图文：华为公司安全解决方案部部长刘立柱演讲

图为：华为技术有限公司安全解决方案部部长刘立柱演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：华为技术有限公司安全解决方案部部长刘立柱演讲 (骆磊 摄)

　　以下为刘立柱的发言实录：各位来宾大家下午好！今天有幸在这里和大家一起分享华为在经过多年自身的信息系统安全实施，以及多年服务网络运营商经验的基础上，总结免疫网络和终端安全的解决方案。今天上午大家听到每位专家不断讲安全各种各样的问题，我们在这个角度上做进一步的阐述。

　　对于今天上午听到安全方面的概念做了一个总结，叫传统安全防护体系的分析，基于传统安全防护体系优点比较明确的是分层分级的防护和产品丰富性，通过对安全漏洞不断深入分析研究，提升整体的安全结构，但是它也存在一定不足，主要体现在，传统安全防护是对已知漏洞的防护还缺乏对安全风险源头控制，特别企业安全来讲我们做过一个实例分析也做过信息的收集。

    大量安全隐患来自终端的网络，终端给这个企业的安全带来风险可以用二八原则定义，80%网络安全来自业务终端，对业务终端管理是安全重要的课题传统安全课题怎么跟电信业务结合，也是华为关注的重点。在这基础上我们提供了网络安全演进的分析，现在是纵深防御网络，通过多样性安全产品部署实现多层分域安全防护，安全服务集中于产品的维护上。针对企业安全来讲要更多考虑端到端的架构，刚才戴总介绍中国 移动经验体会上介绍的，安全永远是三分技术七分管理，在管理有了相应的体制和制度之外，更要考虑安全本身在管理上的技术实现，这是我们提倡的免疫网络。

    为什么是免疫网络就是构建这样一个体系，实现从用户地域得终端到计算地域得业务系统，到服务域的安全服务，以及整个网络层面都可以实现安全的信息自我防御和信息联动，通过体系的构建完成之后，在整个安全的实现中可以实现全网联动。基于这样一个概念可以畅想未来可信任网络的概念，整个企业的网络安全是基于一个可信任的网络形成的，从业务的接入，网络的接入和使用上都是基于可信任的，这就是我们所倡导的网络安全的演绎趋势。

　　华为的免疫网络安逸的理念基于三点，首先我们倡导从源头控制，正如刚才介绍说的一样，整个网络的安全很多风险和不安全因素大量来自终端，终端本身通过非认证的软件、或者通过移动介质的拷贝带来和引入很多不安全的因素，比如在企业构建网络的时候对内网用户的弱防护，所以对终端的源头控制，对于安全风险的控制是对满意网络最重要的支点。

    整个源头控制定义为安全检测，危险隔离，风险清楚、安全策略的更新，这也是跟大家分享的重点，基于源头控制的终端安全管理解决方案。其次对业务系统的健壮性，包括漏洞扫描，防范评估，建立安全基准和加固和计算机清除。很多其他的发言者都不断提到业务系统安全的概念，其次就是管理的概念，怎么基于一体化的深度业务检测和联动怎么实现风险的收集，统一管理和风险的规避，这在整个安全体系中是对企业来讲是最重要的工作，通过三点一块控制，实现端到端，从源头到业务系统的使用，到整个安全的风险防范是一体化的概念。

　　下面介绍一下在源头控制终端安全解决方案的体会和实践经验，华为自己在多年系统的构建和信息系统的改进上，不断体会到很多安全的风险来自于终端，对终端这一块通过跟自身的体会也提出一个分析现状，终端安全管理现状，不仅威胁终端自身的安全，更多对网络和主机造成极大的威胁，这体现在四个方面，一个终端自身的安全，会造成大量业务终端，特别我们在OA办公系统中使用的，比如运营商在生产系统中使用的终端，包括自身各个企业使用各个业务系统中面临要操作这个终端，实际上安全的风险来自于人，人的第一体现者就在终端上，怎么封闭和管理这个终端的安全是非常重要的。除了终端安全之外会造成一些感染性风险，比如病毒大规模散播，还有终端滥用资源，比如终端自身感染病毒会引起网络风暴，还有终端非授权访问，这也是所有企业面临安全课题时最头疼的问题，怎么样让企业的业务顺畅运行，又避免出现信息安全的问题，因为信息安全作为企业来讲已经上升为企业的核心资产。还有一些终端的蓄意破坏，有一些企业内部不健壮性，通过终端来进行网络破坏和帐号口令的盗取。

　　如何降低终端对服务器网络构成的威胁，要对终端进行相应的身份认证和安全检查，实现一体化对终端的防护，所有终端在进入网络之前要通过客户端到安全策略服务器上认证和安全策略检查，通过之后才准许终端系统访问相应的业务系统，这作为整个安全认证第一关，如果不符合要求就要进行相应安全的修补，包括针对安全策略进行检查，进行补丁的下载，进行强制杀毒安全权限的补任，修补之后又进行安全检查，这样形成一体的循环。只有被信任之后才能使用这个业务系统，这是我们所说的对终端安全管理的基本概念。五

　　用一句话来说，借助人类成功的防范SARS传染疾病的经验，其实可以设想一下安全最大的风险还是来源于个体，个体中很多不安全性，如果能够利用业务系统中的一些漏洞，因为业务系统中漏洞是防不胜防的，只有对终端进行强制性检查，隔离、加固和管理的模式之后才能对终端进行安全的管理，针对这一点我们在安全的管理模型上提出四个概念，一个就是进行用户终端的检查，这个检查包括用户终端的身份，用户终端的权限，用户终端的安全，这是通过在整个方案里面用安全网关的方式实现的。第二个对于非法用户终端进行隔离，对于合法用户越权访问进行隔离，不允许访问我的业务网络，不允许进入核心的业务域，这自然把风险隔开了，其次就是对于不安全的用户进行终端安全加固，包括加载必要的安全系统补丁，应用系统补丁，以及相应防范病毒的软件，加载最新的主机防火墙等等，这样帮助最终的终端进行自身的加固和安全的管理。其次通过后端的

　　对于华为终端安全管理系统，整个系统构架分为三个部分，第一个是安全策略服务器，主要对于终端集中控制管理和加固，提供统一的安全策略，包括对终端来讲要加载什么样防火墙，防病毒软件，

　　从整个业务流程上来讲，用户终端必须经过安全策略服务器的认证，才能到安全控制网关上打开相应的权限，发送回复信息给安全策略服务器，允许企业登陆相应的业务网络使用业务系统，对于没有通过安全策略服务器的用户终端需要修补相应的内容，去重新定制和下载相应用户安全的补丁，还有修补它的安全策略或重新加载防病毒软件。经过修补信息库的重新检测，修补成功之后才能成功通过安全策略服务器的认证，通过安全接入网关权限来使用这个业务系统，从这样的体系看，通过这样的构架部署和实现，可以直接让企业有效的管控整个企业网络的安全，直接实现所有不同用户对不同业务网络，对不同业务系统，有合理的权限和整个企业自身定制安全策略下使用的安全网络，这就是所说对终端免疫的网络化的概念，其他还有对业务系统的免疫概念，这次会议就不介绍了。

　　通过这样一个体系结构，安全的部署和策略的实施，华为终端安全管理，实现了这么几个价值，第一个是构建了一个开放性标准性和可扩展性的标准安全体系结构，通过这个结构企业很容易将整体企业网络安全和业务系统安全，信息安全的标准进行固守和实施，同时可以实现有效的管理，我们说三分技术，七分管理中七分管理，大量靠人为审核管理的工作，可以由这样一个系统实现自免疫，第二个为企业建立自动自我防御，之我安全加固的自免疫安全系统，帮助更好防御外来攻击，这是从整个企业网络的安全，还有信息安全的角度上来看的，70%-80%安全风险的隐患被这样一个系统主动屏蔽比掉，另外彻底解决不安全终端给安全网络带来的安全威胁，例如病毒、蠕虫等等问题，这样为企业业务系统顺畅运行创造一个非常好的条件。第四个在实施部署中，对自身的网络改造非常小，通过这样一个三位一体的实施，整个帮助企业大大提高企业安全的可实现性，也很大程度降低了企业在安全上进行开支的成本。

　　整个华为的终端安全解决方案就介绍到这，谢谢大家！