未雨綢繆 化解安全威脅

道高一尺，魔高一丈。在信息安全技術與安全威脅的博弈中，我們發現，沒有任何安全產品、技術可以一勞永逸地解決用戶面臨的所有安全問題。因此，除了廠商要在技術上不斷追求創新以外，用戶也需樹立起正確的安全服務意識，才能有效減少安全風險。

在信息安全產業的發展歷程中，安全技術的發展可以用日新月異來形容。然而在與同樣有著“日新月異”稱號的安全風險、威脅的博弈對抗中，我們看到，幾乎沒有任何產品、技術可以一勞永逸地解決用戶面臨的所有安全問題。因此，如果安全與風險是一場博弈的話，那么，這種博弈無疑需要不斷發展的技術創新來支持。

在用戶層面，隨著用戶信息安全意識的普遍提高，信息安全產業也逐漸走向成熟和規范，產業的成熟最終將是一種綜合實力的體現。那么，作為安全產業重要組成部分之一的“安全服務”的發展或許可以作為一種產業發展成熟度的符號。然而反觀當前信息安全服務市場，卻呈現出用戶對服務“有需求又缺乏認識”、安全服務隊伍的供給不平衡甚至混亂的局面。那么如何推動安全服務的良性發展，從而讓整個信息安全產業更加規范有序呢？

為了助力這一系列問題的解決，近日，由計算機世界傳媒集團主辦、《CSO信息安全》雜志承辦的“第六屆中國CSO俱樂部大會暨2008年中國信息安全年會”以“堅持技術創新推進安全服務”理念為出發點，為聽眾呈現了一場具有針對性和實用性的信息安全盛會。

從源頭拒絕“脆弱”

伴隨著日益復雜的安全威脅、依舊緊張的安全局勢，信息安全產業也在經歷諸多調整和發展。比如，信息安全正在由前幾年的重“防外”向重“內控”遷移；由“底層”防護向高層、“應用層”集成聯動平臺遷移、由基于威脅“特征”向基于威脅“行為”防控轉變、由“靜態”防御向“動態”防御發展、由單域防控向跨安全域的可信交換防控遷移、由“邊界”防控向“源頭與信任鍵”防控轉移等等。這些新趨勢向人們顯示了，當今我們應對威脅的能力已經有了進一步的提高。

在這諸多產業動向中，由“邊界”防控向“源頭與信任鍵”防控轉移構成了“可信計算”出臺的背景。在“技術創新”話題的探討中，“可信計算”在今年的論壇中顯得格外醒目。“在信息化領域，計算核心的脆弱包括體系結構的不健全、行為可信度差、認證力度弱。用戶希望安全的后果可以預期，但現在用戶心理卻是忐忑不安的，因為很多后果無法預期。所以，如何保證提供可信的信息安全服務就成為業界的關注焦點。”國家信息化專家咨詢委員會委員、研究員曲成義說:“可信計算的理念就是:信息安全要從源頭、體系、行為抓起，爭取實體安全的結果的可控和可預期。”

“從2003年可信聯盟組織成立至今，它的外延領域正在不斷延伸和擴展。”中國科學院信息安全技術工程研究中心主任卿斯漢介紹說: “如今，很多企業在做可信的服務器、可信的手機、可信的服務平臺，再延伸還有可信的網絡接入。當然，從長遠來說還會延伸到可信的網絡、可信域、可信鏈等等。”

由于源頭的脆弱，曾經應用防火墻、IDS、防病毒軟件等進行的外延防御已經使得威脅防不勝防，而可信網絡連接正在實現由外延防御轉向源頭內控，也就是由被動防御向主動防御轉移。曲成義談到:“圍繞TNC（可信網絡連接）完整性的可信接入，思科和微軟都已經在網絡的可信接入技術方面有了初步成效。可以說，可信計算是信息安全領域的一個重大創新。”面對從理念上的技術革新浪潮，曲成義表示:“中國應該在可信計算與可信網絡領域加大創新力度，要在新一輪可信計算市場競爭中掌握主動權。爭取在標準和規范制定中占有一席之地。”

在大家著力強調企業研發能力、提倡技術儲備時，聯想網御科技（北京）有限公司助理總裁馬虔卻從另一個方面提出要“有所為、有所不為”。馬虔談到，“并不是所有技術都要自主研發，我們要想清楚什么需要自主研發，什么是可以站在巨人肩膀上發展。” 在這方面，聯想網御就提出“兩條腿走路”的發展模式，即“在注重自身研發的前提下，廣泛展開技術引進和技術合作”。

安全服務 規則先行

據IDC最新統計數據顯示，2007年我國信息安全服務市場規模占整個信息安全市場的22.6%，比2006年增長了36.3%，達到1.762億美元。同時，IDC預測，在2008～2012年，我國信息安全服務市場規模將以25.7%的年復合增長率持續高速發展。

該數據表明，在信息安全領域，用戶對于服務的需求已經開始膨脹。然而，目前業界對于信息安全服務并沒有形成統一的概念，在信息安全服務市場中，相當一部分信息系統建設、高端安全咨詢以及安全審計等服務市場還主要依靠外資或合資企業。“對于中國而言，信息安全服務的市場還不夠大，我們一直期望這塊蛋糕能夠做大。”中國信息安全測評中心總工程師王軍說道。

那么，如何在安全系統建設中實施安全服務？怎樣才能樹立安全服務意識呢？

面對蓬勃發展的安全服務市場，國家對于安全領域相關資質的管理對產業的良性發展至關重要。因為，信息安全服務也涉及了國家信息安全的利益。

“我國加入WTO后，就信息安全服務市場看，國內民族企業和國外安全廠商形成了很大競爭態勢，由于涉及到國家信息安全，‘信息安全服務資質’事實上也是對民族企業的一種扶持形式。”王軍介紹說。

國家現有的信息安全服務資質管理，盡管在一定程度上滿足了信息安全管理部門、行業主管部門的管理需求和用戶需求，但尚不能從根本上解決信息安全服務發展帶來的管理問題。“沒有高層次的信息安全法律、法規；現有管理部門從各自職能出發開展的服務資質管理互不關聯；部分重要行業信息安全服務處于資質管理盲區”構成了安全服務資質管理的三個最主要問題。

面對這些問題，中國測評中心提出，首先要在信息安全服務資質管理的過程中，注重可信評定和能力評定的辯證統一；另外，要盡快建立國家統一的信息安全服務資質管理辦法；加強發證、測評機構的建設和管理;制定和完善有關辦法，加強對發證、測評機構的監督管理，規范其對信息安全服務資質的發證、測評行為；還要加強信息安全服務專業技術隊伍的建設。

聯想網御安全服務部總經理門嘉平認為，安全服務體系要在傳統的安全管理系統搭建之前就介入，因為服務是常規安全系統搭建的前提。“在搭建常規的安全系統的過程中，服務體系可以使你的投資、采購產品或者配套管理達到比較好的性價比，也就是說，安全服務可以告訴你，什么時候在什么位置采用什么樣的技術手段最合適。服務體系是把網絡、交換機從安全的角度去調配。”它應該貫穿于安全體系建設的整個生命周期。

此外，目前我國在全面推進等級保護，不同重要程度的系統所需要的信息安全服務的程度也不同。因此，如何選擇有能力、合適的廠商和信息安全服務隊伍來提供服務，也是用戶權益得到保障的一種需要。

安全管理 不可或缺

此外，作為虛擬社會中不可或缺的“安全管理”也得到了與會嘉賓的廣泛關注。安全技術已經很多，但在技術被采用后安全問題依然存在。因此，“解決信息安全問題，絕非只單純依靠技術，一定是要技術、管理并重。”國家信息化咨詢委員會委員趙戰生表示: “如今，信息安全保障管理經過多年的研究、實踐、總結、提高，正在形成一個管理體系，把零碎的管理統一到綜合的視野中考慮，也就是把安全管理意識提高到管理層面來考慮，這是一個提升。”

另一方面，互聯網上錯誤虛假的信息、黃、賭、毒乃至反動言論也迫使我們必須加強對網絡的管理與控制。網康科技產品服務部總監陸繼周提出了帶寬、瀏覽合規、應用合規、外發合規等諸多網絡問題，并表示:“互聯網管理已經不再是技術性要求，而是一種社會性要求，有效的管理互聯網勢在必行！”事實上，安全圈早有“三分技術、七分管理”的說法。不過無論安全管理的重要性或者比重到底占多少，我們可以看到，在互聯網已經成為城市、工作中不可或缺部分的今天，主動的、體系化的安全管理已然成為保障業務有效運行的關鍵因素。

事實上，無論是技術創新的倡導與推進，還是安全服務的規范與發展，都應該來源于用戶的實際業務需求。信息安全應該從單純的產品、服務銷售，轉化為在了解用戶、管理者業務需求的基礎上，提供安全解決方案以保障信息化業務的高效連續運行；從最初的免責驅動、事件驅動最終演變成業務驅動，并把“業務驅動”作為信息安全產業發展的最終落腳點。在了解了用戶實際應用環境的前提下，根據不同用戶的信息化成熟度與業務需求制定策略，從而讓用戶真正體會到目前還難以量化的安全方案的價值，這是信息安全從業者的責任。

鏈接一

2008年度中國信息安全保障突出貢獻獎獲獎人名單

公安部公共信息網絡安全監察局重要信息系統監察處處長 郭啟全

中國電力科學研究院信息安全研究所所長 高昆侖

國家計算機網絡應急技術處理協調中心副總工程師 杜躍進

中國氣象局國家衛星氣象中心副總設計師/研究員 施進明

中國人口信息研究中心信息總監網絡數據庫及信息安全專家 馮方回

北京京能熱電股份有限公司總工 李東

中國審計署計算機技術中心主任 王智玉

聯想網御科技有限公司總裁 劉科全

北京天融信網絡安全技術有限公司董事長 賀衛東

東軟軟件股份有限公司副總裁兼網絡安全產品營銷中心總經理 賈彥生

GDS萬國數據服務有限公司創始人、總裁兼CEO 黃偉

鏈接二

2008年度中國CSO信賴獎名單

◆ 聯想網御“七劍固邊關”邊界安全解決方案

◆聯想網御入侵防護系統

◆Cisco ASA 5500系列自適應安全設備

◆東軟NetEye網絡流量分析與響應系統（NTARS）

◆網康互聯網控制網關

◆Websense Enterprise 6.3.1

◆瞻博網絡UAC解決方案

采訪手記

面對安全風險 我們不能坐以待斃

論壇上，一位嘉賓的發言讓我印象深刻，他問在座的信息安全管理與維護人員: “在過去的兩到三年中，我們有沒有為本單位、本企業或者是為自己維護的那張網絡做過什么特別了不起的事情？”眾嘉賓都沉默不言。

的確，在信息技術迅速發展、互聯網廣泛應用和滲透的今天，各種各樣的威脅也以新的模式和面孔不斷涌現。木馬、病毒、蠕蟲、諜件、僵尸、劫持等網絡犯罪手段屢屢被提及，安全威脅已經由最初基本的病毒入侵逐漸轉向了越來越難以檢測和消除的黑客經濟盜竊甚至政治破壞，而犯罪的隱蔽性、跨域性、快變性和爆發性更是給信息安全帶來了異常嚴峻的挑戰。

因此，或許我們可以這樣認為，如果在過去的幾年中，我們沒有做過什么“了不起的事情”，而我們的“敵人”、攻擊者卻已經無數次超越了我們的安全防護，甚至超越了直到今天我們還認為他們不可能做到的事情，那么，我們那所謂的信息安全保障將變得岌岌可危。同樣，這里所謂的“了不起的事情”包括了人員、技術、管理、運維等諸多方面，但技術創新無疑是那些安全風險的“克星”；而樹立正確的安全服務意識將讓用戶更加主動地防御安全威脅。所以，這兩點就成了助推安全產業前進的主要動力。（文/陳芳丹）