思科：自防御网络和可信网络

2008-04-02 10:58:52来源：互联网阅读 ()

中国信息安全大会上，思科系统中国网络技术有限公司安全顾问卢佐华女士做主题为“自防御网络和可信网络”的演讲。

卢佐华：各位来宾上午好，我是思科公司的安全顾问卢佐华，很高兴有机会参加第七届中国信息安全大会，和各位安全领域的前辈、专家学者和同行们共同交流探讨信息安全方面的问题，今天我汇报演讲的主题就是自防御网络和可信网络。

这次大会有几个讨论的焦点，首先是开放的安全架构，长久以来信息安全里的一个现状是各个安全系统解决方案以及产品层面的相互孤立。因此，我们为用户设计整体解决方案或选择产品时就会受到很大束缚，这也制约了整个信息安全领域中信息技术的创新和发展，前不久举行的RSA大会上很大的呼声就是要建立一个安全的开放架构。

第二个热点是应用安全，提到这个，大家脑海中会浮现出很多安全产品，但是随着安全威胁的增长，我们已经知道这些安全产品之间有很好的集成，有一个统一的整体解决方案。但就目前来说我们安全产品的集成属于比较初级阶段，最多是产品的叠加，而产品之间没有一个标准的通信接口，很好的互动联合协作，更重要的是对应用的安全没有很好的集成，所以在这次大会上，应用安全也是今后信息系统安全发展的趋势。经过调查显示，信息安全从2003年在IT主管关注的主要事件当中已经从第12位跃升为2004年第一位，超过原先降低成本，成为IT管理者最关心的问题。现在各大公司都在进军安全。安全需要一个开放的标准，要建立一个可信的网络，这必然引起我们对安全标准的思考，现在安全标准里有了一些现有的模式，如TCG，这是一个可信计算的组织，最早的思路是在硬件设备中集成安全芯片，通过提供安全属性来保证设备终端的安全。现在TCG组织已在全球有200多成员，他们的目的就是制订各种规范和标准，帮助厂商为用户提供能够保护用户数据及相关安全的产品。

还有一个著名的组织就是IETF，是互联网工程任务组，有八个工作小组，会研究互联网里的路由、通讯、加密、传输等相关组体。IETF要提交生成两个文档，一个互联网草案，另外一个就是经常会使用的IFC文档，我们会经常参考它制订相关的产品，这也成为一个业内安全的标准。

除了这两个组织一直致力于安全标准的开放联合合作之外，现在各个公司也致力于这方面的工作，目的是在网上建立一个开放标准的验证模式，这样可以取代以前各个专利的用户认证方式，我们就可以更好在各个产品当中无缝集成和应用，解决网上交易以及相关认证方面出现的问题。

还有来自SUN公司的信息，SUN认为要消除信息鸿沟必须要解决安全与接入的问题，安全问题的解决答案就是开放的架构和共享代码。SUN认为私有的技术会增加企业的投入成本，会增加管理的复杂度，也阻碍信息技术的发展，而它的开放架构从Java到开放源代码都可以很好解决安全问题。

看看思科的信息，我们的CEO在RSA大会上发表了重要的消息，他认为标准是网络安全的必经之路，安全业内各个厂家应该联合协作，制订一个开发开放的标准，共同提供安全整体的方案和架构，安全必须面向整个的架构的技术和方案，我们可能在网络当中有有线网络接入和无线网络接入，我们要针对不同的接入有不同的安全架构基础，我们要针对整体的网络提供一个整体的解决方案，今后发展趋势网络和技术融合是必然发展之路。思科公司的安全战略就是自防御网络，现在已进入一个新的阶段就是ATD，自适应威胁防御，在这阶段我们更专著于应用安全、智能控制、反间谍软件以及反广告软件，我们会更多重视网络高层应用安全这方面。从2004年数据显示，全球网络安全市场的规模，思科已经上升到第一位。

总结来说，从RSA大会上看到，当前的信息安全发展呼声和趋势要有开放的架构，要呼吁各个厂商互联互做提供整体的安全，这样的广泛参与需要各个公司，政府以及厂商共同参与的，这种隔离的多种标准会造成协作的冲突，以及为维护各自的市场产生更大的代价。

下面介绍一下思科公司面对这种信息安全的威胁，我们的战略，以及我们给企业和用户的安全无忧的承诺。思科公司是一直致力于提供一个智能化的信息网络，最早网络是提供一个基本的联通性功能，而到现在网络已经承载了越来越多的应用，发挥更多更重要的作用，所以我们需要一个智能化的网络，智能化信息网络要有三个原则，第一个是主动的参与性，以前网络是积极传输一些流量，我们对网络传输的内容不知道，就好像提供一个公路，公路上跑各种各样的车，车里面转载什么内容什么乘客不知道的，这样我们无法提供最有效和最有针对性的传送，现在主动参与性就是智能化信息网络会对网络传送的负载有更深入的了解，能够提供更针对性的安全保证和传输质量的保证。

第二个是系统的方法，就是相对于各个独立的单点的解决方案而言，独立的解决方案会增加各个方案通讯的代沟和成本，所以这个方案可以更好地保证通讯和交流。

第三个是灵活的策略控制，策略控制会更多集成到企业的应用策略，把企业应用策略和安全策略集成起来，能够更好提供一个整体网络的有效性。

思科的智能化信息网络会给用户提供网络的有序集成和自适应性，我们正是通过智能化的网络保证我们信息安全，实现我们自防御的网络。思科自防御网络大家可能已经听过我们这个战略，我们核心思想就是利用网络发现网络当中的威胁，进行防范，进一步消除威胁，自防御网络有三个基本的原则，第一个是集成，集成的目的是让组成网络的每一个组件都有自身的安全性，都能保障安全。第二个特点是协作性，协作有两方面的含义，一个是部署安全系统的时候，各个安全系统在各点各层实施防护的时候，他们之间密切配合协助的，第二个网络安全机制和安全系统的机制进行协作和配合的，这样能够保障整个网络中的服务和设备更好阻挡威胁攻击。第三个是适应性就是让网络主动识别网络中出现的威胁，并且能智能防范和消除这威胁。

第一个要提倡的原则就是集成安全，集成安全就是要保证基础设施的安全，我们知道网络有很多组成网络的组建，比如路由器和交换机，现在大家知道安全最基本的原则就是组成网络，信息系统每一个点都应该是安全的，安全应该集成到自身上，而不是附加式安全，比如防火墙，网关很多功能是补丁式打在网络系统上，现在随着发展，很多功能加载到网络系统当中，网络系统自身就应该具有安全性保护方法，所以思科集成安全会在网络各个基本的组成元件当中，包括路由器，交换机，以及自适应产品中都有这种安全性，这样保证基础平台是安全的，只有承载平台安全，才能保证上面的业务和运用是安全的。