作为一年一度的安全业内最大的盛会，“中国信息安全大会”已经连续六届成功举办，在安全业内产生巨大影响，本次大会将继续保持中国信息安全业内综合性、前沿性、权威性的特点，大会的话题将覆盖到目前安全热点的相关领域，包括：安全政策、安全服务、安全应用、安全整体方案、防病毒技术、防火墙技术、IDS技术、VPN技术、生物识别技术、反垃圾邮件技术、漏洞扫描等多项技术方面。现场还将有众多丰富的安全产品展览和演示，供来访嘉宾现场实地感受最新的安全产品和技术。

　　本次大会，将云集安全业内专家与学者，汇集主流安全企业和典型用户CIO，无论从技术理论的高度，还是从应用实践的深度，还是从前沿问题的热度，本次大会将覆盖几乎所有当前安全迫切问题，充分交流安全防范技术，展望安全体系技术发展态势，引导用户的采购选型，达到构筑最大交流平台，促进产业发展，互联商业契机的多赢之目的。


一、高峰论坛（20日上午）：

　　面向产业界高层人士，围绕“等级保护 & 应用安全 & 创新服务”的主题，展示应用安全的前沿实践、探讨可信安全网络的主动防御架构、安全手段和产品结合网络应用抵御威胁以及安全创新服务的最新理念、方法，拓宽听众的安全思路。
　
　　艾泰科技 荣获 ：2006中国信息安全 中小企业优秀产品与服务奖

　　现场演示：
　　艾泰现场搭建的演示平台 吸引了纵多相关人员参与咨询交流。

二、技术分论坛（20日下午）：

　　 ●第二分会场：安全可控网络建设专场
　　 ●专家主持——中国计算机学会计算机安全专业委员

艾泰科技致辞：

　　网络运行过程安全服务保障解决方案

　　大家下午好，今天我和大家共同探讨的是中小型商用网络中的安全问题及解决方案。在说我们产品之前想跟大家探讨一下，中小型商业网络现在的应用现状，以及中小型商业网络未来关注的焦点。现在在中小型企业中，每个人在公司都会通过宽带上网，因为宽带带宽无限增加，使得网络攻击变得十分紧张，我记得我上大学时，我要攻击一个网站，要去钓鱼、可能要用ID欺骗，可能要转换它的密码，现在如果我有100M带宽，我攻击一个10M带宽的网站，变得非常容易；还有一个垃圾邮件问题，无论是自己的企业邮箱，还是第三方邮箱，无论用什么设备，多多少少会收到垃圾邮件；另外，令每个网管头疼的就是对网络资源不合理使用。

　　企业使用安全设备解决这些问题时，也会碰到很多问题，因为现在做安全的厂商太多，每个厂商都有自己的理念和产品，包括防火墙，IDS，IPS，包括流量分析、路由器等，通过分析和调查，我们会发现用户关注的焦点问题是内网安全、网络可靠性、网络使用效率。

　　艾泰科技从创建到现在一直致力于研发用户内网的安全网关设备，我们的保护有“三关”的概念，第一关是安全交换机，我们在实践中感觉二层是基础，即使不连接外部网络，内网问题依然存在。我们在这个基础上考虑用户的需求，做出来的产品支持这些功能，一个端到端的设置转换，支持802.1X的认证，支持VLAN，端口的绑定，包括每个端口访问列表和端口流量控制。这可以控制到桌面上的每一台电脑。
　

　　第二关是宽带安全网关。 带宽的问题是网络应用和每个网管非常关心的问题。实际上每个人在上班做下载的时候希望速度达到最快，应用时也希望自己最快，这带来一个矛盾，我下载最快的时候，别人是不是因为我的下载而最快了呢？从网络的应用来看，实际上可以这么分一下，应用可以分为对时延敏感和对时延不敏感的应用，Web浏览、收发邮件、网上下载可能不敏感，而语音和视频则会受时延影响。

　　从网络使用者的角度来说，我们希望带宽最大，速度最快，但是从一个网络的管理者，是希望这个带宽利用率最高，带宽是公平分配的，当网络一部分人做应用，不会影响另外一部分人的应用。但是实际情况往往不是这样，比如P2P的下载，现在公司中小规模网络接入的时候ADSL接入，上行带宽很小的，很可能由于下载和视频，对带宽要求小的比如QQ，MSN和收发邮件造成影响，造成的原因是IP标准是竞争的、共享的无序的。怎么解决这些问题，我用到CBT/CBQ两个技术，这两个技术原先用在ATM上的。先看一下CBT，CBT可以公平高效延迟地提供流量控制功能。CBT给每个用户定义带宽的信用，在合法有效使用带宽的时候系统给他一个保障，到他疯狂下载，比如对他信用进行无截止使用的时候，系统会自动对带宽进行控制和限制。

　　CBQ是另外一个对带宽管理的算法。IP地址是针对人的，可以将公司做成不同的部门，不同部门分别不同的带宽，分类也跟应用有关系，这是带宽的分配问题。
看一下这个图（PPT），前一半是没有使用CBQ算法的时以太网的流量情况，是非常杂乱无章的图形，右边的部分是使用CBQ算法之后的情况，带宽基本上平均了，从带宽的角度来看，对于商业用户、小区用户、网吧用户来说，首先保证用户应用才是最安全的，网络用不上何谈安全，这是带宽管理的概念。

　　在线路检测方面有网关ICMP请求线路检测方式，指定ICMP请求的新路检测，ARP请求的线路检测，以及DNS请求的线路检测。正因为这样我们开发了多种线路检测方式，可以使设备很方便检测出线路的中断，同时还考虑了接入的安全，看了图（PPT）前后的两个防火墙，对于外部的攻击或者各种各样的扫描方式直接过滤的，对于内部来说，一个是包过滤、基于IP地址，协议和端口时间段。以及针对应用层的过滤。同时还有接入时间、防止DOS攻击等。包括管理HIPER的安全，比如telnet，http等多种多样的管理方式。

　　产品的另外一个功能就是VPN功能，现在不是很强调产品的VPN功能，而是糅合在产品功能里面，用户用VPN可以实现对带宽的管理，对攻击的防范，对设备和网络的监控。VPN优点体现在性价比上，第二个特点就是体现互通讯上。


　　安全保障第三关就是管理和监控，前面说了很多，网络出了问题怎么办？如果我能知道网络内部哪个机器感染了病毒，哪些机器访问了非法网站，知道每个用户的带宽利用率，以及网速变慢的原因。但我怎么发现他们，这就要求网络的设备提供强大的管理和功能，我们设备提供每个nat session的监控，提供每台机器使用的带宽监控，提供出口的带宽使用情况，以及查看NAT转换成功，失败的计数，和容易发现蠕虫病毒。
　　

　　这是设备的界面，左边是实时监控的画面，右上角是端口发包的统计，右下角是每台机器NAT会话的统计，我们非常注意网管人员对网络有非常好的掌控。

　　我的内容就这么多，谢谢大家！