出版日期：2002-03-11　总期号：1099　本年期号：16

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 东北专刊 华东专刊 华南专刊 西北专刊 西南专刊

为“Web服务”营造安全环境 RSA Conference 2002侧记 张雪琳 　　今年2月，一年一度的RSA研讨会（即：RSA Conference 2002）在美国加利福尼亚的McEnery会议中心召开。会议由综合大会、产品博览会、安全指南以及分类跟踪讨论四个部分组成，所涉及的内容包括黑客以及非法入侵、电子商务、无线安全、PKI、EDI、密码算法、网络法及公民权等各个方面。 　　RSA研讨会被公认为全球性。尤其是今年，全球大约200个公司和10000名来自企业、政府、学术界、华尔街以及媒体的决策者参加了此次研讨。而美国白宫电子安全负责人Richard Clarke的到会颇为引人注目，他说：“我们的敌人对于技术的理解水平起码和我们是一样的，他们将寻找我们的漏洞，发现何处是我们的薄弱环节。”他强调：“我们的敌人将使用我们的技术来反对我们。正如在9·11事件以前航空业曾经确信他们在安全措施上的漏洞不会被人利用，对于IT安全的忽视也在令人们处于被袭击的险境之中。” 　　Richard Clarke同时还例举了美国政府处理这个问题的一系列措施。美国政府计划2003年在新墨西哥开放一个仿真和分析中心，并在2003年扩大IT安全奖学金计划，以培养IT安全方面的人才。目前已有16所高校将参与这个计划，为学生们研究电子安全提供奖学金。 　　“Web 服务”更要强调安全 　　在本届RSA大会上，最受关注的莫过于Web 服务方面的安全产品。随着Internet日益深入人们的生活，Web 服务的应用也越来越广泛。但Burton Group的CEO Jamie Lewis认为：“这就迫使我们必须把如何使Web服务具有安全性作为一行业来发展。” 　　在本届RSA讨论会上，各厂商所展示的产品许多是关于向Web 服务提供安全服务。应用Web 服务的主要障碍就是身份鉴别问题。VeriSign、CA、Liberty Alliance等公司计划把身份认证和ID管理带入Web 服务，其他一些厂商则不约而同地推荐可保护基于XML的Web 服务网络的产品。在大会上，VeriSign 宣布了它的Web服务产品发展方向。它同时还宣布了一个包括IBM、Grand Central以及Mountain View等公司参加的计划,该计划使得应用间安全传输协同工作具有鉴别的功能。而CA 则推出了eTrust 第2版，该版新增了一个在线数字证书状态检测器和一个新的eTrust Web 存取控制解决方案。 　　利用Web服务来进行数据共享和分发所要求的安全性更多地体现在传输过程中。对此，Vordel将推出VordelSecure，该产品在Web服务框架中增添了SOAP，以便在进行通讯和路由时保障XML 的安全性。它同时还可转发认证信息，使一些可能会淹没SOAP信息的攻击转向。Bridgewater公司在RSA上演示了它的NetProfile存取控制设备。它位于防火墙和应用或Web服务之间，可以通过监测信息的内部来执行证书监查及跟踪。 　　创造无线网络中的商机 　　随着无线用户的数目越来越多,无线网络安全管理员的工作日益艰巨。本届大会大约有二十多个分类跟踪研讨会都涉及到了无线网络的安全。正如Burton Group的CEO Jamie Lewis所说：“由于这些移动用户不可能告知系统它们是从什么地方而来,系统只能把它们当作防火墙外的用户来处理。这不可避免地导致效率降低,造成各种不便。” 　　针对人们对移动设备、无线网络等方面的安全产品表现出的浓厚的兴趣，各厂家纷纷推出产品。较有代表性的产品有BSafe Micro Edition 和Wireless Scanner。BSafe Micro Edition 是RSA 在大会上最新推出的安全产品，可以帮助开发人员建立支持数字支付、签名、认证鉴别等的移动和无线应用。Internet Security Systems 公司的Wireless Scanner是一个脆弱性评估解决方案，它通过对空中的无线通信流量进行监听，来发现并跟踪袭击，同时堵上漏洞，提供WLAN 报告和对系统架构的实施提供参考意见。 　　相关链接 　　RSA上新产品 　　RSA BSAFE Micro Edition 　　http://www．RSA．com 　　这是开发人员在无线设备中建立安全性的完全的解决方案。 RSA BSAFE Micro Edition 产品系列包括RSA BSAFE SSL-C Micro Edition、 RSA BSAFE Cert-C Micro Edition 和 RSA BSAFE Crypto-C Micro Edition, 它可以帮助开发人员在一个设备上建立数字签名、数字身份鉴别以及电子支付，为企业应用建立安全的端到端的通讯通道。通过在设备上校验签名的软件代码，开发人员可以利用加密在无线产品中增加安全性，减少克隆，恶意攻击，以及设备丢失所造成的在移动通信中的安全威胁，维护有线和无线设备间的互操作。 　　Postini Active EMS 　　http://www． Postini．com 　　该软件是SMTP服务产品, 该解决方案融合了防火墙技术、边缘服务器功能以及资源监控功能。Active EMS 可以对邮件系统提供保护以及灾难恢复。它可以确定一个网络的边界,通报邮件流量。实时发现来自端口25的袭击并进行堵截,使用状态和趋势报告向系统管理员通报系统状况，当情况发生变化，管理员在危险发生前就可以得到通知。它还可以实时监控Email服务器的负载并实时地进行负载平衡。