中國(guó)信息安全大會(huì)上，思科系統(tǒng)中國(guó)網(wǎng)絡(luò)技術(shù)有限公司安全顧問盧佐華女士做主題為“自防御網(wǎng)絡(luò)和可信網(wǎng)絡(luò)”的演講。

主持人：謝謝馬總精彩的演講，說到安全不能不說到網(wǎng)絡(luò)，說到網(wǎng)絡(luò)不能不說思科，下面要請(qǐng)思科系統(tǒng)中國(guó)網(wǎng)絡(luò)技術(shù)有限公司安全顧問盧佐華女士。

盧佐華：各位來賓上午好，我是思科公司的安全顧問盧佐華，很高興有機(jī)會(huì)參加第七屆中國(guó)信息安全大會(huì)，和各位安全領(lǐng)域的前輩、專家學(xué)者和同行們共同交流探討信息安全方面的問題，今天我匯報(bào)演講的主題就是自防御網(wǎng)絡(luò)和可信網(wǎng)絡(luò)。

這次大會(huì)有幾個(gè)討論的焦點(diǎn)，首先是開放的安全架構(gòu)，長(zhǎng)久以來信息安全里的一個(gè)現(xiàn)狀是各個(gè)安全系統(tǒng)解決方案以及產(chǎn)品層面的相互孤立。因此，我們?yōu)橛脩粼O(shè)計(jì)整體解決方案或選擇產(chǎn)品時(shí)就會(huì)受到很大束縛，這也制約了整個(gè)信息安全領(lǐng)域中信息技術(shù)的創(chuàng)新和發(fā)展，前不久舉行的RSA大會(huì)上很大的呼聲就是要建立一個(gè)安全的開放架構(gòu)。

第二個(gè)熱點(diǎn)是應(yīng)用安全，提到這個(gè)，大家腦海中會(huì)浮現(xiàn)出很多安全產(chǎn)品，但是隨著安全威脅的增長(zhǎng)，我們已經(jīng)知道這些安全產(chǎn)品之間有很好的集成，有一個(gè)統(tǒng)一的整體解決方案。但就目前來說我們安全產(chǎn)品的集成屬于比較初級(jí)階段，最多是產(chǎn)品的疊加，而產(chǎn)品之間沒有一個(gè)標(biāo)準(zhǔn)的通信接口，很好的互動(dòng)聯(lián)合協(xié)作，更重要的是對(duì)應(yīng)用的安全沒有很好的集成，所以在這次大會(huì)上，應(yīng)用安全也是今后信息系統(tǒng)安全發(fā)展的趨勢(shì)。經(jīng)過調(diào)查顯示，信息安全從2003年在IT主管關(guān)注的主要事件當(dāng)中已經(jīng)從第12位躍升為2004年第一位，超過原先降低成本，成為IT管理者最關(guān)心的問題。現(xiàn)在各大公司都在進(jìn)軍安全。安全需要一個(gè)開放的標(biāo)準(zhǔn)，要建立一個(gè)可信的網(wǎng)絡(luò)，這必然引起我們對(duì)安全標(biāo)準(zhǔn)的思考，現(xiàn)在安全標(biāo)準(zhǔn)里有了一些現(xiàn)有的模式，如TCG，這是一個(gè)可信計(jì)算的組織，最早的思路是在硬件設(shè)備中集成安全芯片，通過提供安全屬性來保證設(shè)備終端的安全。現(xiàn)在TCG組織已在全球有200多成員，他們的目的就是制訂各種規(guī)范和標(biāo)準(zhǔn)，幫助廠商為用戶提供能夠保護(hù)用戶數(shù)據(jù)及相關(guān)安全的產(chǎn)品。

還有一個(gè)著名的組織就是IETF，是互聯(lián)網(wǎng)工程任務(wù)組，有八個(gè)工作小組，會(huì)研究互聯(lián)網(wǎng)里的路由、通訊、加密、傳輸?shù)认嚓P(guān)組體。IETF要提交生成兩個(gè)文檔，一個(gè)互聯(lián)網(wǎng)草案，另外一個(gè)就是經(jīng)常會(huì)使用的IFC文檔，我們會(huì)經(jīng)常參考它制訂相關(guān)的產(chǎn)品，這也成為一個(gè)業(yè)內(nèi)安全的標(biāo)準(zhǔn)。

除了這兩個(gè)組織一直致力于安全標(biāo)準(zhǔn)的開放聯(lián)合合作之外，現(xiàn)在各個(gè)公司也致力于這方面的工作，目的是在網(wǎng)上建立一個(gè)開放標(biāo)準(zhǔn)的驗(yàn)證模式，這樣可以取代以前各個(gè)專利的用戶認(rèn)證方式，我們就可以更好在各個(gè)產(chǎn)品當(dāng)中無縫集成和應(yīng)用，解決網(wǎng)上交易以及相關(guān)認(rèn)證方面出現(xiàn)的問題。

還有來自SUN公司的信息，SUN認(rèn)為要消除信息鴻溝必須要解決安全與接入的問題，安全問題的解決答案就是開放的架構(gòu)和共享代碼。SUN認(rèn)為私有的技術(shù)會(huì)增加企業(yè)的投入成本，會(huì)增加管理的復(fù)雜度，也阻礙信息技術(shù)的發(fā)展，而它的開放架構(gòu)從Java到開放源代碼都可以很好解決安全問題。

看看思科的信息，我們的CEO在RSA大會(huì)上發(fā)表了重要的消息，他認(rèn)為標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全的必經(jīng)之路，安全業(yè)內(nèi)各個(gè)廠家應(yīng)該聯(lián)合協(xié)作，制訂一個(gè)開發(fā)開放的標(biāo)準(zhǔn)，共同提供安全整體的方案和架構(gòu)，安全必須面向整個(gè)的架構(gòu)的技術(shù)和方案，我們可能在網(wǎng)絡(luò)當(dāng)中有有線網(wǎng)絡(luò)接入和無線網(wǎng)絡(luò)接入，我們要針對(duì)不同的接入有不同的安全架構(gòu)基礎(chǔ)，我們要針對(duì)整體的網(wǎng)絡(luò)提供一個(gè)整體的解決方案，今后發(fā)展趨勢(shì)網(wǎng)絡(luò)和技術(shù)融合是必然發(fā)展之路。思科公司的安全戰(zhàn)略就是自防御網(wǎng)絡(luò)，現(xiàn)在已進(jìn)入一個(gè)新的階段就是ATD，自適應(yīng)威脅防御，在這階段我們更專著于應(yīng)用安全、智能控制、反間諜軟件以及反廣告軟件，我們會(huì)更多重視網(wǎng)絡(luò)高層應(yīng)用安全這方面。從2004年數(shù)據(jù)顯示，全球網(wǎng)絡(luò)安全市場(chǎng)的規(guī)模，思科已經(jīng)上升到第一位。

總結(jié)來說，從RSA大會(huì)上看到，當(dāng)前的信息安全發(fā)展呼聲和趨勢(shì)要有開放的架構(gòu)，要呼吁各個(gè)廠商互聯(lián)互做提供整體的安全，這樣的廣泛參與需要各個(gè)公司，政府以及廠商共同參與的，這種隔離的多種標(biāo)準(zhǔn)會(huì)造成協(xié)作的沖突，以及為維護(hù)各自的市場(chǎng)產(chǎn)生更大的代價(jià)。

下面介紹一下思科公司面對(duì)這種信息安全的威脅，我們的戰(zhàn)略，以及我們給企業(yè)和用戶的安全無憂的承諾。思科公司是一直致力于提供一個(gè)智能化的信息網(wǎng)絡(luò)，最早網(wǎng)絡(luò)是提供一個(gè)基本的聯(lián)通性功能，而到現(xiàn)在網(wǎng)絡(luò)已經(jīng)承載了越來越多的應(yīng)用，發(fā)揮更多更重要的作用，所以我們需要一個(gè)智能化的網(wǎng)絡(luò)，智能化信息網(wǎng)絡(luò)要有三個(gè)原則，第一個(gè)是主動(dòng)的參與性，以前網(wǎng)絡(luò)是積極傳輸一些流量，我們對(duì)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容不知道，就好像提供一個(gè)公路，公路上跑各種各樣的車，車?yán)锩孓D(zhuǎn)載什么內(nèi)容什么乘客不知道的，這樣我們無法提供最有效和最有針對(duì)性的傳送，現(xiàn)在主動(dòng)參與性就是智能化信息網(wǎng)絡(luò)會(huì)對(duì)網(wǎng)絡(luò)傳送的負(fù)載有更深入的了解，能夠提供更針對(duì)性的安全保證和傳輸質(zhì)量的保證。

第二個(gè)是系統(tǒng)的方法，就是相對(duì)于各個(gè)獨(dú)立的單點(diǎn)的解決方案而言，獨(dú)立的解決方案會(huì)增加各個(gè)方案通訊的代溝和成本，所以這個(gè)方案可以更好地保證通訊和交流。

第三個(gè)是靈活的策略控制，策略控制會(huì)更多集成到企業(yè)的應(yīng)用策略，把企業(yè)應(yīng)用策略和安全策略集成起來，能夠更好提供一個(gè)整體網(wǎng)絡(luò)的有效性。

思科的智能化信息網(wǎng)絡(luò)會(huì)給用戶提供網(wǎng)絡(luò)的有序集成和自適應(yīng)性，我們正是通過智能化的網(wǎng)絡(luò)保證我們信息安全，實(shí)現(xiàn)我們自防御的網(wǎng)絡(luò)。 思科自防御網(wǎng)絡(luò)大家可能已經(jīng)聽過我們這個(gè)戰(zhàn)略，我們核心思想就是利用網(wǎng)絡(luò)發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)中的威脅，進(jìn)行防范，進(jìn)一步消除威脅，自防御網(wǎng)絡(luò)有三個(gè)基本的原則，第一個(gè)是集成，集成的目的是讓組成網(wǎng)絡(luò)的每一個(gè)組件都有自身的安全性，都能保障安全。第二個(gè)特點(diǎn)是協(xié)作性，協(xié)作有兩方面的含義，一個(gè)是部署安全系統(tǒng)的時(shí)候，各個(gè)安全系統(tǒng)在各點(diǎn)各層實(shí)施防護(hù)的時(shí)候，他們之間密切配合協(xié)助的，第二個(gè)網(wǎng)絡(luò)安全機(jī)制和安全系統(tǒng)的機(jī)制進(jìn)行協(xié)作和配合的，這樣能夠保障整個(gè)網(wǎng)絡(luò)中的服務(wù)和設(shè)備更好阻擋威脅攻擊。第三個(gè)是適應(yīng)性就是讓網(wǎng)絡(luò)主動(dòng)識(shí)別網(wǎng)絡(luò)中出現(xiàn)的威脅，并且能智能防范和消除這威脅。

第一個(gè)要提倡的原則就是集成安全，集成安全就是要保證基礎(chǔ)設(shè)施的安全，我們知道網(wǎng)絡(luò)有很多組成網(wǎng)絡(luò)的組建，比如路由器和交換機(jī)，現(xiàn)在大家知道安全最基本的原則就是組成網(wǎng)絡(luò)，信息系統(tǒng)每一個(gè)點(diǎn)都應(yīng)該是安全的，安全應(yīng)該集成到自身上，而不是附加式安全，比如防火墻，網(wǎng)關(guān)很多功能是補(bǔ)丁式打在網(wǎng)絡(luò)系統(tǒng)上，現(xiàn)在隨著發(fā)展，很多功能加載到網(wǎng)絡(luò)系統(tǒng)當(dāng)中，網(wǎng)絡(luò)系統(tǒng)自身就應(yīng)該具有安全性保護(hù)方法，所以思科集成安全會(huì)在網(wǎng)絡(luò)各個(gè)基本的組成元件當(dāng)中，包括路由器，交換機(jī)，以及自適應(yīng)產(chǎn)品中都有這種安全性，這樣保證基礎(chǔ)平臺(tái)是安全的，只有承載平臺(tái)安全，才能保證上面的業(yè)務(wù)和運(yùn)用是安全的。

第二個(gè)協(xié)作安全，安全已經(jīng)超越單一的邊界，前面介紹協(xié)作安全有兩個(gè)含義，我們?cè)趯?shí)際的網(wǎng)絡(luò)應(yīng)用當(dāng)中也看到，安全實(shí)際上也是很難劃分邊界來區(qū)分它，有邏輯以及物理的邊界，同時(shí)要對(duì)現(xiàn)在的電子商務(wù)，特別我們業(yè)務(wù)來往那么多，當(dāng)有訪客，咨詢顧問和用戶來到公司的時(shí)候，要提供相應(yīng)上網(wǎng)的權(quán)利和方便性，有各種各樣復(fù)雜性問題的時(shí)候，怎么提供整體式協(xié)助式安全。思科是最新倡導(dǎo)提出了網(wǎng)絡(luò)準(zhǔn)入控制NAC架構(gòu)，大家可能關(guān)注安全的話知道思科兩年前提出了網(wǎng)絡(luò)組織控制的架構(gòu)，現(xiàn)在可以宣布思科已經(jīng)能很好實(shí)施這個(gè)想法，我們已經(jīng)用NAC2這個(gè)階段，現(xiàn)在NAC2能夠保證用戶上網(wǎng)的時(shí)候，首先要保證用戶是合法的，這就有一個(gè)用戶的認(rèn)證，保證網(wǎng)絡(luò)接入系統(tǒng)中的人是正確合法授權(quán)的用戶，同時(shí)也要保障這個(gè)合法用戶上網(wǎng)使用的設(shè)備和機(jī)器是安全可靠的，這就通過網(wǎng)絡(luò)準(zhǔn)入控制來實(shí)現(xiàn)，保證上網(wǎng)機(jī)器也是安全的。我們這個(gè)想法通過網(wǎng)絡(luò)準(zhǔn)入控制來實(shí)現(xiàn)，現(xiàn)在有了多種NAC解決方案。

網(wǎng)絡(luò)終端控制體現(xiàn)了網(wǎng)絡(luò)開放與協(xié)作的精神，現(xiàn)在有70多個(gè)廠家和思科合作，來實(shí)現(xiàn)網(wǎng)絡(luò)終端的控制，以及終端安全的產(chǎn)品。思科網(wǎng)絡(luò)安全下一個(gè)重點(diǎn)是應(yīng)用安全，現(xiàn)在網(wǎng)絡(luò)中承載更多的是應(yīng)用，新的應(yīng)用不斷出現(xiàn)，如果我們不能很好地去了解應(yīng)用的協(xié)議，它承載的內(nèi)容，我們就不可能實(shí)現(xiàn)真正的安全。所以思科現(xiàn)在推出一個(gè)Anti-X的技術(shù)，這不僅僅是反病毒，因?yàn)楝F(xiàn)在各種威脅越來越多，除了病毒之外，還包括規(guī)則檢測(cè)，異常檢測(cè)，啟發(fā)式檢測(cè)等。因此自適應(yīng)階段我們推出一個(gè)新的產(chǎn)品就是ASA，這是思科18種安全技術(shù)在一個(gè)產(chǎn)品上的體現(xiàn)，以前會(huì)在不同安全產(chǎn)品上實(shí)現(xiàn)的，現(xiàn)在全部集中到一個(gè)ASA產(chǎn)品上，它可以很好進(jìn)行網(wǎng)絡(luò)抑制、控制、過濾，也可以提供VPN功能，實(shí)現(xiàn)安全連接，所以這是一個(gè)很好自適應(yīng)安全產(chǎn)品。

提到安全必然要提到安全管理。管理分為不同的層面，使我們每一個(gè)產(chǎn)品發(fā)揮很好的功能，另外我們推出思科MARS產(chǎn)品，因?yàn)樵诎踩锩鏇]有絕對(duì)安全存在的，風(fēng)險(xiǎn)總是有的，即使我們部署各種各樣安全產(chǎn)品，像防火墻，入侵檢測(cè)，防病毒、掃描等，依然會(huì)出現(xiàn)安全風(fēng)險(xiǎn)，當(dāng)這些風(fēng)險(xiǎn)出現(xiàn)的時(shí)候，最重要是快速發(fā)現(xiàn)它，思科MARS就是專門對(duì)風(fēng)險(xiǎn)和威脅進(jìn)行響應(yīng)，并提供解決方案，提供治愈修復(fù)的產(chǎn)品。MARS最主要是收集各種各樣安全設(shè)備的信息，能夠收集多廠商的信息，借助思科對(duì)網(wǎng)絡(luò)的研究，可以自動(dòng)描述網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，對(duì)海量信息分析歸并，得出一個(gè)真正的安全事件，從而得到一個(gè)解決方案。MARS就可降低對(duì)風(fēng)險(xiǎn)管理的覆蓋度。

智能化安全網(wǎng)絡(luò)是發(fā)展的必然，我們必須要有開放的架構(gòu)，走標(biāo)準(zhǔn)化道路，這當(dāng)中應(yīng)用安全越來越重要，體系安全管理也很必然，思科將會(huì)給用戶帶來安全無憂可信的網(wǎng)絡(luò)。我今天的匯報(bào)到這里，謝謝！