信息安全是否需要软硬兼施

　　本报记者 孙永杰

　　信息安全已经成为IT领域当之无愧的热点。来自IDC的数据显示，在中国，信息安全产品市场在2004年、2005年都获得了30%左右的增长，未来两年仍将继续保持高速增长的态势。最近，相关厂商在信息安全领域动作频繁，先是东软推出网络安全管理新产品，接着金山软件正式推出了自己的“防火墙、防毒墙、防水墙”，正式进军企业信息安全市场，最后是

曙光携安全产品杀进信息安全领域。实际上，包括曙光在内的众多网络设备厂商、基础软硬件厂商和解决方案服务商都在努力向安全领域渗透。那么传统的硬件厂商进入信息安全市场意味着什么？他们的进入会给市场带来什么样的变化？信息安全市场是否需要软硬兼施？本专题将就此进行论述。

　　信息安全需要综合防护体系

　　目前国内各行业、各部门开始萌生信息安全的意识——从最初的“重视

　　首先，大的行业客户对安全的需求会“从单一信息安全产品发展到综合防御体系”，“从某一点的安全建设过渡到整个安全体系的建设”。其次，信息安全部署的重点开始由“网络安全”向“应用安全”嬗变。咨询、建设、外包的模式会逐渐普及。再次，国内信息安全企业将在市场上逐渐占据主流。一方面，在服务和建设方面，国内的安全企业一直拥有优势。众所周知，对于信息安全建设来说，服务比产品更重要，国外安全企业由于人力成本太高，很难做到本地化、定制化地满足客户需求，而在这方面，国内企业有明显的优势；另一方面，国内安全企业的产品也开始在市场上占据主流，目前国内企业已在中低端市场巩固住了优势。最后，从客户业务的层面看，应用安全和安全管理会逐渐热起来。安全外包目前还处于试探性阶段，但可能会成为将来安全建设的热点。

　　TPM让信息安全从底层做起

　　体现整体安全思想的“可信计算”、“可信网络”、“可信应用”已经成为信息安全发展的趋势，2005年受到了国内知名厂商的广泛关注，并掀起了可信性研究和产品开发的新高潮。今年，从信息安全综合防御体系的角度出发，TPM再度引起了人们的关注。

　　兆日技术有限公司营销副总裁高克勤在接受《中国电子报》记者独家采访时称，与普通PC相比，安全PC的优势在于：首先，硬件级的密钥保护，TPM安全芯片可密钥保存在自己的寄存器中，独立于计算机的传统存储系统(如硬盘)，这样传统的攻击方法难以窃取密钥；其次，唯一的身份标识：TPM安全芯片中存有代表该芯片的身份识别号，每块安全芯片的身份识别号是唯一的，这样安全PC就相当于有了“身份证”，可以以此来验证自己的身份；第三是完整性度量，安全芯片具备系统完整性测量的能力，即事先采用Hash算法对完整、安全状态下的硬件和软件环境进行一次特征运算，并保存这个值，下次当PC检测到系统因遭受破坏而计算所得的特征值不一致时，会给出警告。在软件方面可以利用这个特性开发出各种应用，如自动系统恢复，当操作系统核心文件被更改或删除时，进行自动修复，这样可以保证PC系统始终处于健康、完整的状态。

　　软硬兼施是未来主流

　　针对不断增加的信息安全威胁，单依靠传统的软件，或者单靠软件厂商已经不能满足如今的信息安全需要。为此，软硬兼施就成了未来信息安全市场的主流。

　　所谓软硬兼施，我们不妨打个比方，信息系统好比一个小区，作为核心的设备服务器就相当于居住的房子，人们住在里面的舒适度就等于我们平时用服务器是否流畅、快速、简单。如果把整个信息系统比作一个小区的话，作为核心设备的服务器就是小区中的房子，首先房子本身就要求安全可靠，但仅有服务器的安全还不够，还需要其他安全措施来保障整个信息系统的可靠。我们可以形象地把防火墙比做小区的出入保安系统，把网络型IDS看成小区里的闭路监视系统，把安装在服务器上的主机型IDS看做门禁系统，网闸就像是两个小区之间的通道等等，软硬兼施要做的就是从服务器到信息系统，从硬件到软件，为用户部署一种全方位的、深度的、自主可控的安全防护体系。

　　曙光公司信息安全事业部总经理邓洪升告诉《中国电子报》记者，服务器是整个产业链的中间环节，用户要求整体及解决方案，那么信息安全、软件以及操作系统等都是服务器应当提供的整体解决方案。这过程中不仅仅是针对网络安全而设定的，还包括存储安全、服务器安全等环节，所以曙光发展信息安全产品是天经地义的。当然从另一个层面看，仅仅了解用户需求，而不能落实到产品真正的需求，那么做的依然是无用功，毕竟用户的需求是需要伴随产品发展不断满足的，可以断言，只有对自身产品了解后，才能清楚了解到用户的需求，最终设计出来的信息安全产品才是最有效的。2006年我们逐步以防火墙、IDS为切入点，希望能够在信息安全市场制造一个有影响力的产品出来。

　　东软相关负责人对《中国电子报》记者讲，信息安全市场单纯的软防护和硬防护，在某种程度上他们有着不同的关注点。安全管理系统和网络管理系统不同。后者主要管理交换机、路由器等有限的设备，相应的因素都是确定性的；安全则完全不是这样，许多影响网络安全的因素是不确定的，其中的原因很难通过一套“死”的系统分析和判断出来。例如网络突然宕掉了，其中的原因很多，可能是

　　趋势科技认为，产品的形式是硬件还是软件，是基于如何更好地满足客户的需求，它们本身并不矛盾。比如趋势科技的互联网网关安全解决方案，就既有软件又有硬件。

　　兆日技术有限公司营销副总裁高克勤称，用户和业务的需求增长以及企业网络体系日趋复杂，单一的依靠软件安全防护已不能满足客户的需求，特别是软件实现存在效率低以及安全隐患的问题。专用硬件具有处理能力强、硬件安全存储等特点，因此软硬件结合已经成为信息安全发展的一种趋势。由于硬件厂商在芯片设计、制造上具有得天独厚的优势，因此它们可以很快地进入安全市场，同时推出的产品也具有很强的竞争力。

　　相关链接

　　什么是可信计算

　　“可信计算”的概念开始在世界范围内被TCG提出是在1999年，“可信计算”技术的核心是称为TPM(可信平台模块)的安全芯片。TPM实际上是一个含有密码运算部件和存储部件的系统级芯片。可信计算平台考虑的是如何以TPM和相关安全芯片为基础构建可信的计算机系统，形成基础的可信计算环境，每个纳入到可信计算平台中的硬、软件部件必须通过TPM或安全芯片的可信认证和监管。可信计算平台解决的是计算机范围内资源应用的可信问题，这种可信是相对于该计算机资源的拥有者而言的。可信网络(可信接入)领域则重点考虑利用网络监管系统来解决网络范围内的资源使用者及其活动的可信性问题，这种可信性是相对于整个网络资源的拥有者或应用者而言的。显然，可信计算以及可信网络的研究都是为了最终提高系统或网络资源的有效利用，保障系统或网络用户对其业务应用的可信性。也就是说，在信息化网络世界中的可信性研究最终都是为了用户业务应用的可信性。

　　20大互联网安全隐患

　　计算机安全研究组织SANS发布2005年“20大互联网安全隐患”排行榜。据榜单显示，Web应用、杀毒软件、微软产品以及思科网络产品所存在的漏洞均被列入20大威胁之列。其中，五大Windows安全隐患包括：Windows服务、IE浏览器、Windows Libraries、Office和Outlook、Windows配置隐患；二大Unix安全隐患包括：Unix配置隐患和Mac OS X系统;三大网络产品隐患包括：思科IOS及非IOS产品、Juniper、CheckPoin和赛门铁克的网络产品、思科的设备配置隐患；十大跨平台应用隐患包括：备份软件、防病毒软件、PHP应用、数据库软件、文件共享应用、DNS软件、媒体