的確，IT產(chǎn)業(yè)將全球供應(yīng)鏈與市場結(jié)合到一起。記者無意去研究宏觀的IT環(huán)境，不過當(dāng)記者把全部精力投入到安全上面的時(shí)候，有趣的結(jié)果產(chǎn)生了:安全也是平的。

從安全網(wǎng)關(guān)、防火墻、UTM、防病毒、IDS/IPS、VPN，到內(nèi)網(wǎng)身份認(rèn)證、安全客戶端、安全日志、網(wǎng)管系統(tǒng)，看似獨(dú)立的安全產(chǎn)品已經(jīng)出現(xiàn)了改變，無論是從早先的安全聯(lián)動、802.1X、還是近期的私有安全協(xié)議、安全與目錄服務(wù)整合，都體現(xiàn)出了一個(gè)趨勢:安全是密切相連的，是“你中有我，我中有你。”

信息安全的第一要素就是制定“企業(yè)安全規(guī)范”，而這個(gè)“安全規(guī)范”恰恰是企業(yè)各部分業(yè)務(wù)與各種安全產(chǎn)品的整合，涵蓋了從存儲、業(yè)務(wù)傳輸、行為安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、運(yùn)行安全、系統(tǒng)保護(hù)與物理連接的各個(gè)層面。

換句話說，安全已經(jīng)不是傳統(tǒng)上的單一設(shè)備，或者像某些廠商所講的那種獨(dú)立于網(wǎng)絡(luò)的設(shè)備。事實(shí)上，近三年的發(fā)展已經(jīng)證明，日后信息安全將會逐漸以用戶需求的系統(tǒng)方案為核心。而在這套完整的安全方案之內(nèi)，各部分都是有機(jī)聯(lián)系的，之間呈現(xiàn)一種技術(shù)與需求交織的扁平網(wǎng)狀關(guān)系。

因此當(dāng)大多數(shù)人還沉迷于“不著邊際”的《藍(lán)海戰(zhàn)略》的時(shí)候，記者則開始關(guān)注信息安全的平坦化了。同時(shí)，為了讓更多的讀者了解信息安全的現(xiàn)狀，記者專門打造了“安全是平的”系列專題，與大家一起研究信息安全的新技術(shù)與新應(yīng)用。

作為本系列的開篇之作，記者從“身份認(rèn)證與內(nèi)網(wǎng)安全”入手。這一對密不可分的安全要素，已經(jīng)成為了當(dāng)前安全界最熱門的話題，很多企業(yè)用戶對于兩者的關(guān)聯(lián)與部署充滿了疑問，而記者也專門咨詢了Cisco、CA、Juniper、神州數(shù)碼網(wǎng)絡(luò)、深信服、新華人壽保險(xiǎn)集團(tuán)和福建興業(yè)銀行的IT安全專家，與讀者一起分享其中的心得。

【大勢所趨】從雙因數(shù)認(rèn)證入手

目前在信息安全界有三大技術(shù)趨勢:第一，可信計(jì)算;第二，身份認(rèn)證與內(nèi)網(wǎng)安全;第三，統(tǒng)一威脅管理(UTM)。根據(jù)IDC在今年1月份的統(tǒng)計(jì)報(bào)告，目前在身份認(rèn)證與內(nèi)網(wǎng)安全方面的需求最多。而IDC近期出爐的《2006～2010中國IT安全市場分析與預(yù)測》報(bào)告則顯示:排名靠前的安全廠商都與身份認(rèn)證與內(nèi)網(wǎng)安全沾邊。

在身份認(rèn)證過程中，一般都是基于用戶名和密碼的做法。根據(jù)美國《Network World》今年8月份的調(diào)查結(jié)果，超過60%的企業(yè)已經(jīng)對傳統(tǒng)的認(rèn)證方式不放心了。

所謂雙因數(shù)認(rèn)證，是針對傳統(tǒng)身份認(rèn)證而言的。深信服的安全產(chǎn)品經(jīng)理葉宜斌向記者表示，隨著各種間諜軟件、鍵盤記錄工具的泛濫，企業(yè)的IT人員發(fā)現(xiàn)，僅僅依靠用戶名、密碼的單一認(rèn)證體制非常不安全。而雙因數(shù)認(rèn)證則基于硬件建權(quán)，通過建立證書系統(tǒng)來進(jìn)行客戶端的認(rèn)證工作。

另外，采用雙因數(shù)認(rèn)證還可以保證客戶端登錄網(wǎng)絡(luò)的唯一性。神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理王景輝介紹說，安全證書的生成可以提取其他一些信息，比如網(wǎng)卡MAC 地址、客戶端CPU的序列號等。因此當(dāng)一臺筆記本電腦第一次進(jìn)入企業(yè)網(wǎng)絡(luò)時(shí)，第一步是認(rèn)證系統(tǒng)產(chǎn)生用戶名和密碼，第二步則是系統(tǒng)收集筆記本的特征，進(jìn)而提取具備唯一性的信息，以便生成一個(gè)唯一對應(yīng)的證書。所有的認(rèn)證信息都可以導(dǎo)入認(rèn)證服務(wù)器，從而實(shí)現(xiàn)對客戶端唯一性登錄的檢查。

根據(jù)美國和中國的統(tǒng)計(jì)，超過七成的政府部門都在使用證書系統(tǒng)保證身份認(rèn)證的安全可靠。此外，大部分網(wǎng)絡(luò)銀行服務(wù)業(yè)采用了證書模式。

招商銀行的IT專家透露說，目前該行已經(jīng)在專業(yè)版網(wǎng)上銀行系統(tǒng)中采用安全數(shù)字證書，并通過USB Key的方式進(jìn)行保存。USB Key中存放的是用戶個(gè)人的數(shù)字證書，銀行和用戶各有一份公鑰和私鑰，用戶僅需要記憶一個(gè)密碼就可以使用。

新華人壽保險(xiǎn)集團(tuán)的IT經(jīng)理向記者表示，USB Key的認(rèn)證模式在新華人壽已經(jīng)全部實(shí)現(xiàn)了，主要還是為日常的OA服務(wù)。而該項(xiàng)目的實(shí)施方，CA的安全專家介紹說，現(xiàn)在很多大型企業(yè)已經(jīng)開始采用證書系統(tǒng)，像新華人壽這樣的企業(yè)，對系統(tǒng)數(shù)據(jù)流安全非常關(guān)注，特別是關(guān)注那些很多到桌面、到用戶文件的內(nèi)容。

除了數(shù)字證書，還有一種雙因數(shù)認(rèn)證方式，即動態(tài)令牌。動態(tài)令牌根據(jù)基于時(shí)間的算法，每分鐘都產(chǎn)生一個(gè)5-6位的認(rèn)證串號。在客戶端，用戶通過一個(gè)類似電子表的硬件，計(jì)算出每分鐘產(chǎn)生的令牌串號。那么用戶登錄系統(tǒng)，只要輸入用戶名和相應(yīng)時(shí)間段的串號，就可以安全登錄。

有意思的是，記者發(fā)現(xiàn)很多IT安全廠商自身都在使用動態(tài)令牌技術(shù)。像神州數(shù)碼網(wǎng)絡(luò)內(nèi)部的SSL VPN就采用了動態(tài)令牌的安全登錄方式。動態(tài)令牌避免了記憶密碼的過程，其壽命一般為三年。不過動態(tài)令牌由于內(nèi)置了一個(gè)相當(dāng)精確的時(shí)鐘，因此成本較高。

【平坦安全】內(nèi)網(wǎng)安全之美

前面講過了，目前安全界的趨勢是平坦化。一套認(rèn)證系統(tǒng)做的再強(qiáng)大，如果僅僅孤立存在，仍然無法帶來更多的價(jià)值。事實(shí)上，認(rèn)證系統(tǒng)越來越成為內(nèi)網(wǎng)安全的一個(gè)子系統(tǒng)，它確保了企業(yè)網(wǎng)在出現(xiàn)安全問題的時(shí)候，內(nèi)網(wǎng)安全機(jī)制能夠最終定位到具體的設(shè)備或者具體的人員上。

要知道，把安全問題落實(shí)到點(diǎn)上是多少年來企業(yè)IT人員的夢想。新華人壽的IT安全負(fù)責(zé)人向記者表示，以前企業(yè)配置了IDS，結(jié)果一旦網(wǎng)絡(luò)出現(xiàn)問題，IDS 就會不停的報(bào)警，然后給網(wǎng)管人員發(fā)出一大堆可疑的IP地址信息。網(wǎng)管不是計(jì)算機(jī)，讓它從一堆IP地址中定位某一臺設(shè)備，這簡直是在自虐。

利用認(rèn)證系統(tǒng)，首先就可以保證網(wǎng)絡(luò)用戶的真實(shí)性與合法性。只有界定了合法用戶的范圍，才有定位的可能性。

目前，不少安全廠商已經(jīng)開始完善自身的內(nèi)網(wǎng)安全技術(shù)，并與身份認(rèn)證系統(tǒng)做到有機(jī)結(jié)合。王景輝介紹說，他們已經(jīng)把防水墻(客戶端系統(tǒng))、DCBI認(rèn)證系統(tǒng)、 IDS、防火墻結(jié)合在一起組成了DCSM內(nèi)網(wǎng)安全管理技術(shù)，作為3DSMP技術(shù)的具體化。而在DCSM技術(shù)中，提出了五元素控制:即用戶名、用戶賬號、 IP地址、交換機(jī)端口、VLAN綁定在一起，進(jìn)一步去做訪問控制。

在此基礎(chǔ)上，內(nèi)網(wǎng)安全機(jī)制可以根據(jù)IDS/IPS的報(bào)警，對用戶進(jìn)行判斷:比如是否為某個(gè)用戶發(fā)動了攻擊?或者某個(gè)用戶是否感染了特定的病毒，比如發(fā)現(xiàn)該用戶掃描特定端口號就可以判斷感染了蠕蟲病毒。此時(shí)，DCBI控制中心就會進(jìn)行實(shí)時(shí)告警。若告警無效，系統(tǒng)就可以阻斷某個(gè)用戶的網(wǎng)絡(luò)聯(lián)結(jié)。

由于通過完整的認(rèn)證過程，系統(tǒng)可以知道用戶所在交換機(jī)端口和所在的VLAN，封殺就會非常精確。

不難看出，一套安全的認(rèn)證系統(tǒng)，在內(nèi)網(wǎng)安全方案中扮演著網(wǎng)絡(luò)準(zhǔn)入控制NAC的角色。Cisco的安全工程師介紹，一套完善的認(rèn)證機(jī)制與內(nèi)網(wǎng)安全管理軟件組合在一起，就可以實(shí)現(xiàn)豐富的準(zhǔn)入控制功能。此外，一般這類管理軟件本身不需要安裝，只要通過服務(wù)器進(jìn)行分發(fā)，就可以推給每一臺試圖接入網(wǎng)絡(luò)的計(jì)算機(jī)上。

而Juniper的安全產(chǎn)品經(jīng)理梁小東也表示，把認(rèn)證系統(tǒng)與內(nèi)網(wǎng)安全系統(tǒng)結(jié)合起來，可以確?？傮w的網(wǎng)絡(luò)設(shè)計(jì)更加安全。而且通過內(nèi)置的安全協(xié)議，可以最大程度地讓更多的安全產(chǎn)品，如防火墻、IDS/IPS、UTM、VPN等互動起來。而用戶也可以根據(jù)自己的預(yù)算和資金情況，選配不同的模塊，具備了安全部署的靈活性。

在采訪的過程中，記者發(fā)現(xiàn)各個(gè)安全廠商已經(jīng)在內(nèi)網(wǎng)安全的問題上達(dá)成了共識。也許正如王景輝所講的，雖然企業(yè)用戶都擁有完善的基礎(chǔ)設(shè)施，包括全套防病毒系統(tǒng)，可近兩年的狀況是，病毒大規(guī)模爆發(fā)的次數(shù)不但沒有減少，反而更多了，而且大量安全事件都是從內(nèi)網(wǎng)突破的。

因此總結(jié)起來看，要實(shí)現(xiàn)一套完善的內(nèi)網(wǎng)安全機(jī)制，第一步就需要一個(gè)集中的安全認(rèn)證;第二步是部署監(jiān)控系統(tǒng)。讓IDS/IPS來監(jiān)控網(wǎng)絡(luò)中的行為，去判斷是否存在某種攻擊或者遭遇某種病毒;第三步是具體執(zhí)行。當(dāng)問題判斷出來以后，讓系統(tǒng)合理地執(zhí)行很重要。傳統(tǒng)上封堵IP的做法，對于現(xiàn)在的攻擊和病毒效果不好，因?yàn)楝F(xiàn)在的攻擊和病毒MAC地址及IP地址都可以變化。因此有效的方式，就是在安全認(rèn)證通過以后，系統(tǒng)就可以定位到某一個(gè)IP的用戶是誰，然后確定相關(guān)事件發(fā)生在哪一個(gè)交換機(jī)端口上。這樣在采取行動的時(shí)候，就可以避免阻斷整個(gè)IP子網(wǎng)的情況。此外，通過利用802.1X協(xié)議，整套安全系統(tǒng)可以把交換機(jī)也互動起來，這樣就可以更加精確地定位發(fā)生安全事件的客戶機(jī)在哪里。

主流安全認(rèn)證技術(shù)一瞥
屬性	類型	主要特點(diǎn)	應(yīng)用領(lǐng)域	主要問題
單因數(shù)認(rèn)證	用戶名密碼體制	靜態(tài)的認(rèn)證方式，實(shí)現(xiàn)簡單	常見于辦公網(wǎng)絡(luò)	安全性較差
	短信認(rèn)證	動態(tài)的認(rèn)證方式，部署方便，成本較低，安全性較高	常用于企業(yè)IT部門或部分金融機(jī)構(gòu)	無法與AD結(jié)合
雙因數(shù)認(rèn)證	數(shù)字證書	安全性很高，可以與AD結(jié)合使用。	常見于金融機(jī)構(gòu)，政府部門	系統(tǒng)開發(fā)的復(fù)雜度高，存在一定的證書安全隱患
	動態(tài)令牌	具有最高的安全性，基本不會有單點(diǎn)安全的困擾	IT安全廠商有使用	成本高昂

#p#副標(biāo)題#e#

【精明用戶】混合認(rèn)證模式

的確，純粹的雙因數(shù)認(rèn)證對于安全起到了很高的保障作用。但不可否認(rèn)的是，其帶來的IT管理問題也無法忽視。

美國《Network World》的安全編輯撰文指出，美國很多年?duì)I業(yè)額在1.5億到10億美元的中型企業(yè)用戶，很多都不考慮雙因數(shù)認(rèn)證的問題。因?yàn)樗麄冋J(rèn)為，雙因數(shù)認(rèn)證系統(tǒng)不僅難于配置，而且花費(fèi)在購買和實(shí)施上的資金也較高，特別是其管理和維護(hù)的復(fù)雜度也過高。

回到國內(nèi)，記者發(fā)現(xiàn)類似的問題確實(shí)也有不少。這個(gè)問題的關(guān)鍵在于，這些中型企業(yè)恰好處于市場的成長期，用戶的賬號像兔子繁殖一樣增加。因此認(rèn)證需要的安全預(yù)算和人力不成正比。在此模式下，部署最安全的雙因數(shù)認(rèn)證體系固然會給企業(yè)的IT部分增加較大的壓力。

不過，這并不意味著認(rèn)證安全無法解決。事實(shí)上，很多企業(yè)已經(jīng)開始行動了。在此，記者很高興地看到了一種具有中國特色的“混合認(rèn)證”模式已經(jīng)投入了使用。

顧名思義，“混合認(rèn)證”就是把傳統(tǒng)的身份認(rèn)證與雙因數(shù)認(rèn)證進(jìn)行了整合，以求獲得最佳性價(jià)比。在此，請跟隨記者去看看福建興業(yè)銀行的典型應(yīng)用。福建興業(yè)銀行在認(rèn)證系統(tǒng)中，將對人的認(rèn)證和對機(jī)器的認(rèn)證進(jìn)行了有機(jī)結(jié)合。在OA辦公領(lǐng)域，采用的都是傳統(tǒng)的“用戶名+密碼”的方式，而在分散各地的ATM機(jī)器中，采用了雙因數(shù)認(rèn)證，通過收集ATM機(jī)器的序列號與后臺的Radius服務(wù)器進(jìn)行自動無線認(rèn)證，從而確保了安全監(jiān)管的需求。

“我們通過這種混合認(rèn)證模式，既保證了OA系統(tǒng)的簡單、高效，同時(shí)又在安全的基礎(chǔ)上，降低了企業(yè)網(wǎng)的運(yùn)營成本。”福建興業(yè)銀行的IT安全負(fù)責(zé) 人解釋說，“這是把有限的資金用在生產(chǎn)網(wǎng)上。”

對于類似的認(rèn)證，確實(shí)可以確保企業(yè)的安全與利益。神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理顏世峰曾向記者坦言，如果國內(nèi)企業(yè)普遍采用了混合認(rèn)證模式，那么可以極大地規(guī)范企業(yè)網(wǎng)中的隱性安全問題，包括一些私有設(shè)備和無線設(shè)備的準(zhǔn)入控制，都可以低成本地解決。

事實(shí)上，中國特色的模式還不僅如此。葉宜斌曾經(jīng)和記者開玩笑地說道:“在這個(gè)世界上，沒有哪個(gè)國家的人比中國人更喜歡發(fā)短信了。”因此，利用短信進(jìn)行安全認(rèn)證也成為了一大特色。

短信認(rèn)證的成本很低，客戶端只需要一部手機(jī)，服務(wù)器端類似一部具備SIM卡的短信群發(fā)機(jī)。用戶登錄時(shí)用手機(jī)接收用戶名和密碼，這種模式甚至可以規(guī)定用戶安全認(rèn)證的期限。不過葉宜斌也指出，短信認(rèn)證雖然安全、成本低，但是其無法與企業(yè)目錄服務(wù)(AD)進(jìn)行整合，因此易用性受到挑戰(zhàn)。

【系統(tǒng)整合】平坦概念出爐

近年來，在美國安全界一直有一個(gè)困擾:就是如何避免內(nèi)網(wǎng)安全的泥石流問題。所謂泥石流問題，其根源還是多重賬戶密碼現(xiàn)象。要知道，無論是多么完善的認(rèn)證系統(tǒng)，或者認(rèn)證系統(tǒng)與內(nèi)網(wǎng)安全技術(shù)結(jié)合的多么好，用戶都難以避免多賬戶密碼的輸入問題。

登錄賬戶、密碼，郵件賬戶、密碼，辦公賬戶、密碼等等，還有多賬戶、多密碼的問題已經(jīng)引起企業(yè)IT人員的重視。因?yàn)槿藗冸y以記憶不同的賬戶名和密碼，而這往往導(dǎo)致安全隱患的出現(xiàn)。事實(shí)上，在2004年8月歐洲的InfoSecurity大會期間，有70%的倫敦往返者欣然地和其他在會議中的人士共享他們的登錄信息，其初衷僅僅是為了少記憶一點(diǎn)賬戶名和密碼。

為此，將安全認(rèn)證、內(nèi)網(wǎng)安全、包括VPN信息中的賬戶密碼統(tǒng)一起來，已經(jīng)是不可忽視的問題了。王景輝介紹說，目前各家廠商都希望將認(rèn)證系統(tǒng)、內(nèi)網(wǎng)安全設(shè)備，包括VPN、UTM等，與企業(yè)的AD整合到一起。他認(rèn)為，這樣做絕對是一個(gè)很好的思路。

因?yàn)槟壳捌髽I(yè)用AD的很多，微軟的產(chǎn)品多，因此安全技術(shù)中的所有模塊都可以進(jìn)行整合，包括認(rèn)證系統(tǒng)與AD的深度開發(fā)。在很多情況下，讓企業(yè)的IT人員維護(hù)兩套甚至更多的賬號系統(tǒng)一樣也是不現(xiàn)實(shí)的，而且相當(dāng)麻煩。

合理的方法是與用戶既有的認(rèn)證系統(tǒng)結(jié)合起來，而目前使用最多的就是域賬號。對此，企業(yè)的VPN、動態(tài)VPN包括認(rèn)證系統(tǒng)都可以使用相同的AD賬戶，從而實(shí)現(xiàn)單點(diǎn)登錄(Single Sign On)。

從更大的方面說，整個(gè)網(wǎng)絡(luò)準(zhǔn)入控制階段都可以與AD結(jié)合。正如Cisco的安全工程師所說的，現(xiàn)在的整體安全技術(shù)，最起碼都要做到與AD結(jié)合，做到與Radius認(rèn)證結(jié)合，因?yàn)檫@兩個(gè)是最常用的。

有意思的是，根據(jù)美國《Network World》和本報(bào)在2005年的統(tǒng)計(jì)，無論是中國用戶還是美國用戶，企業(yè)網(wǎng)中部署AD的都相當(dāng)多，從中也反映出Windows認(rèn)證的規(guī)模最廣。但要把AD與內(nèi)網(wǎng)安全進(jìn)行整合，目前最大挑戰(zhàn)在于，安全廠商必須對微軟的產(chǎn)品特別了解，需要一定的技術(shù)支持才能做相應(yīng)的開發(fā)。

以新華人壽的認(rèn)證系統(tǒng)為例，傳統(tǒng)的Windows登錄域界面已經(jīng)被修改，新的界面已經(jīng)與后臺AD和企業(yè)郵件系統(tǒng)作了整合，一次登錄就可以實(shí)現(xiàn)訪問所有應(yīng)用。

此外，根據(jù)用戶的具體需求，王景輝表示內(nèi)網(wǎng)安全技術(shù)還可以進(jìn)一步與LDAP、X.509證書進(jìn)行結(jié)合。記者了解到，目前國內(nèi)的很多政府部門都在做類似的工作。以河南計(jì)生委的安全系統(tǒng)為例。河南計(jì)生委的數(shù)字證書都是基于原CA公司的認(rèn)證系統(tǒng)生成的。因此，他們在部署其他安全設(shè)備的時(shí)候，不能另起爐灶再搞一套，否則會出現(xiàn)多次認(rèn)證的問題。這就要求安全廠商需要同原CA廠商合作，一起做認(rèn)證接口的數(shù)據(jù)交換——安全廠商負(fù)責(zé)認(rèn)證信息提交，CA廠商負(fù)責(zé)認(rèn)證與返還信息。最后，與CA證書結(jié)合后的安全系統(tǒng)同樣可以實(shí)現(xiàn)一次性的三點(diǎn)認(rèn)證(身份、域、VPN)。

記者注意到，美國《Network World》的安全編輯近期非常熱衷于統(tǒng)一認(rèn)證管理UIM的概念，他認(rèn)為將雙因數(shù)認(rèn)證、企業(yè)中央AD、后臺認(rèn)證服務(wù)器和信任倉庫、以及部分網(wǎng)絡(luò)準(zhǔn)入控制的模塊整合在一起，就可以形成最完善的UIM體制。

其理由也很簡單—認(rèn)證幾乎無可避免:很多應(yīng)用使用權(quán)力分配的、或者所有權(quán)的認(rèn)證方法和數(shù)據(jù)庫，因此想要利用一個(gè)簡單的認(rèn)證平臺去支持所有的應(yīng)用幾乎是不可能的。而這正是UIM存在的基礎(chǔ)。

對此，國內(nèi)安全廠商的看法是，UIM很重要，可以解決企業(yè)用戶的認(rèn)證管理問題，不過從更大的內(nèi)網(wǎng)安全方向看，UIM仍不是全部。顏世峰的看法是，一套完善的內(nèi)網(wǎng)安全技術(shù)至少包括三方面:第一網(wǎng)絡(luò)準(zhǔn)入控制NAC(也可以算是UIM)。它保證了只有合法的、健康的主機(jī)才可以接入網(wǎng)絡(luò)，其中包括用戶身份認(rèn)證與接入設(shè)備的準(zhǔn)入控制管理;第二，網(wǎng)絡(luò)終端管理NTM。它解決企業(yè)辦公終端的易用性、統(tǒng)一管理、終端安全等問題;第三，網(wǎng)絡(luò)安全運(yùn)行管理NSRM。它可以動態(tài)保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的安全、穩(wěn)定運(yùn)行，自動發(fā)現(xiàn)網(wǎng)絡(luò)故障、自動解決并報(bào)警。

看到了么，一套身份認(rèn)證系統(tǒng)，就牽扯出整個(gè)內(nèi)網(wǎng)安全的各個(gè)組成部分?，F(xiàn)在應(yīng)該沒有人會懷疑安全的平坦化了，但請記住，平坦才剛剛開始。

編看編想:平坦的安全缺乏標(biāo)準(zhǔn)

安全是平的，但在平坦的技術(shù)中缺乏標(biāo)準(zhǔn)。不論是身份認(rèn)證還是更加龐大的內(nèi)網(wǎng)安全，各個(gè)國家都沒有對應(yīng)的通用標(biāo)準(zhǔn)。事實(shí)上，即便是802.1X協(xié)議，各個(gè)安全廠家之間也無法完全通用。

對內(nèi)網(wǎng)安全技術(shù)來說，現(xiàn)在國內(nèi)外沒有一個(gè)廠商大到有很強(qiáng)的實(shí)力，把不同的專業(yè)安全廠商的產(chǎn)品集成到一起，因此很多還要靠大家一起來做。因此業(yè)界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州數(shù)碼自己定義的協(xié)議SOAP。

業(yè)界需要標(biāo)準(zhǔn)，但是沒有。王景輝無奈地向記者表示，各家廠商不得不定義自己的通信接口和密鑰協(xié)商機(jī)制，其中還要確保協(xié)議隧道中的所有數(shù)據(jù)都是加密的。不過他同時(shí)認(rèn)為，目前的狀態(tài)可以滿足市場需求。

記得有印象，早在2000年就有人提出統(tǒng)一安全標(biāo)準(zhǔn)的問題，但是做不到。退一步說，目前安全市場的趨勢是變化和更新速度非?？?。開發(fā)一個(gè)安全協(xié)議要考慮保護(hù)用戶現(xiàn)有和既有的投資，要讓過去的設(shè)備能用起來。但現(xiàn)在的情況是，還沒有等協(xié)議出來，過去的設(shè)備已經(jīng)過時(shí)了，從這個(gè)角度上說，統(tǒng)一所有廠家的安全協(xié)議沒有價(jià)值。

而且，各國政府在安全上是有自己的想法的，國際廠商出一個(gè)協(xié)議，不一定能夠認(rèn)同。