| 出版日期:2003-08-11 总期号:1240 本年期号:59 |
|
 |
信息安全 管理先行
宋媛媛 三个小时传遍全球的红色代码病毒造成的慌乱可能还使人记忆犹新,如何选择正确的安全产品及有效的管理摆脱这种慌乱状态,成为7月31日在北京新世纪饭店举行的“2003中国信息安全大会”所有与会者共同关心的问题,而“安全与管理”也是本次大会的主题。 截止到2003年6月,中国的网民人数达到6800万人,网民数字居全球第二。其中网上购物以及进行交易的人数占40.7%,网上支付的比例第一次超过货到付款,成为主要的付款方式。与此同时。网络攻击不断发生,59.4%的计算机在过去的一年里被非法入侵,估计到2007年,由此造成的损失将达到6.7亿美元(-IDC)。 追根溯源 依法管理 信息安全作为国家安全的一个重要组成部分,近年来得到了快速发展,2002年,其市场份额达到72.5亿美元,而且在全球经济疲软和IT产业增长乏力的情况下,信息安全产业却一枝独秀快速增长。中国电子信息产业发展研究院院长张旭明在讲话中也进一步阐述了信息安全产业近年来在我国的快速发展,他说,目前从事信息安全产品的生产,销售服务的企业已达1000多家,产品覆盖杀毒软件、防火墙、安全认证等,产业规模连续保持50%的增长率。但是与此同时,安全问题造成资源上的浪费和管理上的困惑也是目前非常严峻的问题。为了保证安全,传统的做法是一个部门里设置两套网络系统,一套可以上网,一套不可上网,这就造成了极大的资源浪费。因此正确有效地管理是解决信息安全的重中之重。 
国家信息化专家咨询委员会委员沈昌祥指出:信息要想安全首先要对使用者进行控制和管理,要对信息的访问进行控制 相关统计表明,对信息安全的攻击75%以上是内外勾结所造成的,而且还呈上升趋势。这个现象就给我们的管理提出了严格的要求。正如国家信息化专家咨询委员会委员、中国工程院院士沈昌祥在大会上的发言所指出的一样,保卫信息安全系统的安全首先要找源头,如果不知道原因只能采取被动的堵截或隔离的方法,但是解决问题的关键点在于找到病毒的根源,这样才能从根本上保证系统的安全。 沈昌祥院士还指出,信息要想安全首先要对使用者进行控制和管理,要对信息的访问进行控制。每年我们花在信息安全上的钱很多,但是取得的效益却很小。一个好的信息安全系统是简洁的,易于控制和管理的,同时还应具有高的性价比。因此,如何正确地对信息安全系统进行有效地管理是整个信息安全产业所面临的一个迫切需要解决的问题。 而对这个问题,与会专家及厂商都提出了不同的解决方案。中国计算机学会计算机安全专业委员会的缪道期副主任委员在演讲中提出了在信息安全管理工作中的重点,他指出,不仅是公安部要制定计算机信息安全系统安全等级保护的技术标准和规范,各个单位也要从本单位的实际情况出发制定本单位的信息系统安全保护等级;同时要加强安全风险评估和应急反应能力,提高抗风险抗破坏能力,设定遇灾备份恢复预案;缪道期还指出目前我们国家信息安全系统建设中所面临的一个严重问题,就是我国信息化建设所使用的芯片,主要软硬件,网络管理设施几乎都建立在外国的技术上,因此加强我国自主可控设备的研究与信息安全人才的培养也是目前整个信息安全产业应该注意的问题。 中国互联网协会网络与信息安全工作委员会的任金强博士在讲话中提到了联合起来保卫全网安全的解决方案。因为仅靠一个部门静态独立的安全保障方案很明显不能抵御无处不在的网络罪犯,要想保障全网安全就要联合起来,形成防范网络犯罪的联盟。通过加强技术和信息交流来促进网络安全保障的协作。 
2003年中国信息安全大会会场 而不同的用户往往有不同的安全强度要求和管理要求,因此如何更好地进行协作沟通,满足不同用户的不同需求,也是一个大的挑战。对于这个问题,中国国家信息安全产品测评与认证中心的陈晓桦副主任提出了自己的观点:网络上的安全隐患犹如现实生活中的传染病,依法防治才能根除。因此对于安全问题的防治首先要建立完善的法律法规,并且一定要依法管理,这就是所谓的三分技术,七分管理。不同的厂商可能会采取不同的技术策略落实安全管理,如何选取适合自己的安全解决方案同时严格的执行相应的管理法规是决定网络安全的重点所在。而安全管理政策要高效实施,应该有一个开放的结构和统一的标准。 统一平台之上论管理 谈到开放的安全管理平台架构,NOKIA国际互联网通讯部中国区总经理张勇详细介绍了NOKIA的网络安全方案。NOKIA只是专门生产一种网络安全的专用平台,然后把世界上最好的应用软件移植到这个平台上。NOKIA并没有专门开发防火软件,但是如果用户有防火墙的要求,NOKIA就把block Exploit移植到NOKIA的平台上;在E-mail方面,NOKIA与趋势科技合作;如果用户有入侵检测的要求,NOKIA将与ISS——美国一家市场占有率已达85%的IDS制造商合作。NOKIA只是搭建一个平台,把最好的软件移植到这个平台上,这个平台是支持,管理,应用的平台。在这个平台上,操作系统由NOKIA负责,操作系统上的应用软件也由NOKIA负责,所以用户不需要和第三个品牌打交道。过去用户需要花几个月时间解决的问题,现在只需5分钟就可解决。 世界上没有一个公司是全才公司,不同的公司会有不同的侧重点,NOKIA就是将该领域的优秀产品结合到一个平台上,为用户提供优秀易用的产品与服务。 同业界其它领域做的优秀的公司合作,再通过集成商共同给客户提供优秀的产品,这一理念是趋势科技与NOKIA的相似之处。趋势科技中国区副总经理谢旭东介绍了趋势科技的EPS,即企业级保护战略。通过采取积极的措施管理整个病毒的爆发周期,将整个病毒报告分成七个部分,每个部分都有不同的策略以及服务支持。依托后台支持,透过软件载体,把最终的服务引入客户的环境中。目前,联想公司整个安全体系架构平台中的防病毒部分全部由趋势科技的产品组成。同时,趋势科技的产品也结合到了NOKIA的平台之上。 实现全网的安全应该不仅是跨设备的,而且还应该跨不同的网络层次。对此不同用户有不同的理解,同时也采用了不同的解决方案。但是大多数用户的网络需求是分步提出的,对设备的购买也是分步进行的。因此用户所购买的网络设备和网络安全设备很可能是隔离的,非互动的,这样将网络设备加网络安全设备的叠加导致不可能实现真正的全网安全。针对这种情况,清华紫光比威网络技术有限公司推出的BSSN安全网络解决方案,则可以满足跨设备,分层次全面解决网络安全需求。其公司CEO朱强谈到,通过BSSN的VISA服务,可将网络设备、网络安全设备及网管整合在一起实现全网的安全。 实现全网安全不是一句口号,必须有跨不同设备和层次的专业咨询。清华紫光比威以及趋势科技都提供这种咨询服务。服务提供商不仅需要具有一些核心的技术积累,而且要建立全国范围内的服务提供体系和价值链。 RSA信息安全公司北亚洲区董事总经理冯满亮在讲话中提到了在一个日趋成熟的网络世界中管理的重要性。信息管理不是一个功能,信息安全之所以出现的原因就在于各个机构之间需要协作以增加工作效率,同时也要降低各部门的工作成本增加灵活性,以此来降低风险增加安全性。管理工作的起点就在身份认证以及存取管理。RSA的认证与存取管理平台提供了一个统一的后台服务,针对不同的前台,如安装在卡上的,PDA上的软件令牌,或者是智能卡等,RSA还开发了不用再次进行二次开发的前后台之间的插件。这个后台可以提供身份认证,网络存取管理,LDAP用户管理,流量控制等服务。通过这个简洁高效的管理对所有要求进入系统的用户进行统一认证。这个认证不单是在一个部门中可以实施,在世界范围内也可以发展这个认证中心。 |
||||||||||||||||||||||||||
