据西门子自动化与驱动集团自动化系统部网络应用工程师杨建东介绍,自动化技术向以太网发展的趋势十分明显,相伴随的信息安全问题也日益突出,目前,西门子已将安全集成到自动化物流系统中,形成了单一总线的安全解决方案,在同一网络中实现安全控制和标准控制,使物流中心的人员、货物、环境和信息时刻处于保护之中,同时也保护了用户的投资。
记者:在西门子自动化与驱动集团,物流中心的安全意味着哪些内涵?
杨建东:我们将安全划分为Safety和Security两个方面。Safety主要指对于人员、设备、环境的安全,我们称其为故障安全,例如,输送机运载的托盘货物在运行过程中,如果检测到在其行走路线上有人员在活动,或者有其他托盘货物在行走路线上没有离开时,输送机要自动停止运行,以确保人员及货物的安全。对环境而言,则指在社会意识日益提高的今天,不仅保护人身安全、防止人员伤亡非常重要,而且为工作人员提供一个安全、健康的工作环境也占有重要地位。在这方面,一般使用光栅技术进行检测,当光栅被遮挡时,即会触发信号,PLC立即控制设备停止运行。
Security是指信息的安全,即保证物流中心数据信息的安全,使数据不丢失,网络不受到外来的攻击。尤其是企业物流运作全球化的趋势越来越突出,物流中心与总部之间异地通讯的安全就越发显得重要了。
一直以来,工业自动化领域使用Profibus现场总线标准,来完成控制系统对于设备的指令。随着以太网技术日趋成熟,网络的开放性、带宽高、支持标准的IT服务如浏览器访问、文件传输等优势日益突出,因此自动化技术向网络发展的趋势十分明显,也就是说现场总线基于以太网实现控制功能,目前Profinet已经开始应用。但是,以太网技术在二三十年前就已经诞生了,而控制系统才开始建立在以太网基础之上,其主要原因是,普通以太网是非实时的,存在诸多不确定性因素,而对于自动化设备的控制系统来说,每一个控制指令都要得到自动化设备的实时回应,即发出运行指令,设备在确定的时间内就要按照指令运行。因此,要将网络运用于自动化领域,就要在其间添加专有的实时性协议。在这方面,西门子做了大量工作,致力于在普通的以太网基础上,通过添加协议,将看似相同的网络运用于控制系统中,以提高其运行速度及确定性。
记者:在自动化物流系统中,Profinet的优势是如何体现的?
杨建东:Profinet是一个工业自动化领域的创新,是一种开放式以太网标准(JEC61158),它满足了企业管理层对于物流现场运作细节的可视性需求,使用Profinet,设备可从现场级连接到管理级,使管理层与物流现场实现信息的交互。
通过Profinet,分布式现场设备(如现场的I/O设备)可以直接连接到工业以太网,与PLC等设备进行通讯,并且可以达到与现场总线相同或者更加优越的响应时间,其典型响应时间在10毫秒的数量级(运动控制可小于1毫秒),完全能够满足现场级的使用要求。
在使用STEP7进行组态的过程中,这些现场设备指定由一个中央控制器(即I/O控制器)进行控制。借助于具有Profibus接口的服务器,现有模板或设备仍可继续使用,从而保护Profibus用户的投资。
I/OSupervisor(I/O监视设备)用于HMI(人机界面)和诊断功能,并和Profibus一样,采用层级诊断屏幕。
记者:西门子是如何将安全集成到用户的自动化物流系统中的?
杨建东:传统意义的设备安全系统是指保护在机器中或附近工作的人员免受伤亡的附加部件。新的安全解决方案已经远远超越了这一概念。许多最终用户已经意识到,智能化、集成的安全解决方案对于其经营效率可以产生直接的影响。
现在的安全解决方案直接集成进标准的控制结构,把安全与工业网络结合在一起。提供基于ProfibusDP、PA、Profinet及无线等现有网络介质的“网络化安全”解决方案。它就是PROFIsafe。
由于Profinet支持对等通信、分布式I/O、机器安全、运动控制和数据采集等不同的控制方式,用户可以在一个以太网上实施集成的自动化解决方案。因此,操作人员可以更加智能化地检测设备故障,更快地启动生产,有助于减少停机时间。
PROFIsafe实现了单一总线的解决方案。PROFIsafe安全协议是Profibus和Profinet通信协议的一部分,它使用户可以不必采用独立的安全网络,并把其网络减少至一个单一的总线。PROFIsafe还扩充了Profibus通信协议,提供为了符合严格的安全标准所必需的与安全相关的所有信息。例如,PROFIsafe增加了信息编号和数据一致性检查,以此排除典型的网络信息故障,使联网的安全设备的可靠性能够达到国际安全标准规定的集成安全级别(高达SIL3)。
随着物流中心越来越多地采用自动化系统来搬运物料,市场趋向提供安全解决方案,使操作人员能够在安全的环境中工作以提高效率。目前的安全标准允许在运动控制系统和标准驱动器中直接集成可配置的安全系统。
在安全区域内结合低速模式和高速响应可以有效地免除在运行的设备和工作单元中使用多个隔离及标示。安全系统的关键在于从按钮或传感器到执行器之间的响应时间。可以选择在运动控制器或安全PLC中实现安全运动功能,但这种解决方案的不足之处在于,安全PLC或运动控制器和反馈装置之间的时间延迟。另一方面,基于驱动的解决方案除了更快的控制器周期优势,还能访问所有的信号。
记者:网络的一个重要特征是开放性,在开放状态下,西门子如何保证控制网络中信息的安全?
杨建东:以前的网络对于外部环境来说是封闭的,物流系统不会受到外来的威胁。而在Profinet环境中,企业网与物流系统的控制网联在了一起,网络处于开放的状态,一方面方便了企业管理层对于分布于不同地点的物流中心库存信息的了解:另一方面,企业的员工也可能会访问网络,还可能会受到病毒和黑客的攻击,因此我们在网络中添加了保障安全的模块SCALANCES,起到硬件防火墙的作用,阻隔未经授权的访问,确保访问的安全性,并进行信息的过滤。
企业在使用端到端的以太网结构时,可使用SCALANCES硬
件与软件构成完整的安全系统,以消除由于将控制系统建立在网络的基础之上而伴随的风险。
其主要特点包括:
安全与性能的双重保证。SCALANCES能够防止对自动化单元未授权的访问以及不必要的通讯负荷,即使外部网络出现故障,自动化单元中的数据仍可正常传输。
与应用协议无关。安全模块可以轻松地将基于lP的协议和自动化技术中广泛使用的第二层协议置于其保护之下,而不会限制生产数据流,确保数据传输的高效。
具有学习功能。在学习模式的支持下,安全模块可自动识别内部网络中的每一个客户机,因此可以直接使用而不需组态。而且,安全模块可自动识别网络中的其他安全模块。其突出优点在于,在扩展系统时,无需重新配置现有安全模块。
备份功能使停工时间最小化。SCALANCES自动将配置数据保持在组态插件(C-PLUG)中,在更换故障设备时,只需将C-PLUG调换到新设备中,新设备即可以相同的配置运行。
拥有灵活的保护机制。SCALANCES可根据需要而选择使用防火墙或文件包过滤器对通讯进行专门的保护。IP地址、MAC地址、端口号或协议都可作为相应的过滤判据。在虚拟专用网(VPN)中,安全模块作为加密通讯通道的端点,保证数据通过该通道进行通讯。在此,安全模块需要互相认证,所以通道中的数据既不能被窃取,也不会被修改。
记者:以太网是自动化系统中极其重要的部分,一旦网络中的设备如交换机出现故障,是否会使物流系统受到影响?
杨建东:工业以太网广泛应用于工厂的控制级通讯,以实现PLC与PLC之间、PLC与上位机之间的通讯。在技术上它与IEEE802.3及IEEE802.3u兼容,但产品的设计制造充分考虑并满足工业网络的应用需要。
众所周知,网络中设备间的连接是通过交换机完成的,一旦交换机出现故障必将影响到整个网络的运行。2003年,我们开发了SCALANCE×系列交换机。此系列交换机在网络中形成环形结构,可组成光纤环网、或电气环网、或光与电气混合的环网,网络中的一台交换机起到环网管理的作用,称为冗余管理器,当冗余管理器检测出网络中某一处出现故障时,能够自动闭合,在小于300毫秒的时间内形成一个新的完整的网络,保证物流系统的运行不中断。
SCALANCEX可以实现网络管理和诊断。SCALANCE×通过信号触点、Profinet诊断功能和网络管理功能实现对网络组件的持续监测,快速实现故障检测并排除网络故障。同时,还可以在线接收重要信息并对网络进行预防性维护。
对于工业以太网来说,兼容性是非常关键的因素,SCALANCE将其作为设计的理念,实现了端到端的兼容性,在引入新技术的同时还能保护现有投资,保证了网络的投资安全。
记者:西门子集成了安全策略的自动化物流系统能够为用户带来哪些利益,能否以具体案例进行说明?杨建东:以瑞典的Rejlers公司为例,他们利用通过Profinet和PROFIsafe与安全设备和标准I/O连接的西门子的故障安全PLC设计了一种新型的生产线结构,用于搬运活塞和连杆。
这种生产线由多种机器组成,对生产出来的多达60种不同的活塞可完成标识、分类、排序、缓冲及堆垛。通过机器人,系统能识别零件并把他们存放到临时的缓冲区中,零件搬运已实现完全自动化。这种新型的自动化解决方案采用Profinet作为骨干网连接安全PLC、工业PC和标准I/O模块,以及电子急停(E-stop)、光栅和安全联锁等。采用Profinet,可以轻而易举地随时集成额外的安全器件,因而省去了30%-35%的集成时间和精力。
在许多行业中,龙门机器人广泛应用于各种材料的搬运。龙门架的复杂程度通常很高,结合了视觉、传感器和高度动态的运动控制。
在CAMotionInc.为某企业开发的视觉引导的高架龙门机器人中,配备了许多传感器来识别需要搬运的零件的外形、尺寸和类型,并识别起点和终点位置。
龙门架同样也配备了从光栅到激光扫描器等安全设备,以保护在机器上或机器附近的人员安全。此外,CAMotion想利用无线解决方案来削减电缆成本,并免除常用的复杂的结线方案。尽管“常规的”自动化器件可以解决这个问题,他们却已找到了一种利用最新的网络和安全技术的具有前瞻性的解决方案。
CAMotion采用一套西门子的故障安全PLC,通过使用PROFlsafe协议的Profinet与安全设备进行联网,组成了无线连接和分布式安全的解决方案。其中的西门子S7―315F控制器,把常规和安全功能合并到一个CPU中,免除了独立的安全PLC或安全监视器。这一项功能不仅减少了前期设备的硬件成本,而且通过简化长期的维护工作和缩短停机时间,可能为最终用户降低整个使用周期内的成本。
(一)网络信息安全受到挑战
21世纪是一个开放的网络时代,日常生产、生活对网络的需求日渐增大。现代的网络信息传播借助网络新媒体,使分散的个体关系聚合为复杂的社会网络。在这样的信息传播模式下,网络隐患也随之暴露。伴随国家、企业、个人对网络依赖性的提高,利用网络进行违法活动而产生利润正为一些不法分子利用,既影响个人权利,又威胁到社会秩序、国家。威胁信息传播安全的因素借助互联网的发展而增多,盗取密码勒索财物、利用网络漏洞中途截取私密信息等。
(二)网络信息安全问题保障的重要性
首先,解决网络信息安全问题有利于维护国家。网络信息安全问题现已经严重威胁到了各国国家利益。很多不法分子将重要的国家信息通过网络泄露。部分国家也会派遣间谍到他国,利用网络传送他国国家秘密、盗取高科技技术,严重破坏他国。这些现象如果不在网络中加以防范,那么势必会导致国家安全受损。其次,网络信息安全是保证社会良好运行的重要因素。一方面,解决网络信息安全问题能够打击犯罪,解决侵权问题,为社会各群体提供警示,维持社会秩序。另一方面,当今社会的发展离不开互联网,保障网络信息安全可以促进经济健康发展。网络信息的安全传递,提供新的经济发展渠道,带动新型行业的崛起,广泛网罗人才,促进大批量技术人才的培养,优化经济结构,提高生活质量。最后,保障网络信息安全有利于保障公民的合法权利。安全的网络信息环境可以有效减少损害公民权益违法、犯罪事件,公民的个人安全受到保护,避免隐私的泄漏、名誉的损害等。
二、网络信息安全问题及原因分析
(一)网络信息安全问题的种类及分析
网络信息安全受到挑战,逐而引起不同的网络信息安全问题。诸如2009年金巧巧状告宋祖德侵犯名誉权一案,2013年超级网银曝授权漏洞一案以及2014年携程网保存支付日志的服务器未做严格的基线安全配置导致用户银行卡号泄露的案件等。具体看来,我们可将这些问题划分为三大类。第一类,网络自身的安全问题。这类问题是指基于网络本身的特性和缺陷而被一些计算机高手利用,研发某种程序扰乱网络的正常运行,从而获取重要信息。最显著的即为计算机病毒和黑客程序。在它们的干扰下,网络信息的完整性、独立性被破坏,私密信息常被刺探,进而引起更加混乱的网络秩序。第二类,网络侵权问题。网络侵权问题是网络信息安全问题的一个重要方面,涉及范围广,每一个网民不知不觉间就成为了网络侵权的受害者,或者在未意识到的情况下自己的某些网络言论、行为已经侵犯了他人的权利。最常见网络侵权主要涉及到:侵犯网络知识产权,侵犯人格权。网络中作品一经发表,其阅读、转载量都不可估计,毫无疑问引起权利冲突和纠纷;商标抢注在网络上同样不可避免;网络社交软件为很多网民肆意攻击他人提供平台,很多人的隐私权、名誉权受到侵犯。第三类,网络犯罪问题。网络的发展为滋生网络恐怖主义提供途径,一些极端组织通过网络策划恐怖活动、传递恐怖活动信息、招募恐怖活动成员。网络中不乏“中奖”的消息,一旦获取网民的银行卡号、密码,对方即利用远程操控轻松将卡内钱划走。此外,色情信息借助网络大量传播腐蚀人们的身心,引发其他犯罪。
(二)网络信息安全原因分析
1.网络本身的技术特性
网络本身的特性是网络信息安全受到挑战的关键原因。网络具有开放性、多变性、不易操控性的特点。不断接纳新软件、吸收新程序,为新型危害网络信息安全创造条件。新问题不断出现,人们不可能在解决当今存在问题后保证不会再出现其它问题。同时,网络的运作时常脱离人们的掌控。
2.法制监督力度不够
首先,我国缺乏专门的网络监督法律,在解决网络信息安全问题时只能依靠现有的其他法律,如民商法类、知识产权法、刑法等。这一立法上的不足导致很多网络信息安全问题被忽略,严重问题得不到法律解决,从而使很多受害者权益丧失保护。其次,执法中对网络监管不到位。在网络信息传播所涉及的各个系统中,很多处于未受监管的状态,大量潜在的信息安全问题一触即发。大多数监管只局限于信息表层,忽视合法目的掩盖下的非法本质。有时即使发现不妥之处,也认为无大碍,并未进一步核查。再次,司法机关在处理网络信息上的法律纠纷方面仍需改善。一些常见的网络侵权、网络犯罪案件不被司法机关所重视,受害者在申请立案时常被“未构成侵权、未达到立案标准”的理由拒绝,受到损害的权益无法受到保护。最后,公民缺乏权利意识和守法意识。网民在我国是一个庞大的群体,但其中真正具有权利意识、守法意识的却寥寥无几。很多网民对基本公民权利并不清楚,亦或是片面了解,割裂权利、义务、自由的辩证关系。一些发表在网络上的言论不知不觉间违反了网络秩序,侵犯他人权利。
(三)网络信息安全问题突出的原因探析
从本质上说,法律原因是其愈演愈烈的根源。
1.缺乏系统的保障网络信息安全的法律制度
对于不断出现的网络信息安全问题,我国现在尚未形成一套完整的法律制度,解决网络侵权、网络犯罪方面的法律只是散落在各类基本法或单行法的条文中,专门的法典、篇章都不存在。在消除危害网络信息安全因素时,需要查阅不同的法律条文,大大增加了解决问题的复杂性。而这些分散的法律条文又有相互交叉、冲突的地方。发展的网络带来新问题,相应的也需要增设新的法律规定。近些年法律修正案和司法解释不在少数,却鲜少与网络信息安全问题相关。一些新型的网络不法行为基于“无法律规定”这一跳板,日渐猖獗。
2.对现有法律执行不彻底,监管力度有待提高
执法机关有时并不重视网络信息安全问题,各机关、部门间相互推诿。网络的复杂性使执法机关时常知难而退,很多网络信息安全问题不了了之。此外,执法机关在依据已有法律解决网络信息安全问题时,并未很好的落实法律,往往只片面适用导致法律的执行中途停止,使此类问题不能彻底解决。有的机关只看到了法律规定的一个方面,却忽视了另一重要的部分,或是在选择适用法律时错误理解法律、法规,事后也未矫正。同时,执法不严的现象不在少数,有关机关对网络信息安全了解不足,对很多网络平台监管不到位。
3.司法系统内部存在缺陷,办案效率低下
我国尚未形成统一保障网络信息安全的法律制度,因而司法机关在处理相关案件时常以“立法空白”为由推脱。但不可否认的是,《民法通则》《刑法》对相关问题作了一定的规定,可司法机关在依据已有法律条文办案时缺乏积极性,效率低下。某些网络不法行为已经构成了侵权或犯罪,但司法机关未追究法律责任,或以“难度系数大,需要集体配合”等理由对案件一拖再拖。
4.公民守法意识低下
大多数公民很少关注与法制相关的节目,因此,非接触过法律的公民对法律的知晓度很低,做出违法犯罪行为颇为正常。有的网民认为网络既然提供了公共平台,就可以为所欲为,这种观念完全忽视了法律。也有人只具有较低的法律意识,认为未侵犯他人,但实际已严重损害了他人权益。
三、网络信息安全法律保障的具体建议
(一)完善网络立法,形成全面的保障网络信息安全的法律体系
在我国现有对网络信息安全保障的法律之上,增加新的法律篇章,应对存在“法律空白”的网络信息安全问题,使得这些已经出现但尚无法律规定的问题能够在解决上有法可依。同时,新出现的法律也应该解决不同法律对同一网络侵权问题规定不同的矛盾,即某一侵权问题究竟该依据哪一法律。具体来说,可以设立一个网络安全的基本法律,规定网络信息安全问题的种类及其解决办法。针对上文所提出的网络自身安全问题、网络侵权问题和网络犯罪问题,分别进行不同的处罚措施。计算机病毒、黑客程序等网络自身问题,应该对病毒和程序的设计者加以处罚,情节较轻的可以销毁程序、恢复原程序、赔偿损失,构成犯罪的依照《刑法》定罪量刑;网络侵权问题方面,具体规定侵犯名誉权、隐私权、肖像权每一种权利的处罚办法,诸如停止侵害、消除妨碍、赔礼道歉等;网络犯罪问题上,比照《刑法》的相应罪名来处理。同时,随着网络的发展,应不断颁布新的司法解释或修正案,以适应新问题。
(二)提高执法和网络监管力度
仅有完善的法律体系保障网络信息安全远远不够,实现法律的真正作用必须保证它的贯彻力和执行力。因此,依法律保障网络信息安全时要做到执法彻底,执法全面。在解决这些问题时,相关部门各司其职,从上至下落实法律做到连续不中断,使得威胁网络信息安全问题完全得到解决。此外,加强对网络的监管力度,对各类公共网络平台上的信息、转载有严格限制,及时观察网络上的信息传播动态,能够通过信息传递的表面,揣测真实意图。对看似安全守法的信息,也不能放松警惕。逐步建立一个网络信息监管平台,过滤信息,检验信息的合法性,以此充分保障网络信息的安全性。
(三)完善司法,克服司法机构弊端
司法机关在履行各自职责时,分工明确,互相配合,使得每一个案件在解决的过程中能够确保各环节均有司法机关加以负责,既不存在重复管理的现象,又不会缺乏相应机关的保障。坚持“司法公平,司法公正”的理念,严格依据法律的规定来处理案件,做到以事实为依据,法律为准绳,不偏私。杜绝腐败现象,保证司法体制的高效廉洁,对贪污、受贿、行贿、等违法犯罪现象严惩。同时,提高司法队伍成员的法律素养,经常组织有关网络信息安全知识的培训,使其不断提高自身能力,复杂的网络信息安全问题也能够顺利、正确地解决。
(四)增加法制宣传,提高公民权利意识
公民权利意识和法律意识的欠缺既是引发网络信息安全问题的原因,又是我国现阶段亟需改善的方面。多数网络受害者也缺乏防范意识,随意输入帐号密码,为加害者提供可利用机会。还有部分受害者在自己的权利受到侵犯时,并未意识到,或者即使意识到了却“自认倒霉”,并未通过法律途径来保障自己权益,更加助长了加害人的嚣张气焰。公民权利意识的提高可以保证他们快速发现网络信息安全问题,自己的合法权益是否受到损害或即将受到损害。公民增强权利意识也会确保其提高防范意识,不易上当受骗,及时检举不法网络行为。又会在行使自己权利时注意遵守法律,不是无限的行使自由。定期举办相关普法节目,增强权利意识,保证网络环境安全。
(五)借鉴国外经验,积极参与国际法律合作
1.1部署入侵网络检测系统入侵网络检测系统是通过对计算机网络或计算机系统的关键点信息进行收集与分析,从而发现是否有被攻击或违反安全策略的迹象,协助系统管理员进行安全管理或对系统所收到的攻击采取相应的对策。
1.2漏洞扫描系统的建立对服务器、工作站以及交换机等关键网络设备的检查其必须要采用当前最为先进的漏洞扫描系统,同时定期对上述关键网络设备进行检查,并对检测的报告进行分析,从而为网络的安全提供保障。
1.3培养网络安全人才网络安全人才的培养是一个很重要的问题。在我国,专门从事网络安全问题的部门、单位比较少,技术人员十分缺乏,并且网络人员以及网络管理人员网络安全意识比较淡薄,缺乏必备的安全知识。所以,我国急切需要培养大量的网络安全人才,并提高他们的网络安全意识和学习必备的安全知识。只有这样,我国才能在网络安全领域的研发、产业发展、人才培养等方面更快发展,缩小和国外的,是我国的网络更加的安全,国家更加的安全。
1.4大力发展自主性网络安全产业大力开发有自主知识产权的网络安全产品可以有效提高网络安全性能,是彻底摆脱进口设备的有效途径,自己掌握关键技术是大力发展自主性网络安全产业的关键。通过加大对网络安全技术网络安全技术研究开发与研究的投人,可以使网络安全技术水平得到进一步的提高。
2网络安全的发展趋势
随着我国当前网络技术的飞速发展,原来的采用单点叠加方式的网络防护手段已经不能抵御当前混合型的网络威胁。因此,构建考虑局部安全、智能安全和全局安全的一个安全体系,以此为广大的网络用户提供更为全方位和多层次的立体防护体系,是当前做好网络安全建设的一个重要的理念,同时也是网络安全未来发展趋势。
2.1网络安全技术的融合发展在网络普及率不断提高的情况下,网络所面临的威胁也日益加剧。传统的以单一防护的方式已经成为过去。因此,只有通过技术的融合,建立更加智能化、集中化的管理体系,成为未来网络安全的必然。未来网络的规模会越来越庞大和复杂,网络层的安全和畅通已经不能仅仅依靠传统的网络安全设备来保证,因此整体的安全解决方案开始融合以终端准入解决方案为代表的网络管理软件。终端准入解决方案为网络安全提供了有效保障,帮助用户实现了更加主动的安全防护,实现了更加高效、便捷地网络管理目标,全面推动了网络整体安全体系建设的进程。
2.2网络主动防御的发展网络主动防御的理念已经被提出来很多年了,但是和其他理论一样,在其发展的时候遇到了很多阻碍。所谓的网络主动防御,其实质就是通过对指定程序或者是线程方面的行为,并按照事先设定的规则,从而判断该行为是否是属于病毒或者是比较危险的程序,以此对其进行清除。通过主动防御可有效的提高系统整体的安全策略,并推进整个互联网络的智能化的建设。该产品在现阶段的发展中还不够成熟,但是未来随着技术的进步,该技术会更为完善,从而成为未来互联网的发展趋势。
3结语
关键词:学校校园网解决方案
一、教育信息化现状
目前国内教育界主要分为高等教育、公众教育、基础教育三大块,三个部分的建设应用情况不尽相同。同方网络对于每一个部分都提出了有针对性的解决方案,为加速教育界信息化助一臂之力。
高校校园网
高校校园网建设中面临的问题有如下几个方面:
(1)网络管理、维护的困难
课堂教学逐步走向网络化、学生在线学习、娱乐时间增加
校园网网络大、业务多、故障问题定位复杂网络的安全性差、管理难度大
老师要负责日常教学还要做网络的日常维护、在学校奔波
(2)网络业务容量及资源调配的困难
学生发起的大量数据转移
网上视频点播、广播、大量的多媒体通讯,需要qos支持
如何有效合理对教育网络带宽的调度和分配满足如:教育网络多媒体教学和远程教学;图书馆访问系统,大型分布式数据库系统、超性能计算资源共享/管理系统、视频会议、ephone等等应用。
(3)网络安全、统计等运营问题
教学、办公、生活、娱乐,用户水平高,网络资源需求广、不能全部免费、缺乏用户认证、授权、计费体系
学生的安全认证以ip地址为主,存在有意和无意的攻击
采用静态ip和proxy服务器管理问题
二、高校校园网解决方案:
针对校园网的业务需求和建网中所面临的问题,同方网络公司提出了自己有特色的解决方案。
解决方案特点:
高智能:在网络的核心和汇聚层提供的tfs9000系列接入层智能网交换机可以智能识别应用业务流,按照全网策略赋予各种应用业务不同的优先级,提供二层的802.1p优先级、三层的diffservertos字段的dscp标记,完成全网端到端的qos保证。
高安全:同方的接入层tfs7000系列智能型交换机支持端口+mac地址绑定技术;支持802.1x基于用户身份的认证;支持ssl、ssh、tacacs+等安全认证技术,可以对于web管理进行加密,大大提高了交换机网管的安全性。
高性能:同方推出的全系列以太网交换机都支持线速无阻塞交换。对于大用户量和大数据量的教育网来说,这一点尤其重要。
多业务:支持多媒体应用,包括视频点播、视频会议、远程教育等。可以对这些业务进行差别服务,提供端到端的qos保障。
三、高校宽带网:
高校宽带网建设中面临的问题有如下几个方面:
(1)网络管理、维护问题:
由于校园宽带接入用户数量巨大而且非常集中,流动性又比较强,所以无论从用户管理、设备管理、计费管理都具有很大的困难。况且学生计算机水平相对来说比商业用户高的多,给管理上带来了很大的风险。
(2)网络安全问题:
以太网固有的一些特性导致了以太网接入的安全问题
学校学生计算机水平高而且时间充裕,本身网络就有很大的安全隐患
学校具备的inter、cer、校内三种资源的选择性对网络安全管理提出了挑战,如何处理访问的灵活性和安全性之间的平衡是每个学校网管需要考虑的问题。
(3)计费问题:
如何既保证inter、cer、校内三种资源访问的便利性又保证准确计费,是目前高校宽带网面临的普遍问题。
四、同方高校宽带网解决方案:
同方网络依靠着宽带网的建设经验和自己对宽带ip网独到的理解,推出了高校园区宽带以太网接入解决方案,倾力打造安全的高校宽带接入网。
解决方案特点:
除了具备了高校校园网相应的易管理、高安全等特点之外,同方针对高校宽带网推出的解决方案还具备以下特点:
可运营:tfs7000e+系列、tfs6224e支持带宽控制,全面的控制每一个用户的带宽,保证关键应用的带宽,提高带宽资源利用率;这一点对学校宽带接入中如何提高带宽利用率尤其重要;
接入安全:同方tfs7000e+系列、tfs5000ei系列接入交换机提供的灵活端口密度、端口物理隔离等接入特性保证了高校大量用户接入的灵活性和安全性。
计费灵活:tfs7000e+通过802.1x认证中采用不同用户名后缀结合dhcp方式实现校园网、cer、inter访问不同的收费策略。通过和专用计费软件的配合可以提供基于时长、带宽、流量等计费手段,提供灵活的计费策略。
方案特点:
业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100m接入用户桌面
服务器可选择接入100base-tx、1000base-sx、1000base-t
骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能
支持1000m上联模块,能够根据业务流量的需要采用trunk功能
支持高速端口聚合,具有链路冗余和负载均衡的能力
高智能,支持二/三/四层线速交换,提供端到端的qos的保证
高安全,802.1x基于用户身份的认证
安全、可管理、可扩展
“随着中国企业的快速发展,员工对办公移动性的要求也越来越高。尤其在企业内部,不管他们身处何地,他们都希望能以同样有效的方式进行沟通。”西门子数字程控通信系统有限公司总裁兼首席执行官彭浩石(RolandBernshaus)如此介绍,“企业移动性不仅意味着取消网络布线。西门子HiPath推出的WLAN解决方案是西门子产品线的自然延伸,更是西门子注入了自己特色的方案。我们希望通过部署紧密集成的开放移动解决方案,使企业改善业务流程,增加通信速度并提高生产率。”
HiPathWLAN解决方案包括无线客户端、终端设备、无线接入点、无线控制器和无线管理软件。HiPath无线体系架构提供了一个安全、高性能、大规模无线网络运行的基础,能够平衡现有网络基础设施的架构,且在单一构架中支持多方应用。同时,HiPath还提供了在实际环境中配置移动商业应用所需的语音数据融合、用户分组与管理、任何地点接入和无缝漫游及在线、定位服务等功能,能够平衡现有网络基础设施的架构,并且在单一构架中支持多方应用。
据西门子企业通信有限公司副总裁兼Hipath无线系统销售主管毕柯(MarcusBirkl)介绍,HiPathWLAN解决方案拥有可管理性、可扩展性和安全性。首先,通过采用一系列强大和使用方便的工具,HiPathWLAN解决方案可降低企业的总体拥有成本,提供高效的WLAN管理能力。这包括简化的部署过程、集中设置的网络监视和故障诊断,及进行优化的应用性能。其次,通过利用并与当前有线网络基础架构无缝集成,HiPathWLAN解决方案还可进一步降低成本。无论网络规模的大小及运行解决方案的数量多少,HiPathWLAN解决方案都可提供安全性和可管理性。再次,除了支持最新的无线安全标准来提供成熟的加密和网络访问控制外,HiPathWLAN解决方案还可提供最高级别的无线入侵防护(WIP),从而提供完整的无线网络安全解决方案。
支持高性能VoWLAN
对于HiPathWLAN解决方案的独特之处,毕柯强调:HiPathWLAN解决方案提供了完整的产品系列并支持开放的行业标准,可确保在不影响网络安全性的前提下,提供高性能的VoWLAN(VoiceoverWLAN)解决方案。基于西门子在无线和语音通信方面的实力,西门子能通过采用跨企业和公共蜂窝网络的解决方案,协助用户将移动业务扩展到办公室以外的地方。
据介绍,HiPathWLAN解决方案的体系架构可在单一基础结构上实现多个开放移动解决方案的无缝集成。通过采用开放标准和创新技术,HiPathWLAN解决方案具有高度灵活性,且它针对语音和数据融合业务进行了优化。因此,HiPathWLAN解决方案能够有效地部署多个解决方案,在尽可能降低管理不同网络所需的资金和运营成本的同时,维持网络的高性能和高安全性。
当前用户对VoWLAN应用的需求非常强烈。In-stat公司的调查显示,高达84.6%的用户对VoWLAN手机表现出一定兴趣,近一半的用户则表现出了强烈兴趣。今后几年,预计VoWLAN在企业领域,特别是医疗卫生、仓储和零售等垂直行业将发展得越来越快。
深挖四大行业
多年来,得安科技先后承担并参与了30多项国家和地方科研项目和产业化任务,并在面向金融领域的关键安全技术、信息安全基础设施关键技术体系研究等关键领域做出了突出贡献,取得了创新性的科研成果。得安科技载誉业内的实事,让我们不得不去关注隐藏在其高速发展背后的研发实力和技术动力。今天的得安,对其自身如何定位?其发展潜力何在?以得安科技为代表的密码核心技术提供商又如何看待国内信息安全市场发展趋势?为寻找这些问题的答案,中国信息化周报记者约访了得安科技技术总监孔凡玉。
中国信息化周报:商用密码产品及服务是信息安全产业的重要一环,也是得安的核心竞争力。基于怎样的背景,得安投入商用密码技术研发?
孔凡玉:所谓网络安全、信息安全,最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全,而不单是对计算机设备、网络设备自身的安全防护。大到一个国家,小到一个企业和个人,多数黑客进行攻击的真正目的就是窃取机密数据和信息,而不仅仅是破坏信息系统本身。因此,商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环,是信息安全产业的重要组成部分。
得安公司成立于1997年10月7日,是我国最早致力于商用密码产品研发及产业化的企业之一,这与我国当时对网络安全和商用密码产品的迫切需求密切相关:一个是随着互联网技术的发展,网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现;另一个是,我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化,以保证信息安全核心技术的独立性和自主性。
中国信息化周报:得安现有哪些科研成果?具有哪些核心技术优势?
孔凡玉:得安科技自主研发的“SMS100-1网络安全平台”,这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品,并荣获国家科技进步三等奖和密码科技进步二等奖,此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外,得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目,实现了商用密码产品和接口的国产化,并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。
十六年以来,得安公司一直注重商用密码和信息安全核心技术的创新,在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累,得安参与研发的多项产品和技术填补了国内外空白,保证了核心技术的领先优势。
中国信息化周报:从国家政策层面强化网络安全意识,到首席安全官渐成大型企业标配职位的发展现状,您如何理解密码安全对于企业信息安全堡垒建设的核心意义?
孔凡玉:在目前的互联网时代,每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时,也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立,标志着我国已经把网络信息安全上升为国家战略的层面。
在网络信息安全防护中,以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以,商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。
近年来,发生的信息安全事件大致分为两种:一种是单纯的病毒、木马、系统攻击,没有特别的针对性,造成的后果是计算机系统的崩溃或者网络无法正常访问;第二种是针对数据和信息的窃取,这会造成重要数据或个人隐私的泄露,带来严重的后果。最近爆发的信息安全事件,八成以上都涉及到数据泄露问题,例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件,近期爆出的OpenSSL的几个严重漏洞,以及我国近年发生的多个网站的数据泄露问题,这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护,并进行严格的身份认证、访问控制、安全管理等。
得安科技大力推广信息安全服务的理念,所提出的企业信息安全堡垒的建设方案,是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案,实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能,实现企业信息系统的高安全性和可靠性,为企业提供信息安全保障。
中国信息化周报:在与用户接触过程中,您认为目前企业信息安全系统普遍薄弱的环节有哪些?
孔凡玉:在云计算和大数据时代来临之际,任何信息系统的核心都是“数据”,因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全,包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全,这形成一个环环相扣的系统。
在与很多用户进行交流时,我们了解到,现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案,仅在某一个或几个方面进行了安全防护,但是仍然存在其他方面的漏洞,不能形成一个完整的防护体系。
中国信息化周报:对此,得安科技针对不同行业、不同应用场景下的安全问题,推出了哪些解决方案?
孔凡玉:得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用,针对不同行业、不同应用场景,已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案,包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括:
■云安全密码服务平台:这是得安公司研发的基于“云计算”技术的高性能密码平台,将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,提供高性能的数据加密、数字签名、身份认证等密码服务功能。
■远程文件安全传输解决方案:此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题,在数据的安全、可靠、高效的传输方面,可以解决FTP等传统传输方式的种种不足,为广大企业客户所信赖。同时,该方案可以集成于各类企业的信息系统平台中,实现企业的远程文件的安全传输,目前已经广泛应用于金融、证券、石油化工、电力等行业。
■数字证书认证系统解决方案:此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件,提供了一种在网络环境中验证身份的方式,类似于日常生活中的身份证。得安数字证书认证系统简称CA系统,采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统,已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设,并顺利运行。
■安全移动办公解决方案:此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSecVPN、SSLVPN、安全网关以及安全客户端等产品,可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时,首先需要经过安全网关的身份认证,认证通过后才能访问其权限范围内的业务系统;可以在安全网关上进行细粒度的权限配置,保证接入终端的安全性;同时,安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能,更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。
■手机安全支付解决方案:得安公司研发的智能SD卡以及软件系统,是近年新兴的一种信息安全产品,把高性能的安全模块集成到SD卡中,这样用户既可以像使用普通SD卡那样使用其大容量存储功能,又可以像使用智能IC卡那样使用SD卡中集成的安全模块,具有密钥管理、证书存储、权限控制、数据加解密等功能,实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。
■桌面安全解决方案:此方案用于解决企业内部计算机设备的安全控制和信息保密问题,采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术,确保了信息在单位内的安全存储,确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案,它的最大特点是既能“攘外”,又能“安内”,部署灵活且易于使用,特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。
■统一认证授权解决方案:本方案可以为企业的多个业务系统提供安全支撑,简化业务系统的管理方式和使用方式,提高整体系统安全性。通过该解决方案,可以为企业提供各个业务系统的统一认证和登录服务,提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理,适合在具有多个业务信息系统的企业中部署实施。
中国信息化周报:在国内市场,用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单,很多用户关心的问题是需要支付哪些成本?又能获得哪些收益?得安科技的解决方案又是如何来降低用户IT应用风险的?
孔凡玉:得安科技采用的是一套科学的、系统的信息安全工程建设方法,达到用户的IT价值和风险、收益和成本之间的平衡。
首先,用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度,一旦泄露会产生什么样的后果,决定了数据的价值。数据的价值越高,一旦泄露带来的后果越严重,因此需要投入的安全成本就越高。举例来说,价值100万的数据,如果投入200万进行安全防护可能是不必要的;同样,价值1亿的数据,仅投入1万元进行安全防护则可能具有极大的安全风险。
评估了资产的价值后,然后就要分析信息系统存在的风险和威胁,包括目前的信息系统存在哪些漏洞和弱点,内部和外部可能有哪些潜在的攻击威胁等。之后,就要和企业一起制定信息安全保障系统建设的内容,这主要取决于哪些风险必须要降低,降低到什么程度,采用哪些技术手段,成本是多少等。这样,在系统建设之前,用户很清楚建设目标是什么,需要花费多大的成本,会带来怎样的收益,做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面,还有一系列的方法和措施,以保证信息安全项目建设的可控性。
中国信息化周报:相比其他应用安全企业,得安科技有何自身特色?具体到商用密码解决方案,相比其他软件公司,得安科技有哪些独特的优势和创新?
孔凡玉:与其它信息安全企业相比,得安公司的特色体现在三方面。
第一,在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一,得安公司在商用密码以及信息安全核心技术方面具有18年的积累,在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。
第二,在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位,得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定,因此在把握行业的发展趋势方面具有优势。2012年,得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布;两年来,《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。
第三,具备成熟的信息安全服务理念,并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念,以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖,成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。
得安科技的商用密码解决方案,具有以下独特的优势和创新:
(1)核心产品可靠性和高效性:解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性,才能保证整个信息系统的安全性和稳定性。例如,云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术,保证整个平台的可靠和高速。
(2)量身定制的整体安全架构:这些解决方案不是单纯的硬件和软件的累加,而是经过系统的整体设计后形成的有机整体,而且每一个方案的确立和实施,都要根据用户的信息系统的特点进行量身打造,以保证方案的科学性和合理性。
(3)运维支持和管理制度:信息安全设施的建设,三分凭技术,七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系,保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。
中国信息化周报:得安科技未来的市场竞争策略和发展目标是什么?
孔凡玉:得安未来的市场竞争策略和发展目标,可概括为两个词。
一是“共赢”。“共赢”是指与客户的关系,是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求;“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案,从而达到与客户共赢的最终目标。
二是“领先”。“领先”是指保持公司的核心竞争力,是对“创新”理念的拓展。不仅要“创新”,还要领先一步,在新的技术出现和产业变化来临之际,率先致力于未来核心技术和产品的研发,领先于时代,领先于同行。
接连不断的蠕虫病毒使当前安全技术和措施的有效性再次受到质疑。尽管安全是世界上所有机构的头等大事之一,安全攻击事件的数量仍然是逐年攀升,造成的危害一次比一次大。在最近的数年中,大量的投资被用于阻击安全事件的发生,但只有少数公司确保了它们网络的安全。
特别值得一提的是,为了满足用户和业务的需求,时刻保持竞争优势,企业不得不持续扩张网络体系。然而,很多人可能不知道,网络的每一次扩张,即便是一台新计算机、一台新服务器以及软件应用平台,都将给病毒、蠕虫、黑客留下可乘之机,为企业网络带来额外的安全风险。同时,纯病毒时代已经一去不复返,几年前占据着新闻头条的计算机病毒事件在今天看来已经不是什么新闻,取而代之的是破坏程度呈几何增长的新型病毒。这种新型病毒被称为混合型病毒,这种新病毒结合了传统电子邮件病毒的破坏性和新型的基于网络的能力,能够快速寻找和发现整个企业网络内存在的安全漏洞,并进行进一步的破坏,如拒绝服务攻击,拖垮服务器,攻击计算机或系统的薄弱环节。在这种混合型病毒时代,单一的依靠软件安全防护已开始不能满足客户的需求。
网络安全不只是软件厂商的事
今年上半年,网络安全软件及服务厂商——趋势科技与网络业界领导厂商——思科系统公司在北京共同宣布签署了为企业提供综合性病毒和蠕虫爆发防御解决方案的合作协议。该协议进一步扩展了双方此前针对思科网络准入控制(NAC)计划建立的合作关系,并将实现思科网络基础设施及安全解决方案与趋势科技防病毒技术、漏洞评估和病毒爆发防御能力的结合。
根据合作协议,思科首先将在思科IOS路由器、思科Catalyst交换机和思科安全设备中采用的思科入侵检测系统(IDS)软件中添加趋势科技的网络蠕虫和病毒识别码技术。此举将为用户提供高级的网络病毒智能识别功能和附加的实时威胁防御层,以抵御各种已知和未知的网络蠕虫的攻击。
“在抵御网络蠕虫、防止再感染、漏洞和系统破坏的过程中,用户不断遭受业务中断的损失,这导致了对更成熟的威胁防御方案需求的增长。”趋势科技创始人兼首席执行官张明正评论说,“传统的方法已无法满足双方客户的需求。”
“现在的网络安全已不是单一的软件防护,而是扩充到整个网络的防治。”思科全球副总裁杜家滨在接受记者采访时表示:“路由器和交换机应该是保护整个网络安全的,如果它不安全,那它就不是路由器。从PC集成上来看,网络设备应该能自我保护,甚至实现对整个网络安全的保护。”
业界专家指出,防病毒与网络基础设施结合,甚至融入到网络基础架构中,这是网络安全的发展潮流,趋势科技和思科此次合作引领了这一变革,迈出了安全发展史上里程碑式的重要一步。
“软”+“硬”=一步好棋
如果细细品味这次合作的话,我们不难发现这是双方的一步好棋,两家公司都需要此次合作。
作为网络领域的全球领导者,思科一直致力于推动网络安全的发展并独具优势。自防御网络(Self-DefendingNetwork,SDN)计划是思科于今年3月推出的全新的安全计划,它能大大提高网络发现、预防和对抗安全威胁的能力。思科网络准入控制(NAC)计划则是SDN计划的重要组成部分,它和思科的其他安全技术一起构成了SDN的全部内涵。
SDN是一个比较全面、系统的计划,但是它缺乏有效的病毒防护功能。随着网络病毒的日见猖獗,该计划防毒功能的欠缺日益凸显。趋势科技领先的防毒安全解决方案正是思科安全体系所亟需的。
趋势科技作为网络安全软件及服务厂商,以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流。趋势科技的主动防御的解决方案是防毒领域的一大创新,其核心是企业安全防护战略(EPS)。EPS一反过去被动地以防毒软件守护的方式,将主动预防和灾后重建的两大阶段纳入整个防卫计划当中,并将企业安全防护策略延伸至网络的各个层次。
“如果此次与思科合作的不是趋势科技,我们恐怕连觉都睡不好。”张明正的戏言无不透露出趋势科技对此次合作的迫切性和重要性。
更让张明正高兴的是,通过此次合作,趋势科技大大扩充了渠道。“我们的渠道重叠性很小。”张明正表示。而此次“1+1<2”的低成本产品集成将使这次合作发挥更大的空间。
网络安全路在何方?
如今,虽然业界有形形的安全解决方案,网络安全的形势却不断恶化。究其原因,主要是由于现在的网络威胁形式越来越多,攻击手段越来越复杂,呈现出综合的多元化的特征。
新办公室以及客户体验中心位于上海漕河泾工业开发区,这里汇集了康普旗下的企业解决方案事业部及安德鲁事业部的企业精英及技术骨干,将更好地向中国客户提供康普公司的各种网络基础设施解决方案,其中包括全球领先的企业网络解决方案和无线网络射频子系统解决方案。中国的企业用户和网络运营商现在可以从康普公司完整的无线应用、企业应用和宽带应用解决方案中获益,这也体现了通信网络市场越来越趋向于采用整体基础设施解决方案的发展趋势。
康普企业解决方案亚太区销售副总裁简宜舒博士(IspranKandasamy)表示:“康普在设计、生产及交付符合甚至超过全球标准的高效能基础设施解决方案方面长期处于领先地位,这使我们的客户长期受益。康普在中国市场的重要地位反映出中国本土对高效能网络基础设施的需求日益增长,无论这些应用是基于有线还是无线基础设施。”
康普具有长期、丰富的全球经验,并推出“共连通、同成长”(ConnectandEvolve)的理念,该理念反映了亚太区通信业的发展趋势,即网络运营商和企业用户希望初始安装的网络不仅低成本,而且可扩展,能满足未来变化的需求。
安德鲁中国区销售副总裁唐俊毅表示:“安德鲁解决方案的非凡品质和先进技术已经赢得了中国电信运营商和原始设备制造商的信任。客户希望与我们合作以掌握先进技术。康普能够为全球各种规模的企业提供完整的解决方案,满足其多样化的需求,我们认为这正是康普的独到之处。”
安德鲁自1970年代初就向中国市场提供先进的无线基础设施解决方案,已经与中国的主要运营商和原始设备制造商建立起了长期稳固的合作关系,近期为中国大量重大项目提供了解决方案,如中国电信和中国联通的3G无线网络、国家大剧院、京津高速铁路、石家庄至太原高速铁路、北京地铁以及上海地铁等。
近期,广州主办的亚洲体育盛会的体育场馆、苏州工业园区科技发展有限公司、莱芜钢铁集团有限公司等重大项目都采用了康普的网络基础设施解决方案。
康普21000点布线亚洲体育盛会
2010年广州主办的亚洲体育盛会刚刚结束,为期16天的体育盛会设有53个比赛场馆和17个训练场馆,其规模和复杂度仅次于2008年北京体育盛会。
为了确保盛会成功,广州市政府在体育基础设施建设上投入了大量资金,其中主要部分便是构建高性能网络基础设施。广州市重点公共建设项目管理办公室设计部邓主任表示:“这次亚洲体育盛会场馆的网络需要兼具高性能性和高可靠性,在支持赛事数据中心的同时,还要能够连接众多场馆的安全系统和访问控制系统,支持媒体中心。由于肩负如此重要的使命,网络基础设施的建设容不得一点马虎。端对端连接所需的所有铜缆和光缆解决方案均采用SYSTIMAX产品组合,包括室外和室内布线在内的所有产品均满足相关防火标准,并全部享有行业领先的担保和卓越的售前、售后服务。”
广州市重点公共建设项目管理办公室负责网络安装的设计、规划和管理,并选择了四家当地的康普业务伙伴来完成安装工作。这四家公司分别是广东宏景科技有限公司、广东省工业设备安装公司、广东暨通信息发展有限公司和广州杰赛科技股份有限公司。
四家业务伙伴集合了800人的施工团队,主要负责五大场馆群的网络构建。鉴于有数十万的观众、运动员和工作人员使用这些设施,消防安全极为重要。为了满足这一要求,康普提供了高阻燃级别(符合IEC60332-3A国标标准)的低烟无卤铜缆和光缆布线。
业务伙伴团队铺设的SYSTIMAXGigaSPEEDXL低烟无卤六类铜缆长度超过1100公里。在此布线基础上,使用端对端连接在100米链路内可实现1Gb/s的性能并最多支持6个连接器,完全实现了超越6类标准的要求。
在预算内准时完成70个不同场馆的网络基础设施,任务可谓艰巨。除了在安装上投入800人的团队,业务伙伴还与康普紧密合作,确保所有产品按时发送到位。所有SYSTIMAX布线产品均由库存发出,工程期间从未发生短缺或延时。
美国康普企业解决方案大中国区销售总监陈岚表示:“跨距离、跨场馆构建连通的网络需要高效的产品供应和安装,工期紧张时更是如此。康普与业务伙伴并肩战胜了这一挑战,帮助他们在预算内准时完成了集成式端对端解决方案。”
康普打造苏州工业园区数据中心
苏州工业园区开发集团股份有限公司由中方财团和新加坡财团共同投资组建。公司目标是推进园区开发建设,发展并繁荣高科技产业供应链。高四层、建筑面积4.2万m2的数据中心是苏州工业园的关键设施,用于满足企业在园区内外的通信和计算需求。目前数据中心的建设、运营和服务均由苏州国科综合数据中心有限公司负责。凭借SYSTIMAX铜缆和光缆解决方案,网络基础设施可为上述所有服务提供支持。
苏州工业园区科技发展有限公司总经理助理顾宗根表示:“我们需要高度可靠、性能超越国际标准的解决方案,同时需要有能力提供高品质售前和售后服务的供应商。SYSTIMAX基础设施解决方案节省空间。同时,我们利用InstaPATCH预连接光缆大幅降低了安装时间和成本。”
建成后的苏州工业园区数据中心系统荣获国际正常运行时间协会(TheUptimeInstitute,UI)颁发的T4级设计证书,成为亚洲率先通过此认证的数据中心。园区还与电信运营商通力合作,力求进一步开发自身系统,打造出该地区超大的容灾中心、云服务提供商和IT服务外包机构。
网络安装由康普业务伙伴苏州国贸工程系统有限公司完成。SYSTIMAXGigaSPEEDXL铜缆解决方案和TeraSPEED、LazrSPEED光缆的安装动用了由50名技术人员和工程师组成的庞大团队。康普的高性能单模光缆解决方案SYSTIMAXTeraSPEED使用了1280至1625纳米的整个传输波长窗口,可用带宽比传统单模光缆高50%。SYSTIMAXLazrSPEED激光优化型多模光缆用于10G连接,支持距离最远可达550米。该解决方案的性能超过OM3布线标准规格,无需昂贵的电子设备就能提供10Gb/s性能。
康普为莱芜钢铁40周年献礼
莱芜钢铁集团公司(莱钢)在不断提高效率的基础上发展壮大,占地120公顷的全新能源管控中心和研发中心正是公司发展成果之一,也是对莱钢建厂40周年的献礼。
莱钢选择SYSTIMAXGigaSPEEDXL六类铜缆为总建筑面积达7.06万平方米的管控中心的三栋主要建筑和一期投资额为3.4亿元的研发中心提供网络连接。所采用的铜缆布线超过国际6类布线标准,即使在恶劣环境下亦是如此。
在管控中心的主楼中,GigaSPEEDXL六类铜缆解决方案为17个楼层,约4.49万平方米的区域提供服务。在其他两座副楼中,该解决方案分别为5个楼层提供服务,最高能实现1Gb/s的数据传输速度。
整个项目共安装7000多个GigaSPEEDXL六类信息模块,通过108个通信机房进行连接。这些机房相互连接,并通过6.6公里的SYSTIMAXTeraSPEED单模光缆与数据中心相连。这种高性能单模光缆可在1280到1625纳米的波长范围内运行。因此,该光缆的可用波段比传统单模光缆高50%。
完成企业分支与数据中心的云连
谈起云网络,不少人可能会认为这是概括数据中心网络变革的新名词。但事实上,专业厂商对云网络的定义并不仅限于数据中心。在2012HCC大会上,华为正在展示一个完整的云网络图谱,它由五大部分组成:数据中心网络、骨干网、汇聚网、接入网及终端。除了目前业界普遍关注的数据中心网络、骨干网和终端解决方案之外,华为还特意了面向企业分支机构云应用的ARG3云接入网关和NE20E-S云管道路由器,在骨干网与终端之间,为企业构建起一个协助云交付的网络路径。
“当前,云化数据中心对虚拟交换、扩大带宽、降低时延、实现弹性调度、简化管理的需求日趋强烈,也让人们更容易在数据中心里看到云所带来的网络变革。但是,这并不代表云带来的网络变革仅限于数据中心。”华为数据中心网络产品总经理孙路遥告诉记者,在数据中心、骨干网之外,云对网络的需要还体现在两个方面:一是企业分支与数据中心的互联,二是数据中心与数据中心间的互联。前者关系着云业务交付的“最后一公里”,是企业不容忽视的环节。
把云应用有效地交付到企业的分支机构,让企业用户不受地点约束的使用云,正是让企业接纳云的关键。而企业分支机构与数据中心的网络互联是否顺畅,则决定着用户使用云的体验。孙路遥表示,决定用户体验的,正是骨干网和终端之间的网络。这一环节要起到承上启下的作用,既要汇聚骨干网的海量信息,还要将信息分发到企业的各个分支,其性能必须能够满足云业务流量的高速增长,同时其可靠性也必须满足云业务的高要求。华为认为,这样的需求会改变企业分支机构对网络出口处接入网关及路由产品的需要。
透过ARG3云接入网关和NE20E-S云管道路由器的特性和参数可以看到,企业分支与数据中心之间的云连接,将对网络产品提出一些新的需求。
对于云接入网关,目前业界有各种版本的理解。但从当前一些尝试云应用的企业用户的反馈来看,广域网的带宽和质量正是制约企业分支机构与数据中心畅通互联的关键因素。解决这一问题,必然是云接入网关的责任。目前,利用广域网加速解决方案节约带宽开支和提升网络传输质量被视为解决问题的最佳渠道之一。有测试数据表明,采用广域网加速技术后,应用协议的传输效率可以提高8~100倍。ARG3云接入网关就是通过融合广域网加速解决方案来实现云业务体验的提升的,通过带宽压缩和应用协议加速等专有技术,ARG3不仅可以大幅提升企业已有带宽的利用率,还能提升应用协议的传输性能。此外,云分支和数据中心之间的广域连接或云端业务并不是100%可靠。对此,ARG3还提供了“本地存活”功能。当云分支无法获取云端业务时,ARG3还可以转换为业务服务器,继续为分支提供功能,大大提升了云业务的可靠性。
华为NE20E-S是华为为云业务交付的“最后一公里”所设计的管道。华为企业数通产品线网络解决方案部部长潘曙光直言,尽管NE20E-S定位于企业级中端路由器市场,但它却继承了NE系列高端路由器的可靠性和高性能。最大480G的交换容量,是市场中同级别产品的3倍,但其满载业务的功耗仅相当于一台电饭煲。这种设计主要是为了适应云业务流量的高速增长。值得关注的是,在性能提升之外,NE20E-S还在简化IT运维方面做出了很多改变。如通过远程完成批量业务快速下发,让维护人员不用进机房就能完成设备安装和网络的组建,一天就能开通240个局点;提供简易可视的网络管理界面,能实现一键式快速诊断等。
“一站式”模式破解云难题
数据中心是云的心脏,数据中心网络是云实现规模化应用的基础。但在建设云化数据中心时,今天企业用户的烦恼不仅是如何构建一个符合多样化业务需求的网络,还有如何解决网络规模的不断扩大和组网复杂性不断增加所带来的安全、运维等问题。对于用户,当前的各种网络解决方案还难以让数据中心变成“交钥匙”工程。
在完善“云管道”图谱的同时,华为也在力图通过更完备的网络解决方案,让云的心脏——数据中心的构建变得更简单。在2012HCC上,华为推出了“一站式”数据中心网络解决方案,通过对企业业务、网络资源和IT资源的有效整合,将数据中心的交付变成了端到端的交付。
华为的“一站式”数据中心网络解决方案由数据中心内部互联方案、数据中心广域互联和灾备方案、数据中心安全与应用优化方案、数据中心管理解决方案四个子方案构成。借助“一站式”的方案和服务,用户在数据中心内部互联、容灾备份、网络安全、网络管理等方面遇到的所有难题,都可以得到解决,有效化解了当前规模化云应用发展的难题。
华为举办首届POL产业论坛
华为接入网产品线总裁王正安在开场发言中表示:“随着全光网络在全球的蓬勃发展,园区网络建设也迈入了全光园区时代,全光网络将成为新时代园区通信网建设的最佳解决方案。为了更好地推动POL产业的发展,华为在西安研究所打造了AgilePOL全光园区技术方案体验中心,在西安研究所V5办公楼使用POL方案部署了超2000个光纤到办公桌面,为员工提供高宽带企业办公网络,可以看到POL方案和产品展示厅、传统网络和POL方案的机房和走线对比,给大家呈现一个可视化的真实的POL网络体验。最后希望和大家一起,共同把POL产业做大做强。”
POL网络将成为未来的趋势,如今华为在西安的研究所的员工、研发人员均在使用云终端服务器来进行日常工作。企业园区除了自身的网络互联互通的需求以外,其背后隐藏了更多企业自身的专有服务。华为POL解决方案的目标,是满足企业自身的业务转型,包括ICT的转型,企业ICT的转型背后的驱动力在华为接入网产品线副总裁周军看来包括两方面:一是体现在带宽提速需求上,带宽由原来的几十兆到百兆,到千兆的提速。二是一张网络上承载多种业务,园区包括视频、多媒体、摄象头等。校园有远程教育,老师与学生的实时视频通信。这种业务需求其实推动了、驱动了企业园区、学校所需要考虑更高的带宽。
天津市大学软件学院刘洋表示:“全新部署的POL网络,与传统网络相比,无源的ODN器件极大地提高了施工人员的部署效率,并且降低了后期运维人员的工作量,同时实现了在一张全光网络上进行全业务的承载,包括语音、数据、视频业务和园区的无线覆盖、门禁一卡通等业务。”
中国移动通信设计院高级工程师王海保表示:“当前住宅建筑已有光纤到户的设计施工规范,那么随着未来发展趋势和应用需求的增长,对于企业办公楼、写字楼等类型建筑,将会编写类似的规范以及标准图集,来指导不同场景下光纤网络建设。”
华为一直致力于PON(PassiveOpticalNetwork)技术和POL网络部署方案的研究,在帮助企业构建最佳园区接入网络的同时,愿与产业伙伴一起打造开放、健康的全光产业生态圈,实现合作共赢。
华为全光园区技术方案体验中心揭幕
当日,华为的AgilePOL全光园区技术方案体验中心正式揭幕。该体验中心位于华为西安研究所,能够同时展示传统以太局域网方案和全光园区方案,通过实际的部署对比使参观者能够全方位体验两种方案的差异。来自企业、运营商、建设设计、系统集成、建筑装修等相关领域共一百多名嘉宾见证了揭幕仪式并参观了体验中心。
周军在接受《中国信息化周报》记者采访时表示:“POL解决方案,实际上我们认为非常适合有一定规模的园区宽带提速,包括信息化改造、ICT网络升级、建设等场景。POL在网络建设上对酒店和园区有一定区别,园区相当于是办公的,更多关注的是上网语音、业务体验更快,酒店其实更关注的是娱乐,希望用这套东西解决打电话、WiFi、电视等问题,终端是不一样的。”
AgilePOL全光园区解决方案采用基于PON技术的POL组网方式,利用无源光纤替代传统以太网线完成企业局域网建设,构建网络扁平化、易部署、易管理、大带宽多业务、面向未来平滑演进的新型全光园区网络,让用户更便捷地体验云业务。
企业园区对网络解决方案的需求,是一种非常综合化的需求,对于当前像POL这个园区网络来说华为是其中的一部分。华为也可以向园区提供端到端解决方案的设备商,在当前园区网络,现在处在一个升级换代的阶段。这主要来自于企业业务的一些需求,如今中国宽带2022,以及工业4.0的一些需求,那么传统的宽带网络以及传统的宽带网络的带宽,已经不能满足未来企业业务发展的需要。
如今华为推出来的POL解决方案,是面向未来5-10年的企业园区网络的一个应用网络。POL解决方案,狭义上来讲,就是聚焦在园区接入层的这个网络。
只要能建FTTH的条件下基本都会选择PON,因此华为公司在这个时候推出POL解决方案,华为在合适的时间以及在成熟的技术下,提出来的一个解决方案,并且客户包括企业园区,他们有实实在在的网络改造和网络提速要求。
如今企业园区的业务模型已发生了很大的变化,从原来只是简单的宽带上网、互联互通,到如今的“云”化,业务模型变成了从上至下,从下至上的方式,对于POL网络模型非常适合。周军表示:“如今华为在APOLAN做了联盟成员,我们希望和我们行业伙伴共同把POL解决方案做大做强,而且这个市场容量能够做大。这里头包括我们企业园区的一些,包括楼宇综合布线的规范,光线部署规范,包括一些设备部署规范,包括规格,我们都希望和行业的标准组织,包括一些区域的标准组织来共同制定这些规范,这是我们希望能够持续来做的。另外一个层面和我们的系统经营上,过去他们更熟悉的是传统交换机方式的园区网,我们现在也希望跟他们一起把POL解决方案熟悉起来,面向客户植入更好的企业园区网络建设。”
POL解决方案在实施过程中,也会遇到不同程度的挑战,周军在采访时表示了目前的三个阶段挑战。这三个阶段会遇到不同挑战。第一,在网络规划阶段使用了PON技术,PON技术跟传统网络交换机有很大不同,它涉及到光功率一些数据参数规划,这是和传统以太网交换机完全不同。
第二,在工程部署阶段、布线阶段,在现场施工时,要求工作人员如何更快捷地部署POL网络和有源设备,如果没有好的办法去快速解决光纤和分光器部署,包括入大楼、入办公室等问题,是目前需要解决的问题。
第三是在网络运维阶段,在企业网络运维部门运维人员较少的情况下,就能快速去定位网络问题,包括末端设备故障,排障,甚至快速解决问题,这也是目前华为考虑的问题。
我们在去年看到众多端点安全产品进入市场,它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢?本文就提供了一份路线图,并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。
一、哪几个部分最重要?
端点安全对不同的人来说意味着不同意思。为了便于讨论,我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同,也许现在想实施其中一两个部分,打算将来时机成熟时再升级到其余几个部分。
策略定义:你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略,而且能够轻松修改。
用户检测:不管你的用户是在本地总部还是从远地连接到企业网络,你的系统都应当能够检测到他们。这包括每个客户端上使用或者无的操作。
健康评估:你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下,应当在访问网络之前进行扫描,不过你的系统也应当允许登录之后进行其他检查。
策略执行:你的策略确定了应当保护哪些网络资源,包括交换机、虚拟专用网(VPN)和服务器等等。视策略而定,你应当能够隔离资源或者完全拒绝访问网络。
采取补救:如果客户端不符合策略,接下来会怎样?理想的系统会启动反病毒特征更新、给操作系统打上补丁,或者采取其他措施。记住:目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面,却也是大多数解决方案最薄弱的方面。问题在于,补救起来很棘手,而且需要依赖许多单个的软件和硬件正常工作。
目前正在开发中的有三种总体架构方法:微软的网络访问保护(NAP)、思科的网络准入控制(NAC)以及可信计算组织的可信网络连接(TNC)。
思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中,从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分,因为思科并不提供一切。思科架构的强项在于执行和检测,补救是它的弱项。
TNC一开始是这种概念:使用Radius和802.1x等开放标准对特定的网络客户端进行验证,那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案,所以难怪其强项在于策略定义,弱项在于健康评估。
NAP还没有真正实施到微软的任何产品中,第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救,弱项在于执行,对另外两种架构起到了很好的补充作用。最初,NAP会单单支持WindowsXP和Vista客户端,把其他市场让给另外两种架构。
建议:
不是每个端点解决方案都能够有效地提供五个方面,大多数的强项在于健康评估或者策略执行等一、两个方面,在其他方面比较弱。认真阅读说明书,确定你最初关注的重心。
二、现有的安全和网络基础设施是什么?
下一步就是了解你现有的安全产品组合是什么,端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备,或者不想购买功能与现有设备重复的端点产品,这取决于你何时购买了防火墙、入侵预防设备和验证服务器。
有些产品(如Vernier)自身随带入侵检测和预防系统或者虚拟专用网络网关,这些是端点安全解决方案的必要部分;而另一些产品(如LockdownNetworks)可与现有的IPS、IDS和VPN产品协同工作。如果你准备选购这些产品,这可能是好消息,但要认识到:你的端点安全只能保护远程用户在使用的机器,却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户,你需要实施802.1x验证之类的机制。
思科的NAC假定你使用的所有思科产品都是最新版本:如果不是,那么就要考虑其他架构,除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器,那么支持另外两种架构的产品更有意义。
建议:
如果你没有VPN,或者正在考虑实施VPN,那么Juniper和F5(其次是思科和Aventail)提供的SSLVPN具有相当可靠的端点健康扫描功能。至于已经有企业IPsecVPN的用户,比较适合实施端点安全解决方案,假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支持这种方法。
如果你已经有了切实可行的VPN而现在又不想改动,不妨考虑自身随带802.1x验证服务的产品解决方案,譬如赛门铁克或者Infoexpress的方案。你需要加强验证机制,以便处理下面提到的端点健康评估工具。
如果你需要升级交换机,Nevis和Consentry都提供各自集成了端点安全功能的48端换机。
三、要保护网络上的哪些部分?
接下来要确定你想把端点安全设备放在网络上的哪个部位,想保护企业计算资源的哪些部分。显然,网络上所要保护的部分越多,项目成本就会变得越高。有些设备应直接放在企业防火墙后面,保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好,或者部署用来保护某些子网或者部门级网络。
TNC架构似乎是三者当中最灵活的,适用于最广泛的部署及保护场景。NAP旨在保护微软服务器,而NAC是为思科网络交换机和路由器设计的。
有些设备(如Vernier、Consentry和NevisNetworks)采用嵌入式工作方式,这意味着位于这种设备后面的任何网络资源都会得到保护;只有健康的网络客户机才能通过进而访问这些资源。另一些设备(如Mirage、Forescout和AEPNetworks)采用带外工作方式,通常经由网络跨接端口连接起来,监控某个子网上的所有网络流量;一旦用户通过活动目录或者VPN登录成功通过验证,它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处,就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限,无法处理较大网络的较高吞吐量。
建议:
对于吞吐量需求较高的大型网络,不妨考虑Juniper的端点解决方案,它适用于75Mbps到30GBps的多种吞吐量。
如果无法确定使用嵌入式还是带外式,那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。
四、管理所有桌面系统吗?
下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高(譬如说10%以上),合作伙伴或者承包商使用自己的计算机,或者远程员工不来总部办公室上班,那么你无法轻松接触外面的这些PC。如果你分发软件更新版,牢牢控制桌面PC,就能够更轻松地安装软件,进行健康评估,采取纠正措施。
每种设备都有可能使用三种基本类型的中的一种:
“胖”,也就是每个端点PC上永久安装的可执行文件。
按需,只有PC连接到网络时才存在,通常通过浏览器会话或者网络登录过程的一部分来提供。
无解决方案,不在端点上安装任何软件,但能够与PC上已有的软件协同运行。
问题在于,使用哪一种软件来处理实际工作,要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和IE浏览器版本,但也有一些例外,如果你使用的不是Windows操作系统更是如此。
微软的NAP在这方面的功能最弱,如果你仍在运行WindowsXP之前的版本,功能将更弱。微软已承诺为WindowsXPSP2和Vista推出支持其网络访问保护系统的。如果你使用的Windows版本比较旧,就要寻求第三方供应商。NAC和TNC都旨在更广泛地支持Windows、Mac和Linux等端点操作系统客户端。
有些厂商提供多个,不过有不同的功能及对操作系统的支持。譬如说,NevisNetworks为Windows提供的ActiveX控件可以执行健康评估。对于非Windows客户机,Nevis只能使用无连接,进行最基本的身份控制。
建议:
如果你需要MacOS支持“胖”,不妨考虑AEP、Infoexpress和LockdownNetworks的解决方案。赛门铁克的按需可运行在MacOS和Linux上,但“胖”只能运行在Windows2000和XP上。赛门铁克和Consentry承诺今年晚些时支持MacOS和Linux。
Lockdown和MirageNetworks更进了一步:两家公司都把端点放在了各自的专用虚拟局域网(VLAN)上,因而能够确保有风险的设备与其他设备隔离开来。
想获得完全无的方法,不妨考虑Forescout和Vernier。
五、非PC端点需要管理吗?
想弄清楚使用哪种,一方面要知道你的网络上还有什么,需要管理什么。“胖”无法管理企业网络上运行自身操作系统的非PC设备,譬如打印服务器、网络摄像机和PDA等。这些设备大多有IP地址,运行各自的操作系统,不容易由端点设备来管理。
处理非PC端点的最合适的架构就是TNC方案,它能够兼容类别最广泛的设备。NAC会在网络层实施支持非PC端点的功能;至于微软的NAP,你需要指定策略才能处理这些设备。
大多数厂商提供这种功能:把MAC或者IP地址加入白名单或者对它们进行预验证,那样它们仍可以连接到网络上完成任务。不过,把这些设备加入白名单只是临时解决方案,因为其中一些设备一旦被感染,安全就会受到危及,进而对网络造成危害。Forescout和MirageNetworks都能检测到来自这些专门设备的流量模式出现的变化,并且能够隔离设备。
建议:
你网络上的非PC端点数量可能比你想像的多得多,可能无法轻易把它们隔离到单一VLAN或者网段。要进行认真的现场勘查,确定这些端点与任何计划中的解决方案有着怎样的关系。
六、在何处制订及执行安全策略?
众所周知,任何端点解决方案都会影响到众多计算设备:客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来,你需要作出决定:存放端点策略的集中存储库放在何处;在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地,也有可能是全新的安全设备。
TNC倾向于使用802.1x验证协议作为存储库,不过这是其架构的可选部分,而不是必需要求。NAC比NAP更注重执行功能,至少目前是这样。
建议:
最自然的起步就是使用微软的活动目录作为这样一个策略存储库;而且,微软的NAP确实是为这种目的而设计的,最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能,这看你是如何进行设置的。
另一个解决办法就是使用第三方厂商来完成这项任务,譬如Lockdown、TrustedNetworkTechnologies或者Consentry,不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。
关键词:信息系统,网络安全,现状分析,限制因素,相关建议
引言
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。
1、网络安全问题的产生
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:
a)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。
b)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。
C)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。
d)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
2、网络安全成为信息时代人类共同面临的挑战
美国前总统克林顿在签发《保护信息系统国家计划》的总统咨文中陈述道:“在不到一代人的时间里,信息革命以及电脑进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的新的代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。”
在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2003年,CSI/FBI调查所接触的524个组织中,有56%遇到电脑安全事件,其中38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示,521个接受调查的组织中96%有网站,其中30%提供电子商务服务,这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是,有33%的组织说他们不知道自己的网站是否受到损害。据统计,全球平均每20s就发生1次网上入侵事件,黑客一旦找到系统的薄弱环节,所有用户均会遭殃。
3、我国网络安全问题日益突出
目前,我国网络安全问题日益突出的主要标志是:
a)计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。
b)电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
c)信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个IP地址发起的恶意攻击。
d)网络政治颠覆活动频繁。近年来,国内外反动势力利用互联网组党结社,进行针对我国党和政府的非法组织和串联活动,猖獗频繁,屡禁不止。尤其是一些非法组织有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心,扰乱社会秩序。例如,据媒体报道,“法轮功”非法组织就是在美国设网站,利用无国界的信息空间进行反政府活动。
4、制约提高我国网络安全防范能力的因素
当前,制约我国提高网络安全防御能力的主要因素有以下几方面。
4.1缺乏自主的计算机网络和软件核心技术
我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞:CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害:“我们的网络发展很快,但安全状况如何?现在有很多人投很多钱去建网络,实际上并不清楚它只有一半根基,建的是没有防范的网。有的网络顾问公司建了很多网,市场布好,但建的是裸网,没有保护,就像房产公司盖了很多楼,门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络的安全性能大大降低,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4.2安全意识淡薄是网络安全的瓶颈
目前,在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物,许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及,安全意识相当淡薄,对网络信息不安全的事实认识不足。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。总体上看,网络信息安全处于被动的封堵漏洞状态,从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来,国家和各级职能部门在信息安全方面已做了大量努力,但就范围、影响和效果来讲,迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面,整个信息安全系统在迅速反应、快速行动和预警防范等主要方面,缺少方向感、敏感度和应对能力。
4.3运行管理机制的缺陷和不足制约了安全防范的力度
运行管理是过程管理,是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看,有以下几方面的缺陷和不足。
a)网络安全管理方面人才匮乏:由于互联网通信成本极低,分布式客户服务器和不同种类配置不断出新和发展。按理,由于技术应用的扩展,技术的管理也应同步扩展,但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平,都无法适应信息安全形势的需要。
b)安全措施不到位:互联网越来越具有综合性和动态性特点,这同时也是互联网不安全因素的原因所在。然而,网络用户对此缺乏认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就无法发现和及时查堵安全漏洞。当厂商补丁或升级软件来解决安全问题时,许多用户的系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。
c)缺乏综合性的解决方案:面对复杂的不断变化的互联网世界,大多数用户缺乏综合性的安全管理解决方案,稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术),但这些用户也就此产生了虚假的安全感,渐渐丧失警惕。实际上,一次性使用一种方案并不能保证系统一劳永逸和高枕无忧,网络安全问题远远不是防毒软件和防火墙能够解决的,也不是大量标准安全产品简单碓砌就能解决的。近年来,国外的一些互联网安全产品厂商及时应变,由防病毒软件供应商转变为企业安全解决方案的提供者,他们相继在我国推出多种全面的企业安全解决方案,包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案,以及企业管理解决方案等一整套综合性安全管理解决方案。
4.4缺乏制度化的防范机制
不少单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时,政策法规难以适应网络发展的需要,信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点,给侦破和审理网上犯罪案件带来极大困难。
5、对解决我国网络安全问题的几点建议
就政府层面来说,解决网络安全问题应当尽快采纳以下几点建议:
a)在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。
b)建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况,提高政府的管理职能和效率。
c)加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状,对各种信息主体的权利、义务和法律责任,做出明晰的法律界定。
d)在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
e)加强我国信息安全基础设施建设,建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统),与信息安全管理体系相互支撑和配合。