出處：中國計算機行業(yè)網(wǎng)

  5月16日，由中國計算機報社主辦，中國計算機學(xué)會(huì )計算機安全專(zhuān)業(yè)委員會(huì )、國家計算機病毒應急處理中心、中國信息安全認證中心作為支持單位的2013第十四屆中國信息安全大會(huì )隆重舉行。

  進(jìn)入2013年，IT基礎架構的變革，軟件定義網(wǎng)絡(luò )沖擊，云計算商業(yè)模式落地……信息安全產(chǎn)業(yè)面臨著(zhù)新的機遇和挑戰。如何降低復雜性，實(shí)現安全的可視化、可管理?如何應對移動(dòng)互聯(lián)網(wǎng)等新技術(shù)帶來(lái)的安全新形勢?2013第十四屆中國信息安全大會(huì )當前信息安全業(yè)界的熱點(diǎn)話(huà)題進(jìn)行了一一解讀。

  IT架構變革帶來(lái)新威脅

   IT產(chǎn)業(yè)正在發(fā)生翻天覆地的變化，云計算、虛擬化、大數據、SDN、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)……各種新興技術(shù)帶給IT產(chǎn)業(yè)無(wú)限的新機會(huì )，但也讓信息安全變得更加復雜，各種新威脅、新挑戰層出不窮。同時(shí)，這些新興技術(shù)也給安全廠(chǎng)商帶來(lái)了新的視角，開(kāi)啟了信息安全防護的新思路。

  在云計算時(shí)代，云平臺成為計算的載體，人們獲取數據的方式多種多樣，BYOD流行起來(lái)，人們通過(guò)移動(dòng)設備交互數據。對此，WatchGuard中國區市場(chǎng)總監萬(wàn)熠的總結簡(jiǎn)潔而精煉：“計算介質(zhì)開(kāi)始模糊化，數據動(dòng)態(tài)化、碎片化、泛社交化，接入應用及應用訪(fǎng)問(wèn)的形態(tài)多樣化。此時(shí)，社交工程攻擊、大數據時(shí)代的APT攻擊都是我們必須面對的問(wèn)題。”

  北京億賽通科技發(fā)展有限責任公司首席咨詢(xún)顧問(wèn)王維宏談到BYOD非常興奮，他認為：“BYOD會(huì )帶來(lái)巨大效益，數據的流動(dòng)性變得非常自由。BYOD的防護重點(diǎn)是讓合法數據資產(chǎn)使用者能獲取應用數據，而非法使用者不能獲取。為此，企業(yè)需要云到端的整體安全架構，在服務(wù)器端部署安全策略，并跟業(yè)務(wù)系統的認證系統進(jìn)行匹配。”

  大數據、云計算等技術(shù)普及，分析和計算模式改變，給信息安全帶來(lái)很大挑戰。“怎樣實(shí)現規模數據的防護，對安全廠(chǎng)商而言是很大的挑戰。”賽門(mén)鐵克公司首席安全解決方案架構師李本認為，“以往安全廠(chǎng)商的關(guān)聯(lián)分析大多采用常規事件管理分類(lèi)的分析方法，屬于內存級關(guān)聯(lián)性，它基本是風(fēng)險指標性的，而不是整體數據視圖類(lèi)的，并且分析時(shí)間窗口只有15分鐘，無(wú)法應對APT攻擊等潛伏時(shí)間較長(cháng)的威脅。此外，傳統的關(guān)聯(lián)分析以威脅視角為主，缺乏合規和弱點(diǎn)視角，企業(yè)中潛在的威脅往往被忽視。”

  安全威脅也在不斷演進(jìn)。APT攻擊更加隱蔽、更難判斷、更具破壞性，零日攻擊、水坑攻擊等新型的攻擊方式讓企業(yè)防不勝防，傳統的被動(dòng)防御策略對此束手無(wú)策。正如中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所所長(cháng)劉權所言：“新型的APT攻擊，會(huì )隱藏在貌似合法的應用下，并且更多地利用零日漏洞、加密通道、高級規避技術(shù)等手段。由于難以識別隱藏在合法應用下的惡意攻擊，而且零日漏洞等技術(shù)手段難以依據病毒特征進(jìn)行檢測，因此傳統的被動(dòng)防御手段難以識別、檢測出APT攻擊。 ”

  在安全威脅日益復雜化的今天，重新審視信息安全思維，建立智慧的安全架構十分必要。

  大數據功不可沒(méi)

  什么是智慧的安全架構?對此，各個(gè)安全廠(chǎng)商的理解不盡相同。但有一點(diǎn)幾乎是所有安全廠(chǎng)商的共識——大數據令安全防護技術(shù)和防護能力得以提升。藍盾股份副總裁楊育斌認為，智慧的安全架構應該具備化繁為簡(jiǎn)、預測變化和協(xié)同作戰三個(gè)要素。其中，大數據分析使預測變化變得更精準。

  大數據分析應以哪些數據為基礎呢?賽門(mén)鐵克的李本為我們描述了一個(gè)大數據時(shí)代的安全防護框架。在這個(gè)框架中，安全大數據的組成分別是基礎信息、結構信息、防護措施信息、流量和全日志信息、技術(shù)和管理信息、安全知識和安全態(tài)勢等六個(gè)部分。

   數據是基礎，分析才是獲取能力的關(guān)鍵。因此，利用怎樣的邏輯對數據進(jìn)行關(guān)聯(lián)分析，分析模型如何建立是安全大數據的關(guān)鍵。對此，李本建議企業(yè)建立安全管控模型：“從金字塔的底端向上，分別是企業(yè)數據、安全大數據采集和存儲平臺、安全大數據分析和呈現工具，以及安全數據分析師。”由此可見(jiàn)，安全大數據分析師地位的重要性。這是因為大數據的核心是要有既懂業(yè)務(wù)又懂分析方法和模型的人參與。未來(lái)，安全大數據分析師對企業(yè)將越來(lái)越有價(jià)值。

  安全設備虛擬化

  虛擬化環(huán)境下，應用和數據是黑客攻擊重點(diǎn)，也是防護的難點(diǎn)。在應用防護方面，從事后追溯到建立全方位的防護能力，已經(jīng)成為業(yè)界趨勢。杭州安恒信息技術(shù)有限公司(簡(jiǎn)稱(chēng)安恒)的云計算數據中心安全體系也正是基于這一思想建立的。藍盾股份也根據PDCA流程，把設備、人和流程有機結合起來(lái)，通過(guò)智能化、透明化的IT管理，建立了從事前到事后的一整套針對性的解決方案。

  在云數據中心時(shí)代，數據更加集中，安全風(fēng)險大幅增加。企業(yè)對IT設備和解決方案的要求遠高于傳統數據中心。“應用安全貫穿IaaS、PaaS、SaaS每個(gè)層面，此外，云數據中心還面臨數據集中、虛擬化安全挑戰、快速反應等多重挑戰。”安恒安全服務(wù)部總監劉志樂(lè )認為，云數據中心的一個(gè)防護思路是將風(fēng)險集中，“這樣我們就可以通過(guò)以?xún)?yōu)秀的系統進(jìn)行快速反應”。

   浪潮電子信息產(chǎn)業(yè)股份有限公司信息安全事業(yè)部總經(jīng)理張東認為，云數據中心安全的核心問(wèn)題在于“缺乏對云數據中心核心應用服務(wù)器操作系統層的安全加固，做到免疫已知及未知的病毒和攻擊，達到主動(dòng)防御目的目的。因此，浪潮信息安全事業(yè)部以SSR安全加固為核心，結合SSA應用安全交付系統、免疫內部多點(diǎn)登錄、越權訪(fǎng)問(wèn)導致的信息泄露等誤操作的SSC、監管數據中心應用安全狀況的SSM從接入安全、主機安全、安全審計、應用安全等方面，全面防護云數據中心安全”。

  針對虛擬化的演進(jìn)，H3C提出了VAN安全理念，即實(shí)現安全設備的虛擬化和安全管理的自動(dòng)化。H3C安全產(chǎn)品線(xiàn)市場(chǎng)技術(shù)經(jīng)理韓小平介紹稱(chēng)：“VAN安全通過(guò)將物理安全設備虛擬化，給每個(gè)租戶(hù)獨立地分配虛擬防火墻和安全策略，為每個(gè)租戶(hù)提供獨立的權限控制和管理界面，企業(yè)可以根據業(yè)務(wù)需求配置自己的安全防護策略。”

  通過(guò)VAN安全理念，虛擬機之間的橫向流量得到有效監控，虛擬業(yè)務(wù)安全也得到了有效防護。此外，VAN安全框架實(shí)現了安全和網(wǎng)絡(luò )的橫向整合，從而簡(jiǎn)化網(wǎng)絡(luò )拓撲，減少設備的配置管理工作。

  SDN擴展安全能力

  談到安全設備虛擬化，就不能不說(shuō)SDN。作為下一代網(wǎng)絡(luò )的演進(jìn)方向，SDN將網(wǎng)絡(luò )設備與系統分離，企業(yè)可以像安裝和升級軟件一樣對網(wǎng)絡(luò )架構進(jìn)行調整，而傳統的安全技術(shù)和部署模式將被顛覆。

  過(guò)去，企業(yè)出現安全事故時(shí)，追本溯源并非易事。而在SDN網(wǎng)絡(luò )中，SDN的集中管控功能將這個(gè)問(wèn)題輕而易舉地解決。同時(shí)，針對安全越來(lái)越分散化、復雜化的情況，企業(yè)可以通過(guò)SDN網(wǎng)絡(luò )從全球網(wǎng)絡(luò )中收集數據，將SDN作為控制機制，對這些數據進(jìn)行管理，并將安全策略的更新推送到各個(gè)分散的節點(diǎn)上。Juniper亞太區高級技術(shù)副總裁Andy Miller認為，通過(guò)SDN網(wǎng)絡(luò )，企業(yè)可以靈活、快速地部署安全策略，并且能通過(guò)建立新的技術(shù)和業(yè)務(wù)架構，發(fā)揮大數據分析的優(yōu)勢。他透露，Juniper正在通過(guò)SDN網(wǎng)絡(luò )建立全球攻擊者數據庫，“這些數據庫能提高定位攻擊者的準確率，最大程度防止零日攻擊。”

  不過(guò)，盡管SDN是軟件定義網(wǎng)絡(luò )，但是同樣需要芯片級以及設備硬件的配合。對此，Andy Miller認為：“必須建立端到端的安全解決方案，要有網(wǎng)絡(luò )、硬件、軟件、虛擬化環(huán)境中的安全策略，以及統一的控制和策略，才能實(shí)現有效的防護。”

  作為信息安全領(lǐng)域的幕后英雄，安全硬件廠(chǎng)商北京立華萊康平臺科技有限公司對高性能的理解角度不同。網(wǎng)絡(luò )應用平臺事業(yè)部產(chǎn)品總監張華表示：“除了軟件優(yōu)化，將部分軟件功能轉到硬件平臺上，通過(guò)異構平臺、支持熱插拔的擴展模塊等方式，立華萊康幫助安全廠(chǎng)商在硬件上實(shí)現了加速。”

附件：2013第十四屆中國信息安全大會(huì )榜單（排名不分先后）