未雨绸缪 化解安全威胁

道高一尺，魔高一丈。在信息安全技术与安全威胁的博弈中，我们发现，没有任何安全产品、技术可以一劳永逸地解决用户面临的所有安全问题。因此，除了厂商要在技术上不断追求创新以外，用户也需树立起正确的安全服务意识，才能有效减少安全风险。

在信息安全产业的发展历程中，安全技术的发展可以用日新月异来形容。然而在与同样有着“日新月异”称号的安全风险、威胁的博弈对抗中，我们看到，几乎没有任何产品、技术可以一劳永逸地解决用户面临的所有安全问题。因此，如果安全与风险是一场博弈的话，那么，这种博弈无疑需要不断发展的技术创新来支持。

在用户层面，随着用户信息安全意识的普遍提高，信息安全产业也逐渐走向成熟和规范，产业的成熟最终将是一种综合实力的体现。那么，作为安全产业重要组成部分之一的“安全服务”的发展或许可以作为一种产业发展成熟度的符号。然而反观当前信息安全服务市场，却呈现出用户对服务“有需求又缺乏认识”、安全服务队伍的供给不平衡甚至混乱的局面。那么如何推动安全服务的良性发展，从而让整个信息安全产业更加规范有序呢？

为了助力这一系列问题的解决，近日，由计算机世界传媒集团主办、《CSO&信息安全》杂志承办的“第六届中国CSO俱乐部大会暨2008年中国信息安全年会”以“坚持技术创新推进安全服务”理念为出发点，为听众呈现了一场具有针对性和实用性的信息安全盛会。

从源头拒绝“脆弱”

伴随着日益复杂的安全威胁、依旧紧张的安全局势，信息安全产业也在经历诸多调整和发展。比如，信息安全正在由前几年的重“防外”向重“内控”迁移；由“底层”防护向高层、“应用层”集成联动平台迁移、由基于威胁“特征”向基于威胁“行为”防控转变、由“静态”防御向“动态”防御发展、由单域防控向跨安全域的可信交换防控迁移、由“边界”防控向“源头与信任键”防控转移等等。这些新趋势向人们显示了，当今我们应对威胁的能力已经有了进一步的提高。

在这诸多产业动向中，由“边界”防控向“源头与信任键”防控转移构成了“可信计算”出台的背景。在“技术创新”话题的探讨中，“可信计算”在今年的论坛中显得格外醒目。“在信息化领域，计算核心的脆弱包括体系结构的不健全、行为可信度差、认证力度弱。用户希望安全的后果可以预期，但现在用户心理却是忐忑不安的，因为很多后果无法预期。所以，如何保证提供可信的信息安全服务就成为业界的关注焦点。”国家信息化专家咨询委员会委员、研究员曲成义说:“可信计算的理念就是:信息安全要从源头、体系、行为抓起，争取实体安全的结果的可控和可预期。”

“从2003年可信联盟组织成立至今，它的外延领域正在不断延伸和扩展。”中国科学院信息安全技术工程研究中心主任卿斯汉介绍说: “如今，很多企业在做可信的服务器、可信的手机、可信的服务平台，再延伸还有可信的网络接入。当然，从长远来说还会延伸到可信的网络、可信域、可信链等等。”

由于源头的脆弱，曾经应用防火墙、IDS、防病毒软件等进行的外延防御已经使得威胁防不胜防，而可信网络连接正在实现由外延防御转向源头内控，也就是由被动防御向主动防御转移。曲成义谈到:“围绕TNC（可信网络连接）完整性的可信接入，思科和微软都已经在网络的可信接入技术方面有了初步成效。可以说，可信计算是信息安全领域的一个重大创新。”面对从理念上的技术革新浪潮，曲成义表示:“中国应该在可信计算与可信网络领域加大创新力度，要在新一轮可信计算市场竞争中掌握主动权。争取在标准和规范制定中占有一席之地。”

在大家着力强调企业研发能力、提倡技术储备时，联想网御科技（北京）有限公司助理总裁马虔却从另一个方面提出要“有所为、有所不为”。马虔谈到，“并不是所有技术都要自主研发，我们要想清楚什么需要自主研发，什么是可以站在巨人肩膀上发展。” 在这方面，联想网御就提出“两条腿走路”的发展模式，即“在注重自身研发的前提下，广泛展开技术引进和技术合作”。

安全服务 规则先行

据IDC最新统计数据显示，2007年我国信息安全服务市场规模占整个信息安全市场的22.6%，比2006年增长了36.3%，达到1.762亿美元。同时，IDC预测，在2008～2012年，我国信息安全服务市场规模将以25.7%的年复合增长率持续高速发展。

该数据表明，在信息安全领域，用户对于服务的需求已经开始膨胀。然而，目前业界对于信息安全服务并没有形成统一的概念，在信息安全服务市场中，相当一部分信息系统建设、高端安全咨询以及安全审计等服务市场还主要依靠外资或合资企业。“对于中国而言，信息安全服务的市场还不够大，我们一直期望这块蛋糕能够做大。”中国信息安全测评中心总工程师王军说道。

那么，如何在安全系统建设中实施安全服务？怎样才能树立安全服务意识呢？

面对蓬勃发展的安全服务市场，国家对于安全领域相关资质的管理对产业的良性发展至关重要。因为，信息安全服务也涉及了国家信息安全的利益。

“我国加入WTO后，就信息安全服务市场看，国内民族企业和国外安全厂商形成了很大竞争态势，由于涉及到国家信息安全，‘信息安全服务资质’事实上也是对民族企业的一种扶持形式。”王军介绍说。

国家现有的信息安全服务资质管理，尽管在一定程度上满足了信息安全管理部门、行业主管部门的管理需求和用户需求，但尚不能从根本上解决信息安全服务发展带来的管理问题。“没有高层次的信息安全法律、法规；现有管理部门从各自职能出发开展的服务资质管理互不关联；部分重要行业信息安全服务处于资质管理盲区”构成了安全服务资质管理的三个最主要问题。

面对这些问题，中国测评中心提出，首先要在信息安全服务资质管理的过程中，注重可信评定和能力评定的辩证统一；另外，要尽快建立国家统一的信息安全服务资质管理办法；加强发证、测评机构的建设和管理;制定和完善有关办法，加强对发证、测评机构的监督管理，规范其对信息安全服务资质的发证、测评行为；还要加强信息安全服务专业技术队伍的建设。

联想网御安全服务部总经理门嘉平认为，安全服务体系要在传统的安全管理系统搭建之前就介入，因为服务是常规安全系统搭建的前提。“在搭建常规的安全系统的过程中，服务体系可以使你的投资、采购产品或者配套管理达到比较好的性价比，也就是说，安全服务可以告诉你，什么时候在什么位置采用什么样的技术手段最合适。服务体系是把网络、交换机从安全的角度去调配。”它应该贯穿于安全体系建设的整个生命周期。

此外，目前我国在全面推进等级保护，不同重要程度的系统所需要的信息安全服务的程度也不同。因此，如何选择有能力、合适的厂商和信息安全服务队伍来提供服务，也是用户权益得到保障的一种需要。

安全管理 不可或缺

此外，作为虚拟社会中不可或缺的“安全管理”也得到了与会嘉宾的广泛关注。安全技术已经很多，但在技术被采用后安全问题依然存在。因此，“解决信息安全问题，绝非只单纯依靠技术，一定是要技术、管理并重。”国家信息化咨询委员会委员赵战生表示: “如今，信息安全保障管理经过多年的研究、实践、总结、提高，正在形成一个管理体系，把零碎的管理统一到综合的视野中考虑，也就是把安全管理意识提高到管理层面来考虑，这是一个提升。”

另一方面，互联网上错误虚假的信息、黄、赌、毒乃至反动言论也迫使我们必须加强对网络的管理与控制。网康科技产品服务部总监陆继周提出了带宽、浏览合规、应用合规、外发合规等诸多网络问题，并表示:“互联网管理已经不再是技术性要求，而是一种社会性要求，有效的管理互联网势在必行！”事实上，安全圈早有“三分技术、七分管理”的说法。不过无论安全管理的重要性或者比重到底占多少，我们可以看到，在互联网已经成为城市、工作中不可或缺部分的今天，主动的、体系化的安全管理已然成为保障业务有效运行的关键因素。

事实上，无论是技术创新的倡导与推进，还是安全服务的规范与发展，都应该来源于用户的实际业务需求。信息安全应该从单纯的产品、服务销售，转化为在了解用户、管理者业务需求的基础上，提供安全解决方案以保障信息化业务的高效连续运行；从最初的免责驱动、事件驱动最终演变成业务驱动，并把“业务驱动”作为信息安全产业发展的最终落脚点。在了解了用户实际应用环境的前提下，根据不同用户的信息化成熟度与业务需求制定策略，从而让用户真正体会到目前还难以量化的安全方案的价值，这是信息安全从业者的责任。

链接一

2008年度中国信息安全保障突出贡献奖获奖人名单

公安部公共信息网络安全监察局重要信息系统监察处处长 郭启全

中国电力科学研究院信息安全研究所所长 高昆仑

国家计算机网络应急技术处理协调中心副总工程师 杜跃进

中国气象局国家卫星气象中心副总设计师/研究员 施进明

中国人口信息研究中心信息总监网络数据库及信息安全专家 冯方回

北京京能热电股份有限公司总工 李东

中国审计署计算机技术中心主任 王智玉

联想网御科技有限公司总裁 刘科全

北京天融信网络安全技术有限公司董事长 贺卫东

东软软件股份有限公司副总裁兼网络安全产品营销中心总经理 贾彦生

GDS万国数据服务有限公司创始人、总裁兼CEO 黄伟

链接二

2008年度中国CSO信赖奖名单

联想网御“七剑固边关”边界安全解决方案

联想网御入侵防护系统

Cisco ASA 5500系列自适应安全设备

东软NetEye网络流量分析与响应系统（NTARS）

网康互联网控制网关

Websense Enterprise 6.3.1

瞻博网络UAC解决方案

采访手记

面对安全风险 我们不能坐以待毙

论坛上，一位嘉宾的发言让我印象深刻，他问在座的信息安全管理与维护人员: “在过去的两到三年中，我们有没有为本单位、本企业或者是为自己维护的那张网络做过什么特别了不起的事情？”众嘉宾都沉默不言。

的确，在信息技术迅速发展、互联网广泛应用和渗透的今天，各种各样的威胁也以新的模式和面孔不断涌现。木马、病毒、蠕虫、谍件、僵尸、劫持等网络犯罪手段屡屡被提及，安全威胁已经由最初基本的病毒入侵逐渐转向了越来越难以检测和消除的黑客经济盗窃甚至政治破坏，而犯罪的隐蔽性、跨域性、快变性和爆发性更是给信息安全带来了异常严峻的挑战。

因此，或许我们可以这样认为，如果在过去的几年中，我们没有做过什么“了不起的事情”，而我们的“敌人”、攻击者却已经无数次超越了我们的安全防护，甚至超越了直到今天我们还认为他们不可能做到的事情，那么，我们那所谓的信息安全保障将变得岌岌可危。同样，这里所谓的“了不起的事情”包括了人员、技术、管理、运维等诸多方面，但技术创新无疑是那些安全风险的“克星”；而树立正确的安全服务意识将让用户更加主动地防御安全威胁。所以，这两点就成了助推安全产业前进的主要动力。（文/陈芳丹）