【赛迪网讯】安全是个相对的概念，安全防御永远是个动态的过程，没有永远的安全，没有绝对的安全。

　　7月8日，思科安全工程师技术大会在北京举行，这是思科最近在安全领域的又一次全力出击。

　　安全是否需要标准？需要什么样的标准？

　　思科在安全领域能否也像在路由器领域那样成功呢？思科的野心胜算有多大呢？

　　7月8日，思科安全工程师技术大会在北京举行，600多名关注网络安全的工程师济济一堂。这一次思科谈的还是自防御网络计划（SDN）。这是继思科3月在中国发布SDN理念、4月在杭州召开网络安全大会推广SDN之后，又一次大张旗鼓地深入安全领域。

　　在此之前,6月7日，美国加州圣何塞，思科系统与趋势科技公司联合宣布：从即日起，双方将联手为企业用户提供网络蠕虫和病毒爆发综合防御解决方案。

　　的确，安全是当前信息技术领域的热点，而思科在安全上的投入力度如此大，还有其更深层的考虑。思科中国CTO刘永春在会上直言：思科的目标是要把所有的协议标准化，让SDN成为业界的安全标准。

　　安全是个相对的概念，安全防御永远是个动态的过程，没有永远的安全，没有绝对的安全。那么，安全是否需要标准？需要什么样的标准呢？

　　在过去的20年中，在路由器领域，思科的产品几乎成了事实上的标准。而思科在安全领域能否也像在路由器领域那样成功呢？思科的野心胜算有多大呢？

　　安全需要什么样的标准？

　　一直以来，思科在将新技术变成互联网事实标准方面很有经验，如思科参与了业界广为应用的MPLS、IPSec、iSCSI等标准的制定。那么，思科今年推出的SDN能成为全网的安全标准吗？

　　安全技术本身需要标准，而这些标准应该是协议类的标准，是保证安全产品互联互通的标准。而在产品层面上，安全是不需要标准的。如果一个产品被认定为安全的标准产品，任何人都要用。那么，如果这个产品被攻破的话，那这个标准产品岂不成了最不安全的东西？所以，作为安全产品来说，是不应该有标准化的产品的。但是，今天，思科所要推广的并不是几款要成为标准的产品，而是要把它对安全防范的整体架构，也就是它的安全理念形成标准。这就引发了我们的思考：全网安全的理念，是否就是标准？

　　的确，目前，人们已经认识到，要想实现更高的安全，必须要有网络基础架构的参与，整体防范才是必要的。不过，这也是人们在今天、此时此刻的认识，而安全永远是一个动态的过程。未来，如果安全与反安全的战争还在升级，全网的安全防范也不能保证安全时，那么这个标准是不是同样也得修改呢？所以，在安全领域，标准应该是相对的。

　　当然，这是后话，可能这一天的到来还要等很长的时间，但至少，今天，思科的努力也是可以理解的，它的目的，就是想通过关于标准的推广，从而推广全网安全的理念，让网络能够自防御，这至少是目前最为安全的一种安全保障了。

　　关于成为安全标准，思科想得还是挺清楚的。刘永春谈到，网络是一个互联互通的概念，互联互通必须基于一种标准，但是在标准方面，互联网的标准跟其它标准不完全一样。互联网标准在成为标准之前，必须有两到三家的验证以后，才能认证它是合格的。应该说，互联网的标准，是一个非常实际的、能用的东西，当然不是靠强制执行，而是靠推荐，因此，标准这个东西必须实用、合适，别人才会用。思科完全遵守这个概念，先要实用化。实现、认证、核实、可用，然后才能标准化。标准是不是叫SDN不一定，但是SDN本身是一个概念，里面包含不同的技术，会有不同的标准，但肯定要做标准化，不过这需要有一个过程。

　　思科的想法还是很明确的，推广今天人们认可的也是它所看到的一种最为可行的安全防范理念，保证最大的安全性。现在，思科是这么想的，也在努力在做。

　　SDN重在自身免疫

　　思科在安全领域有着这样的野心，但是,SDN真的那么有用？真的能让思科实现在安全领域的雄心壮志？

　　SDN到底是什么呢？所谓“自防御网络（Self-Defending Network，SDN）”，所体现的是完整安全体系的思路。它是一种全新的多阶段安全计划，能够帮助用户大大提高网络发现、预防和对抗安全威胁的能力。目前的安全解决方案，从本质上来看是相当孤立的，并没有形成一个完整的安全体系概念。而思科认为，安全解决方案的发展趋势不仅是让系统得到端到端的保护，而且对各种应用进行保护，还要使得网络有自愈功能，从而形成全面集成的安全解决方案。在第三代的思科安全解决方案中，思科把安全的概念融会到路由器、交换机、终端、防火墙 + VPN + IDS产品中，并采用了集成化管理软件。这就形成了思科自防御网络的体系框架。

　　从安全威胁的特点和安全防范的需求来看，SDN应该在网络管理和分析的基础上，通过安全连接系统、威胁防御安全系统，以及信任和身份管理系统三个方面来维护整个系统的安全。SDN安全体系以当前占据网络技术主流的IP技术为基础，符合各种网络协议和技术的规范，满足IP网络和安全技术之间的协作，可以无缝地集成到数据、语音、视频、无线、存储等多种IP服务。在这次大会上，为了让国内的工程师理解SDN，刘永春介绍说，SDN是一个大的理念，从开发的角度来讲，SDN这个概念应该不需要做程序的开发，但是需要做客户化的处理，因为包括控制的级别，也就是说，它不是一个简单的技术，它需要制定一些策略，根据公司所要求的安全级别、安全策略来做一些事情。

　　事实上，思科也是想到了安全的动态性，所以SDN也被设计为动态的、可变的体系结构，以适应安全技术发展的需要。

　　NAC是第一步

　　有了SDN的整体框架之后，思科开始逐步推出相关产品。在本次大会上亮相的网络准入控制（NAC）产品，是思科自防御网络计划的第一步。

　　作为SDN的重要组成部分，NAC是一个总体概念，包括身份认证，包括CSA对防御状态的检测，这是一整套协议，其中会包含思科自己创作的协议，大概会有十几个协议。

　　趋势科技作为NAC计划的联盟厂商之一，这次派出技术专家介绍趋势科技对思科网络准入控制计划（NAC）的支持。据刘永春介绍，目前，思科与趋势科技、IBM、Network Associates、Symantec等厂商合作，在计算机终端安装思科安全代理软件（CSA）。思科CSA负责检查客户机的安全状态信息，如是否安装了防病毒软件、是否及时升级、是否有病毒感染等，然后将这些信息传递到安全策略服务器，由安全策略服务器作出判断。如果客户机有病毒，安全策略服务器将判断结果传递给思科网络访问设备，如路由器、交换机、无线AP等，执行准入控制决策（拒绝、隔离、限制），使感染病毒的计算机得到有效的隔离和控制，防止病毒扩散到全网。如果客户机没有安装了防病毒软件，或没有及时升级，安全策略服务器将判断结果指向安全厂商的服务器，便于客户机及时安装防病毒软件，及时升级。

　　建立联盟

　　为了加快SDN的标准化进程，目前，思科与趋势科技、IBM、Network Associates、Symantec等厂商合作，积极推进NAC联盟，并吸收更多的成员加入，如微软等厂商。目前这一项目正在进行之中。CSA作为NAC的一部分，向安全策略服务器汇报、沟通的时候是一个协议，今后不一定要接收思科的CSA，可能会接收其它厂家的客户端状态检测产品，这样有利于NAC联盟的不断扩大。

　　为了扩大SDN的影响，思科将加强安全咨询服务，发挥合作伙伴的力量。刘永春说，思科主要针对大型企业做全网的诊断、专家级的诊断，但是基本的咨询服务还是依靠合作伙伴。

　　SDN从理念走向应用

　　今年3月，思科在中国发布自防御网络（SDN）理念，4月又在杭州召开网络安全大会。杭州安全大会是面向一些学术研究机构、学校及安全评测机构等，主要侧重于安全方面的咨询顾问等比较高级的技术决策者，那时候主要是启动，对SDN概念的启动，经过两三个月时间的宣传，有很多人员感觉到思科SDN概念的推广。这次的安全大会，主要是针对技术人员，到会的都是清一色的工程师。刘永春说，“我们发现更多的在于人的培养，思科之所以能有今天，其实跟思科的技术培养有很大关系，包括我们的CCIE，全球都认可CCIE。思科从网络的角度做CCIE安全工程师论证，这是我们比较重视的一部分。如果这些工程师能够懂比较多的技术，我想我们在产品的销售和部署中，也能够发挥更大的作用，否则大家买了东西放在那儿，发挥不了作用。”

　　可以看到，思科自防御网络理念充分运用了思科拥有全方位整体网络解决方案的优势，实现集成化的网络安全，这也正是思科的优势。思科能有此野心，也源于它在网络领域里的领先。思科有着丰富而全面的网络产品体系，有着先进的网络技术，这样思科就有能力保证安全与整个网络的紧密融合。优势决定野心，从SDN上，我们也可以看出，思科更深层的目的是要把它在路由器市场的辉煌同样带到安全领域。胜算多大不好说，但现在思科在全网安全技术领域，已经走在了前面。

　　安全不同于其他领域，我们也要想到的是，没有永恒的安全，安全永远是一个动态的过程。除了协议之外，安全的标准都是相对的，这其实也是信息安全给人类最大的挑战吧。

　　SDN网络安全解决方案的工作原理

　　链 接

　　安全标准

　　为保护人和物品的安全性而制定的标准，称为安全标准。安全标准一般有两种形式：一种是专门的特定的安全标准；另一种是在产品标准或工艺标准中列出有关安全的要求和指标。网络与信息安全的标准，是在如下一些“原动力”的作用下发展起来的。

　　安全产品间互操作性的需要

　　加密与解密、签名与认证、网络之间安全的互连互通等等，都需要来自不同厂商的产品能够顺利地进行互操作，共同实现一个完整的安全功能。这种需求导致了最初一批网络信息安全标准的诞生，它们是以“算法”、“协议”或者“接口”的面目出现的。比如著名的对称加密算法DES的英文全称译成中文就是“数据加密标准”。

　　对安全等级认定的需要

　　人们不可能百分之百地听信厂家说自己有哪些安全功能，大多数用户自己又不是安全专家，于是就需要一批用户信得过的、恪守中立的安全专家，对安全产品的安全功能和性能进行认定。经过总结提炼，就形成了一些“安全等级”，每个安全等级在安全功能和性能上有特定的严格定义，对应着一系列可操作的测评认证手段。这些用客观的、可操作的手段定义的安全等级，使得安全产品的评测认定走向科学的正轨。

　　对服务商能力进行衡量的需要

　　随着网络信息安全逐渐成长为一个产业，安全等级认定的弱点——周期长、代价高就逐步暴露了出来。于是，除了对“蛋”（安全产品）的等级进行认定以外，人们想到了通过对下蛋的“鸡”（安全服务商）等级的认定来间接地对“蛋”进行认定。这样，使得以产品提供商和工程承包商为评测对象的标准大行其道，同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。

　　目前国际上通行的与网络和信息安全有关的标准，大致可分成三类：

　　一、互操作标准

　　比如， 对称加密标准DES、3DES、 IDEA以及被普遍看好的AES； 非对称加密标准RSA；VPN标准IPSec；传输层加密标准SSL；安全电子邮件标准S-MIME； 安全电子交易标准SET；通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议，也就是所谓的“事实标准”。

　　二、技术与工程标准

　　比如，信息产品通用测评准则（CC/ISO 15408）； 安全系统工程能力成熟度模型（SSE-CMM）。

　　三、网络与信息安全管理标准

　　比如，信息安全管理体系标准（BS 7799）；信息安全管理标准（ISO 13335）。