、无连接的完整性保护、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPsec VPN产品,对于LAN-to-LAN的应用支持比较好,是目前国内应用主流的VPN技术。随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构,来解决企业的远程访问需求。SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。MPLS VPN采用标签方式管理链路,没有通过标签信息认证的数据包是不能传输的。它主要适用于各VPN端点均能连接到当地电信运营商的MPLS VPN网络并且各端点位置固定不变的用户。VPDN是指有远程办公需求的用户采用专门的账号和企业自定义的IP地址,通过ADSL PPPOE拨号联入企业内部网络的一种技术,它实际上也是一种隧道技术,在用户ADSL接入服务器端与企业内部网接口间建立一个L2TP隧道。VPDN的实施必须由运营商进行。
是使用安全厂商的IPSec/SSL VPN设备,还是选择电信的增值VPN服务,要从用户自身安全需求以及投资上综合考虑。没有最好,只有更好,是VPN市场的写真。选择合适的就是最好。
3 可信:从概念到标准再到市场
体现整体安全思想的“可信计算”、“可信网络”、“可信应用”已经成为信息安全发展的趋势,2005年受到了国内知名厂商的广泛关注,并掀起了可信性研究和产品开发的新高潮。
自从年初,武汉瑞达、联想、兆日科技等基于可信计算技术的PC安全芯片(TPM,Trusted Platform Module,可信平台模块)正式浮出水面之后,短短两三个月里,分别采用联想“恒智”安全芯片的联想PC和采用兆日TPM安全芯片(SSX35)的清华同方、长城、方正品牌安全PC产品相继面世,浪潮安全PC也在8月份推出。在可信网络方面,天融信2004年底提出了可信网络架构TNA,并发布了基于TNA的2款产品:千兆线速可信安全平台以及可信网络安全管理系统。随后,众多安全厂商提出了基于可信的安全解决方案。
可信计算平台、可信网络(可信接入)、可信应用是信息化建设中可信性研究的三个重要领域。“可信计算”的概念开始在世界范围内被TCG提出是在1999年, “可信计算”技术的核心是称为TPM(可信平台模块)的安全芯片。TPM实际上是一个含有密码运算部件和存储部件的系统级芯片。可信计算平台考虑的是如何以TPM和相关安全芯片为基础构建可信的计算机系统,形成基础的可信计算环境,每个纳入到可信计算平台中的硬、软件部件必须通过TPM或安全芯片的可信认证和监管。可信计算平台解决的是计算机范围内资源应用的可信问题,这种可信是相对于该计算机资源的拥有者而言的。可信网络(可信接入)领域则重点考虑利用网络监管系统来解决网络范围内的资源使用者及其活动的可信性问题,这种可信性是相对于整个网络资源的拥有者或应用者而言的。显然,可信计算以及可信网络的研究都是为了最终提高系统或网络资源的有效利用,保障系统或网络用户对其业务应用的可信性。也就是说,在信息化网络世界中的可信性研究最终都是为了用户业务应用的可信性。
4 创新—信息安全的新出路
2005年胡锦涛总书记在党的十六届五中全会上明确提出要提高自主创新能力,11月3日在北京召开的国家信息化领导小组第五次会议上温家宝总理也提出要大力推进国民经济和社会信息化,提高我国信息化水平。然而,在我国自主可控的信息安全领域,自主创新一直是薄弱环节,其核心技术多数是国外厂商掌控。
创新是信息安全的新出路。我们欣喜地看到,2005年在一些领域我们有了突破,有了发展。国内自主设计有自主知识产权的安全芯片在防火墙、防病毒领域使用;高速加密芯片、高速内容搜索芯片等在安全产品中开始应用;新的漏洞不断被国内企业发现;国内漏洞库水平达到或接近世界级别;病毒检测技术水平不断提高,并提出检测未知病毒的思路与技术方案;互联网内容监控技术与组织体系得到进一步发展;自主知识产权的安全OS以及安全数据库系统在一些行业得到成功应用;基于安全芯片的可信PC开始推广应用;多项与信息安全相关的标准获得通过或发布;此外,在可信网络平台技术、多代理技术、数字标签技术、无第三方认证技术、监管信息化和信息化监管技术、网络对抗技术、多代理计算网格技术和多系统与多代理系统体系结构等信息安全新技术研究方面我国也正在赶上,诸多企业焕发勃勃生机。
5 2006年信息安全的话题
5.1 公共互联网的危机,信息安全厂商的商机
今年电信运营商的几次断网事件、广大互联网用户对安全的投诉不断上升、网络内容污染的扩大化、手机违法短信的大量传播、每年数千起的安全事件无不印证了电信网络的危机境况。国家有关主管机构以及电信运营商们必然从几个方面去应对危机并将其最小化。首先是主管机构的工作重心将从针对电信行业的安全体系建设,上升为一个面向“建立健康信息化社会环境”的全局安全理念;其次,除了要进一步从国家战略的高度重视网络安全,完善全社会的信息化安全体系保障外,对内容安全的监管也正在成为主管机构的工作重点;第三,在公共互联网上,建立一个有效的安全预警、综合防范和事后补救机制已经刻不容缓。这些对信息安全厂商们来说,无不是重大的商机。
5.2 2006年全国范围内推行的信息安全风险评估是机会,也是挑战
在国家标准《信息安全风险评估指南》草案编制完成后,2005年国务院信息化工作办公室组织了北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力、国家电子政务外网等8个试点基于这一标准的信息安全风险评估。2006年,将在全国推行信息安全风险评估工作,力图把因信息安全漏洞造成的危害降到最低。计划用三年左右时间,在国家基础信息网络和重要信息系统实现信息安全风险评估管理制度。
对网络信息安全风险的评估是信息安全建设的基础,也是安全服务业务的重要组成部分。全面推行信息安全风险评估工作,必然带动我国一些基础信息网络和重要信息系统(包括电信、广电、银行、证券、电力、铁路、交通、民航、政法、国防等)的安全建设,必将推动我国整体信息安全服务市场快速发展。
5.3 2006年出台国家信息安全等级保护标准将给产业带来变革
我国2006年将出台的信息安全等级保护标准包括定级规则、基本管理要求、基本技术要求等一系列的标准和管理办法,从国家监管角度将我国的信息安全保护分为五个等级,一级最低,是对操作系统的基本保护,如防病毒、防入侵等。标准出台以后,民用计算机操作系统达到一二级就可以了,而对于涉及到国家安全、社会稳定的重要部门将实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。我国国家信息安全等级保护标准的出台,标志着国家信息安全等级保护基本制度的正式实施,信息安全保护工作将更加有层次、更加规范化。北京市也将在2006年发布全国首例《网络与信息安全政府令》,为信息安全的具体实施提供法律依据,并对即将出台的网络安全等级保护制度提出了具体实施意见。
国家信息安全等级保护制度的出台,无疑会规范信息安全建设的内容,推动信息安全产品的发展,加大系统对信息安全的投入。同时强化网络的整体安全防护能力,推进我国信息系统安全保障体系的建设。信息安全等级保护制度的实施,必然会成为我国信息安全产业增长的一个重要推动力。
5.4 2006年安全管理与运营相关业务在将会成为新的亮点
不管是安全监控中心、安全管理中心、安全响应中心还是安全运营中心(SOC),都属于广义的安全管理与运营的范畴。
过去谈到安全管理与运营,基本上是电信运营商的专利,一方面,因为运营商的安全建设起步早,建设快;另一方面运营商在信息安全的投入较大。中国移动是较早进行SOC建设的运营商,中国移动将安全体系建设划分为三个层面,即管理性安全、物理性安全和技术性安全。具体来说,就是要建立包含网络安全性、可用性、完整性、保密性四个维度的NISS网络安全管理架构,并逐渐向安全管理中心(SOC)过渡。同样,中国电信、中国网通也已经开始了SOC建设的尝试。
安全托管服务(Managed Security Services)业务也正日益受到用户的重视。究其本质,一方面企业信息安全人才仍然相对匮乏,信息安全人才处于严重的空白状态,既使有专人负责安全相关的事务也往往承担着极高的工作负荷。而且企业自有的信息安全人才与专业公司的信息安全专家相比较,在技能上还是有所欠缺。另外一方面,企业也往往难以确切地对安全效益进行评估,安全托管服务可以有效的缓解这些问题。利用安全托管这种业务形式,用户可以用低于自建安全设施的成本购买到专业安全厂商提供的服务,并且这些服务的质量往往相对较高。
另外,还有安全外包业务,特别是对电信运营商。电信运营商目前感兴趣的安全外包业务主要是IDC机房和大客户IT系统的安全外包。今后,电信运营商为了适应国际国内电信行业的激烈竞争,将会不断加大电信信息化建设力度,以期通过高水平的信息系统为客户提供更优质的服务。充分发挥自身优势,争取更大的市场份额和更广阔的发展空间,更将带动电信安全外包市场的繁荣。
无论是安全管理技术,还是以安全管理技术为重要依托的安全托管服务、安全外包服务,在安全风险呈指数增加的情况下,企业(不仅仅是电信运营商)毫无疑问会选择一些最新的技术或是途径来有效地降低风险。也许,在2006年,我们会看到,一些安全管理工具或是托管服务将会取得快速的发展。