officeba > 单独文章


融合思路打造可信安全环境

部分在过去一年里取得显著进步的安全企业及产品荣获2008年度中国信息安全值得信赖品牌奖等奖项(详见第九届中国信息安全大会特刊)。
  
  通过报纸和网络报名参加此次大会的与会者多达800人。
  当信息化被提升到前所未有的战略高度的时候,信息安全也经历了从2005年的产业井喷,2006年的自我调整,2007年的理性回归,到2008年的全面融合。安全产业的发展,也实现了由特定领域的保护向全面和强制的信息安全保护的过渡。
  与此同时,可信安全的提出再一次明确了信息安全的前景和发展趋势。在企业内部形成可控的安全管理环境,维护企业秩序,成为可信安全的重要任务。
  顺应这种形势,4月22日,以“可信安全•生态融合”为主题的第九届信息安全大会在北京召开。作为一年一度的安全业内最大的盛会,本次大会继续保持中国信息安全业内综合性、前沿性、权威性的特点,论坛议题覆盖到目前信息安全的各个热点领域,包括:安全政策、安全服务、等级保护、安全管理、防病毒技术、防火墙技术、反垃圾邮件技术、漏洞扫描等。
  本次大会观众千余人,会场参与厂商超过80家,主流安全厂商代表悉数到会。围绕安全产业的各层面的来宾包括近200名来自高校、金融、电信等行业典型用户信息化主管,50名风险投资商代表,50名安全顾问及评测机构代表,近100名安全分销集成商代表以及百余名安全学术界代表。通过嘉宾演讲和现场各种展览及活动,大会成为一次大平台、高起点、效率精准、效果明显的交流盛事。
  
  可信接入是安全难题
  
  在过去的十多年中,信息安全已经从单一的技术部门需求发展到整个网络世界的需求,从面向脆弱性的安全发展到现在面向结构性的安全。信息安全的目的在于通过各种安全手段和措施,在开放的网络系统中构建一个边界清晰的安全网络。那么,如何构建一个安全的边界?这是安全业界一个非常大的难题。
  国家信息化专家咨询委员会委员曲成义介绍说,从信息安全的发展看,有几种动向值得关注。第一,信息安全的重点正在从早期的防外转向内控;第二,正由OSI的底层防护在向多层集成联动管理平台过渡;第三,基于威胁特征向基于威胁行为防控转变;第四,由静态防御向动态防御发展;第五,由单域防控向跨安全域可信交换防控迁移;第六,由边界防控向源头与信任防控转移。
  可信接入正是在这种背景下提出的一个网络要求。在这个网络中应该满足什么?天融信战略方案中心总监杨庆华认为:“要满足边界的安全、主体的安全、客体的安全,还要满足行为的安全、监管的安全。通俗地说,就是要做到网络边界安全、用户身份可信、数据资源安全、访问行为可控这样一些目标。”
  以现实生活为例,一个人带一台电脑接入一个公司的网络,这个公司能相信这台电脑不带有病毒吗?如果相信了,就非常容易把带有危害性的病毒带到这个公司里来,这就是所谓不可信的安全行为。绝大多数的安全事件都是来自于内部。而恰恰在现在的网络安全系统里面,内部防护是非常脆弱的。另外,由于内部缺乏可信的监控与分析制度,对接入行为缺乏严格有效的可信监控措施,也需要对主体可信和个体可信做一个全面的安全认证。
  
  那么,该如何保证网络可信接入?杨庆华表示,第一,要禁止外部非法设备的接入;第二,要限制合法设备的非法接入;第三,要限制合法接入设备的非法访问;第四,对网络行为要进行监测和保护。对于主体可信的接入要做上述接入来源认证控制,而对于客体的访问则要做访问对象的监控。第一,要根据安全级别的不同来划分不同的安全域;第二,要在不同安全域之间划分边界隔离与访问控制;第三,对内部的网络要做IP与MAC绑定;第四,要对每一个计算环境做安全管理;第五,对远程接入的用户要做控制;第六,要对所有接入行为进行监控。
  目前,很多企业都在提出关于网络接入的技术标准,包括思科的网络接入控制(NAC)、微软的网络准入保护(NAP)、可信计算组的可信网络连接(TNC)等。尽管标准尚不统一,但是它们都遵循一个基本的框架和基础,这样就会明显提升网络接入的可信度。
  
  信息泄漏有新特点
  
  信息防泄漏一直是信息安全的焦点问题之一。在这次大会上,与会专家认为,信息泄漏的形势依然严峻,但是在解决方案的探索方面,也有了积极的进展。
  信息是多样化的,可以是个人的信息,可以是企业的信息,甚至是国家的信息。依据信息内容的不同,泄漏以后影响的范围也不一样。信息泄漏的方式也是多样的,可能是信息存在的介质、设备被不可靠的人使用,或者说这些介质和设备被遗失会造成信息的泄漏;也有可能是操作系统或者是软件的漏洞造成信息的泄漏;同样,未经保护的信息通过网络传输的时候,也会造成信息的泄漏;而未能有效地防木马和病毒造成的信息泄漏会大面积地发生。
  现在,病毒和木马已经成为窃取信息并造成信息泄漏的主要方式。根据IronPort威胁运营中心发布的《2008年互联网安全趋势》报告,2007年,病毒种类接近30万种,70%为木马程序,每天感染的用户数量接近100万。而且从病毒到恶意软件再到木马,这些恶意软件的制造目的也发生了本质的变化。以前可能单纯是搞破坏,或者说显示自己的技术特点或者是技术的能力,到现在已经转变成了以获取他人隐私和追求实际利益为主要目标。
  针对这种新形势,恶意软件制造者也呈现出了新的特点。他们不再是个人,或者说小的团体,已演变为散布在网络上,以分工严密的庞大组织为特征,以追逐利益为目标,形成了包括发现漏洞、制造木马、传播木马并窃取信息在内的利益链条。他们在利益的驱使下,在网络上以极高的速度传播木马并窃取信息。受害对象已经不仅仅局限于互联网用户,也包括企业内部的网络用户。
  为此,卫士通信息产业股份有限公司副总经理李学军表示:“在防止信息泄漏的总体思路上,我们对信息泄漏的问题需要做一个综合的 判断。尤其是企业和组织,要知道信息泄漏的途径和方式,造成的危害有哪些。而且现在泄漏涉及到的不仅仅是技术方面的问题,同时涉及到了监管、政策和法律等多个方面。”
  李学军还提出,由于目前缺乏一些相关的法律法规,对这些违法行为的打击力度也不够,使得以木马为核心的利益链条存在着生存的空间,因此需要安全企业在技术方面能够提供可靠的终端控制机制,保证终端的环境可信、终端的信息源头准确、数据安全,还要能够提供灵活的、安全的共享机制。而在关键的技术方面,需要将多种密码技术有效地融入到信息安全的控制和防御技术手段中,为信息安全提供一个有效的全方位的保障。
  
  等级保护成为必然
  
  目前,我国正在大力推行信息安全等级保护制度。谈到等级保护,对一些用户来讲多少还是带有被动性质。事实上,等级保护不是一个产品,更不是一个项目,它应该是一个过程。
  据绿盟科技服务产品部高级安全顾问孙铁介绍,等级保护是一个政策性的工作,它的实施要参考相关文件相应的技术要求,对各个等级保护单元测评项进行详细的归类,采用的是风险评估手段。
  对等级保护和风险评估这两个概念的关系,很多用户存在一定的困惑。对此,孙铁解释说,风险评估是等级保护工作中的重要工具和方法。在等级保护过程中,无论是产品的实施,还是技术的应用,都需要风险评估作为重要手段。风险评估所采用的技术测试工具和数据收集手段,对等级保护也是适用的。

声明:欢迎各大网站转载本站文章,还请保留一条能直接指向本站的超级链接,谢谢!

时间:2008-07-12 08:33:59,点击:65824


【OfficeBa论坛】:阅读本文时遇到了什么问题,可以到论坛进行交流!Excel专家邮件:342327115@qq.com(大家在Excel使用中遇到什么问题,可以咨询此邮箱)。

【声明】:以上文章或资料除注明为Office自创或编辑整理外,均为各方收集或网友推荐所得。其中摘录的内容以共享、研究为目的,不存在任何商业考虑。如有任何异议,请与本站联系,本站确认后将立即撤下。谢谢您的支持与理解!


相关评论

我要评论

评论内容