電腦網絡
[北京,2011年3月24日]互聯網安全問題日益嚴峻和複雜。為了進一步加強和完善資訊網路管理,提高對虛擬社會的管理水準,打造一個安全、有序、和諧、可控的“平安網路”,亟需建立新的互聯網秩序管理體系和全程全網的安全防禦體系。以“構建網路秩序、打造平安網路”為主題的國內首個“平安網路”專題研討會暨“CTM一體化協同安全閘道產品發佈會”今天在北京香格里拉飯店召開。來自工信部、公安部、科技部等主管部門的領導,國家資訊化專家諮詢委員會等單位的專家,電子政務、教育、網吧、電信、互聯網等行業用戶代表,以及媒體記者約300余人參加了本次會議。
互聯網的發展已經經歷了幾十個春秋,相關的資訊安全技術手段和產品越來越多,投入的人力物力也越來越大,可是我們發現網路安全形勢卻越來越嚴峻。網路上的資訊系統之所以易受攻擊,是因為網路系統具有開放、快速、分散、互聯、虛擬、脆弱等特點。網路用戶可以自由訪問任何網站,幾乎不受時間和空間的限制。資訊傳輸速度極快,病毒等有害資訊可在網上迅速擴散和放大。網路基礎設施和終端設備數量眾多,分佈地域廣闊。各種資訊系統互聯互通,用戶身份和位置真假難辨,構成了一個龐大而複雜的虛擬環境。此外,網路應用軟體和系統平臺也存在許多技術漏洞,為攻擊者提供了可乘之機。這些特點都給網路虛擬社會的管控造成了巨大困難。看到這些層出不窮的網路安全問題,人們禁不住要問:現在我們已經有了各種各樣的網路安全產品,從防火牆、VPN,到統一威脅管理設備UTM,到員工上網行為和內容審計管理到各種安全防禦軟體……為何還是不能保障網路安全?
研討會上,一些專家提出,網路社會這一虛擬社會和現實社會一樣,存在治安問題和秩序問題。我們經常談論的網路安全,大部分是針對網路違法違規行為控制,相當於網路治安管理。網路安全技術集中在發展網路攻防系統,很少關注網路秩序管控問題,對網路社會的突發性事件缺少感知、指揮、記錄和追溯的手段和系統。如今,虛擬世界的災害事件已經波及到了現實世界,對社會的經濟、政治與文化等領域造成了巨大的影響和嚴重的威脅,構建網路秩序已成為互聯網資訊安全領域不可回避的命題。
與會專家和廠商、用戶代表還就網路虛擬社會面臨的新挑戰、需要怎樣的新技術支撐、當前市場上存在的技術能否應對這些挑戰、如何從根本上解決網路虛擬社會安全問題、平安網路的內涵和實現方式、未來網路安全技術的發展方向等話題進行了熱烈的討論。
“所謂‘平安網路’是一個能夠系統、綜合、全面地解決互聯網安全秩序問題的大型管理體系。它應該是全程、全網、協同防禦的,不僅具備網路感知、全資訊記錄和海量存儲功能,還能夠實現對互聯網流量的指揮、調度、攔阻和限制,並且能在網路安全事件發生後進行資訊分析和源頭追溯,以分散式部署和全程協同防禦機制來實現網路社會中的治安管理、交通流量控制、聯防安全監控和應急指揮管理等安全保障體系。這就像是網路空間上的平安城市一樣,實現網路安全狀態可感知,可記錄,可指揮,可追溯。”北京中興網安科技有限公司CEO朱永民這樣對“平安網路”進行定義。
這兩年國內推廣“平安城市”項目的核心在於建設、完善一套集社會治安綜合治理、城市交通管理和應急調度指揮于一體的城市秩序綜合安全管理系統,支援多級聯動預警部署和協同防範機制,需要通過分散式的公共交通及安全監控記錄與控制點,以及統一調度和應急通信指揮綜合管理平臺的建設,即時監控記錄和同步指揮調度城市公共區域的治安和秩序管理,實現城市安防從“事後處理”向“事前預防”、“事中控制”轉變,提升城市的秩序管理和安全程度。“平安網路”的資訊通暢和資訊內容安全問題,同樣可以通過類似的方式解決。在網路社會裏,同樣需要建立一種像“平安城市”一樣的“平安網路”安全保障系統,對應于現實生活中的交通紅綠燈系統、攝像監控存儲系統和協同聯動管理及統一調度體系。它可以分級部署在網路公共安全管理區域,監控並記錄網路資訊傳輸交換,形成“事中記錄,事後追查”的網路安全管理機制;也可以部署在企業內部,就像現實生活中在銀行等關鍵位置部署的安全防範措施,有防入侵盜搶的安全隔離和電視監控系統,還有110聯動報警系統,起到全程全網“即時預警”的防禦體系。
此外,北京中興網安科技有限公司還在會上發佈了該公司研發的一體化協同安全閘道CTM(Collaborative Threat Management)產品。目前市場上的各種資訊安全技術和產品,如傳統的防火牆、IPS、UTM等網路安全設備,大多屬於網路安全攻防系統,較少關注網路秩序管控問題;而各類網路內容審計和上網行為管理產品也大多解決的是局部區域內的網路行為規範管理、條件資訊記錄和應用保護,而對於網路區域內個資訊系統之間的互聯傳輸和訪問控制等缺少邊界管理、全程審計和安全事件協同處理的能力。
中興網安公司依據自身對資訊網路發展歷程的分析,研究網路安全保障體系存在的問題,提出‘平安網路’的理念,結合多年的網路安全產品研發與系統服務經驗,基於建立全程全網協同防禦體系的設計思路,有針對性地開發出了一體化協同安全閘道CTM,它不僅能完整記錄和海量存儲一定時間內的所有網路資料資訊,以備後續審計取證;還能根據一定的策略,限制或允許特定的流量;它還可實現網路內多台CTM設備的協同管理來實現網路聯動協同防禦。它就是網路上的“紅綠燈+攝像頭+錄影機+交通警察”,是“平安網路”體系中的邊界記錄和區域管控的基礎設施。它能夠對重要業務進行全程審計追溯,對安全事件管理提供即時預警、事中記錄、事後追蹤的手段。以網路“攝像頭”+“錄影機”來實現安全監控和記錄取證,以網路“紅綠燈”+“交通警察”來實現網路攻擊攔阻和流量擁塞疏導,並集成了UTM的部分安全防禦功能來應對各類網路威脅,從而成為資訊安全保障的基礎設施和組織管理工具。
會議中有領導提醒大家注意,党和國家領導人也非常重視網路虛擬社會的管理體系建設的重要性,胡錦濤書記今年2月19日在中央黨校發表重要講話中提出社會管理8意見,其中第7條明確要求“進一步加強和完善資訊網路管理,提高對虛擬社會的管理水準,健全網上輿論引導機制”,這也要求我們更多探討如何加強資訊網路的管理工作,採用類似CTM這樣的管理類網路安全產品,做好對虛擬社會的管理工作。
與會的專家還注意到,剛剛發佈的國家“十二五發展綱要”中提出“加快推進安全可控關鍵軟硬體應用試點示範和推廣,加強資訊網路監測、管控能力建設,確保基礎資訊網路和重點資訊系統安全。”,這些要求和中興網安CTM產品的設計目標功能非常接近;資訊系統安全等級保護相關系統和主要由CTM組成的“平安網路”基礎服務體系一起,能覆蓋資訊生產處理和資訊傳輸交換的全過程,共同解決維護網路治安和管理網路秩序,實現綱要提出的“加強互聯網管理,確保國家網路與資訊安全”的目標。
與會的部隊專家也提出,2010年首次爆發大規模的網路戰爭——伊朗核設施程式遭遇電腦病毒攻擊的事實證明網路戰已經作為“獨立的戰爭形態”正式登臺亮相。現實社會我們有後備兵役制度,政府也有戰爭動員體系,但是在虛擬的網路世界裏,如果沒有一套狀態即時感知、協同防禦、事後分析總結的基礎管理體系,怎麼能具有系統抵禦網路攻擊、保衛我們虛擬社會穩定運行的能力?CTM產品和這個“平安網路”部分概念,為建立一個“人民網路戰爭防禦體系”提出了一個新的值得探討的思路。
針對如何用國產設備打造平安網路的問題,朱永民說:我國的網路安全產品長期以來都是沿用、借鑒國外的體系和概念,從防火牆到UTM等等。我們一直希望能夠創造中國自己的網路安全體系理念和相應的產品,這個CTM就是我們根據自己的經驗,以我們有限的認識水準分析實際需求,採用集成創新思路提出的網路安全產品,希望得到國人認可,共同發展和完善它,直到有一天讓CTM能走出國門、走向世界!