中興網安：構建網絡秩序打造平安網絡

　　互聯網安全問題日益嚴峻和復雜。為了進一步加強和完善信息網絡管理，提高對虛擬社會的管理水平，打造一個安全、有序、和諧、可控的“平安網絡”，亟需建立新的互聯網秩序管理體系和全程全網的安全防御體系。以“構建網絡秩序、打造平安網絡”為主題的國內首個“平安網絡”專題研討會暨“CTM一體化協同安全網關產品發布會”今天在北京香格里拉飯店召開。來自工信部、公安部、科技部等主管部門的領導，國家信息化專家咨詢委員會等單位的專家，電子政務、教育、網吧、電信、互聯網等行業用戶代表，以及媒體記者約300余人參加了本次會議。

　　互聯網的發展已經經歷了幾十個春秋，相關的信息安全技術手段和產品越來越多，投入的人力物力也越來越大，可是我們發現網絡安全形勢卻越來越嚴峻。網絡上的信息系統之所以易受攻擊，是因為網絡系統具有開放、快速、分散、互聯、虛擬、脆弱等特點。網絡用戶可以自由訪問任何網站，幾乎不受時間和空間的限制。信息傳輸速度極快，病毒等有害信息可在網上迅速擴散和放大。網絡基礎設施和終端設備數量眾多，分布地域廣闊。各種信息系統互聯互通，用戶身份和位置真假難辨，構成了一個龐大而復雜的虛擬環境。此外，網絡應用軟件和系統平臺也存在許多技術漏洞，為攻擊者提供了可乘之機。這些特點都給網絡虛擬社會的管控造成了巨大困難?？吹竭@些層出不窮的網絡安全問題，人們禁不住要問：現在我們已經有了各種各樣的網絡安全產品，從防火墻、VPN，到統一威脅管理設備UTM，到員工上網行為和內容審計管理到各種安全防御軟件……為何還是不能保障網絡安全？

　　研討會上，一些專家提出，網絡社會這一虛擬社會和現實社會一樣，存在治安問題和秩序問題。我們經常談論的網絡安全，大部分是針對網絡違法違規行為控制，相當于網絡治安管理。網絡安全技術集中在發展網絡攻防系統，很少關注網絡秩序管控問題，對網絡社會的突發性事件缺少感知、指揮、記錄和追溯的手段和系統。如今，虛擬世界的災害事件已經波及到了現實世界，對社會的經濟、政治與文化等領域造成了巨大的影響和嚴重的威脅，構建網絡秩序已成為互聯網信息安全領域不可回避的命題。

　　與會專家和廠商、用戶代表還就網絡虛擬社會面臨的新挑戰、需要怎樣的新技術支撐、當前市場上存在的技術能否應對這些挑戰、如何從根本上解決網絡虛擬社會安全問題、平安網絡的內涵和實現方式、未來網絡安全技術的發展方向等話題進行了熱烈的討論。

　　“所謂‘平安網絡’是一個能夠系統、綜合、全面地解決互聯網安全秩序問題的大型管理體系。它應該是全程、全網、協同防御的，不僅具備網絡感知、全信息記錄和海量存儲功能，還能夠實現對互聯網流量的指揮、調度、攔阻和限制，并且能在網絡安全事件發生后進行信息分析和源頭追溯，以分布式部署和全程協同防御機制來實現網絡社會中的治安管理、交通流量控制、聯防安全監控和應急指揮管理等安全保障體系。這就像是網絡空間上的平安城市一樣，實現網絡安全狀態可感知，可記錄，可指揮，可追溯。”北京中興網安科技有限公司CEO朱永民這樣對“平安網絡”進行定義。

　　這兩年國內推廣“平安城市”項目的核心在于建設、完善一套集社會治安綜合治理、城市交通管理和應急調度指揮于一體的城市秩序綜合安全管理系統，支持多級聯動預警部署和協同防范機制，需要通過分布式的公共交通及安全監控記錄與控制點，以及統一調度和應急通信指揮綜合管理平臺的建設，實時監控記錄和同步指揮調度城市公共區域的治安和秩序管理，實現城市安防從“事后處理”向“事前預防”、“事中控制”轉變，提升城市的秩序管理和安全程度。“平安網絡”的信息通暢和信息內容安全問題，同樣可以通過類似的方式解決。在網絡社會里，同樣需要建立一種像“平安城市”一樣的“平安網絡”安全保障系統，對應于現實生活中的交通紅綠燈系統、攝像監控存儲系統和協同聯動管理及統一調度體系。它可以分級部署在網絡公共安全管理區域，監控并記錄網絡信息傳輸交換，形成“事中記錄，事后追查”的網絡安全管理機制；也可以部署在企業內部，就像現實生活中在銀行等關鍵位置部署的安全防范措施，有防入侵盜搶的安全隔離和電視監控系統，還有110聯動報警系統，起到全程全網“實時預警”的防御體系。

　　此外，北京中興網安科技有限公司還在會上發布了該公司研發的一體化協同安全網關CTM（CollaborativeThreatManagement）產品。目前市場上的各種信息安全技術和產品，如傳統的防火墻、IPS、UTM等網絡安全設備，大多屬于網絡安全攻防系統，較少關注網絡秩序管控問題；而各類網絡內容審計和上網行為管理產品也大多解決的是局部區域內的網絡行為規范管理、條件信息記錄和應用保護，而對于網絡區域內個信息系統之間的互聯傳輸和訪問控制等缺少邊界管理、全程審計和安全事件協同處理的能力。中興網安公司依據自身對信息網絡發展歷程的分析，研究網絡安全保障體系存在的問題，提出‘平安網絡’的理念，結合多年的網絡安全產品研發與系統服務經驗，基于建立全程全網協同防御體系的設計思路，有針對性地開發出了一體化協同安全網關CTM，它不僅能完整記錄和海量存儲一定時間內的所有網絡數據信息，以備后續審計取證；還能根據一定的策略，限制或允許特定的流量；它還可實現網絡內多臺CTM設備的協同管理來實現網絡聯動協同防御。它就是網絡上的“紅綠燈＋攝像頭＋錄像機＋交通警察”，是“平安網絡”體系中的邊界記錄和區域管控的基礎設施。它能夠對重要業務進行全程審計追溯，對安全事件管理提供實時預警、事中記錄、事后追蹤的手段。以網絡“攝像頭”+“錄像機”來實現安全監控和記錄取證，以網絡“紅綠燈”＋“交通警察”來實現網絡攻擊攔阻和流量擁塞疏導，并集成了UTM的部分安全防御功能來應對各類網絡威脅，從而成為信息安全保障的基礎設施和組織管理工具。

　　會議中有領導提醒大家注意，黨和國家領導人也非常重視網絡虛擬社會的管理體系建設的重要性，胡錦濤書記今年2月19日在中央黨校發表重要講話中提出社會管理8意見，其中第7條明確要求“進一步加強和完善信息網絡管理，提高對虛擬社會的管理水平，健全網上輿論引導機制”，這也要求我們更多探討如何加強信息網絡的管理工作，采用類似CTM這樣的管理類網絡安全產品，做好對虛擬社會的管理工作。

　　與會的專家還注意到，剛剛發布的國家“十二五發展綱要”中提出“加快推進安全可控關鍵軟硬件應用試點示范和推廣，加強信息網絡監測、管控能力建設，確?；A信息網絡和重點信息系統安全。”，這些要求和中興網安CTM產品的設計目標功能非常接近；信息系統安全等級保護相關系統和主要由CTM組成的“平安網絡”基礎服務體系一起，能覆蓋信息生產處理和信息傳輸交換的全過程，共同解決維護網絡治安和管理網絡秩序，實現綱要提出的“加強互聯網管理，確保國家網絡與信息安全”的目標。

　　與會的部隊專家也提出，2010年首次爆發大規模的網絡戰爭——伊朗核設施程序遭遇電腦病毒攻擊的事實證明網絡戰已經作為“獨立的戰爭形態”正式登臺亮相?，F實社會我們有后備兵役制度，政府也有戰爭動員體系，但是在虛擬的網絡世界里，如果沒有一套狀態實時感知、協同防御、事后分析總結的基礎管理體系，怎么能具有系統抵御網絡攻擊、保衛我們虛擬社會穩定運行的能力？CTM產品和這個“平安網絡”部分概念，為建立一個“人民網絡戰爭防御體系”提出了一個新的值得探討的思路。

　　針對如何用國產設備打造平安網絡的問題，朱永民說：我國的網絡安全產品長期以來都是沿用、借鑒國外的體系和概念，從防火墻到UTM等等。我們一直希望能夠創造中國自己的網絡安全體系理念和相應的產品，這個CTM就是我們根據自己的經驗，以我們有限的認識水平分析實際需求，采用集成創新思路提出的網絡安全產品，希望得到國人認可，共同發展和完善它，直到有一天讓CTM能走出國門、走向世界！