应对不可预测的威胁——访CheckPoint软件技术有限公司公司北亚地区总裁曾志铭

network · 发表于 2008-2-1 08:01:16

提起防火墙，Check Point是一个不可缺少的名字。全球《财富》500强企业中有98％的企业在使用Check Point软件技术有限公司（下称Check Point公司）的产品，每年6亿美金的营业额，尽管在企业防火墙、个人防火墙和VPN市场，Check Point公司大名鼎鼎，如今Check Point公司却不愿意人们将它再看作一家防火墙公司。《信息周刊》就如今信息安全领域的热点话题，独家采访了CheckPoint软件技术有限公司公司北亚地区总裁曾志铭。

《信息周刊》网络版

田强

2006-6-30

《信息周刊》：目前企业内部的IT环境越来越复杂，企业应该如何应对这种趋势？
曾志铭：的确如今各种攻击可以通过各种“可信”的设备和用户进入，袭击企业的内部网络，企业面对的安全环境越来越复杂。越来越多的企业在向移动员工、合作伙伴、供应商、承包商以及其他客户提供互联网上的应用程序和资源的访问权限，与此同时，网络就变得易受攻击。
在这种情况下，专门的内部安全解决方案成为必要，它不但可以确保只允许安全的设备访问企业的网络，还可以提供在有人攻破第一道防线时限制传播的方法。早在几年前Check Point公司就提出了“ 边界、内部及Web” 安全保护的安全策略，随后这个策略又随着互联网的发展延伸至终端安全。
更进一步的是，企业应该构建一个全面性的网络安全环境（Unified Security Architecture）,它可在各种不同层次的网络环境下运行，并且特地为应付无法预测的网络潜在威胁所设计。

《信息周刊》：现在有些企业开始采用所谓的“胖防火墙”，即在防火墙上集成VPN、IDS、防病毒、URL过滤等多种功能，您如何看待这种产品？
曾志铭：有句俗语叫“不管是黑猫，白猫，抓住老鼠就是好猫”。对于防火墙也是。网络安全并不是绝对的，再好的解决方案也会存在安全漏洞，然而用户对安全的要求却是绝对的。所以，只要能带给用户易于操作，全面的安全保护的解决方案就是好的。无论是胖防火墙还是瘦防火墙只要能满足用户的需求，适应网络的应用，就有它生存的道理。关键是企业应该根据自身的情况选用适合的防火墙。

《信息周刊》：面对复杂的安全威胁，中小企业财力有限，如何部署完善的信息安全系统？
曾志铭：对于中小企业来说，选用集成化的信息安全产品更有好处。比如Check Point公司的[email=Safe@Office]Safe@Office[/email]系列，集防火墙、VPN、防病毒、入侵防御，通信量模式分析及Web过滤等功能于一身，中小型企业通过一个产品得到全方位的信息安全体系。

《信息周刊》：随着无线网络在企业的逐渐普及，它所带来的信息安全风险也越来越突出，您认为企业应该如何减少来自无线网络的安全风险？
曾志铭：我认为用户可从五方面降低无线局域网的风险。
首先是关注破坏性热点。企业网络的最大潜在风险是来自含有凶猛破坏程序的无线接入点(wireless access point)，这不一定是刻意回避安全策略的偷偷摸摸行为，例如有些员工会自行购买一些无线访问器材，令其工作更为便利，而这些器材的费用及使用复杂程度都不高。防范这些不受管理的WAP 并不困难，有许多工具可供选择，例如特制的WLAN传感器、数据包监察器等，这些都可以保障网络不受非法WAP影响。
二是保护端点安全，从而保障网络。用户要紧记一点，无线局域网的安全性并不是绝对可以信任的。网络的各个端点就像暴露在远程宽带连接般面对各种威胁。端点至少要有一个个人防火墙作保护。对于服从安全政策的可信用户，应该把他们放置在可以访问内部网络的虚拟局域网中。而对于那些客人或者不符合安全政策的用户，则只容许他们访问互联网。
三是把网络分区。企业应该使用一个功能强大的边界防火墙把无线局域网与固线网络分隔，虽然WAP会提供基本的访问控制，但其保障度并不能满足当今网络环境的需要。

network · 发表于 2008-2-1 08:01:45

采用边界防火墙的另一个优点是可以让无线局域网和边界的安全政策一致。
四是采用IPSec 代替无线局域网加密。无线局域网以前采用的有线等效加密(Wired Equivalent Privacy，简称WEP)和Wi-Fi受保护访问(WPA)效果未如理想，改用802.11i 及WPA2协议后情况需有改善，但弊端是有许多无线局域网设备仍不能支持新标准，除非用户能在整个企业范围内推行802.11i，否则采用一个IPSec加密政策来管理用户访问敏感信息较为可取，因为IPSec经过验证有效，并且已经在许多笔记本电脑上使用。
最后是考量风险度。无线局域网安全应该是企业的风险分析的一部分。企业应该考量下列问题:面对那些风险？是否有适当的步骤来侦测破坏性访问端点？一旦未经授权的人连接到了公司的无线局域网及内部网络，公司承担的法律责任为何? 总而言之，安全保护措施是与风险度及网络面对的威胁密不可分。

《信息周刊》：Check Point是开放安全企业互联联盟(OPSEC)的组织和倡导者之一，请您介绍一下这个组织的宗旨和作用？
曾志铭：OPSEC 联盟成立于1996年，其目标是为用户提供一个网罗行业精英的安全支持框架。OPSEC将实施一个全方位的安全体系结构，它涵盖内部安全、Web安全、内容安全、全面保护（TAP）、VoIP和法规遵循等6个关键解决方案领域。扩展后的OPSEC计划构建了一个全面的安全体系结构，使客户及解决方案供应商有能力抗击不断涌现的安全威胁。今天 OPSEC拥有超过350个合作伙伴，包括 Crossbeam Systems，诺基亚，NetIQ，RSA Security，Sun Microsystems，SurfControl，Websense等知名信息安全厂商在内。

《信息周刊》：国内用户普遍反应CheckPoint公司与用户的距离比较远，您如何权衡通过渠道的策略与直接接触用户之间的关系？
曾志铭：坚持渠道建设是CheckPoint一直的方针，但我们的一项全球性渠道举措——“至尊伙伴计划” （Valued Partner Program），目的不仅是协助Check Point的解决方案供应商在销售上取得卓越的业绩，更是为了帮助解决方案供应商能更好的掌握目标客户群。Check Point也会加强与最终用户的接触，如最近就在中国举行了一系列的安全之旅活动，在北京、上海及广州三地吸引了500多名的企业用户参加。我们希望能够“零距离”了解本地企业的要求及期望， Check Point已经决定于下半年再举办一次安全之旅巡展，目标是京、沪、穗以外的多个其它城市
。
人物简介：
曾志銘，拥有超过24年的IT行业销售及管理经验。作为Check Point北亚地区总裁，负责掌管Check Point在中国大陆、香港、台湾及韩国等市场的销售业务，同时管理及促进区内的客户及合作伙伴关系。在加入Check Point前，曾志銘任职于惠普(HP)、Sun、Autodesk、Adobe 、EMC及Informatics 等著名IT企业，担任行政管理工作。

曾志銘拥有英国赫尔大学的工商管理硕士学位，主修策略性市场学。

账号		自动登录	找回密码
密码			注册