建立“会思考的安全”
最近一段时间,有关RSA SecurID令牌被攻破的事件甚嚣尘上。据专家分析,事情原因在于RSA公司保存令牌种子的服务器被攻破,令牌种子被盗取,这样,黑客可以方便地模拟任何令牌——模拟令牌在任何时刻产生的动态密码与用户手中的令牌中的密码完全一样!曾经号称最安全的RSA密码神话,终于被攻破了。
为此,RSA公司不得不在全球召回数以千万计的令牌,包括美国军方以及大量的金融系统,都不得不为自己的客户重新发放新的令牌。事件不仅给RSA公司造成了巨大的声誉损失,也让人们不禁反问:网络有没有彻底的安全可言?
记得RSA全球总裁亚瑟. 科维洛在第二次访华时曾说:在未来我们所追求的,应该是“会思考的安全”,就像阿兰·图灵的大脑一样。“‘会思考的安全’系统应该是自主的,能适应不断变化的环境。对数据的收集和分析,为我们提供预见风险如何出现的正确能力,并且必须由IT基础设施供应商开发提供。即使是独立的安全应用,最后也将与整个会思考的安全系统紧密联结起来发挥效力,以建立更深层次的防御系统。”他说。对于黑客来说,没有哪个目标是神圣不可侵犯的。亚瑟总裁作为知名信息安全供应商提出的“会思考的安全”,提出最根本的信息安全解决方案应该由IT基础设施供应商开发提供,这非常具有前瞻性,但这毕竟是信息安全厂商的谏言,政府又是如何思考的呢?
信息安全等级保护制度建立规则
中国政府对基础架构的安全一直非常重视。2006年,中办签发了《关于加强信息安全保障实施意见》,也就是著名的27号文件,明确指出重要信息系统需实行“信息安全等级保护”制度,这实际是从基础的制度层面提出信息安全保护措施。根据等保制度规定,信息系统等级分为5级,原公安部公共信息网络安全监察局景乾元处长介绍 :“等级保护通过建立基础的网络‘规则’,如同现实世界的法制法规一样,从基础上定义和防范各种安全事件。”
今年是十二五的开局之年,中国政府在“十二五规划”中首次将“加强网络与信息安全保障”作为重要章节突出,这充分显示了国家对中国信息安全的重视程度,并首次将网络安全的现状与未来对国家经济、政治、国防和社会发展相结合起来。
国家态度明确了,要保障网络安全,必须先建立规则和制度,其次按照规则提供相应的保护措施。那么,具体如何实现呢?
“平安网络”助推等保制度实施
信息安全等级保护制度是建立网络基本规则的制度,解决了互联网的规则和秩序问题,其本质是要求网络上的任何人都要按规矩办事,也要求单位必须按照定级的标准提供相应的安全解决方案。但有了规则并不代表所有人都按照规则办事?如何检查呢?
以往我们采用的很多信息安全技术,无论漏洞扫描、审记、IPS、VDS病毒检测等,说到底是网络的眼睛、耳朵、鼻子、嘴、皮肤等,网络如果想不生病则还需要有可提供免疫系统的大脑,记录下网络中的各种行为。“平安网络”和全信息记录功能一体化协同安全网关CTM(Collaborative Threat Management)则可检查系统中人和设备的行为,让那些不守规则的人随时面临被检查、被跟踪、被发现的风险,对犯罪分子起到了极大的威慑作用。
“平安网络”解决之道是在2011年3月15日发布的,是根据现实世界“平安城市”的思路提出的网络信息安全保护的新概念。“所谓‘平安网络’是一个能够系统、综合、全面地解决互联网安全秩序问题的大型管理体系。它应该是全程、全网、协同防御的,不仅具备网络感知、全信息记录和海量存储功能,还能够实现对互联网流量的指挥、调度、拦阻和限制,并且能在网络安全事件发生后进行信息分析和源头追溯,以分布式部署和全程协同防御机制来实现网络社会中的治安管理、交通流量控制、联防安全监控和应急指挥管理等安全保障体系。这就像是网络空间上的平安城市一样,实现网络安全状态可感知,可记录,可指挥,可追溯。”北京中兴网安科技有限公司CEO朱永民这样对“平安网络”进行定义。
北京中兴网安科技有限公司CEO朱永民
从“平安网络”的定义可以看出,它能有效威慑网上的各种犯罪行为,让那些不遵守信息安全等级保护制度的人,包括企业和个人,其在网上的行为可追溯、可记录,无所遁形,从而确保等级保护制度的实施。
而要实现其上述目标,依靠的是全信息记录功能一体化协同安全网关CTM这一新兴的技术手段。CTM可实现网络内协同管理,实现网络联动协同防御保障,好像“摄像头+录像机”实现安全监控和记录取证一样,在等级保护制度部署的网络节点之间,树立一道道的红绿灯,在整个网上有效预防交通流量阻塞,监控并记录一切“规则”下涉网的黑客行为,以便事后调查。
“你可以想象CTM是部署在企业内部的屏障。就像现实生活中在关键位置部署安全防范措施一样,有防入侵的安全隔离和电视监控系统,还有110联动报警,无论事先预防还是事后追溯取证,都能发挥巨大的作用。”中兴网安CEO朱永民说。
从信息采集到信息记录,从全程全网协同防御到网络感知海量存储,从而实现了对互联网流量指挥、调度、阻拦和限制。这才是网络安全的终极解决方案。
电子政务领域的经典应用
那么,在实际应用中,“平安网络”如何帮助落实等保政策的呢?“首都之窗”的模式最能说明问题。
“首都之窗”是北京首要电子政务门户网站,一直致力于想要打造因需而动自适应机制的“智慧型服务”模式,在从“信息型——资源型——知识型”的提升过程中,保证网络安全是其基础内容。
“首都之窗”技术总监王喆介绍:为达到保证智慧型服务平台的安全目的,首都之窗对信息系统进行了等级评估,目前定级为3级,并采取了相应的安全技术措施,如防火墙、入侵检测等技术手段。然而,这些都是治标不治本的方式。“传统的技术手段,只能做到最基础的进门检查、事后关堵,却很难做到随时感知网络的异常情况等内容。”王喆说。“平安网络”引入了网络秩序的概念,侧重于网络感知、监测以及追溯,这种体系在现有政务网站基础网络安全系统建设之中,在安装了服务器漏洞扫描系统和IPS的情况下,能够在很大程度上补充传统“被动式防御”的不足,通过对网络中的所有行为和数据进行全信息记录,即使在未知特征攻击的情况下也可以迅速分析和追查威胁来源,从而防止严重安全事件的再次发生,即使重要信息系统服务器被黑客攻破,甚至删除了日志,抹掉了各种操作痕迹,有了CTM之后,仍旧可以让他的所作所为无所遁形。
“抛开传统的被动式防御方式,对网络中所有行为和数据进行全程记录,在网络连接节点处部署中兴网安CTM设备,如同在重要区域撒满天罗地网,任何攻击和威胁将难以逃之夭夭。CTM设备就如同网络中的‘摄像头+录像机+红绿灯+交通警察’,时刻监控着网络的异常现象,配合信息系统安全等级保护的规范要求,逐步建立起良好的网络社会秩序,从而大大减少违法违规行为,会使得网络治安状况极大好转。”中兴网安技术总监张志强介绍。
(新闻稿 2011-07-27)
