中国科学院视频会议系统（以下简称“院视频会议系统”）自2003年启动建设以来，始终保持着高效、稳定、安全的运行，得到了广大用户的普遍好评，为全院提供了良好的会议保障与支撑服务。随着科学院信息化建设的逐步深入，将视频会议从会议室延伸到个人计算机桌面的需求越来越强烈。为满足用户不断提出的新需求，院视频会议系统于2009年10月，正式推出了“中国科学院桌面会议系统”（以下简称“院桌面会议系统” ）。

　　院桌面会议系统主要面向研究所及课题组的视频会议应用，它拓宽了视频会议的应用场景，使用起来更加灵活快捷、方便有效。用户只需在连入互联网的个人电脑中配置摄像头和耳麦，就能自主灵活地参加会议，有效实现音视频交互、共享桌面、共享文档、文字交流等功能。与此同时，“院桌面会议系统”部署起来十分方便，省去了预定会议室、架设硬件终端及会前协调等多项复杂繁琐的工作。参会者只需在个人电脑上登录网页即可召开一个多方参加的视频会议，轻松实现音视频交互、数据共享、协同办公等功能。不仅如此，院桌面会议系统为更好地满足科学院用户的实际需求与使用习惯，还进行了100余项功能定制，不仅保持了中国科学院的一贯风格，而且界面简洁易用，按钮图文并茂，真正实现了“三分钟学会，十分钟熟练”的目标。

　　院桌面会议系统的特色和优势主要体现在：

　　系统简单易用。院桌面会议系统的界面简洁清晰，按钮图文并茂，易于学习和使用。

　　用户管理便利。院桌面会议系统不仅提供了自主服务、自主管理的功能，而且具备规范的会议流程，便于用户的使用和管理。

　　数据操控完善。院桌面会议系统提供了多种数据操作手段，例如：音视频交互、桌面和程序共享、网页协同浏览、影音播放、文件传输共享等等。除此之外，它还支持视频会议的录制、点播和直播。

　　互融互通高效。院桌面会议系统在实现了与H323硬件终端设备互融互通的同时，也支持VOIP电话、模拟电话参会。

　　应用场景广泛。院桌面会议系统能够适应多种不同的应用场景，例如：远程招聘、远程培训、圆桌会议项目合作、国际交流、科研讨论等。

　　院桌面会议系统一经推出，即得到了广大用户的支持和认可。截至2010年3月底，已在30余家院属单位试用，开设了60多个专用会议室，共计2000余人次使用了院桌面会议系统。在系统推广过程中，不仅组织了多次演示培训，而且还主动走访用户，对系统进行安装调试，提供现场指导。经过不懈的努力，院桌面会议系统已成功地应用于长春光机所远程招聘会、CNNIC域名注册服务机构政策宣导会、青藏高原所一所三址日常办公交流会、上海硅酸盐所与美国项目交流讨论会、数学院忆颂华罗庚视频会、国家科学图书馆成都分馆“国科图学科化服务”培训会、中国科技网地区网分中心双周工作会、动物所文艺联谊会、科学数据库cyberGIS工作视频会等。

　　院桌面会议系统是院视频会议系统的进一步发展，它不仅可以惠及更多的用户，而且有利于节约行政开支提高工作效率。这种方便快捷、无处不在的视频会议，将会在科学院的科研管理工作中发挥更大的作用。

　　 欲申请使用“桌面会议系统”的院属单位，可以通过视频技术支持专用邮箱（video@cstnet.cn），来获得竭诚的技术服务。

　　 能迅速扩大服务器能力、提供安全的数据中心、降低企业投资成本等，多种优势让云计算成为下一代互联网的主流方向，也因此得到全球各大IT巨头的关注。但随着这一技术的不断市场化，云所存在的标准、安全等问题也越来越被关注。

　　云计算标准应该开放

　　目前虽然很多厂商都有云相关产品和解决方案推出，但却缺乏一个统一的云计算标准，各产品在互操作上也难以兼容。

　　针对这一问题，微软中国研发集团主席张亚勤曾表示，全球应该有一个统一的国际云计算标准，他认为任何企业或者国家如果自己搞一套云计算标准，最后的结果很可能是形成信息孤岛。

　　对此Greg Bunt也持有相同观点，他表示要寻找开放、全面、基于标准互操作的方法来实现安全地扩展。据Greg Bunt透露，目前相关行业成员正在就政策、标准和合作研发与政府部门展开合作。

　　“我们一直倡导一个开放的标准，瞻博也正在和IEEE密切合作。对于目前一些竞争对手采取封闭式标准的做法，我个人并不赞成。”

　　具体到国内，工业化信息化部副部长娄勤俭近期也再次强调，要加强对下一代互联网技术、云计算等的标准研究工作，推进信息网络在各行业的应用。

　　安全保障成首要挑战

　　在云计算发展面临的挑战中，安全和隐私排在了首位。

　　这里的安全性主要包括两个方面，一是自己的信息不会被泄露避免造成不必要的损失，二是自己在需要时能够保证准确无误地获取这些信息。

　　Greg Bunt坦承，安全性是目前云计算最需解决的问题，也是瞻博一直以来重点关注方向。“在传统IT领域，瞻博的防火墙产品就占据了非常大的市场份额，而对网络安全厂商NetScreen的收购，也是瞻博其安全战略的重要部分。”

　　据Greg Bunt介绍，传统的安全方式是在客户和数据中心之间进行加密，而随着云计算的提出，客户和数据中心往往是在不同的地区，甚至不同的国家，原有模式已很难维系。对此，瞻博采取的解决方式是通过数据中心和数据中心、服务器与服务器之间的加密实现更高的安全架构。

　　巨头寻求组合应对云大战

　　“一站式”服务能力现在已经成为IT巨头们的竞争利器，为了达到这一目标，众厂商纷纷采取了收购或产业链合作的方式来应对这一市场大战。

　　2009年11月，思科、EMC和VMware宣布结成虚拟计算环境联盟，这是三大IT巨头的首次共同协作。

　　随后三家公司推出了Vblock基础架构包，并成立一个独立的公司Acadia来为数据中心提供端到端业务的私有云基础架构建设方案。Vblock集EMC的存储设备、思科虚拟技术服务和网络设备以及VMWare的虚拟技术于一体。

　　瞻博和IBM也有着类似的合作关系。据Greg Bunt介绍，在和IBM的合作中，瞻博主要提供网络架构和操作系统，部分IBM产品也由瞻博OEM代工，IBM提供其所擅长的服务器和存储服务。

　　对于HP收购H3C，Greg Bunt认为同样是基于互补的需要，HP看中的正是H3C在IP网络和数据中心领域的技术优势，能够在未来满足云计算对数据中心的应用需求。

　　中国市场对手很强大

　　作为一个在中国有超过十年时间的企业，瞻博较早对这一市场进行了布局，而随着国内互联网经济的日渐成熟，中国已逐渐成为瞻博重要战略发展区域。

　　在说到中国市场的竞争时，Greg Bunt认为H3C、华为、中兴都是很优秀的企业，也是瞻博强劲的对手。“但我们也有自己的优势，瞻博除提供网络设备外，还提供安全服务并且可直接为数据中心最终用户服务。”

　　据悉，在国内电信行业，瞻博为广东电信、香港电信等提供了数据中心产品服务。

　　在被问及针对不同客户瞻博是否有不同的产品策略时，Greg Bunt解释道，除了为大型客户提供高端数据中心产品外，对于一般规模企业，瞻博会有简化版产品，但为了保证产品的互操作和安全性，所有产品都会采用相同的操作系统。

　　“另外我们还可以提供SDK（软件开发工具包），合作伙伴可以根据情况在瞻博产品之上添加自己的标准和需求，达到定制化的目的。”

　　从2008年开始，大量企业、政府的网站遭遇web攻击，甚至有黑客通过攻击企业网站勒索钱财。众多的事例使企业逐渐认识到，由于很多攻击已经转向应用层，传统的防火墙、IPS、网页防篡改设备都无法彻底阻止此类攻击，必须要安装web应用防火墙(以下简称WAF)来保护web应用。

　　保护应用的“墙”

　　只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层（网络层、传输层）的信息进行阻断而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。

　　WAF的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全深层次的扫描。

　　梭子鱼中国区技术总监谷新说：“区别于IDS/IPS，WAF的技术特点在于，能够完全代理服务器的应用层协议（HTTP/HTTPS），包括对应用层请求的审查，以及对请求响应的代理，既能提供被动安全模式，也能提供主动安全模式进行防御。”

　　绿盟科技产品市场经理赵旭向记者介绍，WAF定位为网站安全防护设备，全面防范网站面临的具有较高风险的安全问题。从降低网站安全风险角度来看，WAF产品应以一个可闭环又可循环的方式去影响导致网站安全问题的各种因素（包括攻击者因素、漏洞因素、技术影响性因素），从而降低潜在的风险。

　　从攻击发生的时间轴来看，WAF应具备事前预防、事中防护及事后补偿的综合能力。对最为核心的事中防护能力而言，WAF作为一种专业的web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HTTP /HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击（CSRF）、Cookie篡改以及应用层DDoS 等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障web应用的高可用性和可靠性。

　　对于事中疏漏的攻击，可用事前的预发现和事后的弥补，形成环环相扣的动态安全防护。事前是用扫描方式主动检查网站，而事后的防篡改可以保证即使出现疏漏也让攻击的步伐止于此，不能进一步修改和损坏网站文件，对于要求高信誉和完整性的用户来说，这是尤为重要的环节。

　　WAF的核心技术在于对HTTP本质的理解以及web攻击防护的能力。前者要求WAF能完整地解析HTTP，包括报文头部、参数及载荷；支持各种HTTP编码（如chunked encoding）；提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备HTTP Response过滤能力。从降低安全风险的角度而言，后者要求WAF能有效影响攻击者因素中的机会、群体因子以及漏洞因素中的发现难易度、利用难易度、入侵检测与觉察度因子。

　　下面我们来看看WAF是如何防御web攻击的。CSRF是一类被广泛利用的web应用安全漏洞，该攻击通过伪造来自受信任用户的服务请求，诱使用户按照攻击者的意图访问网站信息，或者执行一些恶意的操作，比如登出网站，购买物品，改变账户信息，获取账号，或其他任何网站授权给该用户的操作等。

　　谷新表示，WAF利用数字加密、签名，或时间戳Cookie，来保护信息不被篡改，同时将会话Cookie与源客户端请求进行绑定，来阻止他人利用受信用户进行CSRF攻击。

　　赵旭介绍说，相对于使用特征集的静态防护，WAF所采用的动态防护机制更具智能性和灵活性。基本思路是通过WAF随机产生的隐含表单来打断一个不变的会话，也就是说即使攻击者获取到了用户身份，但是随机变化的验证码让攻击者无法构造一个不变的报文。

　　除了上述用户输入类型的攻击，还有一类影响web应用可用性的攻击也比较典型，即应用层DDoS攻击，在国内更习惯称为CC攻击。不同于网络层带宽耗尽型的DDoS攻击，此类攻击构思更为精巧，意在以相对较小的代价耗尽web服务器侧的系统资源，如磁盘存储、数据库连接、线程等。2009年6月18日，国际安全组织SANS报导了一种新型Apache HTTP DoS工具。运用此工具，一个带宽很小的用户都可能对一台高速服务器发起攻击。该工具对Apache 1.x和 Apache 2.x 版本以及Squid都有效。攻击原理为：如果向服务器发送不完整的HTTP请求报文，会让HTTP连接一直处于开放状态。工具可在web服务器超时时间内频繁发起这样的连接，导致连接耗尽。其构思精巧之处还在于，GET请求是不带数据的，而攻击者恶意构造了Content-Length字段、表示后续有数据，哄骗web服务器持续等待后续数据的到达，从而占用连接。

　　基于规则的DoS防护或者调整Apache配置(如增加MaxClients值，只是增加攻击的难度)均很难应对这种攻击工具。而应用了多种防护技术(重定向、HTTP头部解析会话超时机制以及请求方法识别等)的WAF产品，可天然应对基于这类工具的攻击。

　　学习让WAF进步

　　面对日趋精细化和复杂化的web攻击手法，厂商对web攻击的持续研究实力将充分体现在WAF的防护能力上，同时对WAF提出了需要与业务结合更为紧密的要求。WAF需要了解数据流向、应用的业务逻辑、用户访问习惯等，在此基础上进行安全建模，采用一种白名单的方式，即只有符合此安全建模的输入，WAF才予以放行。另一方面，WAF与其他安全产品的有效结合也是一种很好的思路，如WAF与web扫描工具结合，web扫描工具的扫描结果可以形成WAF的防护规则;WAF与蜜罐结合，由蜜罐捕获到的新型恶意行为特征，同样可以转化为WAF的防护规则，从而在这类攻击广为流行之前，WAF能预先提供有效的应对措施。

　　云安全是现有安全架构的自然发展和有利补充。作为可能的发展方向，将WAF集成于云安全体系中，会让WAF提前对web安全威胁进行响应，同时，开放和实时的云安全服务也将显著改善最终用户体验。

　　应对web安全威胁与满足合规要求（如PCI DSS合规要求）是目前客户采购WAF的主要驱动力。与前几年相比，2009年WAF技术有两方面的变化。一方面，核心技术的加强、功能的横向扩展以及产品性能的提升，如正向安全模型（白名单）及反向安全模型（黑名单）相结合、双向内容检测、集成web扫描功能、单一平台整合web应用安全与交付功能，采用具备应用层高吞吐能力的平台。另一方面体现为降低管理开销，提供集中管理面向特定应用的策略模板、自学习模型、简单易用且功能强大的报表系统(体现网站合规状态及安全状态)等。

　　WAF在保护云计算的安全方面也可尽一份力。赵旭认为，云计算服务架构自上而下包括SaaS（软件作为服务）、PaaS（平台作为服务）及IaaS（基础设施作为服务）。WAF可以应用于解决云计算服务架构的自身安全问题，如在SaaS层面提供应用及数据安全，保护数据中心，确保云计算服务的质量。另一方面，WAF本身也可以融于云安全平台，以灵活的产品形态（不拘泥于现今市场比较主流的硬件盒子）提供web应用安全服务。

　　“为了给云计算提供安全保护，必须将WAF对应用服务器的防护扩展到云系统中的大型数据中心，允许在托管的应用间灵活地分配资源（包括网络带宽、服务请求等），并且能够根据每个托管应用程序提供完整的虚拟化服务（包括安全、日志、审计、应用交付等）。”谷新说。

　　Internet计算环境出现了这样的矛盾：业务资源集中化，资源端计算能力强;在网络边界访问业务资源的客户端通常带宽、计算能力都较弱，同时客户端也经常成为安全威胁的宿主。这种矛盾导致了客户端体验差，业务资源无法充分发挥效能。未来，web安全和web应用交付融合的趋势日趋明显，对于机构的IT决策者来说，面临的最大挑战在于如何缓解针对web业务的各类安全威胁，高效保障web应用的可用性和可靠性、优化业务资源和提高应用系统敏捷性。

　　从技术发展来说，WAF需要确保web业务在安全和性能两方面的收益最大化。一方面，WAF需提供增强的安全功能，应对日趋复杂且针对性强的高风险web攻击，另一方面，WAF还需确保web应用的可用性、可伸缩性、高性能，降低服务响应时间、显著改善终端用户体验，优化业务资源和提高应用系统敏捷性，提高数据中心的效率和服务器的投资回报率。

　　此外，从产品向服务的演变也是一种趋势。下一步，WAF厂商可与MSSP（托管安全服务提供商）合作，面向用户按需提供基于网络的WAF服务或者虚拟化的WAF服务。

　　WAF不能Plug and Play

　　由于WAF和应用的结合很紧密，因此WAF的安装并不是插上网线，接上电源这么简单。用户购买WAF后，除了上线之前要做一些简单的配置之外，还要进行更复杂的设置，例如配置与应用密切相关的高级属性策略（内容安全、CSRF防护、网页盗链等）。管理员还要根据实际应用灵活地调整具体特征规则，以实现模型或基于协议的规则不能或不方便实现的安全策略。

　　架设WAF可能会对网站访问产生意外的影响，应用某个不当的规则也可能影响当前应用的正常访问，因此不少管理员都在犹豫要不要使用最高安全等级的过滤策略。

　　WAF的审计模式可以帮助用户解决这个担忧。用户在购买WAF后，首先选择采用审计模式进行部署。在审计模式下，用户可以对网站的访问流量进行观测，WAF会将所侦测到的异常和入侵、攻击等行为记录到日志中，但对这些流量本身不作任何限制和阻断，所有的业务流量将透明通过WAF。通过审计模式，用户可以充分了解网站的状态和行为，对针对该网站的异常行为进行分析，然后对WAF的防护策略进行合理配置。最后再将WAF中配置的服务逐一激活。

　　在激活模式下，WAF将根据防护策略对业务流量进行分析，对于违背策略的异常行为（入侵、攻击等）进行阻断。阻断的同时会产生日志，用户可以根据对日志的分析不断调整和完善防护策略，以减少WAF的误判、漏判或其他副作用。