风险、安全、可信、创新 --2005 年中国信息安全市场年度综述

【作 者】：于海波          【出 处】：中国计算机安全

      2005 年，网络世界面临无处不在的隐患与无处不在的威胁，风险评估、风险控制、风险管理被不断地提及并被升华为一个更高的层面，它们是信息安全建设的基础，它们应该更多地引起人们的重视； UTM 、 IPS 、内容安全、应用安全、行为管理、安全运营 SOC ，占据了记者有限的版面空间与安全厂商研发投入的大半，信息安全技术抛开防火墙、防病毒、 IDS 老三样，是否要变天；安全芯片 TPM 、可信计算机、可信网络、可信应用，一个 “ 可信 ” 了得，引发厂商无限想象空间与用户的翘首以待；创新，特别是信息安全领域的创新，是国家的期待与无数厂商的梦想与追求。 
      所以简单地用八个字来概括 2005 年的中国信息安全市场：风险，安全，可信，创新。 
1. 无处不在的隐患与威胁，让人们充分认识风险
      计算机安全研究组织 SANS 发布了 2005 年 “20 大互联网安全隐患 ” 排行榜。据榜单显示， web 应用、杀毒软件、微软产品以及思科网络产品所存在的漏洞均被列入 20 大威胁之列。其中 , 五大 Windows 安全隐患包括： Windows 服务、 IE 浏览器、 Windows Libraries 、 Office 和 Outlook 、 Windows 配置隐患；二大 UNIX 安全隐患包括： UNIX 配置隐患和 Mac OS X 系统；三大网络产品隐患包括：思科 IOS 及非 IOS 产品、 Juniper 、 CheckPoin 和赛门铁克的网络产品、思科的设备配置隐患；十大跨平台应用隐患包括：备份软件、防病毒软件、 PHP 应用、数据库软件、文件共享应用、 DNS 软件、媒体播放器、即时消息应用、 Mozilla 和 Firefox 浏览器、其他跨平台应用。 
看一看我们的网络基础设施、我们的服务器和桌面以及上面安装的软件，隐患真真无处不在。根据行业人士试验得到的反馈，在 2005 年，一台未打补丁的系统，接入互联网，不到 2 分钟就会被各种漏洞所攻击，并导致电脑中毒。因此，今年虽然病毒的感染率呈现出下降的趋势，但病毒仍然存在巨大的危害，并且利用漏洞的方法仍是病毒传播的最重要手段。
       再看一看面临的威胁。据统计， 2005 年平均每天有 30 个病毒出现。除传统的病毒、垃圾邮件外，危害更大的间谍软件、广告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列，间谍软件的危害甚至超越传统病毒，成为互联网安全最大的威胁。同时，有关反病毒专家预测， 2006 年， “ 间谍软件 ” 对网络安全危害的发展势头将会表现得更为猛烈。
       针对 1.2 万家信息网络使用单位，涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的公安部 2005 年度全国信息网络安全状况暨计算机病毒疫情调查结果显示： 2005 年，感染过计算机病毒的用户数占被调查总数的 80% ，计算机病毒感染率首次下降，而 2004 年为 87.9% 。多次感染计算机病毒的比率为 54.7% ，较 2004 年下降 2.3% 。网页浏览、电子邮件和网络下载是病毒传播的常见途径，利用即时通信等传播计算机病毒的情况增长较快，计算机病毒本地化的趋势更加明显，专门盗取互联网用户账号、密码的木马程序和具有僵尸网络特征的计算机病毒感染率增长快。病毒技术逐步被应用到 “ 网络钓鱼 ” 活动和 “ 僵尸网络 ” 中，今年调查期间出现的蠕虫病毒大都具有僵尸网络特点。 2005 年中国有将近 90% 的用户遭受间谍软件的袭击，同期的间谍软件感染率则大大高于去年，由 2004 年的 30% 激增到 2005 年的 90% 。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。 2005 年病毒造成的危害主要是网络瘫痪，接近总数的 20% ，而前两年病毒危害集中在系统崩溃，这表明蠕虫病毒造成的网络问题越来越严重。 2001 年因计算机病毒造成损失的比例为 43% ，今年为 51.27% ，这表明计算机病毒造成的危害正在加剧。 
       网络钓鱼作为一个网络蛀虫，自从 2004 年出现以后，迅速成为威胁互联网安全的主要攻击方式。据国家计算机病毒应急处理中心统计，目前中国的网络钓鱼网站占全球钓鱼网站的 13% ，名列全球第二位。黑客攻击日益带有经济利益倾向，哪里有经济利益，那里就有攻击发生，黑客永远在不停地寻求能够获取巨额经济利益的最简单途径。目前在国际上以 3000 台为一组的 “ 僵尸网络 ” 每天的出租价格是用美元来结算的，且价格不菲。怪不得连微软董事局主席比尔 ? 盖茨也认为网络安全是微软面临的最大技术挑战，甚至认为安全威胁必然是未来可预见的最大问题。 
       无处不在的漏洞与威胁，让我们深深地体会到了安全的风险。今年发生的多次电信网络的瘫痪，更给我们敲响了警钟。 2005 年 4 月 11 日 22 点左右，一起全国性的断网事故发生了，大批习惯于网络生存的网民们被硬生生地拽出虚拟世界，紧接着各地的电信系统报障电话迅速接到了大量用户的投诉。 3 个月后， 7 月 12 日下午 2 时许，承载着超过百万规模用户的北京网通 ADSL 和 LAN 宽带网突然同时大面积中断，大约 20 万北京网民因受这次事故的影响而无法正常上网。事故发生以后，众多网民通过各种渠道，表述自己对网络安全的质疑，这其中也有对相关设备使用的疑虑，新浪网对 “7?12” 网瘫事故进行的网络调查结果显示，超过 70% 的网民认为，如果我国电信部门在关键设备上过度使用国外产品，必将带来网络安全问题。 
2. 安全技术向纵深化发展
       2005 年的中国信息安全产品市场，除传统的三大件产品：防火墙 /VPN 、防病毒、 IDS 依然保持较高增长外，一些新兴安全产品经过几年的发展后，逐渐成熟并再市场中得到应用，安全技术日益向纵深化发展。 
2.1 UTM 预热，技术上需提高，超越防火墙尚需时日 
       自从 IDC 提出将集成防火墙、防病毒、入侵检测等功能的安全网关设备命名为统一威胁管理（ United Threat Management ，简称 UTM ），一时间引领了信息安全行业的新潮流。在 2005 年， UTM 逐渐成为业界的一个流行词汇，除国外厂商 FORTINET 、 WatchGuard 等大打 UTM 概念外，国内一些新兴厂商也试图分一杯羹。关于这一概念的种种说法以及用户使用后的感觉，虽然意见不一，但总归还都受到了业界人士的提倡。 
       毫无疑问， UTM 能够对多种安全威胁进行集中处理，降低用户成本；同时降低了应用的复杂性和繁杂的操作过程，并减少了后期的维护量；也使安全政策容易统一定义，安全规则的一致性检验更加容易。 
       为实现 UTM ，强调采用无缝集成多项安全技术，达到在不降低网络应用性能的情况下，提供集成的网络层和内容层的安全保护。这一目标面临多种技术的挑战： 
       首先是如何用硬件技术实现高速的加密 / 解密、实时内容分析与处理、特征匹配和数据包扫描、流量整形、防火墙功能，显然 X86 架构不能够满足要求， ASIC 加速技术或 ASIC 与 X86 的组合技术可能是目前最好的选择。尽管如此，目前最好的 UTM 产品，在性能上，特别是对内容保护的性能上，仍然不如人意。
         其次，必须有一个定制的或专用的操作系统，强化安全的 OS 需要提供精简的、高性能防火墙和内容安全处理平台。而这对于大多采用开放 LINUX 或 BSD 操作系统的安全厂商显然是一个难点。同时，在一个专用 OS 上，一体化安全的概念在不同产品及不同安全功能模块的联动性与协同性也有待完善。 
         第三， UTM 要对已知和未知的威胁如入侵行为和病毒蠕虫攻击进行全面的检测，这个目标对专用的 IDS/IPS 或是防病毒网关产品都是一个挑战，无论在性能上还是功能上。显然， UTM 要做到这一点很难，现实的做法是减少检测病毒或攻击的种类，在提高整个系统的检测精确度上下功夫。