過去的三年是IT信息安全的挑戰(zhàn)年，層出不窮的安全事件引爆了網(wǎng)絡(luò)安全的新思路，原有的木桶理論需要新的補(bǔ)充和改進(jìn)。轉(zhuǎn)到2007年，基于安全架構(gòu)的新技術(shù)將會把希望帶給用戶：在適合的架構(gòu)之下，部署合適的方案，獲得理想效果。

　　對此，我們邀請到了新華人壽集團(tuán)、北京西城區(qū)政府、國家煙草總局、河南省建設(shè)銀行、天津港散貨物流中心的用戶，以及Cisco、IronPort、Juniper、神州數(shù)碼網(wǎng)絡(luò)、TippingPoint、天融信、衛(wèi)士通的安全專家，一起探討2007安全架構(gòu)的新動(dòng)向。

　　高效之盾：小企業(yè)的安全架構(gòu)

　　所謂小企業(yè)，大部分都是人員規(guī)模在50人以下，信息應(yīng)用較為初級。這部分企業(yè)難以負(fù)擔(dān)購買專用的安全設(shè)備，更多的是選擇具有安全防御能力的網(wǎng)絡(luò)設(shè)備。

　　近年安全事件之多令人印象深刻。事實(shí)上，早在公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局主持的2006年全國信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查報(bào)告中顯示，在被調(diào)查的一萬三千多家單位中，54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中中小企業(yè)占了90%。

　　同時(shí)，最近兩年幾乎染及所有企業(yè)用戶的網(wǎng)絡(luò)釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪地充斥著互聯(lián)網(wǎng)。而IDC在2006年底的調(diào)查統(tǒng)計(jì)顯示，89%的個(gè)人電腦平均感染過30種間諜軟件。

　　這些事件表明了一個(gè)清晰的信號：傳統(tǒng)的安全防護(hù)體系已經(jīng)無法適應(yīng)互聯(lián)網(wǎng)發(fā)展的需要。而天融信公司總裁金玉丹的說法更加明確：“當(dāng)前企業(yè)用戶需要更新的、與時(shí)俱進(jìn)的安全架構(gòu)來應(yīng)付各種層出不窮的新型安全威脅。傳統(tǒng)的木桶理論已經(jīng)過時(shí)了�！�

　　而北京西城區(qū)政府信息化辦公室負(fù)責(zé)人強(qiáng)調(diào)，基于短板的“木桶”理論，無法解釋當(dāng)前復(fù)合威脅下，企業(yè)短板的所在。因?yàn)閬碜跃W(wǎng)關(guān)、內(nèi)網(wǎng)、操作系統(tǒng)、客戶端的各個(gè)環(huán)節(jié)，都已經(jīng)成為了安全的“熱點(diǎn)地區(qū)”。另外，企業(yè)對于安全的投入也是沒有盡頭的，實(shí)現(xiàn)全方位安全大多停留在設(shè)想，沒有實(shí)踐意義。

　　對此，衛(wèi)士通公司安全營銷事業(yè)部副總經(jīng)理張卓曾公開表示，在目前的環(huán)境下，要求新型的安全架構(gòu)必須能夠從企業(yè)的業(yè)務(wù)出發(fā)，從傳統(tǒng)的產(chǎn)品導(dǎo)向、四層安全，逐漸過渡到應(yīng)用導(dǎo)向、七層安全。而在此過程中，整個(gè)安全架構(gòu)模型的搭建是動(dòng)態(tài)的，可以適應(yīng)不同規(guī)模企業(yè)的需求。

　　而西城區(qū)政府信息化辦公室負(fù)責(zé)人也提醒用戶注意，歷次安全事件中，中小企業(yè)都是重災(zāi)區(qū)。而且規(guī)模越小，受災(zāi)越重，恢復(fù)時(shí)間越長。對于小企業(yè)而言，采取的網(wǎng)絡(luò)安全規(guī)劃并不像中型和大型企業(yè)一樣完整。因此當(dāng)新的攻擊形式不斷出現(xiàn)時(shí)，就會顯得不足。

　　對于小企業(yè)而言，一個(gè)較好的安全架構(gòu)必須是價(jià)格低廉，易于管理，并且針對企業(yè)網(wǎng)的安全問題能發(fā)揮作用的。很多網(wǎng)絡(luò)設(shè)備附帶的安全功能成為不少用戶的選擇�，F(xiàn)有的小企業(yè)路由器產(chǎn)品，顯然需要針對這方面進(jìn)一步改善。例如，很多中小企業(yè)現(xiàn)有的路由器，由于處理器效能不足，因此在面對攻擊時(shí)顯得防御能力不足。

　　因此，以結(jié)合更多防火墻等安全功能的多WAN路由器為基礎(chǔ)的安全架構(gòu)較為合適。帶有安全功能的多WAN路由器可以利用內(nèi)建的防火墻實(shí)施端口過濾與ACL控制，同時(shí)這類產(chǎn)品也都內(nèi)建了基本的SYN Flood防御機(jī)制，可以阻擋一般的DoS攻擊。

　　另外，對于小企業(yè)安全架構(gòu)中的病毒防護(hù)問題，天津港散貨物流公司的IT負(fù)責(zé)人認(rèn)為，病毒防御屬于單機(jī)的功能，在未來操作系統(tǒng)也會有所關(guān)注，因此小企業(yè)在部署上并不會有太多的問題，一般基于桌面的病毒防御系統(tǒng)已經(jīng)可以滿足需求。

集成之盾：中型企業(yè)的安全架構(gòu)
　　
　　所謂中型企業(yè)，主要是指人員規(guī)模在50～500人，有一定的信息應(yīng)用，部分企業(yè)有ERP系統(tǒng)和服務(wù)器資源。這部分企業(yè)往往有一定的安全設(shè)備，但由于人員和技術(shù)的限制，其防御能力并不比小企業(yè)好多少。

　　有意思的是，國家煙草總局信息化辦公室的領(lǐng)導(dǎo)透露說，對中型企業(yè)來講，很多安全廠商都將其視為新技術(shù)的策源地，因此新的安全架構(gòu)反而運(yùn)用較多。目前業(yè)界公認(rèn)的、適合中型企業(yè)的安全架構(gòu)，主要是基于新型UTM的安全技術(shù)。

　　神州數(shù)碼網(wǎng)絡(luò)的安全產(chǎn)品經(jīng)理王景輝向記者透露，根據(jù)經(jīng)驗(yàn)，傳統(tǒng)的中型企業(yè)用戶，其網(wǎng)絡(luò)中一般都部署了防火墻、VPN等設(shè)備，安全的主要側(cè)重點(diǎn)在于網(wǎng)絡(luò)層的攻擊檢測和防護(hù)。然而，由于這些中型企業(yè)的各種應(yīng)用不斷增多，特別是一些企業(yè)部署了ERP系統(tǒng)，因此兩年來幾次蠕蟲災(zāi)害給他們造成了一定損失。而新華人壽的IT經(jīng)理杜大軍表示，頻繁出現(xiàn)的垃圾郵件，已成為不少中型甚至大型企業(yè)中IT人員最頭疼的問題，因此用戶對網(wǎng)關(guān)安全防護(hù)過濾設(shè)備提出了更高的管理要求。換句話說，中型企業(yè)的安全挑戰(zhàn)正在從網(wǎng)絡(luò)層向應(yīng)用層轉(zhuǎn)移。

　　從目前來看，以UTM為主的安全架構(gòu)可以滿足中型企業(yè)的安全等級和需求。Juniper的安全產(chǎn)品經(jīng)理梁小東解釋說，UTM架構(gòu)的好處不僅在于防火墻、入侵防御、反病毒、反垃圾郵件的集成，而且其本身是變化的，當(dāng)新的安全問題出現(xiàn)以后，相關(guān)的補(bǔ)充升級方案仍會繼續(xù)。

　　河南省建設(shè)銀行信息技術(shù)部的領(lǐng)導(dǎo)表示，對于一般的中型企業(yè)來說，UTM架構(gòu)的性能不是主要困擾。畢竟大部分中型企業(yè)的出口帶寬都在2M以下，而UTM硬件即使出現(xiàn)了部分性能損失，其技術(shù)實(shí)力本身也可以滿足中等規(guī)模的用戶使用，其性能下降可以降低到企業(yè)的接受范圍內(nèi)。換句話說，一般的中型企業(yè)面對UTM架構(gòu)上的性能和安全性沒有壓力。

　　事實(shí)上，未來UTM架構(gòu)的發(fā)展與技術(shù)突破很可能是安全領(lǐng)域中的亮點(diǎn)。王景輝和梁小東兩人均表示，根據(jù)目前市場中的安全需求來看，新型安全架構(gòu)都是在第七層作考慮：入侵與攻擊行為保護(hù)、病毒防御技術(shù)、垃圾郵件防御與過濾。因此，UTM未來注定是多廠商多技術(shù)的聯(lián)合，設(shè)備商都是跟蹤安全市場發(fā)展趨勢推出不同的方案。

　　當(dāng)然，UTM架構(gòu)并非萬能。IronPort的中國區(qū)總經(jīng)理李松向記者透露說，對于一般的中型企業(yè)用戶，其安全架構(gòu)搭建的關(guān)鍵是看有多少安全設(shè)備、有多少在網(wǎng)流量。他表示，UTM架構(gòu)主打全能，但“全能也可能全不能”。

　　因?yàn)樵诿恳粋�(gè)安全領(lǐng)域中，企業(yè)都會有一個(gè)期望值。目前的看法是，所有的UTM架構(gòu)對于防火墻支持比較好，但在反病毒和防垃圾郵件方面，表現(xiàn)的參差不齊，有些甚至一旦開啟就會造成瓶頸。因此，如果企業(yè)要求不是很高，特別是對于每一個(gè)專業(yè)安全領(lǐng)域要求不是很高，UTM架構(gòu)是比較合適的。

　　另外，河南省建設(shè)銀行信息技術(shù)部的領(lǐng)導(dǎo)也提示說，作為中型企業(yè)的另類，大部分的網(wǎng)站企業(yè)是不適合UTM架構(gòu)的，原因在于其網(wǎng)絡(luò)流量較大，且郵件系統(tǒng)較為復(fù)雜，過多的基于互聯(lián)網(wǎng)的應(yīng)用容易挑戰(zhàn)UTM架構(gòu)的性能底線。同時(shí)，內(nèi)網(wǎng)流量較大的高校也不適合，道理都是相似的。
　　
　　在UTM架構(gòu)的性能方面，張卓的看法是，從2006年開始大量采用定制芯片技術(shù)的UTM已經(jīng)獲得較大發(fā)展，受惠于ASIC、NP，甚至是下一代NP的專用安全芯片技術(shù)。UTM架構(gòu)的效能已經(jīng)有了較大提升，至于其未來走勢，還要看2007年的新技術(shù)普及程度。

聯(lián)動(dòng)之盾：全網(wǎng)安全聯(lián)動(dòng)出爐
　　
　　安全無大小，2007年企業(yè)安全的大熱門就是“全網(wǎng)安全聯(lián)動(dòng)機(jī)制”。這個(gè)東西在去年相當(dāng)火爆。要知道，只有企業(yè)的各個(gè)設(shè)備、各個(gè)終端，網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)都具備安全聯(lián)動(dòng)，真正意義上的信息安全才可能實(shí)現(xiàn)。

　　之所以記者今年把全網(wǎng)安全列為重點(diǎn)，是因?yàn)檫@個(gè)技術(shù)終于在廣大安全廠商中“開花了”。從老牌的Cisco NAC、神州數(shù)碼網(wǎng)絡(luò)的3DSMP，到Juniper UAC和TippingPoint NCP，都從技術(shù)脈絡(luò)上把聯(lián)動(dòng)拉在了一起。

　　事實(shí)上，王景輝在接受采訪時(shí)曾直言不諱：“傳統(tǒng)的專業(yè)安全廠商解決問題比較片面，在2007年他們將面臨生存挑戰(zhàn)。”他表示，這么多年來，對于企業(yè)用戶安全影響最大的，就是病毒和各種攻擊，特別是蠕蟲病毒導(dǎo)致的網(wǎng)絡(luò)核心設(shè)備宕機(jī)、癱瘓。對于以網(wǎng)絡(luò)來開展業(yè)務(wù)應(yīng)用的企業(yè)，則是損失慘重。

　　“因此對用戶來說，整個(gè)2006年他們都在做一件事，就是如果網(wǎng)絡(luò)出現(xiàn)安全問題，一定要知道問題出在哪里�！钡�事實(shí)上，這個(gè)要求對于傳統(tǒng)的安全廠商挑戰(zhàn)較大，因?yàn)樯碳也⒉恢�道問題出在哪里，他們所提供的大多都是“內(nèi)容豐富”的IDS報(bào)告。這個(gè)困境主要是由于傳統(tǒng)的安全廠商不熟悉接入層設(shè)備，對底層終端的應(yīng)用不了解，因此發(fā)現(xiàn)和分析攻擊與威脅定位總是出現(xiàn)脫節(jié)。

　　最明顯的就是前期爆發(fā)的蠕蟲王病毒，一個(gè)100M用戶環(huán)境中能瞬間吃掉80%的帶寬。但從原理上說，這種病毒不會感染本地文件，它就是在內(nèi)存中發(fā)作。如果用戶定位到染毒終端，僅僅需要拔掉網(wǎng)線，重啟一下，就可以保證網(wǎng)絡(luò)安全。

　　為此，Cisco、Juniper、神州數(shù)碼網(wǎng)絡(luò)這些傳統(tǒng)的網(wǎng)絡(luò)廠商，他們提出了全網(wǎng)安全聯(lián)動(dòng)的概念，為的就是做到安全的網(wǎng)絡(luò)層定位。

　　像Juniper近期發(fā)布的內(nèi)網(wǎng)UAC安全聯(lián)動(dòng)技術(shù)，主要以統(tǒng)一訪問控制為基礎(chǔ)。據(jù)梁小東介紹，UAC由IC內(nèi)網(wǎng)控制器和防火墻組成，它可以實(shí)現(xiàn)當(dāng)用戶訪問內(nèi)部資源的時(shí)候，將身份認(rèn)證與進(jìn)入設(shè)備進(jìn)行捆綁，實(shí)施安全檢查。如果設(shè)備或者用戶不符合企業(yè)的安全策略，比如沒有防病毒軟件，則不允許訪問內(nèi)部服務(wù)器。而相關(guān)的網(wǎng)絡(luò)準(zhǔn)入機(jī)制，則通過802.1x來實(shí)現(xiàn)。

　　而神州數(shù)碼網(wǎng)絡(luò)則新近發(fā)布了2007版的3DSMP安全方案，即全網(wǎng)聯(lián)動(dòng)安全技術(shù)。通過這種技術(shù)，既可以實(shí)現(xiàn)傳統(tǒng)的交換機(jī)、防火墻、IPS/IDS與認(rèn)證系統(tǒng)的安全聯(lián)動(dòng)。同時(shí)如果用戶不更換交換機(jī)，也可以實(shí)現(xiàn)防火墻、IPS/IDS與NAC的安全聯(lián)動(dòng)。

　　王景輝的看法是，新技術(shù)整合了UTM與專門的反垃圾郵件系統(tǒng)，并提供對WLAN的安全支持，在網(wǎng)關(guān)設(shè)備進(jìn)行處理的時(shí)候，實(shí)現(xiàn)了對問題IP的抽取，以便傳輸?shù)胶笈_DCBI認(rèn)證服務(wù)器，從而實(shí)現(xiàn)在交換機(jī)列表中對問題系統(tǒng)的精確定位，包括對IP、MAC、交換機(jī)IP、交換機(jī)端口的控制。

　　當(dāng)然，并非只有傳統(tǒng)網(wǎng)絡(luò)廠商才可以駕馭未來安全的走向，TippingPoint的NCP則是非常討巧的技術(shù)。憑借與3Com的整合優(yōu)勢，他們推出了以IPS為基礎(chǔ)的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)。TippingPoint的安全專家李臻表示，通過將IPS和NAC整合，可以繞開傳統(tǒng)的準(zhǔn)入技術(shù)必須依賴接入交換機(jī)的局面，通過網(wǎng)絡(luò)中心的安全控制器，同樣可以做到對全網(wǎng)結(jié)點(diǎn)的安全監(jiān)控與準(zhǔn)入，只要交換機(jī)支持802.1x，NCP技術(shù)就可以實(shí)現(xiàn)聯(lián)動(dòng)，而基于IPS的網(wǎng)關(guān)控制則對于目前的間諜軟件提供了良好的防御手段。

　　另外，在2007年的聯(lián)動(dòng)大潮中，記者對傳統(tǒng)安全廠商應(yīng)當(dāng)如何應(yīng)對也很感興趣。對此，張卓表示，一方面，他們會在現(xiàn)有的防火墻技術(shù)中加入高效的動(dòng)態(tài)過濾技術(shù)，比如更先進(jìn)的實(shí)時(shí)連接狀態(tài)監(jiān)控功能，根據(jù)實(shí)際應(yīng)用的需要，為合法的訪問連接動(dòng)態(tài)地打開所需的端口，如：H.323、視頻會議等應(yīng)用。同時(shí)，利用防火墻進(jìn)行深入的URL過濾，控制用戶對網(wǎng)頁的訪問，實(shí)現(xiàn)真正的頁面內(nèi)容過濾、基于權(quán)重的短語過濾、郵件過濾，這樣可以盡量保證傳統(tǒng)設(shè)備的應(yīng)用前景。另一方面，他們也會將新的基礎(chǔ)設(shè)施加入可信計(jì)算平臺中，利用平臺的優(yōu)勢確保用戶的安全，同樣可以實(shí)現(xiàn)問題設(shè)備的精細(xì)控制，而且更加保護(hù)用戶的投資。

　　編看編想：安全之盾 可大可小

　　對于熱鬧了一年多的安全架構(gòu)問題，至今沒有統(tǒng)一的定論，甚至連統(tǒng)一的技術(shù)也沒有。不過大家的看法卻非常平靜：安全無定論，架構(gòu)可大小。

　　事實(shí)上，從單一的多WAN安全路由器，到UTM，再到復(fù)雜的NAC、UAC、3DSMP、NCP，安全的技術(shù)架構(gòu)充滿了彈性。正如王景輝所講的，“內(nèi)網(wǎng)、網(wǎng)關(guān)、聯(lián)動(dòng)”，三者構(gòu)成了安全架構(gòu)的基石。當(dāng)然，說歸說，落實(shí)到具體部署上，用戶還需要進(jìn)行實(shí)施劃分。

　　專家們的看法是，用戶在部署安全架構(gòu)的時(shí)候，可以分成兩步走：第一步，部署身份認(rèn)證系統(tǒng)和防火墻，并在之間實(shí)現(xiàn)聯(lián)動(dòng)。這樣的部署較為簡單，代價(jià)也比較小，而且可以滿足企業(yè)對于內(nèi)部服務(wù)器的保護(hù)需求。

　　第二步，分階段實(shí)施網(wǎng)絡(luò)的準(zhǔn)入控制。由于技術(shù)較為復(fù)雜，所謂穩(wěn)妥的方法是分階段部署，用戶必須注意接入層交換機(jī)的兼容性問題。

　　另外梁小東提醒說，近期國內(nèi)股市火爆，但如果您的企業(yè)想去美國融資，必須符合薩班斯法案對于企業(yè)安全的需求。目前的要求是，申請上市企業(yè)必須擁有內(nèi)網(wǎng)訪問控制的機(jī)制，特別是對內(nèi)網(wǎng)行為的監(jiān)控記錄，必須做到有據(jù)可查。因此可以預(yù)見，今后基于聯(lián)動(dòng)的安全技術(shù)將會更加普及。

標(biāo)簽： idc 安全 防火墻 防火墻技術(shù) 服務(wù)器 互聯(lián)網(wǎng) 美國 企業(yè) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全事件 網(wǎng)站 問題 信息安全 信息化 信息技術(shù) 信息網(wǎng)絡(luò)安全 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。