道高一尺，魔高一丈。在信息安全技術(shù)與安全威脅的博弈中，我們發(fā)現(xiàn)，沒有任何安全產(chǎn)品、技術(shù)可以一勞永逸地解決用戶面臨的所有安全問題。因此，除了廠商要在技術(shù)上不斷追求創(chuàng)新以外，用戶也需樹立起正確的安全服務(wù)意識，才能有效減少安全風(fēng)險。

在信息安全產(chǎn)業(yè)的發(fā)展歷程中，安全技術(shù)的發(fā)展可以用日新月異來形容。然而在與同樣有著“日新月異”稱號的安全風(fēng)險、威脅的博弈對抗中，我們看到，幾乎沒有任何產(chǎn)品、技術(shù)可以一勞永逸地解決用戶面臨的所有安全問題。因此，如果安全與風(fēng)險是一場博弈的話，那么，這種博弈無疑需要不斷發(fā)展的技術(shù)創(chuàng)新來支持。

在用戶層面，隨著用戶信息安全意識的普遍提高，信息安全產(chǎn)業(yè)也逐漸走向成熟和規(guī)范，產(chǎn)業(yè)的成熟最終將是一種綜合實(shí)力的體現(xiàn)。那么，作為安全產(chǎn)業(yè)重要組成部分之一的“安全服務(wù)”的發(fā)展或許可以作為一種產(chǎn)業(yè)發(fā)展成熟度的符號。然而反觀當(dāng)前信息安全服務(wù)市場，卻呈現(xiàn)出用戶對服務(wù)“有需求又缺乏認(rèn)識”、安全服務(wù)隊(duì)伍的供給不平衡甚至混亂的局面。那么如何推動安全服務(wù)的良性發(fā)展，從而讓整個信息安全產(chǎn)業(yè)更加規(guī)范有序呢？

為了助力這一系列問題的解決，近日，由計算機(jī)世界傳媒集團(tuán)主辦、《CSO信息安全》雜志承辦的“第六屆中國CSO俱樂部大會暨2008年中國信息安全年會”以“堅(jiān)持技術(shù)創(chuàng)新推進(jìn)安全服務(wù)”理念為出發(fā)點(diǎn)，為聽眾呈現(xiàn)了一場具有針對性和實(shí)用性的信息安全盛會。

從源頭拒絕“脆弱”

伴隨著日益復(fù)雜的安全威脅、依舊緊張的安全局勢，信息安全產(chǎn)業(yè)也在經(jīng)歷諸多調(diào)整和發(fā)展。比如，信息安全正在由前幾年的重“防外”向重“內(nèi)控”遷移；由“底層”防護(hù)向高層、“應(yīng)用層”集成聯(lián)動平臺遷移、由基于威脅“特征”向基于威脅“行為”防控轉(zhuǎn)變、由“靜態(tài)”防御向“動態(tài)”防御發(fā)展、由單域防控向跨安全域的可信交換防控遷移、由“邊界”防控向“源頭與信任鍵”防控轉(zhuǎn)移等等。這些新趨勢向人們顯示了，當(dāng)今我們應(yīng)對威脅的能力已經(jīng)有了進(jìn)一步的提高。

在這諸多產(chǎn)業(yè)動向中，由“邊界”防控向“源頭與信任鍵”防控轉(zhuǎn)移構(gòu)成了“可信計算”出臺的背景。在“技術(shù)創(chuàng)新”話題的探討中，“可信計算”在今年的論壇中顯得格外醒目?！霸谛畔⒒I(lǐng)域，計算核心的脆弱包括體系結(jié)構(gòu)的不健全、行為可信度差、認(rèn)證力度弱。用戶希望安全的后果可以預(yù)期，但現(xiàn)在用戶心理卻是忐忑不安的，因?yàn)楹芏嗪蠊麩o法預(yù)期。所以，如何保證提供可信的信息安全服務(wù)就成為業(yè)界的關(guān)注焦點(diǎn)?！眹倚畔⒒瘜＜易稍兾瘑T會委員、研究員曲成義說:“可信計算的理念就是:信息安全要從源頭、體系、行為抓起，爭取實(shí)體安全的結(jié)果的可控和可預(yù)期?！?/p>

“從2003年可信聯(lián)盟組織成立至今，它的外延領(lǐng)域正在不斷延伸和擴(kuò)展?！敝袊茖W(xué)院信息安全技術(shù)工程研究中心主任卿斯?jié)h介紹說: “如今，很多企業(yè)在做可信的服務(wù)器、可信的手機(jī)、可信的服務(wù)平臺，再延伸還有可信的網(wǎng)絡(luò)接入。當(dāng)然，從長遠(yuǎn)來說還會延伸到可信的網(wǎng)絡(luò)、可信域、可信鏈等等?！?/p>

由于源頭的脆弱，曾經(jīng)應(yīng)用防火墻、IDS、防病毒軟件等進(jìn)行的外延防御已經(jīng)使得威脅防不勝防，而可信網(wǎng)絡(luò)連接正在實(shí)現(xiàn)由外延防御轉(zhuǎn)向源頭內(nèi)控，也就是由被動防御向主動防御轉(zhuǎn)移。曲成義談到:“圍繞TNC（可信網(wǎng)絡(luò)連接）完整性的可信接入，思科和微軟都已經(jīng)在網(wǎng)絡(luò)的可信接入技術(shù)方面有了初步成效?？梢哉f，可信計算是信息安全領(lǐng)域的一個重大創(chuàng)新?！泵鎸睦砟钌系募夹g(shù)革新浪潮，曲成義表示:“中國應(yīng)該在可信計算與可信網(wǎng)絡(luò)領(lǐng)域加大創(chuàng)新力度，要在新一輪可信計算市場競爭中掌握主動權(quán)。爭取在標(biāo)準(zhǔn)和規(guī)范制定中占有一席之地。”

在大家著力強(qiáng)調(diào)企業(yè)研發(fā)能力、提倡技術(shù)儲備時，聯(lián)想網(wǎng)御科技（北京）有限公司助理總裁馬虔卻從另一個方面提出要“有所為、有所不為”。馬虔談到，“并不是所有技術(shù)都要自主研發(fā)，我們要想清楚什么需要自主研發(fā)，什么是可以站在巨人肩膀上發(fā)展?！?在這方面，聯(lián)想網(wǎng)御就提出“兩條腿走路”的發(fā)展模式，即“在注重自身研發(fā)的前提下，廣泛展開技術(shù)引進(jìn)和技術(shù)合作”。

安全服務(wù) 規(guī)則先行

據(jù)IDC最新統(tǒng)計數(shù)據(jù)顯示，2007年我國信息安全服務(wù)市場規(guī)模占整個信息安全市場的22.6%，比2006年增長了36.3%，達(dá)到1.762億美元。同時，IDC預(yù)測，在2008～2012年，我國信息安全服務(wù)市場規(guī)模將以25.7%的年復(fù)合增長率持續(xù)高速發(fā)展。

該數(shù)據(jù)表明，在信息安全領(lǐng)域，用戶對于服務(wù)的需求已經(jīng)開始膨脹。然而，目前業(yè)界對于信息安全服務(wù)并沒有形成統(tǒng)一的概念，在信息安全服務(wù)市場中，相當(dāng)一部分信息系統(tǒng)建設(shè)、高端安全咨詢以及安全審計等服務(wù)市場還主要依靠外資或合資企業(yè)?！皩τ谥袊?，信息安全服務(wù)的市場還不夠大，我們一直期望這塊蛋糕能夠做大?！敝袊畔踩珳y評中心總工程師王軍說道。

那么，如何在安全系統(tǒng)建設(shè)中實(shí)施安全服務(wù)？怎樣才能樹立安全服務(wù)意識呢？

面對蓬勃發(fā)展的安全服務(wù)市場，國家對于安全領(lǐng)域相關(guān)資質(zhì)的管理對產(chǎn)業(yè)的良性發(fā)展至關(guān)重要。因?yàn)?，信息安全服?wù)也涉及了國家信息安全的利益。

“我國加入WTO后，就信息安全服務(wù)市場看，國內(nèi)民族企業(yè)和國外安全廠商形成了很大競爭態(tài)勢，由于涉及到國家信息安全，‘信息安全服務(wù)資質(zhì)’事實(shí)上也是對民族企業(yè)的一種扶持形式?！蓖踯娊榻B說。

國家現(xiàn)有的信息安全服務(wù)資質(zhì)管理，盡管在一定程度上滿足了信息安全管理部門、行業(yè)主管部門的管理需求和用戶需求，但尚不能從根本上解決信息安全服務(wù)發(fā)展帶來的管理問題。“沒有高層次的信息安全法律、法規(guī)；現(xiàn)有管理部門從各自職能出發(fā)開展的服務(wù)資質(zhì)管理互不關(guān)聯(lián)；部分重要行業(yè)信息安全服務(wù)處于資質(zhì)管理盲區(qū)”構(gòu)成了安全服務(wù)資質(zhì)管理的三個最主要問題。

面對這些問題，中國測評中心提出，首先要在信息安全服務(wù)資質(zhì)管理的過程中，注重可信評定和能力評定的辯證統(tǒng)一；另外，要盡快建立國家統(tǒng)一的信息安全服務(wù)資質(zhì)管理辦法；加強(qiáng)發(fā)證、測評機(jī)構(gòu)的建設(shè)和管理;制定和完善有關(guān)辦法，加強(qiáng)對發(fā)證、測評機(jī)構(gòu)的監(jiān)督管理，規(guī)范其對信息安全服務(wù)資質(zhì)的發(fā)證、測評行為；還要加強(qiáng)信息安全服務(wù)專業(yè)技術(shù)隊(duì)伍的建設(shè)。

聯(lián)想網(wǎng)御安全服務(wù)部總經(jīng)理門嘉平認(rèn)為，安全服務(wù)體系要在傳統(tǒng)的安全管理系統(tǒng)搭建之前就介入，因?yàn)榉?wù)是常規(guī)安全系統(tǒng)搭建的前提?！霸诖罱ǔＲ?guī)的安全系統(tǒng)的過程中，服務(wù)體系可以使你的投資、采購產(chǎn)品或者配套管理達(dá)到比較好的性價比，也就是說，安全服務(wù)可以告訴你，什么時候在什么位置采用什么樣的技術(shù)手段最合適。服務(wù)體系是把網(wǎng)絡(luò)、交換機(jī)從安全的角度去調(diào)配。”它應(yīng)該貫穿于安全體系建設(shè)的整個生命周期。

此外，目前我國在全面推進(jìn)等級保護(hù)，不同重要程度的系統(tǒng)所需要的信息安全服務(wù)的程度也不同。因此，如何選擇有能力、合適的廠商和信息安全服務(wù)隊(duì)伍來提供服務(wù)，也是用戶權(quán)益得到保障的一種需要。

安全管理 不可或缺

此外，作為虛擬社會中不可或缺的“安全管理”也得到了與會嘉賓的廣泛關(guān)注。安全技術(shù)已經(jīng)很多，但在技術(shù)被采用后安全問題依然存在。因此，“解決信息安全問題，絕非只單純依靠技術(shù)，一定是要技術(shù)、管理并重?！眹倚畔⒒稍兾瘑T會委員趙戰(zhàn)生表示: “如今，信息安全保障管理經(jīng)過多年的研究、實(shí)踐、總結(jié)、提高，正在形成一個管理體系，把零碎的管理統(tǒng)一到綜合的視野中考慮，也就是把安全管理意識提高到管理層面來考慮，這是一個提升?！?/p>

另一方面，互聯(lián)網(wǎng)上錯誤虛假的信息、黃、賭、毒乃至反動言論也迫使我們必須加強(qiáng)對網(wǎng)絡(luò)的管理與控制。網(wǎng)康科技產(chǎn)品服務(wù)部總監(jiān)陸繼周提出了帶寬、瀏覽合規(guī)、應(yīng)用合規(guī)、外發(fā)合規(guī)等諸多網(wǎng)絡(luò)問題，并表示:“互聯(lián)網(wǎng)管理已經(jīng)不再是技術(shù)性要求，而是一種社會性要求，有效的管理互聯(lián)網(wǎng)勢在必行！”事實(shí)上，安全圈早有“三分技術(shù)、七分管理”的說法。不過無論安全管理的重要性或者比重到底占多少，我們可以看到，在互聯(lián)網(wǎng)已經(jīng)成為城市、工作中不可或缺部分的今天，主動的、體系化的安全管理已然成為保障業(yè)務(wù)有效運(yùn)行的關(guān)鍵因素。

事實(shí)上，無論是技術(shù)創(chuàng)新的倡導(dǎo)與推進(jìn)，還是安全服務(wù)的規(guī)范與發(fā)展，都應(yīng)該來源于用戶的實(shí)際業(yè)務(wù)需求。信息安全應(yīng)該從單純的產(chǎn)品、服務(wù)銷售，轉(zhuǎn)化為在了解用戶、管理者業(yè)務(wù)需求的基礎(chǔ)上，提供安全解決方案以保障信息化業(yè)務(wù)的高效連續(xù)運(yùn)行；從最初的免責(zé)驅(qū)動、事件驅(qū)動最終演變成業(yè)務(wù)驅(qū)動，并把“業(yè)務(wù)驅(qū)動”作為信息安全產(chǎn)業(yè)發(fā)展的最終落腳點(diǎn)。在了解了用戶實(shí)際應(yīng)用環(huán)境的前提下，根據(jù)不同用戶的信息化成熟度與業(yè)務(wù)需求制定策略，從而讓用戶真正體會到目前還難以量化的安全方案的價值，這是信息安全從業(yè)者的責(zé)任。

鏈接一

2008年度中國信息安全保障突出貢獻(xiàn)獎獲獎人名單

公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局重要信息系統(tǒng)監(jiān)察處處長 郭啟全

中國電力科學(xué)研究院信息安全研究所所長 高昆侖

國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副總工程師 杜躍進(jìn)

中國氣象局國家衛(wèi)星氣象中心副總設(shè)計師/研究員 施進(jìn)明

中國人口信息研究中心信息總監(jiān)網(wǎng)絡(luò)數(shù)據(jù)庫及信息安全專家 馮方回

北京京能熱電股份有限公司總工 李東

中國審計署計算機(jī)技術(shù)中心主任 王智玉

聯(lián)想網(wǎng)御科技有限公司總裁 劉科全

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司董事長 賀衛(wèi)東

東軟軟件股份有限公司副總裁兼網(wǎng)絡(luò)安全產(chǎn)品營銷中心總經(jīng)理 賈彥生

GDS萬國數(shù)據(jù)服務(wù)有限公司創(chuàng)始人、總裁兼CEO 黃偉

鏈接二

2008年度中國CSO信賴獎名單

◆ 聯(lián)想網(wǎng)御“七劍固邊關(guān)”邊界安全解決方案

◆聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)

◆Cisco ASA 5500系列自適應(yīng)安全設(shè)備

◆東軟NetEye網(wǎng)絡(luò)流量分析與響應(yīng)系統(tǒng)（NTARS）

◆網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)

◆Websense Enterprise 6.3.1

◆瞻博網(wǎng)絡(luò)UAC解決方案

采訪手記

面對安全風(fēng)險 我們不能坐以待斃

論壇上，一位嘉賓的發(fā)言讓我印象深刻，他問在座的信息安全管理與維護(hù)人員: “在過去的兩到三年中，我們有沒有為本單位、本企業(yè)或者是為自己維護(hù)的那張網(wǎng)絡(luò)做過什么特別了不起的事情？”眾嘉賓都沉默不言。

的確，在信息技術(shù)迅速發(fā)展、互聯(lián)網(wǎng)廣泛應(yīng)用和滲透的今天，各種各樣的威脅也以新的模式和面孔不斷涌現(xiàn)。木馬、病毒、蠕蟲、諜件、僵尸、劫持等網(wǎng)絡(luò)犯罪手段屢屢被提及，安全威脅已經(jīng)由最初基本的病毒入侵逐漸轉(zhuǎn)向了越來越難以檢測和消除的黑客經(jīng)濟(jì)盜竊甚至政治破壞，而犯罪的隱蔽性、跨域性、快變性和爆發(fā)性更是給信息安全帶來了異常嚴(yán)峻的挑戰(zhàn)。

因此，或許我們可以這樣認(rèn)為，如果在過去的幾年中，我們沒有做過什么“了不起的事情”，而我們的“敵人”、攻擊者卻已經(jīng)無數(shù)次超越了我們的安全防護(hù)，甚至超越了直到今天我們還認(rèn)為他們不可能做到的事情，那么，我們那所謂的信息安全保障將變得岌岌可危。同樣，這里所謂的“了不起的事情”包括了人員、技術(shù)、管理、運(yùn)維等諸多方面，但技術(shù)創(chuàng)新無疑是那些安全風(fēng)險的“克星”；而樹立正確的安全服務(wù)意識將讓用戶更加主動地防御安全威脅。所以，這兩點(diǎn)就成了助推安全產(chǎn)業(yè)前進(jìn)的主要動力。（文/陳芳丹）