信息安全方案横向评述

计算机世界方案评析实验室组织信息安全领域专家，在量化分析的基础上，对每个方案的优缺点分别进行了分析，并提出许多中肯的意见和建议。 赛门铁克 优点 北京赛门铁克信息技术有限公司提供的是一套专门针对电信行业混合型病毒和垃圾邮件的解决方案。从文章组织架构来看，该方案很像一份针对电信行业处理计算机病毒和垃圾邮件的投标书，对行业特点分析，技术现状和趋势，包括方案实施中的人员培训，均做了较充分的介绍。该方案非常集中地针对各种病毒防御措施进行了描述，而且在方案的开始部分拿出了两个章节的内容，从整体上分析了电信行业在不断采用新技术的同时所面临的安全风险，特别针对整合了病毒传播、黑客攻击和垃圾邮件的新型混合型病毒的特点、范围，以及混合型病毒对于电信运营商的业务所带来的影响进行了深入的剖析，分析深入、全面并提供了例证，给出了相应的部署拓扑结构图，让人感觉其可行性较强。 在方案设计方面，赛门铁克针对混合型病毒提出了多层次的防御思路，并根据不同的设计提供了相应的技术，尤其是针对电信行业提出的建立多层次、分布式防御体系，既与电信运营现有的行政管理模式相匹配，又能体现统一规划、分级管理的思想，有利于提高管理效率。在防病毒方面，赛门铁克拥有世界领先的技术和产品，其每一款产品都集成了多项技术，配合此套整合的方案设计，能够达到非常好的防病毒效果。 不足 该方案有几点可以改进。首先，对目前已有技术和赛门铁克自己产品的局限性介绍不够; 其次，在介绍赛门铁克自己的技术方面，如对“赛门铁克多层过滤反垃圾邮件技术”的文字介绍和图例，存在重复。 联想网御 优点 联想网御通过对以省级电力系统安全体系建设为主要内容的信息安全支撑环境的介绍，提出了电力行业可以采用的信息安全解决方案。该方案的主要特点是: 比较详细地分析了省级电力系统网络信息系统的安全需求和风险; 以信息资产管理为出发点，以安全管理中心为模型，充分吸收了国际上先进的安全管理思想; 比较紧密地结合了国内省级电力部门信息系统工程建设的实践，体现了项目安全管理注重管理信息资产的思想。为项目建设管理者设计安全方案提供了比较完整的解决方案，有助于对信息资产进行安全管理，实现系统安全管理的总体目标。 该方案初步分析了电力行业信息与网络系统的外部安全需求，对省级电力部门的需求和现存的风险有比较深入的理解，可作为今后深入了解电力行业和其他产业行业信息安全需求的良好基础。该方案在根据不同业务系统之间进行安全域划分、实施等级保护和跨域信息安全交换等方面考虑比较细致，方案具有较好的可操作性，所选用的产品具有一定的先进性和成熟度，方案也比较完整。 不足 希望能够进一步和行业用户深入沟通，提出更加符合不同层次用户的解决方案。 上海安纵 优点 上海安纵信息科技有限公司提供了一套基于其自主研发的XSTF平台技术的安全集成解决方案。为了解决当前安全系统综合集成中存在的各种问题，方案对安全系统的管理需求、定制需求、协同需求、覆盖需求、标准化需求和可扩展需求进行了全面的分析，切实反映了当前用户的迫切需求，分析到位。方案提出的安全基础平台，将各种“针对特定环境或者特殊用途的安全技术和产品”与“对它们的应用、整合、管理”分离开，屏蔽了底层安全技术细节，使用户可参与定制与自身业务应用相关的安全系统，同时由于平台的开放性，使系统可以快速整合第三方安全产品，大大提高了系统的安全防护能力。 方案技术采用组件化的设计思想，在安全系统集成，以及根据用户需求快速开发部署安全解决方案等方面非常有特色，技术优势突出。基于该平台开发安全系统非常高效，能很好地满足管理、协同、综合等方面的需求。方案既适用于复杂大型网络安全系统的综合集成，也适合针对特定的业务需求开发内部安全系统。上海安纵自行研制的XSTF平台基于SOA技术架构，把不同的安全产品、系统作为组件整合到一个协同工作的环境里，在安全管理方面设计了统一的管理控制台，具有较强的可开发性、可管理特性和灵活性，使系统开发和部署的效率得到提高。 不足 该方案基本上可定位为一个第三方安全平台产品方案，其优势主要体现在产品与技术平台上，而在企业或机构整体的安全策略及管理架构的设计方面略显不足，对于安全需求及风险的分析虽然有一定的覆盖，但比较肤浅，分析没有重点不够深入。方案没有介绍基于XSTF安全平台的二次开发模式和过程，在安全组件开发规范方面也没有介绍。 SafeNet China 优点 SafeNet的方案在此次参评的VPN专项解决方案中是比较全面的一例，方案针对“如何才能保证在公司以外远程访问公司内部网络系统的安全性？”，以及“如何才能让这些安全措施不对用户产生妨碍？”这两个问题，对SSL VPN的应用需求作了较详细的分析。对业务特点以及该方案适用的业务范围分析准确。方案的特点是将SSL的独特性以及VPN所能提供的安全远程访问控制能力结合起来，这种方式在解决远程用户访问敏感公司数据这个问题上，具有安全性和操作应用的简单性相结合的特点。 方案对系统的描述较为清晰，对风险的评估比较透彻，物理实现较为合理，并具有一定的技术先进性。方案将SSL VPN与传统的IPSec VPN在访问控制能力、安全易用以及投资回报率等方面做了比较，前者更适合于PC到应用服务器的连接。 不足 方案在安全管理方面存在着不足，在安全架构和安全控制方面还有待于继续完善。SafeEnterprise SSL iGate并没有考虑服务器的负载均衡问题，而是建议客户购买具有负载均衡功能的防火墙或交换机来结合iGate实施，这是功能上的一点欠缺。 美讯智 优点 美讯智软件科技有限公司提供了一套专门针对邮件安全的解决方案。解决方案的核心技术内容是美讯智公司的产品RISK FILTER /SMG，这是一套架设在邮件系统前端、防火墙后端的邮件网关系统，方案重点对RISK FILTER /SMG系统的群集负载均衡工作模式及实施方案和步骤进行了细致的介绍，并在不同的实施方案中为用户提供了建议性的选择。 值得一提的是，此方案在所有征集到的方案中惟一提到了容灾解决方案思路，为内容管理提供了更加完善的保障。美讯智RISK FILTER /SMG产品是本方案的一大亮点，RISK FILTER /SMG产品具有较好的性能优势，并具有较高的垃圾邮件的识别率，能够很好地解决当前备受关注的垃圾邮件误判的问题，目前该产品已经占领中国电信运营商邮件安全产品的相当一部分市场。 不足 该方案针对目前在互联网上获取和传递信息的三种主要方式（发送电子邮件、浏览网页、使用即时通信软件）所面临的信息安全问题，介绍了该公司的三类相关产品，提供了一套解决信息内容安全问题的方案。该公司有较好的成功案例，其相关技术产品所具有的大容量规则库处理能力和URL库，给人印象深刻。该方案篇幅达70页，图文并茂，可读性较好。不过，该方案使用了太多该公司自己产品的操作界面，易让读者混淆技术原理介绍和产品介绍。 中联绿盟 优点 中联绿盟信息技术（北京）有限公司结合网络游戏行业的业务特点，提供了在百兆和千兆网络环境下抵御拒绝服务攻击的技术方案。方案简要介绍了托管IDC的安全基础设施，并且对IDC的风险进行了列举。方案以某公司服务器群为例介绍了拒绝服务攻击的特点及其所带来的危害。方案具有较好的扩展性，也可为其他开展网络业务的用户提供参考。与其他方案相比，该公司提供了较多的用户名单，让人感觉该方案可行性较强。 不足 也许是出于保护技术秘密的原因，对该公司的两款产品介绍较多，而对如何抵御拒绝服务攻击的相关技术介绍偏少。 冠群电脑 优点 冠群电脑（中国）有限公司提供了一套面向电力行业的安全管理解决方案。方案对电力行业安全管理需求有着较切合实际的分析，可以看出对于电力的管理特点及需求特点比较了解。方案在安全管理方面提出了一些独特的看法，并从几个大的方面有层次地进行了安全管理的设计，经过调查之后提出电力系统75%以上的威胁来自于内部，并针对这种状况，提出了身份识别管理与权限控制、自动化补丁与资产管理、防病毒及垃圾邮件等安全解决方案，并提出了安全管理中心（SMC）的安全信任体系架构，基于SMC建立起来的安全管理体系，可以实现动态的安全保障。 不足 该方案有几点可以改进。 1.该方案对电力系统的定位过于粗放。电力行业的信息系统至少分为电力调度和电力行业管理部门的办公系统。在我国，电力调度系统通常是一个专用网络，不仅与互联网是物理隔离的，还采用了大量的专用设备，其信息安全问题具有相当的特殊性。该方案中提到的嘉兴电力局网络系统，更大程度上是一个办公自动化系统。此外，对国内成功案例介绍太简略。因此，感觉该方案的行业针对性欠佳。 2.也许是因为CA公司是一家国外的公司，感觉自己的技术实力较强，产品线较丰富的缘故，对自己产品的技术特点，尤其是安全管理产品eTrust的优势，反而没有给出更具体的描述。CA公司提供的仅5页篇幅的方案读完后，与其他几家厂商的提交的50～70页的方案相比，技术方面介绍得不够充分。 冠群金辰 优点 北京冠群金辰软件有限公司提供了一个针对混合型威胁的综合安全解决方案。方案提出了混合型威胁的概念和形成过程，以及面对混合型威胁，用户存在的四个方面的需求，包括保护信息和系统安全、保障网络和系统资源、节约管理成本、改进安全状况。方案分析了防病毒系统、防火墙、过滤网关三种防御技术的特点和各自的不足之处，依据生物病毒防治的三个要素: 切断传播途径、发现传染源、保护易感人群，提出了一种多层次的立体防护体系。通过综合运用多种安全手段，将网络边界控制、网络检查、主机保护结合起来，形成积极防御措施，有效应对混合式威胁。 该方案特别提出，为了弥补传统防病毒系统和防火墙的不足，企业信息安全系统应采用“过滤网关技术”，而冠群金辰的过滤网关技术KILL是近几年提出并开始逐渐流行的安全技术，它根据混合型威胁的特点，采取综合过滤技术，在网关位置实现安全防护，克服被动防御的局面，产品具有一定的先进性和成熟度。 不足 从整体来看方案在防病毒方面的设计思路比较全面，但整个方案基本上只提供了一种很好的思路和产品功能特点的介绍，各层面的技术及设计描述都较为简单、浅显，分析和具体部署、实现的方式描述不够细致。而且对于电力行业的网络与信息安全的内在需求分析深度尚有欠缺，与企业用户的实际需求结合不够紧密，使人看后感觉抓不住重点。 此外，对于混合型威胁的划分也不够清晰明确，形成过程中只提到了蠕虫病毒，技术上的创新性较弱。 Array Networks 优点 Array Networks提供了一套VPN解决方案。方案以SSL VPN接入技术为主要思路，在一定程度上结合了国内电信运营商业务管理的实践，体现了在上述业务系统中保障数据传输、通过一定的权限管理防止外部攻击、保护业务系统自身安全的思想，为该类系统建设管理者设计了一种可以选择的安全解决方案。该方案所提出的以SSL VPN接入技术为主要思路的信息安全管理解决方案，在实现用户单点登录和较灵活的用户授权管理方面有一定的特点，所选用的产品具有一定的灵活性和先进性，方案阐述也比较细致。 方案描述了系统中出现的安全问题并对系统风险进行了评估,在设计思路方面描述较为完整，具有一定的实用性和可操作性，在对系统的逻辑架构和物理实现进行的简单描述中可以看到其具有一定的合理和一定的技术先进性。从方案的描述中看出其适用范围比较广，对实现远程办公、远程服务提供安全的技术手段。通过以VPN接入设计为主要内容，提出了电信运营系统（BOSS）可以采用的一种信息安全解决方案。 不足 本方案只是在理论上进行了表述，对电信运营商的网络与信息安全的内在需求分析深度尚不完整，在安全管理方面也存在不足，安全架构和安全控制方面还有待于继续完善。 网新易尚 优点 北京网新易尚科技有限公司基于银行业的安全需求，提供了一套整合的网络安全解决方案。该方案对银行业的网络安全需求做了简要介绍，提出银行业网络安全应从整体的角度进行分析，必须通过网络整体的安全规划来加强网络安全集中监管的能力和水平，基于这一指导思想来建立安全体系，对于提高银行业的综合保障能力，减少国内银行的运营风险有较大的帮助。 方案设计了一个完整的安全架构模型，并根据安全模型，将银行整体网络安全划分为四个层次，设计思路比较清晰。该方案还通过一个实例，将网新易尚安全系统的各项功能，以及银行业网络安全的实现方法和过程描述得非常清楚，实用性非常强。 不足 此方案是一个集成的安全方案，可行性和实用性都很好，但是在分析性上，特别是对用户业务特点和需求特点方面描述有些空泛，看不出是针对银行业而做的。方案中没有推荐相应的安全产品，也没有对一些关键产品的选型提供技术建议，因此感觉不够充实。 中创软件 优点 中创软件公司以网页防篡改系统建设为主要内容，以信息安全支撑环境为特点，提供了一个面向互联网站的安全解决方案。该方案以网页防篡改系统为主要思路，以网页信息内容监控、监控代理和自动恢复等功能为主要环节，吸收了国际上网站安全的经验，在一定程度上满足了网站建设的实际需求，为网站建设管理者设计安全方案提供了一种解决方案，使网站建设管理者可以增强其网站的安全管理能力，有助于实现系统安全管理的总体目标。 该方案在网页内容监管、监管代理、监控下的自动恢复等集成化的解决方案方面有一定的特色，所选用的产品也具有一定的先进性和成熟度，方案具有可操作性。方案对防网页被篡改产品的需求所做的分析比较明确，反映了对网页防篡改产品需求的迫切性。在技术上采用了较为先进“事件触发”技术，该技术是中创软件中间件公司独立研究的产品。 它是一种主动、实时、高效、低耗的文件系统监控技术，在报警准确性、报警实时性、资源占用等多个关键方面更优于传统的扫描技术、核心内嵌技术，保证了监控软件的实时性能、低耗性能。 不足 该方案的不足主要在于对网站安全解决方案的整体性理解深度尚有欠缺， 希望能够进一步和用户深入沟通，提出更加符合不同层次用户的解决方案。文中提到的系统具备高性能，但却没有对具体的效率和性能做定量的分析。在案例介绍部分，只介绍了系统的部署，并未体现运行的效果。 东软软件 优点 沈阳东软软件股份有限公司的方案在类型上应该是一个专项解决方案，整体上看比较完整。方案从安全服务的角度出发，分析了网络所面临的各种威胁，特别是针对DDoS攻击和蠕虫病毒，提出简单的添加安全设备并不能防范DDoS攻击，只有通过整体的安全建设，才能有效地为运营商提供高等级的安全保障，抵御DDoS的攻击。 解决方案对用户的需求理解比较透彻，从安全评估入手，然后根据评估的结果，设计一个包括技术和管理层面的解决方案，接着协助运营商建起一个应急响应小组，应急处理网络中紧急发生的攻击事件，保障将攻击带来的损失降为最低，最大限度地保障网络的畅通。最后，还要对运营商的管理人员进行不同等级的安全培训，使运营商企业内部从上到下都能了解攻击带来的危害，并提高技术人员的防范能力。这一系列的过程构成了一个整体的防护体系和解决方案。 不足 防范攻击的建议太简单、宏观，不具备可操作性，整个方案涉及面很广，但在具体的技术上没有明显的特色。方案只通过简单的实践经历对设计思路和实现从理论上进行了详细描述，在文件中没有看到其实际应用的案例和效果，在安全架构和安全控制方面还有待于继续完善，方案的可扩展性还需进一步深入研究。 天融信 优点 北京天融信公司提供了一个企业综合类安全整合解决方案。方案以构建可信网络架构为主要思路，来整合信息系统安全资源，提升信息网络安全防御能力。方案吸收和借鉴了国际上先进的安全管理的思想，所提出的可信网络架构模型在理论上有一定的先进性，体现了项目安全管理注重管理信息资产的思想。按照这种思路，如能进一步细化，可以形成一个相对完整的解决方案，有助于实现系统安全管理的总体目标。 方案对目前用户的信息系统安全现状进行了较深刻的分析并指出了普遍存在的问题，对系统的描述较为清晰，对风险的评估比较透彻。在设计思路上具有独特的风格，重点描述了实现用户网络安全资源的有效整合、管理与监管的设想，以及完善的信息安全保护的解决方案，具有一定的可行性和可扩展性。从方案的描述中看出其适用范围比较广泛。 不足 该方案在提出可信网络安全模型方面有一些新颖的见解，但没有落实到具体实施及其产品部署方案中，工程性较差。方案初步分析了信息与网络系统的安全需求，但对具体的应用需求分析不够深入，可以作为今后深入了解行业和具体用户信息安全需求的基础。另外，该方案只是在设计思路上和物理模型上进行了表述，在文件中没有看到其应用的实例和效果，因此实用性有待进一步验证，在安全管理和安全控制方面还有待于继续完善。 华勤通信 优点 天津华勤通信设备有限公司以防火墙及其管理为主要内容，提供了一个面向中小企业的安全解决方案。该方案初步分析了中小企业基于互联网业务应用系统的一些安全需求，并以该公司研发的防火墙产品及其管理为基础，针对中小企业需要通过互联网实现互联互通互操作的实际需求，提出了对不同节点实施防火墙分散部署、集中管理的思路，在一定程度上反映了国内中小型企业信息安全建设的实际需要，体现了通过合理部署防火墙，加以统一管理以防止外部攻击，保护业务系统自身安全的思想，为该类系统建设管理者提供了一种可以选择的安全解决方案。 虽然该公司的方案名为“中小企业全面安全解决方案”，但正如在方案的第一部分“行业背景”中所言，这个方案没有设计为大而全，而是希望在安全设备部署方面提出新的想法和思路，重点解决局域网内未授权数据流动的安全问题。所推荐的产品具有小型化和高性能的特点。方案的立意很好。 不足 该方案建议有几点需要改进: 1. 对中小企业网络所面临的安全特点应做更详细描述，而不是简单的推荐在网络中各个网段、边界甚至无线接入点均采用防火墙和VPN技术。 2.方案的完整性有欠缺，在篇幅仅4页的方案中，对产品技术的特点和指标未做说明，也遗漏了对成功案例的介绍。（计算机世界报 2005年06月27日 第24期 C14、C15、C16）