鹰之旅 Falcon's Blog

原 帖子:国内企业争相OEM国外信息安全产品的反思

文中提出的问题，目的也是为了强调自主研发的重要性，提醒大家注意仅依靠OEM产品发展的危害。也许国家、行业、甚至业内企业已经或正在进行这方面的思考或调整，毕竟对业内企业来说，谁不愿意通过拥有核心技术去获得高额利润，而去挣OEM那点辛苦费呢？

前文提出了意见，这里针对问题给出一些自己的建议（希望能够对业内企业的核心技术及产品研发的环境改善尽点力），供讨论：

看了ZhaoL的文章“给UTM泼点冷水——防火墙-UTM-IPS之三国争霸”，对其中的观点很是赞同。
但本文关心是文中引用的关于‘国内代表性安全厂商OEM第三方产品’的分析结果：“皓月认为：基本上第一阵营、第二阵营传统信息安全厂商中一半以上OEM飞塔（Fortinet）的产品，而采用嵌入引擎的方式则种类繁多，包括国外的卡巴斯基、赛门铁克、 Sophos、F-Prot以及……”。由此不难看出：国内的信息安全厂商们就是在争着替Fortinet打市场，令人费解的是国内防火墙的主流厂商们竟然是OEM Fortinet UTM产品的主力，而UTM主要冲击的则是国内企业占据市场优势的防火墙市场……。这才是真正令圈内许多朋友担忧的地方。

国内互联网系统以及信息化建设基本上采用国外硬、软件系统构建的现状以及安全性问题，已引起国内有识之士的担忧。‘微软黑屏事件’已让大家见证了‘网络世界帝国’的威力，而国内对国外信息安全产品（直接进入或经过OEM进入）的规模应用，则又主动放弃或部分放弃了对网络虚拟世界帝国(入侵与控制我们自己网络虚拟空间)的抵抗能力，这些做法的后果更为严重：会极大地帮助这些‘网络世界帝国’从容构建它们的“网络虚拟世界的殖民地”。因为信息安全类产品是约束网络世界中活动的监控、管理机制，如果这些机制的相关产品也大量引进,进而放弃自主研发的话，在网络虚拟世界中，我们所面对的结局将只能是：
物理世界的互联网系统的所有权、维护义务都是我们的（要花费巨资购买各种硬软件系统以及相关的服务、组建网络的维护团队以及信息资源创造团队），但是这些资源所构建的网络虚拟世界的控制权却掌握在微软等等国际互联网巨头的手里。一旦我们失去了对网络世界的行为监控与管理能力，这些网络世界帝国的缔造者们就可以利用它们遍布网络中的硬、软件系统中的相应功能，随意地处理、获取你的信息，甚至控制我们构建的整个网络空间。这样一来我们就是在努力地替别人维护一个虚拟世界的帝国，我们在网络空间中的一切（信息）资源、网络行为都将在别人的管理、控制、监管之下，这意味着什么？----也许我们只能在网络虚拟世界里当“亡国奴”了，我们花费巨资构建并维护的网络空间成了这些网络虚拟世界帝国的“殖民地”，而获得经济、信息、情报等诸多利益的将是那些网络世界帝国的创建者以及他们所属的国家。
因此，可以说现在网络虚拟世界已经发展到“网络世界的帝国殖民主义时代”了。显然在这个时期，‘如何争夺网络世界的控制与管理权？’已成了整个信息化建设所要重点关心和急迫需要解决的问题。

不知国内的信息安全产业能否从容应对？是否准备好了约束网络虚拟世界中各种行为的应对方案？

  通过IT行业的资源整合以及系统的互连互通，以期使信息化建设发挥最大的综合效益和使用价值，已成了业内IT技术发展的共识（参考Gartner 2009年IT行业10大战略性技术）。做为信息产业的重要分支的信息安全产业，近年来也在关注信息安全的综合治理并积极开展信息安全体系架构的研究。这些工作也都是期望能够通过各种安全机制、人员以及管理制度的协同与整合，通过体系化的安全解决方案以及合规性约束来提升用户的信息安全保障能力以及产业的综合服务能力。本站的可信网络主题中的可信网络体系架构（TCAF）的安全管理平台就是基于安全资源整合思想设计的，此外已被业内普遍接受的SOC的概念也可认为是安全资源整合的一个成功案例。

       计算机软硬件基础平台及其技术都掌握在外人之手的客观事实，使得我们必须考虑如何在不可信的网络世界中，尽力提高对自己拥有所有权的信息系统与资源的使用权加强行为监管与控制的能力，来尽可能降低危及自己信息资源的风险。这也是“可信网络世界体系架构”这些年来一直强调需要对网络虚拟世界中主体行为的预期控制和可信监管的根本原因。我们对网络虚拟世界的信任，只能建立在我们自己对暴露在网络世界中的信息资源的掌控能力上。如果没有这个能力，在网络世界中就只能被任意欺凌。

      “微软黑屏事件”也许会极大地促进国内对网络行为监管能力的研究与建设，这也可能就是国内信息安全产业的又一个好的发展机会。

来源于发改委的网上通知文件: 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2701号)

本地下载: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式

原 文章:第九届中国信息安全大会4月22日北京

四年了，信息安全领域的可信概念总算被领导们、市场关注了......

关注之......

会议背景　　
安全在开放的环境中不断进行技术、产业、资本方面的融合，在新概念、新技术、新产品层出不穷的今天，更加重视安全的新思维理念，更加重视用户需求，在企业内部形成可控的安全管理环境，维护企业秩序。构成本次大会的主题，即“可信安全•生态”。
作为一年一度的安全业内最大的盛会，“中国信息安全大会”已经连续八届成功举办，在安全业内产生巨大影响，本次大会将继续保持中国信息安全业内综合性、前沿性、权威性的特点，面向产业界高层人士，围绕“可信安全·生态融合”的主题，展示应用安全的前沿实践、探讨可信安全网络的主动防御架构、安全手段和产品结合网络应用抵御威胁以及安全创新服务的最新理念、方法，拓宽听众的安全思路。

大会的话题将覆盖到目前安全热点的相关领域。包括：安全政策、安全服务、安全应用、安全整体方案、防病毒技术、防火墙技术、IDS技术、VPN技术、生物识别技术、反垃圾邮件技术、漏洞扫描等多项技术方面。现场还将有众多丰富的安全产品展览和演示，供来访嘉宾现场实地感受最新的安全产品和技术。

关于会议详细情况见“第九届中国信息安全大会”。