正规快三微信平台

当前位置:主页首页 > 演讲与口才 > 演讲稿 > 安全演讲稿 > >

图文:华为公司安全解决方案部部长刘立柱演讲

来源::网络整理 | 作者:管理员 | 本文已影响

科技时代_图文:华为公司安全解决方案部部长刘立柱演讲


图为:华为技术有限公司安全解决方案部部长刘立柱演讲 (骆磊 摄)
点击此处查看全部科技图片

  新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办。

  图为:华为技术有限公司安全解决方案部部长刘立柱演讲 (骆磊 摄)

图文:华为公司安全解决方案部部长刘立柱演讲

图文:华为公司安全解决方案部部长刘立柱演讲

  以下为刘立柱的发言实录:各位来宾大家下午好!今天有幸在这里和大家一起分享华为在经过多年自身的信息系统安全实施,以及多年服务网络运营商经验的基础上,总结免疫网络和终端安全的解决方案。今天上午大家听到每位专家不断讲安全各种各样的问题,我们在这个角度上做进一步的阐述。

  对于今天上午听到安全方面的概念做了一个总结,叫传统安全防护体系的分析,基于传统安全防护体系优点比较明确的是分层分级的防护和产品丰富性,通过对安全漏洞不断深入分析研究,提升整体的安全结构,但是它也存在一定不足,主要体现在,传统安全防护是对已知漏洞的防护还缺乏对安全风险源头控制,特别企业安全来讲我们做过一个实例分析也做过信息的收集。

大量安全隐患来自终端的网络,终端给这个企业的安全带来风险可以用二八原则定义,80%网络安全来自业务终端,对业务终端管理是安全重要的课题传统安全课题怎么跟电信业务结合,也是华为关注的重点。在这基础上我们提供了网络安全演进的分析,现在是纵深防御网络,通过多样性安全产品部署实现多层分域安全防护,安全服务集中于产品的维护上。针对企业安全来讲要更多考虑端到端的架构,刚才戴总介绍中国 移动经验体会上介绍的,安全永远是三分技术七分管理,在管理有了相应的体制和制度之外,更要考虑安全本身在管理上的技术实现,这是我们提倡的免疫网络。

为什么是免疫网络就是构建这样一个体系,实现从用户地域得终端到计算地域得业务系统,到服务域的安全服务,以及整个网络层面都可以实现安全的信息自我防御和信息联动,通过体系的构建完成之后,在整个安全的实现中可以实现全网联动。基于这样一个概念可以畅想未来可信任网络的概念,整个企业的网络安全是基于一个可信任的网络形成的,从业务的接入,网络的接入和使用上都是基于可信任的,这就是我们所倡导的网络安全的演绎趋势。

  华为的免疫网络安逸的理念基于三点,首先我们倡导从源头控制,正如刚才介绍说的一样,整个网络的安全很多风险和不安全因素大量来自终端,终端本身通过非认证的软件、或者通过移动介质的拷贝带来和引入很多不安全的因素,比如在企业构建网络的时候对内网用户的弱防护,所以对终端的源头控制,对于安全风险的控制是对满意网络最重要的支点。

整个源头控制定义为安全检测,危险隔离,风险清楚、安全策略的更新,这也是跟大家分享的重点,基于源头控制的终端安全管理解决方案。其次对业务系统的健壮性,包括漏洞扫描,防范评估,建立安全基准和加固和计算机清除。很多其他的发言者都不断提到业务系统安全的概念,其次就是管理的概念,怎么基于一体化的深度业务检测和联动怎么实现风险的收集,统一管理和风险的规避,这在整个安全体系中是对企业来讲是最重要的工作,通过三点一块控制,实现端到端,从源头到业务系统的使用,到整个安全的风险防范是一体化的概念。

  下面介绍一下在源头控制终端安全解决方案的体会和实践经验,华为自己在多年系统的构建和信息系统的改进上,不断体会到很多安全的风险来自于终端,对终端这一块通过跟自身的体会也提出一个分析现状,终端安全管理现状,不仅威胁终端自身的安全,更多对网络和主机造成极大的威胁,这体现在四个方面,一个终端自身的安全,会造成大量业务终端,特别我们在OA办公系统中使用的,比如运营商在生产系统中使用的终端,包括自身各个企业使用各个业务系统中面临要操作这个终端,实际上安全的风险来自于人,人的第一体现者就在终端上,怎么封闭和管理这个终端的安全是非常重要的。除了终端安全之外会造成一些感染性风险,比如病毒大规模散播,还有终端滥用资源,比如终端自身感染病毒会引起网络风暴,还有终端非授权访问,这也是所有企业面临安全课题时最头疼的问题,怎么样让企业的业务顺畅运行,又避免出现信息安全的问题,因为信息安全作为企业来讲已经上升为企业的核心资产。还有一些终端的蓄意破坏,有一些企业内部不健壮性,通过终端来进行网络破坏和帐号口令的盗取。

  如何降低终端对服务器网络构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化对终端的防护,所有终端在进入网络之前要通过客户端到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。只有被信任之后才能使用这个业务系统,这是我们所说的对终端安全管理的基本概念。五

  用一句话来说,借助人类成功的防范SARS传染疾病的经验,其实可以设想一下安全最大的风险还是来源于个体,个体中很多不安全性,如果能够利用业务系统中的一些漏洞,因为业务系统中漏洞是防不胜防的,只有对终端进行强制性检查,隔离、加固和管理的模式之后才能对终端进行安全的管理,针对这一点我们在安全的管理模型上提出四个概念,一个就是进行用户终端的检查,这个检查包括用户终端的身份,用户终端的权限,用户终端的安全,这是通过在整个方案里面用安全网关的方式实现的。第二个对于非法用户终端进行隔离,对于合法用户越权访问进行隔离,不允许访问我的业务网络,不允许进入核心的业务域,这自然把风险隔开了,其次就是对于不安全的用户进行终端安全加固,包括加载必要的安全系统补丁,应用系统补丁,以及相应防范病毒的软件,加载最新的主机防火墙等等,这样帮助最终的终端进行自身的加固和安全的管理。其次通过后端的审计对于不安全的终端,以及用户的行为进行监控审计,特别这一点在企业信息安全中比较普遍就是如何监控用户的行为,去防范信息安全资产的损失和信息安全带来不安全的隐患。以及怎么制定新的安全策略,通过四位一体的体系保证终端自身接入的安全性,以及用户在使用业务系统的安全性,这对于我们中大型企业,特别电信运营商在业务系统的使用中很容易保障内网企业网的安全。


分享到: 更多

随机阅读TODAY'S FOCUS