中国信息安全大会上,思科系统中国网络技术有限公司安全顾问卢佐华女士做主题为“自防御网络和可信网络”的演讲。
主持人:谢谢马总精彩的演讲,说到安全不能不说到网络,说到网络不能不说思科,下面要请思科系统中国网络技术有限公司安全顾问卢佐华女士。
卢佐华:各位来宾上午好,我是思科公司的安全顾问卢佐华,很高兴有机会参加第七届中国信息安全大会,和各位安全领域的前辈、专家学者和同行们共同交流探讨信息安全方面的问题,今天我汇报演讲的主题就是自防御网络和可信网络。
这次大会有几个讨论的焦点,首先是开放的安全架构,长久以来信息安全里的一个现状是各个安全系统解决方案以及产品层面的相互孤立。因此,我们为用户设计整体解决方案或选择产品时就会受到很大束缚,这也制约了整个信息安全领域中信息技术的创新和发展,前不久举行的RSA大会上很大的呼声就是要建立一个安全的开放架构。
第二个热点是应用安全,提到这个,大家脑海中会浮现出很多安全产品,但是随着安全威胁的增长,我们已经知道这些安全产品之间有很好的集成,有一个统一的整体解决方案。但就目前来说我们安全产品的集成属于比较初级阶段,最多是产品的叠加,而产品之间没有一个标准的通信接口,很好的互动联合协作,更重要的是对应用的安全没有很好的集成,所以在这次大会上,应用安全也是今后信息系统安全发展的趋势。经过调查显示,信息安全从2003年在IT主管关注的主要事件当中已经从第12位跃升为2004年第一位,超过原先降低成本,成为IT管理者最关心的问题。现在各大公司都在进军安全。安全需要一个开放的标准,要建立一个可信的网络,这必然引起我们对安全标准的思考,现在安全标准里有了一些现有的模式,如TCG,这是一个可信计算的组织,最早的思路是在硬件设备中集成安全芯片,通过提供安全属性来保证设备终端的安全。现在TCG组织已在全球有200多成员,他们的目的就是制订各种规范和标准,帮助厂商为用户提供能够保护用户数据及相关安全的产品。
还有一个著名的组织就是IETF,是互联网工程任务组,有八个工作小组,会研究互联网里的路由、通讯、加密、传输等相关组体。IETF要提交生成两个文档,一个互联网草案,另外一个就是经常会使用的IFC文档,我们会经常参考它制订相关的产品,这也成为一个业内安全的标准。
除了这两个组织一直致力于安全标准的开放联合合作之外,现在各个公司也致力于这方面的工作,目的是在网上建立一个开放标准的验证模式,这样可以取代以前各个专利的用户认证方式,我们就可以更好在各个产品当中无缝集成和应用,解决网上交易以及相关认证方面出现的问题。
还有来自SUN公司的信息,SUN认为要消除信息鸿沟必须要解决安全与接入的问题,安全问题的解决答案就是开放的架构和共享代码。SUN认为私有的技术会增加企业的投入成本,会增加管理的复杂度,也阻碍信息技术的发展,而它的开放架构从Java到开放源代码都可以很好解决安全问题。
看看思科的信息,我们的CEO在RSA大会上发表了重要的消息,他认为标准是网络安全的必经之路,安全业内各个厂家应该联合协作,制订一个开发开放的标准,共同提供安全整体的方案和架构,安全必须面向整个的架构的技术和方案,我们可能在网络当中有有线网络接入和无线网络接入,我们要针对不同的接入有不同的安全架构基础,我们要针对整体的网络提供一个整体的解决方案,今后发展趋势网络和技术融合是必然发展之路。思科公司的安全战略就是自防御网络,现在已进入一个新的阶段就是ATD,自适应威胁防御,在这阶段我们更专著于应用安全、智能控制、反间谍软件以及反广告软件,我们会更多重视网络高层应用安全这方面。从2004年数据显示,全球网络安全市场的规模,思科已经上升到第一位。
总结来说,从RSA大会上看到,当前的信息安全发展呼声和趋势要有开放的架构,要呼吁各个厂商互联互做提供整体的安全,这样的广泛参与需要各个公司,政府以及厂商共同参与的,这种隔离的多种标准会造成协作的冲突,以及为维护各自的市场产生更大的代价。
下面介绍一下思科公司面对这种信息安全的威胁,我们的战略,以及我们给企业和用户的安全无忧的承诺。思科公司是一直致力于提供一个智能化的信息网络,最早网络是提供一个基本的联通性功能,而到现在网络已经承载了越来越多的应用,发挥更多更重要的作用,所以我们需要一个智能化的网络,智能化信息网络要有三个原则,第一个是主动的参与性,以前网络是积极传输一些流量,我们对网络传输的内容不知道,就好像提供一个公路,公路上跑各种各样的车,车里面转载什么内容什么乘客不知道的,这样我们无法提供最有效和最有针对性的传送,现在主动参与性就是智能化信息网络会对网络传送的负载有更深入的了解,能够提供更针对性的安全保证和传输质量的保证。
第二个是系统的方法,就是相对于各个独立的单点的解决方案而言,独立的解决方案会增加各个方案通讯的代沟和成本,所以这个方案可以更好地保证通讯和交流。
第三个是灵活的策略控制,策略控制会更多集成到企业的应用策略,把企业应用策略和安全策略集成起来,能够更好提供一个整体网络的有效性。
思科的智能化信息网络会给用户提供网络的有序集成和自适应性,我们正是通过智能化的网络保证我们信息安全,实现我们自防御的网络。 思科自防御网络大家可能已经听过我们这个战略,我们核心思想就是利用网络发现网络当中的威胁,进行防范,进一步消除威胁,自防御网络有三个基本的原则,第一个是集成,集成的目的是让组成网络的每一个组件都有自身的安全性,都能保障安全。第二个特点是协作性,协作有两方面的含义,一个是部署安全系统的时候,各个安全系统在各点各层实施防护的时候,他们之间密切配合协助的,第二个网络安全机制和安全系统的机制进行协作和配合的,这样能够保障整个网络中的服务和设备更好阻挡威胁攻击。第三个是适应性就是让网络主动识别网络中出现的威胁,并且能智能防范和消除这威胁。
第一个要提倡的原则就是集成安全,集成安全就是要保证基础设施的安全,我们知道网络有很多组成网络的组建,比如路由器和交换机,现在大家知道安全最基本的原则就是组成网络,信息系统每一个点都应该是安全的,安全应该集成到自身上,而不是附加式安全,比如防火墙,网关很多功能是补丁式打在网络系统上,现在随着发展,很多功能加载到网络系统当中,网络系统自身就应该具有安全性保护方法,所以思科集成安全会在网络各个基本的组成元件当中,包括路由器,交换机,以及自适应产品中都有这种安全性,这样保证基础平台是安全的,只有承载平台安全,才能保证上面的业务和运用是安全的。
第二个协作安全,安全已经超越单一的边界,前面介绍协作安全有两个含义,我们在实际的网络应用当中也看到,安全实际上也是很难划分边界来区分它,有逻辑以及物理的边界,同时要对现在的电子商务,特别我们业务来往那么多,当有访客,咨询顾问和用户来到公司的时候,要提供相应上网的权利和方便性,有各种各样复杂性问题的时候,怎么提供整体式协助式安全。思科是最新倡导提出了网络准入控制NAC架构,大家可能关注安全的话知道思科两年前提出了网络组织控制的架构,现在可以宣布思科已经能很好实施这个想法,我们已经用NAC2这个阶段,现在NAC2能够保证用户上网的时候,首先要保证用户是合法的,这就有一个用户的认证,保证网络接入系统中的人是正确合法授权的用户,同时也要保障这个合法用户上网使用的设备和机器是安全可靠的,这就通过网络准入控制来实现,保证上网机器也是安全的。我们这个想法通过网络准入控制来实现,现在有了多种NAC解决方案。
网络终端控制体现了网络开放与协作的精神,现在有70多个厂家和思科合作,来实现网络终端的控制,以及终端安全的产品。思科网络安全下一个重点是应用安全,现在网络中承载更多的是应用,新的应用不断出现,如果我们不能很好地去了解应用的协议,它承载的内容,我们就不可能实现真正的安全。所以思科现在推出一个Anti-X的技术,这不仅仅是反病毒,因为现在各种威胁越来越多,除了病毒之外,还包括规则检测,异常检测,启发式检测等。因此自适应阶段我们推出一个新的产品就是ASA,这是思科18种安全技术在一个产品上的体现,以前会在不同安全产品上实现的,现在全部集中到一个ASA产品上,它可以很好进行网络抑制、控制、过滤,也可以提供VPN功能,实现安全连接,所以这是一个很好自适应安全产品。
提到安全必然要提到安全管理。管理分为不同的层面,使我们每一个产品发挥很好的功能,另外我们推出思科MARS产品,因为在安全里面没有绝对安全存在的,风险总是有的,即使我们部署各种各样安全产品,像防火墙,入侵检测,防病毒、扫描等,依然会出现安全风险,当这些风险出现的时候,最重要是快速发现它,思科MARS就是专门对风险和威胁进行响应,并提供解决方案,提供治愈修复的产品。MARS最主要是收集各种各样安全设备的信息,能够收集多厂商的信息,借助思科对网络的研究,可以自动描述网络的拓扑结构,对海量信息分析归并,得出一个真正的安全事件,从而得到一个解决方案。MARS就可降低对风险管理的覆盖度。
智能化安全网络是发展的必然,我们必须要有开放的架构,走标准化道路,这当中应用安全越来越重要,体系安全管理也很必然,思科将会给用户带来安全无忧可信的网络。我今天的汇报到这里,谢谢!
68476636-8007)
