中國信息安全大會上，思科系統中國網絡技術有限公司安全顧問盧佐華女士做主題為“自防御網絡和可信網絡”的演講。

主持人：謝謝馬總精彩的演講，說到安全不能不說到網絡，說到網絡不能不說思科，下面要請思科系統中國網絡技術有限公司安全顧問盧佐華女士。

盧佐華：各位來賓上午好，我是思科公司的安全顧問盧佐華，很高興有機會參加第七屆中國信息安全大會，和各位安全領域的前輩、專家學者和同行們共同交流探討信息安全方面的問題，今天我匯報演講的主題就是自防御網絡和可信網絡。

這次大會有幾個討論的焦點，首先是開放的安全架構，長久以來信息安全里的一個現狀是各個安全系統解決方案以及產品層面的相互孤立。因此，我們為用戶設計整體解決方案或選擇產品時就會受到很大束縛，這也制約了整個信息安全領域中信息技術的創新和發展，前不久舉行的RSA大會上很大的呼聲就是要建立一個安全的開放架構。

第二個熱點是應用安全，提到這個，大家腦海中會浮現出很多安全產品，但是隨著安全威脅的增長，我們已經知道這些安全產品之間有很好的集成，有一個統一的整體解決方案。但就目前來說我們安全產品的集成屬于比較初級階段，最多是產品的疊加，而產品之間沒有一個標準的通信接口，很好的互動聯合協作，更重要的是對應用的安全沒有很好的集成，所以在這次大會上，應用安全也是今后信息系統安全發展的趨勢。經過調查顯示，信息安全從2003年在IT主管關注的主要事件當中已經從第12位躍升為2004年第一位，超過原先降低成本，成為IT管理者最關心的問題。現在各大公司都在進軍安全。安全需要一個開放的標準，要建立一個可信的網絡，這必然引起我們對安全標準的思考，現在安全標準里有了一些現有的模式，如TCG，這是一個可信計算的組織，最早的思路是在硬件設備中集成安全芯片，通過提供安全屬性來保證設備終端的安全。現在TCG組織已在全球有200多成員，他們的目的就是制訂各種規范和標準，幫助廠商為用戶提供能夠保護用戶數據及相關安全的產品。

還有一個著名的組織就是IETF，是互聯網工程任務組，有八個工作小組，會研究互聯網里的路由、通訊、加密、傳輸等相關組體。IETF要提交生成兩個文檔，一個互聯網草案，另外一個就是經常會使用的IFC文檔，我們會經常參考它制訂相關的產品，這也成為一個業內安全的標準。

除了這兩個組織一直致力于安全標準的開放聯合合作之外，現在各個公司也致力于這方面的工作，目的是在網上建立一個開放標準的驗證模式，這樣可以取代以前各個專利的用戶認證方式，我們就可以更好在各個產品當中無縫集成和應用，解決網上交易以及相關認證方面出現的問題。

還有來自SUN公司的信息，SUN認為要消除信息鴻溝必須要解決安全與接入的問題，安全問題的解決答案就是開放的架構和共享代碼。SUN認為私有的技術會增加企業的投入成本，會增加管理的復雜度，也阻礙信息技術的發展，而它的開放架構從Java到開放源代碼都可以很好解決安全問題。

看看思科的信息，我們的CEO在RSA大會上發表了重要的消息，他認為標準是網絡安全的必經之路，安全業內各個廠家應該聯合協作，制訂一個開發開放的標準，共同提供安全整體的方案和架構，安全必須面向整個的架構的技術和方案，我們可能在網絡當中有有線網絡接入和無線網絡接入，我們要針對不同的接入有不同的安全架構基礎，我們要針對整體的網絡提供一個整體的解決方案，今后發展趨勢網絡和技術融合是必然發展之路。思科公司的安全戰略就是自防御網絡，現在已進入一個新的階段就是ATD，自適應威脅防御，在這階段我們更專著于應用安全、智能控制、反間諜軟件以及反廣告軟件，我們會更多重視網絡高層應用安全這方面。從2004年數據顯示，全球網絡安全市場的規模，思科已經上升到第一位。

總結來說，從RSA大會上看到，當前的信息安全發展呼聲和趨勢要有開放的架構，要呼吁各個廠商互聯互做提供整體的安全，這樣的廣泛參與需要各個公司，政府以及廠商共同參與的，這種隔離的多種標準會造成協作的沖突，以及為維護各自的市場產生更大的代價。

下面介紹一下思科公司面對這種信息安全的威脅，我們的戰略，以及我們給企業和用戶的安全無憂的承諾。思科公司是一直致力于提供一個智能化的信息網絡，最早網絡是提供一個基本的聯通性功能，而到現在網絡已經承載了越來越多的應用，發揮更多更重要的作用，所以我們需要一個智能化的網絡，智能化信息網絡要有三個原則，第一個是主動的參與性，以前網絡是積極傳輸一些流量，我們對網絡傳輸的內容不知道，就好像提供一個公路，公路上跑各種各樣的車，車里面轉載什么內容什么乘客不知道的，這樣我們無法提供最有效和最有針對性的傳送，現在主動參與性就是智能化信息網絡會對網絡傳送的負載有更深入的了解，能夠提供更針對性的安全保證和傳輸質量的保證。

第二個是系統的方法，就是相對于各個獨立的單點的解決方案而言，獨立的解決方案會增加各個方案通訊的代溝和成本，所以這個方案可以更好地保證通訊和交流。

第三個是靈活的策略控制，策略控制會更多集成到企業的應用策略，把企業應用策略和安全策略集成起來，能夠更好提供一個整體網絡的有效性。

思科的智能化信息網絡會給用戶提供網絡的有序集成和自適應性，我們正是通過智能化的網絡保證我們信息安全，實現我們自防御的網絡。 思科自防御網絡大家可能已經聽過我們這個戰略，我們核心思想就是利用網絡發現網絡當中的威脅，進行防范，進一步消除威脅，自防御網絡有三個基本的原則，第一個是集成，集成的目的是讓組成網絡的每一個組件都有自身的安全性，都能保障安全。第二個特點是協作性，協作有兩方面的含義，一個是部署安全系統的時候，各個安全系統在各點各層實施防護的時候，他們之間密切配合協助的，第二個網絡安全機制和安全系統的機制進行協作和配合的，這樣能夠保障整個網絡中的服務和設備更好阻擋威脅攻擊。第三個是適應性就是讓網絡主動識別網絡中出現的威脅，并且能智能防范和消除這威脅。

第一個要提倡的原則就是集成安全，集成安全就是要保證基礎設施的安全，我們知道網絡有很多組成網絡的組建，比如路由器和交換機，現在大家知道安全最基本的原則就是組成網絡，信息系統每一個點都應該是安全的，安全應該集成到自身上，而不是附加式安全，比如防火墻，網關很多功能是補丁式打在網絡系統上，現在隨著發展，很多功能加載到網絡系統當中，網絡系統自身就應該具有安全性保護方法，所以思科集成安全會在網絡各個基本的組成元件當中，包括路由器，交換機，以及自適應產品中都有這種安全性，這樣保證基礎平臺是安全的，只有承載平臺安全，才能保證上面的業務和運用是安全的。

第二個協作安全，安全已經超越單一的邊界，前面介紹協作安全有兩個含義，我們在實際的網絡應用當中也看到，安全實際上也是很難劃分邊界來區分它，有邏輯以及物理的邊界，同時要對現在的電子商務，特別我們業務來往那么多，當有訪客，咨詢顧問和用戶來到公司的時候，要提供相應上網的權利和方便性，有各種各樣復雜性問題的時候，怎么提供整體式協助式安全。思科是最新倡導提出了網絡準入控制NAC架構，大家可能關注安全的話知道思科兩年前提出了網絡組織控制的架構，現在可以宣布思科已經能很好實施這個想法，我們已經用NAC2這個階段，現在NAC2能夠保證用戶上網的時候，首先要保證用戶是合法的，這就有一個用戶的認證，保證網絡接入系統中的人是正確合法授權的用戶，同時也要保障這個合法用戶上網使用的設備和機器是安全可靠的，這就通過網絡準入控制來實現，保證上網機器也是安全的。我們這個想法通過網絡準入控制來實現，現在有了多種NAC解決方案。

網絡終端控制體現了網絡開放與協作的精神，現在有70多個廠家和思科合作，來實現網絡終端的控制，以及終端安全的產品。思科網絡安全下一個重點是應用安全，現在網絡中承載更多的是應用，新的應用不斷出現，如果我們不能很好地去了解應用的協議，它承載的內容，我們就不可能實現真正的安全。所以思科現在推出一個Anti-X的技術，這不僅僅是反病毒，因為現在各種威脅越來越多，除了病毒之外，還包括規則檢測，異常檢測，啟發式檢測等。因此自適應階段我們推出一個新的產品就是ASA，這是思科18種安全技術在一個產品上的體現，以前會在不同安全產品上實現的，現在全部集中到一個ASA產品上，它可以很好進行網絡抑制、控制、過濾，也可以提供VPN功能，實現安全連接，所以這是一個很好自適應安全產品。

提到安全必然要提到安全管理。管理分為不同的層面，使我們每一個產品發揮很好的功能，另外我們推出思科MARS產品，因為在安全里面沒有絕對安全存在的，風險總是有的，即使我們部署各種各樣安全產品，像防火墻，入侵檢測，防病毒、掃描等，依然會出現安全風險，當這些風險出現的時候，最重要是快速發現它，思科MARS就是專門對風險和威脅進行響應，并提供解決方案，提供治愈修復的產品。MARS最主要是收集各種各樣安全設備的信息，能夠收集多廠商的信息，借助思科對網絡的研究，可以自動描述網絡的拓撲結構，對海量信息分析歸并，得出一個真正的安全事件，從而得到一個解決方案。MARS就可降低對風險管理的覆蓋度。

智能化安全網絡是發展的必然，我們必須要有開放的架構，走標準化道路，這當中應用安全越來越重要，體系安全管理也很必然，思科將會給用戶帶來安全無憂可信的網絡。我今天的匯報到這里，謝謝！