信息安全的马其顿防线

IDC预测，2007年全球安全市场的总额将增长为1188亿美元，中国信息安全市场则从2亿美元增长为6.7亿美元，年均增长率为34％，远远超过整个亚太市场22.9％的年均增长率。防火墙、UTM、内容安全、身份认证、信息安全管理等技术和产品，将继续成为今年的热点。

IT技术日新月异，企业IT系统越来越来越复杂。“安全”已经成为当今社会关注的重要问题之一，生活要安全，食品要安全，软件、硬件、网络也要安全……正在如火如荼进行着信息化无法忽视种种“新的安全威胁”。从最初的企业买杀毒软件杀毒到现在的构建安全网络系统，很明显地在告诉我们这样一个事实:企业已经意识到了信息安全对信息化建设的重要意义。正是在这样的一个背景下，信息安全产业将迎来自己的需求“井喷”时代。

半年来，国内反病毒软件市场颇不宁静，肆虐网络的“熊猫烧香”、“AV终结者”、“灰鸽子”等病毒已经渐渐沉寂，其背后凸显出人为纵毒和病毒集团化运作的痕迹。安全体系的新问题不断涌现，外部的入侵和攻击固然危险，内部安全隐患同样突出。对于一些行业，尤其是像金融、保险等需要高保密性、高安全性的行业来说，信息安全的问题已经成为了头等重要的大事。人们在看到巨大市场前景的同时，如何部署新一代信息安全的“马其诺防线”？在无限商机的背后，一场没有硝烟的战争已经打响。

UTM:面向未来的安全防护

新型的网络安全威胁使UTM（统一威胁管理）在网络应用安全领域获得了高速增长的市场份额。根据IDC的定义，UTM是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征:防火墙、防病毒、入侵检测和防护功能。IDC的行业分析师们注意到，针对快速增长的混合型攻击，需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。

在过去几年内，随着蠕虫病毒的泛滥，传统的以组织边界和核心设备为对象的安全防护方式组建显示出严重的缺陷。首先是，原有的边界保护方案只能针对来自网络外部的威胁，在网络边界上部署防火墙、入侵检测等安全产品，对于移动PC等带来的蠕虫问题无法防范;其次，网络边界模糊化导致边界保护困难，网络不再是局限于防火墙圈定的范围;再次，用户终端状况的难以管控带来了巨大的安全风险。持续的集中管理和监控是保证整个网络安全的基础。最后，各种操作系统漏洞层出不穷，黑客能在漏洞被披露之后很短时间内，制造针对性的蠕虫病毒，这对安全补丁的下载安装提出了很高的要求。对一个中大型网络，及时为成百上千台PC下载并安装系统补丁是一个巨大的挑战。

UTM是适应日益复杂的网络安全需求而产生的。针对快速增长的面向网络应用的混合型攻击，需要一种灵活的、整合各种功能的安全防护设备来防止这种攻击的快速蔓延，UTM统一威胁管理安全产品是解决当前分离式安全产品防护面狭窄、网络安全方案顾此失彼而导致漏洞频出的根本出路。

和单纯的在防火墙中整合其他安全功能不同，UTM更看中的是“对设备和对威胁的管理”，在单一的硬件平台下提供防火墙、防病毒、入侵检测、内容过滤和反垃圾邮件等功能，实现UTM需要无缝集成多项安全技术，在不降低网络应用性能的情况下，提供集成的网络层和内容层的安全保护。

IDC认为，在威胁管理安全设备市场中取得成功的关键在于通过改良性能和特征来实现产品区别。随着如此多设备的产生，用户产生了困惑。厂商要在竞争如此激烈的环境中取胜，它们必须在这个市场中独树一帜。这可以通过许多途径来完成:价格、性能、多种安全特征包含于同一产品、改良的可管理性、安全知识服务或是安全认证。

防火墙:高速 多功能

互联网的安全是一个不能忽视的问题。人们在享受互联网带来的方便与快捷的同时，也要面对互联网开放带来的数据安全方面的新挑战和新危险。

为了保障安全，当用户与互联网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，并提供数据可靠性、完整性方面安全和审查控制，这些中间系统就是防火墙（Firewall）。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。

用户的需求是防火墙技术发展的原动力，决定着防火墙应用的方向。比如要确保实现高质量的产品，就需要提供统一配套的服务，从而使防火墙可持续发展。

防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

无论是防火墙厂商还是用户都突然发现，不断成熟的防火墙技术好象已经走到某个制高点。经过胖防火墙与瘦防火墙之争后，大多数防火墙几乎包括了所有的安全功能，如VPN、防病毒、IDS、安全审计等。在对性能不断追求的同时，防火墙走过最初几年的X86架构，开始向ASIC、NP等网络设备标准架构蜕变，国人也有了自己的千兆线速防火墙……

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

同时，为了提升防火墙的速度，芯片技术的发展也至关重要，防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破，并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析、芯片解决计算加速、软件解决过滤精确，防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。

IPS:“主动”让防护更可靠

企业网络随着企业规模的不断扩大而变得越来越复杂，复杂的网络结构也为病毒和恶意代码的入侵创造了条件。从安全角度来看，网关是企业网络连接Internet或另一个网络的关口，企业内部与外部之间的数据通讯都必须经过这个关口。

网关就像一个酒店的门卫，是保障内部安全的第一道屏障，如果病毒或恶意代码穿透网关进入内部企业网络，将会带来巨大的风险。

随着混合威胁的不断发展，单一的防护措施已经无能为力，企业需要对网络进行多层、深层的防护才能有效防范安全风险。真正的深层防护体系不仅能够发现恶意代码，而且还能够主动地阻止恶意代码的攻击。

谈到深层防护体系，一定要谈到入侵防护系统(IPS)。IPS的出现可谓是企业网络安全的革命性创新，在保护企业至关重要的服务器不受攻击方面，IT和网络安全主管面临着众多的挑战。

其中，缺少专用的安全资源和越来越先进的攻击方式是最令人头疼的两个问题。尽管在过去，IDS是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。因为绝大多数IDS系统都是被动的，而不是主动性的，也就是说，在攻击实际发生之前，它们往往无法预先发出警报。

IPS则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。

入侵防护通过实时的网络入侵检测和防护体系，可以集成包括特征检测、异常检测和拒绝服务分析技术，从而能够在几千兆的网络流量下进行准确和智能的检测和防护。可以保护那些具有最严格要求的网络，使其免遭已知攻击、首次发生的未知攻击，以及拒绝服务攻击的影响。

IPS目前正在蓬勃的发展阶段，需要面对很多挑战。单点故障，性能瓶颈，误报和漏报是当前所急需解决的问题。

IPS是基于IDS的、建立在IDS发展的基础上的一种新生安全产品，但它绝不是IDS简单的功能扩展。IPS的发展是一个寻求在准确检测攻击基础上防御攻击的过程，是IDS功能由单纯审计跟踪到审计跟踪结合访问控制的扩展，实现了由被动防御过渡到主动防御，并且将入侵检测，病毒检测，防火墙等功能紧密融合。入侵防护系统IPS适时顺应了安全保障体系中主动防御以及功能融合、集中管理的趋势，日益受到越来越多的人们的关注。

DRM:数字版权管理较量加密内功

数字版权管理（Digital Rights Management，即DRM）就是以一定的计算方法，实现对数字内容的保护，其具体的应用可以包括eBook、视频、音频、图片、安全文档等数字内容的保护。

以数据加密和防拷贝为核心的DRM技术，是把数字内容进行加密，只有授权用户才能得到解密的密钥，而且密钥是与用户的硬件信息绑定的。加密技术加上硬件绑定技术，防止了非法拷贝，这种技术能有效地达到版权保护的目的，当前，国内外大部分计算机公司和研究机构的DRM 技术采用这种方法。

数字化信息的特点决定了必须有一种独特的技术，来加强保护数字化的内容，那就是数字版权管理技术。在实际的过程中，DRM是怎样为数字内容提供保护的？首先，数字内容提供者（如网校、信息网站、音乐网站、数字图书馆等）利用开发商打包工具对原始的数字文件（包括流文件，如FLASH、REALPLAYER、WINDOWS MEDIA等，包括文本文件，如HTML、PPT、WORD等）进行加密、添加文件头。一般来说，采用128位或者156位对称算法来完成加密，在完成加密的同时，还可添加版权信息，如作者、版本号、发行日期等。打包后的数字文件可以存放在网站的服务器上，也可随即压制成光盘来发行。

第二步，当一个合法用户点击网站或光盘的内容时，机器会自动检查有没有相应的许可证（LICENSE），如果没有，系统会指示客户到特定的注册地址去注册，当客户输入用户名、密码或者插入IC 卡、USB身份认证令牌时，认证服务器将校验客户的身份以及他相应的权限，如果校验的结果该客户是合法用户，并且他所点击的内容也是在他付费范围内的，认证服务器将读取该用户的硬件指纹（可以是PC 的指纹、也可以是IC卡、IKEY的指纹）、生成一个许可证文件植入该用户的机器上。如果说打包的过程是给数字文件加了一把保险锁，那么，许可证就是开锁的钥匙，每个合法用户拥有一个特定的、唯一的钥匙，而且，是与硬件指纹绑定的。这就意味着即使是合法用户也不能对数字文件进行非法拷贝、传播，因为拷贝后的文件是加过密的，离开他认证的机器，他就没有对应的钥匙了。

趋势科技:打造“专家服务”

趋势科技中国总经理叶伟伦

浏览网页就会中招的情况越来越普遍，受到利益驱使，如今的网络罪犯已经成为恶意活动的新热点。前段时间的“熊猫烧香”、“灰鸽子”等病毒大规模的爆发正是网络威胁肆虐互联网的明显表现。

调查数据显示，2006年Web威胁增长了15%左右。企业商业机密受到威胁，正常的运营无法保证，传统防护手段则显得力不从心。

对于大多数用户来说，在Web威胁日益增多的今天，与其自行进行高价低效的网络安全建设，不如借助值得信赖的权威安全专家替你把好网络安全关。

趋势科技推出的“安全可信赖、服务看得见”网络安全专家服务，是趋势科技自年初高调宣布服务转型之后推出的最重量级产品。

安全专家服务TMES包括了三个层次的内容。其中，Sky Net是基础的监控服务，此外还有TMES Premium（高端级）、TMES Standard（标准级）专家服务。

针对目前互联网愈演愈烈的web威胁，趋势科技公司全球副总裁暨亚太地区总经理刘家雍指出目前单纯的软硬件防毒已经不足抵挡Web威胁，用户对于网络安全的需求也在发生着改变，对于个性化定制安全策略、有针对性的解决安全问题、快速的响应威胁应急处理的需求在不断提升，趋势科技安全专家服务的推出将大大为企业用户解决这个新的安全威胁。

只要与企业网络建设有关的行为和行为的结果，能够通过专业的网络安全服务变得可以预知与可控，那么这个网络就是安全可信的。这就需要有专家在这个过程中为企业提供的一系列的专业服务指导，从根本上改变企业只能被动等待病毒出现，才能进行的被动式网络安全工作现状，对各类网络安全威胁都能达到主动防护。

TMES策略对政府用户来说也是非常有价值的，他所提供的专家值守服务，能够有效的解决政府信息部门人手不足的难题。将安全服务外包，只实施内部监控或许是一个不错的选择。

为了给用户打造一个可信赖的网络安全环境，趋势科技将整合全球的丰富资源以及国内最强技术资源。包括在上海的中国区病毒中心（China TrendLabs）、全国5个病毒监测中心、国内防毒咨询专家团队、技术支持、售前服务、中国研发中心等力量，为不同类型用户提供更好的服务。

赛门铁克:追求安全2.0

赛门铁克大中国区总裁吴锡源

随着安全逐渐从抑制的角色转换为促进，相关的安全解决方案必须确保消费者和公司互联世界的信心，随时随地保护基础架构、信息和交互。赛门铁克“Security 2.0（安全2.0）”计划致力于协助用户获得全面防护，并充分利用更加互联的世界所带来新机遇。作为Security 2.0愿景中的重要一步，赛门铁克今年推出的“端点防护”战略具有重要意义。

未来，软件越来越多的功能将放到终端，信息技术未来的趋势在逐渐向终端转移，体现在赛门铁克中国3.0战略上，最大的变化就是将焦点推到了最终用户。“IT决战在终端，未来谁能掌握终端谁就能掌握市场”，这是赛门铁克中国3.0战略的精髓所在。

赛门铁克1.0战略以产品为中心、2.0以客户为导向，3.0战略将以服务的角度去切入，2.0是商业模式的突破，而3.0是服务模式的突破。

具体来讲，赛门铁克中国3.0战略主要体现在三个方面，首先与客户建立起紧密、长远的关系;其次是提供全面的以服务为基础的解决方案;此外，不断扩大中国市场覆盖率。

3.0战略的重点在资源的整合与协作，从售前、售中到售后，从技术到业务，3.0战略融合进研发、销售、服务各个方面。我们的工作就是帮助客户利用信息技术的发展，开拓新的业务模式和新的市场，只有这样赛门铁克在中国才能有更好的发展，只有这样才能有更庞大客户群。

赛门铁克全球制定的业绩目标是在2010年之前营收达到100亿美元，而其中服务收入要占到10%。

现在赛门铁克面对企业市场，不同的客户有不同的需求，不同的问题要不同的对待，企业服务，要分不同类型区别对待。随着3.0战略的提出，中国市场将成为赛门铁克企业服务的“实验田”。

Juniper:提供高性能网络管理

Juniper网络公司中国区总经理 张小琳

Juniper网络公司以技术为本，致力于保持行业领导地位，保持着与合作伙伴的融洽关系，并开发出一系列安全可靠的平台产品。这其中包括了从小型办事处到全球最大型的IP骨干网站点的各类型解决方案。

迄今为止，Juniper中国为中国电信重庆、浙江、江苏提供的E320宽带服务路由平台，已支持IPTV和更多的应用服务并开始发挥他们的作用;而在中国电信广东和上海，Juniper提供的T和M系列路由平台则为其核心IP网络的扩充起到了至关重要的作用;在为中国移动服务的过程中，安全接入是Juniper成功解决的一个问题，这都要归功于Juniper的IC4000接入控制产品;Juniper产品的高性能还为中国教育和科研计算机网的发展作出了贡献:Juniper的CERNET2 T系列路由平台的接入，使得中国下一代科研和教育IPv6核心骨干网络高性能运转提供了可能。

从1996年2月到2006年2月的第一个十年间，Juniper从一个零收入的公司发展为拥有20亿美元收入的公司。仅在亚太区，截止到2006年1月，已拥有801名雇员，22处办事处和1500多个零售合作伙伴。

现在，作为全球服务提供商市场领域一个值得信赖的创新领导者，Juniper将继续在企业市场发展壮大其享有声誉的品牌。

仅在2005年，整个市场都看到了Juniper的设备在构建着世界上最大的IP网络，包括在中国的CNGI项目以及亚太区的其他基础构架上，比如NTT、 KT、中华电信，PCCW以及日本的前10强企业。

Juniper创下如此优良业绩并为未来的十年打下牢固的基础，这都是公司员工努力的结果。从一开始，公司就吸引了大批愿意接受挑战和志愿为下一代网络问题提供解决方案的最优秀和最聪明的员工。正如Juniper的创始人之一目前也是公司成员之一的Dennis Ferguson所说，“数据移动问题仍然存在。我们仍需建设更多智能盒子，仍然有许多挑战性的事情需要我们去做。”

思科:新网络 人为本

网络是一个平台，在这个平台里面，我们的生活方式正发生改变。以前人是在外面，现在人已经变成网络 的核心。正如美国《时代》周刊去年所评选的最有影响力的人物“Ｙｏｕ”一样，每个人正在成为互联网的主角。

事实上，思科早已看到、感受到了网络所带来的变化，并把这些改变化成自己的口号，就是“新网络，人为本”。思科中 国公司最近做了一个名为“网助计划”的活动，主要是给十所边远学校的学生捐助，以前我们就是自己拿钱买东西赠送过去。但这次思科却跳出了这个旧有的形式， 而是跟新浪网合作，在上面开了一个平台，让有剩余物品的人通过这一个平台，用以物换物的形式把自己不用的东西送到需要人的手上。

为什么思科不像以前那样自己给产品、自己给钱？因为那个影响是有限的，而网助计划却可以通过网络各取所需，实现心愿，让更多的人参与到这个活动当中来，７０万的访问次数，这就是网络的力量，这就是网络是人与人之间连接的概念。所以这个活动不只是单向式慈善活动那么简单，而是“让所有人的需要都得到满足”，这才是思科的想法，这也是 更广泛意义上的“以每一个人为本”。而思科也正在通过自己的努力，不断推进“互联网改变生活”的到来。

思科一直在着力改变一个后台系统厂商的角色，这是因为互联网在深入影响人们生活，近些年新网络的应用趋势是，人融入到网络中。网络不仅仅缩短了地域的差距、实现更有效的沟通，并且在“优化”人的关系网。国内外很多创新型公司的业务模式正源于此。所以思科的调整正是为了跟上这一潮流。而思科的发展方向就是四重奏，即三网合一（数据、话音、视频）加上移动，这样一个新的网络平台将提供给用户完全不同的最终应用体验。

其实构建四重奏这个商业模式的思科产品或者称为解决方案的，主要还是三大块:思科传统和现有的产品、以Linksys为核心的家庭网络产品以及以收购来的Scientific Atlanta的产品为主的视频产品。它们支撑起了思科所谓的“以人为本”的网络基础平台。事实上，思科所倡导的就是让我们的生活更加方便，更加快乐。

目前思科正在全国范围内选择城市建立研发中心，该研发中心将成为上海研发中心的一个延伸，而属西区的成都、重庆亦在考察范围内。