ccxx

　　 信息安全风险评估在我国已经快速发展，目前碰到了哪些问题？10月12日，由中国信息协会信息安全专业委员会暨国家信息中心信息安全研究与服务中心联合主办的“信息安全风险评估与信息安全保障体系建设研讨会”上，专家们认为五大问题影响到当前信息安全风险评估。

　　这五大问题分别是：第一，绝对安全的观念束缚着风险管理思想的树立；第二，主管上风险意识淡薄影响着对我国信息安全上面临高风险形势的认识；第三，现代信息网络已成为复杂系统，现有的风险管理理论和手段难以完全满足要求；第四，风险管理理论研究与信息安全实践结合得不够紧密；第五，现有的风险评估方法有待完善。

　　面对这些问题，国家信息中心的首席工程师宁家骏建议，希望国家相关部门联合进行风险评估研究，对风险评估的核心技术进行突破。

ccxx

网络安全八大趋势

       从1995年开始，中国的互联网商业化之后，互联网产业已经取得了很大的发展。政府和企业纷纷上网，电子政务和电子商务如火如荼，互联网和内部网络的安全问题被提上议程。网络安全市场在2002年开始高度成熟，竞争日益激烈。2001年，加密、防火墙和防病毒是我国网络安全市场的三大支柱。2002年，中国网络安全市场进入高速成长期，防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。从目前的市场需求来看，预计物理隔离网闸、抗攻击网关、防火墙、防病毒网关、身份认证、加密、入侵检测和集中网管，将成为2003年安全市场的八大趋势。

一、物理隔离

解决方案：物理隔离网闸
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网，要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下，尽可能安全。两者是完全不同的产品。
物理隔离的思路，源于两台完全不相连的计算机，使用者通过软盘从一台计算机向另一台计算机拷贝数据，有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接，就不会有基于网络的攻击威胁。

二、逻辑隔离

解决方案：防火墙
在技术上，实现逻辑隔离的方式有很多，但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
防火墙的主要评价体系包括：性能、安全性和功能。实际上，这三者是相互矛盾、相互制约的。功能多、安全性好的技术，往往性能受影响; 功能多也影响到系统的安全性。

三、防御来自网络的攻击

解决方案：抗攻击网关
网络攻击特别是拒绝服务攻击（DoS），利用TCP/IP协议的缺陷，有些DoS攻击是消耗带宽，有些是消耗网络设备的CPU和内存。其中，具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等，其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口，比如 80， 造成服务器的资源耗尽，系统停止响应甚至崩溃。而连接耗尽攻击，则使用真实的IP地址，发起针对网络服务的大量的真实连接来抢占带宽，也可以造成 Web 服务器的资源耗尽，导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
抗攻击网关能识别正常服务的包，区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击，因此抗攻击网关的防御能力必须达到10万以上。

四、防止来自网络上的病毒

解决方案：防病毒网关
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点，如果某台计算机发现病毒，说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的，旧的杀病毒软件一般不能检测和清除。
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒，只需要更新防病毒网关，而不用更新每一个终端软件。

五、身份认证

解决方案：网络的鉴别、授权和管理（AAA）系统
80%的攻击发生在内部，而不是外部。内部网的管理和访问控制，相对外部的隔离来讲要复杂得多。外部网的隔离，基本上是禁止和放行，是一种粗颗粒的访问控制。内部的网络管理，要针对用户来设置，你是谁？怎么确认你是谁？你属于什么组？该组的访问权限是什么？这是一种细颗粒的访问控制。
在一般人的心目中，基于Radius的鉴别、授权和管理（AAA）系统是一个非常庞大的安全体系，主要用于大的网络运营商，企业内部不需要这么复杂的东西。这种看法越来越过时，实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告，单位内部的AAA系统是目前安全市场增长最快的部分。

六、加密通信和虚拟专用网

解决方案：VPN
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网（VPN）有很大的市场需求。IPSec已经成为市场的主流和标准，不是IPSec的VPN在国际上已经基本退出了市场。
VPN的另外一个方向是向轻量级方向发展。

七、入侵检测和主动防卫（IDS）

解决方案：IDS
互联网的发展，已经暴露出不可避免的缺点: 易被攻击，技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
针对黑客的攻击，从技术路线上来讲，早期的思路是加强内部的网络安全、系统安全和应用安全，安全扫描工具就是这样一类产品。但是，扫描是一种被动检测的方式，入侵检测和主动防卫（IDS）则不同，是一种实时交互的监测和主动防卫手段。

八、网管、审计和取证

解决方案：集中网管

网络安全越完善，体系架构就越复杂。管理网络的多台安全设备，需要集中网管。集中网管是目前安全市场的一大趋势。
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误，实际的网络安全也就存在问题。因此，技术越先进，审计功能就变得越重要。
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘，还具有非常特殊的意义，比如，可了解内部人员使用网络的情况，或对外部用户感兴趣的公司产品和内容进行总结，了解用户的兴趣和需求等。
从2000年的三大主流产品，2001年的四大产品，到目前的八大安全产品，反映出用户对网络安全的重视和安全市场的成熟。