中国电子政务网--公共安全--网络安全--网络安全形态心态生态

来源:网络世界更新时间:2012-04-13

编者按：
网络安全是一个容易制造兴奋、但也容易产生疲惫的行业：层出不穷的安全新闻，并没有给我们描述出一个清晰的安全形态。相反，尚未长大的安全市场，却已经出现“同质化”的激烈竞争，更加剧了产业的浮躁心态。也许，不管是技术还是市场，“生态安全”将是我们最终的方向。

网络安全是一个容易制造兴奋、但也容易产生疲惫的行业：层出不穷的安全新闻，并没有给我们描述出一个清晰的安全形态。相反，尚未长大的安全市场，却已经出现“同质化”的激烈竞争，更加剧了产业的浮躁心态。也许，不管是技术还是市场，“生态安全”将是我们最终的方向。

安全形态：
           学会黑暗中的战斗

      今天的网络安全领域，存在着有趣的分化现象：部分人认为网络安全正向好的方向发展，安全新闻很多是人为的炒作，实际上并没有那么可怕。因为自2003年以来，还没有出现像过去蠕虫病毒横扫全球，造成大规模网络宕机的情况；而另一部分人则认为网络安全正在恶化，很多企业往往投入了巨大的资金和人力用于信息安全的建设，但仍被不断的垃圾邮件、信息泄露、攻击事件等弄得焦头烂额。

      实际上，越是业务和网络联系紧密的企业，越容易成为上述情况中的后者，这是因为，安全威胁的性质已经发生了很大的变化，从利用蠕虫病毒大规模传播，造成世界范围内的安全恐慌，到转为注重 “实际利益”。以潜在的、不被人察觉的手段，达到获取经济利益、机密信息、破坏竞争对手等目的，而与网络结合日渐紧密的企业，正是他们猎取的最佳对象。

      安全威胁的阴云正在不断加重，来自国际计算机安全协会 ICSA 实验室调查的结果显示：2005年病毒攻击范围提高了39%，重度被感染者提高了18%，造成的经济损失提高了31%，尤其值得注意的是，跨防火墙的应用层(ISO 7层)攻击提高了278%，在2004年，这一数字也高达249%，看来，“以应用为导向”的安全威胁，正在悄无声息地将我们吞噬。

      在本次《网络世界》安全巡展大会上，国家计算机网络应急技术处理协调中心（CNCERT/CC）副总工程师杜跃进博士也在演讲中特别谈到，2005年CNCERT/CC接收到安全事件报告超过12万件，约为2004年数量的两倍。发现我国被篡改网站总数13653个（2004年为2059个）。境内外网络钓鱼事件报告456起，是2004年数量的两倍多。

      所有这些数字虽然惊人，但很可能只是冰山一角。今天的黑客已经不再是一群头脑发热的技术捣乱分子，他们已经变得有计划和有组织，而其目标也非常明确，就是获取经济利益，在这一目标下，不被用户发现，营造安然无恙的假象，也就成了自然而然的趋势了。

      有了经济利益滋养的安全威胁，逐渐形成了盘根错节的地下产业，据了解，很多黑客网站、拍卖网站都出现了公开兜售定制的病毒、木马、僵尸网络的现象，而且不少黑客不再是以单独的、作坊式的方式制造病毒或木马，而成为有规模的、有计划的组织，很多恶意程序的编写甚至应用了软件工程的模式。具有“商业道德”的黑客组织还会承诺一定的“售后服务”，比如在一定时间内如果被反病毒软件查杀，可以免费提供新的变种……

      由于定制的、带有商业目的的木马病毒一般不会主动传播，恶意攻击者会把它伪装成各种诱惑性的文件欺骗目标用户下载运行，因此，其威胁往往局限在小规模的范围内，不仅难以被察觉，也使得蜜罐诱捕等反攻击技术手段难以奏效。

      现在的信息安全威胁越来越像一场黑夜中的战争，虽然不再像过去明火执仗般的惊心动魄，但激烈程度却犹有过之，而我们的信息安全防护，也要尽早学会这场转移到黑暗中的战
产业心态：
           应用促成市场新格局

      安全威胁变得越来越难以预测和了解，除了逐步转入地下，还有一个重要的原因，就是黑客更多地将枪口对准了新兴的应用。

      在本次巡展中，不少参会的听众都曾问到，一些新的应用如即时通信（IM）、P2P、甚至是智能手机等遭到攻击后常常束手无策。实际上，这些新的应用的确正在成为病毒和黑客的主战场，以IM软件为例，2005年由IM安全威胁所引发的事故增长了271％。其中82％的事故和IM病毒及蠕虫攻击相关，14％的事故是IM传输文件被盗取。

      的确，IM这类新应用在病毒的传播上有着“得天独厚的优势”，有专家对用户通过IM软件发送病毒信息所需的时间进行了测定，同时再加上每个用户在IM软件“好友名录”中平均设定的用户数量进行计算，算出了IM病毒传播的平均速度：IM病毒在30秒内即能传播到50万台电脑上！这种传播的便利性带来的隐患逐步开始显露出来，在一些反病毒厂商公布的2005年十大病毒排行榜中，针对此类软件的病毒已经超过半数。

      此外，像P2P文件传播、VoIP安全、无线局域网的保护、基于智能移动终端的防护等，都是安全领域亟待解决的问题。

      一方面是新问题难以应对，另一方面，我们又看到很多安全厂商正在为安全市场的蛋糕尚未做大就出现的同质化竞争而感到无所适从，比如防火墙、VPN等产品恶性竞价的事件都已经屡见不鲜，实际上，在面对这些问题时，我们就更应该改变自己的心态，重新从应用入手，开发出真正“对症”的药品，而不必再对原有市场上的得失而长吁短叹。

      这种心态的转变存在于多个层面之上，例如行业方面，在国内，像政府、金融、电信等重点行业早已经成为IT厂商的众矢之的，安全厂商与其在这里一争长短，还不如集中优势兵力，转入那些同样增长迅猛，但之前并不很受重视的行业，包括能源、交通和一些更细化的行业市场，从更具个性化的解决方案中，寻找脱颖而出的机会。

      在市场方面，由于安全的特性和发展的先后层次不同，也有着很值得关注的特点，那就是市场的发力点并不是均匀的，而是先从两端开始。具体说来，就是高端的行业用户和刚刚迈入网络应用的中小企业，都是目前市场的宠儿，这也是由安全行业本身的发展特性所决定的。

      首先，大的行业客户对安全的需求会“从单一信息安全产品发展到综合防御体系”，“从某一点的安全建设过渡到整个安全体系的建设”。信息安全部署的重点开始由“网络安全”向“应用安全”嬗变。“咨询＋建设＋外包”的模式会逐渐普及。安全咨询与评估成为这些企业保护信息资产的重要步骤。

      另外，安全管理，特别是自动化的安全管理将成为高端客户追捧的重点。由于对性能和可用性的高要求，那些专用芯片的防火墙、IPS等安全设备会受到他们青睐，以保证业务运营的效率不会因安全因素而降低。

      另一方面，我国的中小企业增长速度惊人。有关数据显示，目前，在工商行政部门注册的中小企业已超过1000万家，占全国企业总数的99%，这些中小型企业过去虽然在信息化建设方面相对落后，但目前网络反而成为不少中小企业对外业务的主要出口，其他相关企业也或早或迟都会与网络产生“亲密接触”，而安全需求自然也就随之而来。

      由于中小企业对性能等要求并不苛刻，而更注重于价格和维护简便等因素，因此，一些集成安全设备，如UTM等更会得到他们的认可。在本次巡展中，不少安全厂商，包括思科在内，都是重点宣传的这类集成化产品。

生态安全：
           换位的选择

      在了解了信息安全新的形态和产业的心态之后，我们就更加容易理解本次巡展的主题，即“面向应用的生态安全”。

      信息的安全防护与普通资产有很大差别，我们不可能把信息简单地锁进保险柜或者资料库，这样的安全对我们而言没有意义。信息的价值体现在应用之中，当今社会经济蓬勃发展的动力，是来自于一个个鲜活的企业，而不是什么大型的资料库或图书馆，这也说明，信息只有在应用中才会释放出最大的价值。而我们信息安全的任务，正是要保护这些应用中“活的信息”。

      企业的业务应用是不断变化的、活的、有生命力的，同样的，它要求我们的信息安全防护体系也一定要是不断变化的、活的、有生命力的体系，这种体系应该具备整体、协作、互动、平衡、高效等基本特征，而这些特征也正是一个良性生态系统的特征，因此我们将面向应用的安全体系，称为“生态安全”体系。
所以，“生态安全”不是一个口号，而是一把尺子，是度量信息安全建设成功与否的一把尺子。安全产业的根本出发点和任务就是维护网络应用，失去应用，安全也就没有了存在的意义。因此，只有促进应用的安全，才是好安全。

      当然，面向应用只是生态安全的基础，它的枝繁叶茂，还需要技术进程上的多种变革与努力。基于网络的应用正变得日渐复杂，例如Web应用从最初的静态内容演变到提供丰富的动态内容，使用了很多非安全的开放源代码组件，存在很大的安全隐患。与之相对应的是，安全防护系统也变得越来越复杂，系统的复杂又带来管理的复杂，与此同时，响应时间缩短、混合式攻击的流行，又迫切需要安全系统具有集成化、自动化、有相当的适应能力、成为不断吐故纳新的系统。

      理想的生态安全系统还应该能够不断演进，在不断变化的技术环境中，今天最好的安全措施到明天可能就过时了。安全措施必须紧跟这些变化，必须被作为系统开发生命周期过程整体的一部分加以考虑，并在过程的每一阶段明确定位。

      此外，面向应用的整体化网络安全，需要的已经不仅仅是安全产品间表面意义上联动的，而是与企业业务应用更深层的、更灵活的、更互动的安全系统。

      伴随着国内网络市场由以技术、产品为导向到以用户需求应用为导向的全面转变，安全向应用层面不断深入，使得市场对安全的专业化、行业化需求不断增强，要求保障各种纵深的应用，而这恰恰也为安全企业带来了新机遇，牢牢把握住这一契机，不仅是每个安全企业迈向成功的关键，也是决定我国信息安全产业成功与否的关键一环。记者手记：安全的庖丁解牛

     提到整体安全防护系统，很多用户虽然很容易接受这个概念，但却总感觉无从下手，加上某些厂商在这方面不切实际的宣传，更加重了这种混淆。

      实际上，生态安全和整体安全都不是凭空而出的概念，而是不同的技术、产品、方案在应用的实践中发展、混合而成，因此，我们只要能把握住实际应用的脉络，就自然能够做到“以厚入间，游刃有余”了。

      首先从安全产品的选购上，就与其他很多IT产品有着相当大的区别。我们知道，大多数事物的发展都是以弦波形式行进，有时是波峰，有时是波谷。而目前的网络安全恰在波峰与波谷之间—既不是新生儿刚刚问世，也远未至成熟顶峰，而是处在变化和发展最为迅猛的时刻。虽然很多产品如防火墙、杀毒软件等表面看已经相当成熟，但从应用发展的角度、从建立生态安全系统的角度来谈，却又远未达到理想的成熟状态，因此用户在选择时，不仅要看产品本身，还要从产品是否具有开放的标准化接口，能否和其他品牌、其他类型的安全产品进行方便可靠的联动去看。要从产品是否适应于自己的行业特性、应用环境等多方面因素来考虑。当然，考虑到安全产品的未来整合以及大量的服务需求，厂家的实力及过去的成功案例也都是重要的参考要素。

      此外，生态安全体系的概念不只体现在产品之上，比如我们希望整个安全管理也可以融合于无形，不需要每天再对着不同的漏洞、病毒、入侵报告而手忙脚乱。要做到这一点，就需要安全流程的自动化：防火墙、入侵检测系统和杀毒软件都可以根据已知的攻击、病毒和蠕虫的特征在网络通信和计算机中不停地扫描和嗅探；漏洞管理系统能够发现和修补漏洞，使那些恶意软件无法乘虚而入；远程访问管理器则可以在终端获得访问权之前对其进行检查、扫描和净化……让安全威胁自动被系统消弭于无形，这对操作系统、网络设备、管理软件和各种安全设备都提出了相应的要求，同样应该在每一次采购时有所考虑。

SurfControl整合安全网关
SurfControl 于淼

      合理的安全方案要对企业的邮件系统、网络浏览、内部数据提供保护。

      对现代企业来说，由于越发依赖信息系统，因此对于信息安全格外关心。不过，传统的方式也许不能达到最优的配置，特别是随着安全事件的细化，各种安全方案应运而生。对企业用户来说，邮件系统、网络浏览、以及内部数据安全，应该是日常运营的头等大事，为此需要合理的安全方案来保护。

      作为信息安全的专业公司，SurfControl开发的RiskFilter 邮件安全信息网关在防止有害及不适当的电子邮件内容方面可给用户全方位的保护。

      据悉，专业的邮件安全网关具备强力垃圾邮件过滤系统，识别垃圾邮件的准确率最高可达99.2%，基于行为识别和内容分析的垃圾邮件过滤技术极大地降低了误报率。

      SurfControl认为，垃圾、病毒邮件的过滤策略库应当全球自动更新，以便实施后基本不需要人工管理。

      在具体部署时，SurfControl提供个人垃圾邮件管理功能，允许邮箱用户登录RiskFilter ，查询并处理自己收到的垃圾邮件。而用户可以根据实际需求，定制用户发件人邮件地址的白名单和黑名单。

      为了方便管理，RiskFilter提供了完善的统计分析功能。网管人员通过直观的图表及多种查询方式可以监测：邮件网关和后端的实时状态；流经网关的所有邮件、垃圾邮件、病毒邮件以及含有不适当信息邮件的收发状况；邮件系统所遭受的各类攻击的状况，以及相应调整过滤策略等信息。

      在网页过滤方面，SurfControl 提供了WebFilter工具，让用户可以根据自身的业务需求，了解和管理互联网的使用情况。WebFilter内容识别、推理技术、灵活的配置及综合报告分析融合成为一体。

      为了保证内容过滤的完善性，WebFilter内建的过滤器可进行基于内容的分类。SurfControl提供的URL目录收集了超过1200万条网址地址及22亿个网页。

      不过，由于互联网每天都在不断增长，无论一个网页内容数据库有多么丰富，用户浏览网页时都会发现新的网站，因此SurfControl开发了虚拟控制系统。虚拟控制系统采用适应性推理技术ART，动态地把新网站进行分类，以便允许企业用户执行有效的管理策略和规则。

      在企业的内部防护方面，SurfControl开发了企业安全盾ETS系统。该系统的优势在于，能够在间谍软件危及企业的法律责任、数据安全、生产力效率和网络资源之前，就进行扫描、阻止和移除，彻底避免了间谍软件感染企业网络。

      ETS的防护通过实时连续不断的发现、移除、终止那些构成企业网络威胁的应用，提供对数量繁多的不断扩大范围的间谍软件的控制。需要指出的是，如果在企业的某一用户机器上已经存在威胁，ETS系统将会阻止这些危险程序的运行，并且能够彻底将其移除。
整体安全不能成为“屠龙之技”
赛门铁克朱雅辉

      如果整体安全缺乏有效的标准和产品体系，那么它也就成为华而不实的“屠龙之技”。

      当“整体化”成为大多数安全厂商宣传中耳熟能详的词汇时，用户在安全方案的选择上，应该变得更加小心翼翼。因为现实的统计发现，很多用户虽然对信息安全的投入不断增加，网络安全系统也变得更加复杂，然而安全的风险状况却进一步恶化，安全事故依然层出不穷。

      是什么让很多厂商的整体安全方案变成纸上谈兵的“屠龙之技”，在现实应用中屡屡受挫呢？

      赛门铁克认为，关键的根源就在于，整体安全解决方案不仅是一种防护的概念，更要将其“凝固”到具体的产品细节之中，而在这一过程中，首先需要的就是一些可以随时随地衡量的“标准”与“要素”。

      当然，这些标准并不是唯一的，它们是与IT解决方案有关的理想特征，但这些标准或要素与用户企业最终承受的安全风险息息相关。具体而言，适当的解决方案首先应该具有较高的主动性，主动性体现在未明确了解威胁类型的情况下阻止威胁的能力。

      其次，整体化安全解决方案还必须重视的一点，就是应全面覆盖计算环境（多层），而不是仅仅针对互联网边界。除边界之外，防御范围最好包括整个内部网络与远程办公室的网络连接、最终用户的工作站以及重要服务器。

      理想的整体化安全解决方案还应包括高效性、有效性、灵活性和可靠性。其中高效性是指易于部署和操作；有效性是指能够将阻止所有攻击的需求与不干扰合法访问和关键业务信息可用性的需求进行平衡；灵活性是指能够适应企业随时间推移而提出的不断变化的需求；可靠性是指通过与长期提供成功安全解决方案的供应商合作而获得的可靠性级别。

      上述所有这些特性，再加上用户实际业务应用特性的融合，最终构成了一个“适当”的、“随需应变”的整体化安全解决方案。

      对于不少用户而言，建立这样一个“随需应变”的整体化安全解决方案似乎无从入手，事实上，如果从赛门铁克这种具有多年成功经验的安全方案提供商来看，却并非如此。

      具体来说，赛门铁克推出的全面威胁管理包括一组互为补充的赛门铁克安全产品，这些产品能够提供全面且强大的威胁管理功能。全面威胁管理解决方案中包含的产品包括赛门铁克网络安全解决方案、赛门铁克网关安全解决方案、赛门铁克关键系统防护解决方案、赛门铁克客户端安全解决方案和 Symantec DeepSight威胁管理系统。

      总之，我们要看到，今天安全威胁是混合多样和快速变化型的，只有将所有这些在各个特定领域都具备领先功能的方案和客户的实际应用需求结合起来，企业信息系统才可能获得真正意义上牢不可破的防护体系。

深信服构建UTM安全网络
深信服科技陈运贵

      一体化的UTM设计简化了企业在产品选择、集成和支持服务的工作量，并且减少了兼容性问题。

      越来越多的调查显示，企业的信息网络系统面临来自内部和外部的多重安全威胁。这些威胁涵盖了病毒、机密泄漏、黑客攻击、滥用网络、垃圾邮件。对于这种问题，哪种方案才是企业较好的安全方案呢？特别是面对众多的网络设备—VPN网关、防火墙、防病毒网关、入侵检测设备、内网安全监控、访问控制产品、垃圾邮件过滤产品等，企业又当如何选择？

      通常的经验看，企业需要在信息网络里部署很多网络安全产品，尤其是在网关处。但是传统的方案已经不能满足企业现在的需求。因为传统的安全方案不仅投资成本大，而且运营与维护费用也相当高昂。同时，传统模式无法抵御混合式攻击。特别是随着黑客攻击技术的不断变化，原本可以防御的安全威胁如：蠕虫病毒、木马间谍等逐渐混合在一起，经过黑客的特殊设计和精心安排，可以分别绕过现有的安全设备，从而攻破单点型的安全方案。

      另外，企业即使购买了众多的安全设备，要管理众多不同型号、不同厂商的安全设备对管理员来说也是一件非常麻烦的事情。不同的配置界面、不同的参数，给企业带来了巨大的维护难度。

      解决这种的问题的关键就是用一种设备替代所有的分布式方案，以便达到内外双修的效果。

      为此，IDC在2004年提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理UTM。而作为一家生产UTM的国产厂商，深信服认为基本的UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测／防御和网关防病毒功能，而更加完善的UTM设备还需要提供其他特性，例如安全管理、日志、策略管理、服务质量（QoS）、负载均衡、高可用性（HA）和报告带宽管理等。

      深信服发布的M5000系列100M/1000M UTM，不仅涵盖了大中小企业的不同需求，而且能够为企业提供更强的安全特性。因为良好的UTM设备将防病毒和入侵检测（防御）功能融合于防火墙之中，成为防御混合型攻击的利剑。混合型的攻击可能攻破单点型的安全方案，但却很可能在统一安全方案面前败下阵来。

      此外，深信服一体化的设计简化了企业在产品选择、集成和支持服务的工作量，并且单一的UTM设备减少了多种安全产品间的配合问题，随之减少了操作和维护的工作量。加之高度整体性，即便出现设备或其他故障，UTM也能够做到迅速恢复。

      为了保证提供更好的管理特性，深信服UTM解决方案中提供了全面的管理、报告和日志平台，企业用户可以统一地管理全部安全特性，包括特征库更新和日志报告等。

      无疑，一台UTM设备集成众多安全功能，企业只需要购买一台安全设备的成本，便可拥有一体化的安全解决方案，性价比较高。

      为了满足企业的高端应用，高性能的UTM还需要配备企业级防火墙，包括状态检测结合IPS技术，保证用户使用。

Cisco扩展UTM方案外延
Cisco 喻超

      一套合理的UTM方案能够有效地管理网络并提供出色的投资保护。

      Cisco的安全方案以ASA 5500系列自适应UTM设备为基础，能够将安全性和VPN服务与全新的自适应识别和防御（AIM）架构有机地结合在一起。作为自防御网络的一部分，整套安全方案能够提供主动威胁防御，在网络受到威胁之前，UTM就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。

      这种多功能的网络安全方案不但能保护大中小型企业网络，而且还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。UTM设备能够在一个平台中提供多种已经经过市场验证的技术，无论从技术角度还是从经济角度看，都能够为多个地点部署各种安全服务。

      可以说，有效利用UTM多功能安全组件，企业几乎不需要作任何两难选择，既可以享受强有力的安全保护，又可以降低在多个地点部署多台设备的运营成本。

      一套合理的UTM方案能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护：
第一，经过市场验证的安全与VPN功能。这里边涵盖了高性能的防火墙与入侵防御系统(IPS); 网络防病毒和IPSec/SSL VPN 技术；基于用户和应用的访问控制；蠕虫与病毒防御；恶意软件防护以及远程用户/站点连接。

      第二，可扩展的自适应识别与防御服务架构。利用一个模块化服务处理和策略框架，AIM可根据每个流量的情况，应用特定的安全策略或网络服务，提供高度精确的策略控制和Anti-X（防御未知威胁）保护，并简化流量处理。AIM架构具有出色效率，其安全服务模块SSM则提供了软件和硬件可扩展性，因此无须更换平台，也不降低性能，即可扩展现有服务和部署新服务。

      第三，降低部署和运营成本。对于UTM设备而言，它可以实现平台、配置和管理的标准化，从而降低部署与日常运营成本。

      作为思科自适应威胁防御和统一安全接入策略的关键组件之一，Cisco的UTM方案结合了多种安全和VPN技术，提供了丰富的应用安全、Anti-X防御、网络控制和抑制，以及安全连接特性。

      该安全方案通过30种可检查第二层到七层网络流量的应用感知检测引擎，提供了强大的应用层安全性。

      而UTM提供的高性能保护，可防御网络和应用层攻击、拒绝服务攻击，以及蠕虫、网络病毒、特洛伊木马、间谍软件及广告软件等恶意软件。要实现高效的Anti-X防御，需将广泛的攻击检测技术与先进的分析技术相配合，以实现高度准确的威胁分类，从而确保在不影响合法网络流量的情况下，实施相应的防御措施。

      另外，Cisco的方案提供了范围广泛的网络控制和抑制服务，使企业能精确控制应用访问和网络流量传输。

高端安全机会无限
凹凸科技公司高嵩

      在高校的网络中，对防火墙的性能和可靠性有非常高的要求。

      防火墙市场虽然竞争激烈，但在凹凸科技（O2Micro）看来，市场还远未饱和。相反，无论是用户的安全需求还是技术的发展空间仍然十分广阔。凹凸科技不会参与低端安全市场的价格混战，而是要为市场提供高安全、高性能和高可靠的IT安全系统解决方案。例如在高校的网络中，由于应用的类型非常多，网络中有各种各样的数据包，对防火墙的性能和可靠性就提出了非常高的要求。

      凹凸科技的产品线主要是高端防火墙和SSL VPN。虽然凹凸科技进入防火墙市场的时间比较晚，但凹凸科技有自己的“杀手锏”，这就是自主研发的ASIC芯片。

      凹凸科技在模拟与数字集成电路方面拥有强大的研发队伍和能力，是移动及网络安全通信系统方面的ASIC技术专家，其产品客户广泛遍布于全球各主要电脑、消费电子、工业及移动通信等重要领域。凭借在ASIC设计领域拥有的独特能力，凹凸科技开始向网络安全领域全面拓展，并开发出高速安全系统和远程接入系统—ASIC千兆线速防火墙SifoWorks和SSL VPN产品Succendo。

      SifoWorks由一颗高度可编程的专用芯片和一个全面的安全软件堆栈组成，是专门针对大型企业和电信服务商而设计的、拥有高性能网络安全功能的设备。其嵌入式的集成多重安全功能的可编程ASIC芯片，拥有快速处理能力，使SifoWorks可以维持100万个并发的话音连接，或相当于在任何一个接口维持每秒一千兆的数据处理能力。同时，它还可以通过硬件执行状态包过滤、内容检查和VPN功能。由于VPN是网络安全基础设施的重要组件，所以SifoWorks还提供了高兼容性的IPSec VPN，以完成安全数据传送。简单而言，SifoWorks拥有了全面的安全防护功能，如深度内容检测及过滤、URL拦截、语音电话技术VoIP H.323拦截等，非常适合各行业中高端客户应用。而且，SifoWorks提供了独立的管理平台设计，与数据平台分开，所以它还具有高可靠性。SifoWorks已经正式通过ICSA实验室IPSec产品1.0D标准认证。

      Succendo是凹凸科技采用创新的SSL VPN架构设计的一款安全产品，能实现方便而安全的远程局域网接入和访问。在用户访问结束以后，客户端会自动对遗留在本地的内容进行清除，真正做到“零”痕迹。Succendo创新的体系架构使它的性能与普通SSL VPN或远程访问系统相比有了质的飞跃，不会成为网络的瓶颈。

      Succendo利用SSL3.0/TLS1.0协议实现远程资源安全的访问保护，不需要企业专门开放任何接入通道，它可对每个连接执行相应的安全策略，并根据不同用户身份、地域和设备为其分配访问权限，任何经过有效授权的用户可以在任何时间地点，通过任意的网络连接方式访问企业的内部资源。另一方面，企业的管理员可以轻松地对所有资源进行禁止性访问保护，快速、方便地设置各种规则，又能够保证安全、精细的访问控制。

创造优质安全上网环境
8e6公司大中国区总经理连邦俊

      必须加强对网络的有效管理，这也是企业网络管理的必然趋势。

      网络环境的复杂性、多变性、以及信息系统的脆弱性，决定了网络安全威胁的客观存在。据IDC报告，70%的安全损失是由企业内部原因造成的，而在企业中，不当的资源利用以及员工上网行为往往是“罪魁祸首”。

      不适当的上网行为和端对端文件分享带来了间谍软件、恶意程序、计算机病毒等威胁，导致企业网络瘫痪、内部机密资料被窃、网络资源浪费、工作效率下降，甚至还要承担法律责任。因此，必须加强对网络的有效管理，这也是企业网络管理的必然趋势。

      8e6公司为全球的教育、政府和各类企业提供网络安全行为管理和安全审计解决方案。通过一站式的解决方案，过滤有害信息，加强对网络使用的监控，对抗网络威胁，创造优质安全上网环境。8e6公司提供的网络安全行为管理解决方案，是一套全面的网络安全行为管理和跟踪记录报告系统，可提供包括内容过滤、上网行为审计、上网行为管理、不当网站内容及时封锁、IM使用管理、P2P文件共享软件阻挡、间谍软件封包封锁、建立网络安全行为管理优化策略、提供详细的网络使用跟踪记录报告等多项强大的产品功能。

      8e6的产品可以分为两类：R3000内容过滤和Enterprise Reporter事件审计。R3000能够有效提高企业的生产效率，其性能优越，若启用验证，最多可以支持3万名使用者联机，每秒可以建立30个联机。

      8e6公司的产品是软硬件一体机，拥有强大的、可分类的URL数据库，具有高速、稳定、安全和可扩展的特性。它安装简便，可轻易整合至任何客户的现有网络上，无须对网络硬件基础架构做任何较大改动。
8e6公司产品可提供94大类、近900万条人工检索分类的精确网址数据库。为了确保数据库的精确性，8e6科技还采用人工方式检阅网站内容，进行分类，并开发出高速的人工智能技术MudCrawler，每天24小时自动更新互联网网站资料数据库。

      R3000网络安全行为管理系统采用了旁路型技术，被安装于网络核心设备旁，在不影响网络流量的前提下监测数据。

      教育行业对内容过滤产品有着迫切的需求，因为高校的用户群密集而且活跃，高校校园网的安全管理十分复杂、困难。虽然高校网络信息中心已采取了一系列技术和管理措施，但由于用户数量太大、部分用户由于缺乏计算机安全知识和防范意识，致使大量病毒及不良信息在网络内传播，而资源滥用则使校园网性能急剧下降。目前，8e6的产品已经在多所高校中得到应用并获得用户的高度评价。

网络需要全面保护
i-Security公司亚太区业务拓展总监李旭阳

      企业需要从网络边界、内容安全、内部边界到远程用户访问的全方位安全保护。

      企业广泛地利用内联网与互联网做信息互通，虽然享有低成本与高效率的好处，但同时也产生了信息安全与资源存取管理与控制的问题。一般来说，大型企业对保护信息安全都有如下需求：

      ● 阻挡任何可能会威胁到企业内部网络安全的流量进入；
      ● 保证合法的访问安全进出；
      ● 管理企业内部不同部门人员的访问权限；
      ● 实现互联网上传输数据链路加密；
      ● 出差、流动人员、合作伙伴的安全访问及权限管理；
      ● 方便、快捷、灵活的配置管理。

      面对企业的安全需求，i-Security与软件厂商结盟，携手为用户提供高可靠的安全平台。i-Security的产品线包括防火墙、SSL VPN、内部安全网关和内容安全产品。i-Security SP系列防火墙的硬件平台是在Check Point公司软件防火墙专用操作系统SecurePlatform基础上，按照“不需要的东西就别放进去”的优化、精简原则设计的。硬件方面，i-Security独有的安全优化芯片（Security Enhancement Chip，SEC）和 TCP/IP减负载引擎技术（TCP/IP off-load Engine，TOE）的应用分担了CPU大部分的底层检测负荷，使CPU处理能力更多地用在高层检测上，从而提高了系统整体性能。

      采用安全优化芯片实现无缝多机热备份，一方面在系统总线上直接处理网络流量，减少CPU处理数据流量的负载，更重要的是，SEC也可作为检测硬件系统运行状态的工具，并在多机热备份里发挥无缝的热切换功能，任一防火墙失效，其他防火墙可以无缝地切入取代。

      目前，一般的网卡需要CPU处理IP数据包的封装、解封，令防火墙不能全面使用CPU的检测及处理能力，而i-Security防火墙使用具有TOE技术的包处理芯片，CPU处理能力便可以全面用于监测数据中恶意的代码及蠕虫，提升网络包处理能力，从而提高了防火墙的性能。

      i-Security推出的3000系列防火墙可满足中小型企业用户需求，4000系列防火墙可用于中型企业网络，5000系列防火墙可满足大型企业和小型运营商的需求，而6000系列防火墙可用于电信运营商骨干网。

      i-Security Connectra基于Check Point的SSL VPN产品—Connectra NGX平台设计而成，可以提供对企业资源的无客户端SSL VPN访问，防止远程终端窃取身份、密码和数据信息，保护内部资源免受不安全终端的攻击，同时可灵活集成已有的网络和安全框架，方便地进行部署和管理。它为SSL VPN提供了集成的应用安全，确保内部应用的完整性。集成的状态监测、Web Intelligence和Application Intelligence，可对通过SSL VPN进行的恶意攻击提供增强防护。

      i-Security提供三年维修服务，其中第一年是预先备机服务。另外，i-Security完全有能力提供软硬件一体化的售后服务。

应用访问安全畅通
Array Networks公司吴跃鹏

      SSL VPN取代大型企业中的IPSec VPN网关将不再是遥不可及的奢望。

      现在，越来越多的企业开始利用互联网访问应用，这些应用包括：OA系统、企业财务系统、内部信息系统、ERP系统、企业IT设备的维护等等。用户可能会从任意地点（办公室、用户现场、酒店、无线接入点），用任意终端（PC、手机、PDA）访问这些应用。此时，保证应用的安全就是企业必须要考虑的问题。同时，企业还要解决性能和安全之间的矛盾，既要对访问的合法性和操作合法性进行检查，还要保证对大量并发业务的快速处理，给用户良好的使用体验。另外，企业重点考虑的问题还包括购买设备的投资以及部署、维护方面的费用。

      SSL VPN是基于应用层的VPN技术，客户端无须安装任何软件或者硬件，使用者可利用标准的浏览器通过简单的SSL安全加密协议实现网络的安全访问和控制。Gartner的报告已经建议，那些希望使用更加简单和灵活方式部署远程安全访问系统的企业应该开始考虑使用SSL VPN。现在，许多企业对于SSL VPN的需求非常强烈，而且未来这种企业网络安全需求还将持续增长。

      根据Frost&Sullivan和Yankee Group的数据，使用IPSec VPN，每年每用户的费用在240～300美元之间。而使用SSL VPN，每年每用户的费用仅为60美元左右。

      Array Networks的新一代SSL VPN远程安全接入产品Array SPX5000是面向大型企业和电信运营商核心业务/应用的新一代SSL VPN产品。它能保证企业客户在任何时间、任何地方，以任何接入设备，都可以通过Internet安全地访问企业的核心应用。因其并发用户数达到64000个，更得到电信级客户的青睐。值得一提的是，Array SPX5000能够保持近千兆的线路速率进行SSL通讯传输，达到如此高的传输指标，意味着取代大型企业中以往所应用的IPSec VPN网关将不再是遥不可及的奢望。

      在全球500强企业中，有120个企业在使用Array SPX产品，共有超过25万个并发用户，平均每个客户采购超过2千个并发用户。

      Array SPX5000仅通过一台设备，即可支持64000个并发用户、250个VLAN（虚拟局域网）和128家虚拟站点，并向Microsoft Windows和Linux的用户提供3层VPN支持。此外，对于大型企业/电信网络来说，无论在安全保密、性能、还是在可扩展性方面，Array SPX5000的表现都非常优秀。Array SPX5000可向各大机构提供强大的网络安全和Web应用优化功能，包括利用SSL VPN登录访问Web应用和传统应用、身份管理、应用层防火墙以及基于Web的流量管理等等。

      企业信息接入正在向统一门户、统一认证和授权方向发展，Array Networks的SSL VPN也支持和PKI系统、统一认证授权系统相结合。