盾之图腾??网络安全架构新动向
2018-06-11 来源:
过去的三年是IT信息安全的挑战年,层出不穷的安全事件引爆了网络安全的新思路,原有的木桶理论需要新的补充和改进。转到2007年,基于安全架构的新技术将会把希望带给用户:在适合的架构之下,部署合适的方案,获得理想效果。
对此,我们邀请到了新华人寿集团、北京西城区政府、国家烟草总局、河南省建设银行、天津港散货物流中心的用户,以及Cisco、IronPort、Juniper、神州数码网络、TippingPoint、天融信、卫士通的安全专家,一起探讨2007安全架构的新动向。
高效之盾:小企业的安全架构
所谓小企业,大部分都是人员规模在50人以下,信息应用较为初级。这部分企业难以负担购买专用的安全设备,更多的是选择具有安全防御能力的网络设备。
近年安全事件之多令人印象深刻。事实上,早在公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示,在被调查的一万三千多家单位中,54%的被调查单位发生过信息网络安全事件,其中中小企业占了90%。
同时,最近两年几乎染及所有企业用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮地充斥着互联网。而IDC在2006年底的调查统计显示,89%的个人电脑平均感染过30种间谍软件。
这些事件表明了一个清晰的信号:传统的安全防护体系已经无法适应互联网发展的需要。而天融信公司总裁金玉丹的说法更加明确:“当前企业用户需要更新的、与时俱进的安全架构来应付各种层出不穷的新型安全威胁。传统的木桶理论已经过时了。”
而北京西城区政府信息化办公室负责人强调,基于短板的“木桶”理论,无法解释当前复合威胁下,企业短板的所在。因为来自网关、内网、操作系统、客户端的各个环节,都已经成为了安全的“热点地区”。另外,企业对于安全的投入也是没有尽头的,实现全方位安全大多停留在设想,没有实践意义。
对此,卫士通公司安全营销事业部副总经理张卓曾公开表示,在目前的环境下,要求新型的安全架构必须能够从企业的业务出发,从传统的产品导向、四层安全,逐渐过渡到应用导向、七层安全。而在此过程中,整个安全架构模型的搭建是动态的,可以适应不同规模企业的需求。
而西城区政府信息化办公室负责人也提醒用户注意,历次安全事件中,中小企业都是重灾区。而且规模越小,受灾越重,恢复时间越长。对于小企业而言,采取的网络安全规划并不像中型和大型企业一样完整。因此当新的攻击形式不断出现时,就会显得不足。
对于小企业而言,一个较好的安全架构必须是价格低廉,易于管理,并且针对企业网的安全问题能发挥作用的。很多网络设备附带的安全功能成为不少用户的选择。现有的小企业路由器产品,显然需要针对这方面进一步改善。例如,很多中小企业现有的路由器,由于处理器效能不足,因此在面对攻击时显得防御能力不足。
因此,以结合更多防火墙等安全功能的多WAN路由器为基础的安全架构较为合适。带有安全功能的多WAN路由器可以利用内建的防火墙实施端口过滤与ACL控制,同时这类产品也都内建了基本的SYN Flood防御机制,可以阻挡一般的DoS攻击。
另外,对于小企业安全架构中的病毒防护问题,天津港散货物流公司的IT负责人认为,病毒防御属于单机的功能,在未来操作系统也会有所关注,因此小企业在部署上并不会有太多的问题,一般基于桌面的病毒防御系统已经可以满足需求。
集成之盾:中型企业的安全架构
所谓中型企业,主要是指人员规模在50~500人,有一定的信息应用,部分企业有ERP系统和服务器资源。这部分企业往往有一定的安全设备,但由于人员和技术的限制,其防御能力并不比小企业好多少。
有意思的是,国家烟草总局信息化办公室的领导透露说,对中型企业来讲,很多安全厂商都将其视为新技术的策源地,因此新的安全架构反而运用较多。目前业界公认的、适合中型企业的安全架构,主要是基于新型UTM的安全技术。
神州数码网络的安全产品经理王景辉向记者透露,根据经验,传统的中型企业用户,其网络中一般都部署了防火墙、VPN等设备,安全的主要侧重点在于网络层的攻击检测和防护。然而,由于这些中型企业的各种应用不断增多,特别是一些企业部署了ERP系统,因此两年来几次蠕虫灾害给他们造成了一定损失。而新华人寿的IT经理杜大军表示,频繁出现的垃圾邮件,已成为不少中型甚至大型企业中IT人员最头疼的问题,因此用户对网关安全防护过滤设备提出了更高的管理要求。换句话说,中型企业的安全挑战正在从网络层向应用层转移。
从目前来看,以UTM为主的安全架构可以满足中型企业的安全等级和需求。Juniper的安全产品经理梁小东解释说,UTM架构的好处不仅在于防火墙、入侵防御、反病毒、反垃圾邮件的集成,而且其本身是变化的,当新的安全问题出现以后,相关的补充升级方案仍会继续。
河南省建设银行信息技术部的领导表示,对于一般的中型企业来说,UTM架构的性能不是主要困扰。毕竟大部分中型企业的出口带宽都在2M以下,而UTM硬件即使出现了部分性能损失,其技术实力本身也可以满足中等规模的用户使用,其性能下降可以降低到企业的接受范围内。换句话说,一般的中型企业面对UTM架构上的性能和安全性没有压力。
事实上,未来UTM架构的发展与技术突破很可能是安全领域中的亮点。王景辉和梁小东两人均表示,根据目前市场中的安全需求来看,新型安全架构都是在第七层作考虑:入侵与攻击行为保护、病毒防御技术、垃圾邮件防御与过滤。因此,UTM未来注定是多厂商多技术的联合,设备商都是跟踪安全市场发展趋势推出不同的方案。
当然,UTM架构并非万能。IronPort的中国区总经理李松向记者透露说,对于一般的中型企业用户,其安全架构搭建的关键是看有多少安全设备、有多少在网流量。他表示,UTM架构主打全能,但“全能也可能全不能”。
因为在每一个安全领域中,企业都会有一个期望值。目前的看法是,所有的UTM架构对于防火墙支持比较好,但在反病毒和防垃圾邮件方面,表现的参差不齐,有些甚至一旦开启就会造成瓶颈。因此,如果企业要求不是很高,特别是对于每一个专业安全领域要求不是很高,UTM架构是比较合适的。
另外,河南省建设银行信息技术部的领导也提示说,作为中型企业的另类,大部分的网站企业是不适合UTM架构的,原因在于其网络流量较大,且邮件系统较为复杂,过多的基于互联网的应用容易挑战UTM架构的性能底线。同时,内网流量较大的高校也不适合,道理都是相似的。
在UTM架构的性能方面,张卓的看法是,从2006年开始大量采用定制芯片技术的UTM已经获得较大发展,受惠于ASIC、NP,甚至是下一代NP的专用安全芯片技术。UTM架构的效能已经有了较大提升,至于其未来走势,还要看2007年的新技术普及程度。
联动之盾:全网安全联动出炉
安全无大小,2007年企业安全的大热门就是“全网安全联动机制”。这个东西在去年相当火爆。要知道,只有企业的各个设备、各个终端,网络的各个节点都具备安全联动,真正意义上的信息安全才可能实现。
之所以记者今年把全网安全列为重点,是因为这个技术终于在广大安全厂商中“开花了”。从老牌的Cisco NAC、神州数码网络的3DSMP,到Juniper UAC和TippingPoint NCP,都从技术脉络上把联动拉在了一起。
事实上,王景辉在接受采访时曾直言不讳:“传统的专业安全厂商解决问题比较片面,在2007年他们将面临生存挑战。”他表示,这么多年来,对于企业用户安全影响最大的,就是病毒和各种攻击,特别是蠕虫病毒导致的网络核心设备宕机、瘫痪。对于以网络来开展业务应用的企业,则是损失惨重。
“因此对用户来说,整个2006年他们都在做一件事,就是如果网络出现安全问题,一定要知道问题出在哪里。”但事实上,这个要求对于传统的安全厂商挑战较大,因为商家并不知道问题出在哪里,他们所提供的大多都是“内容丰富”的IDS报告。这个困境主要是由于传统的安全厂商不熟悉接入层设备,对底层终端的应用不了解,因此发现和分析攻击与威胁定位总是出现脱节。
最明显的就是前期爆发的蠕虫王病毒,一个100M用户环境中能瞬间吃掉80%的带宽。但从原理上说,这种病毒不会感染本地文件,它就是在内存中发作。如果用户定位到染毒终端,仅仅需要拔掉网线,重启一下,就可以保证网络安全。
为此,Cisco、Juniper、神州数码网络这些传统的网络厂商,他们提出了全网安全联动的概念,为的就是做到安全的网络层定位。
像Juniper近期发布的内网UAC安全联动技术,主要以统一访问控制为基础。据梁小东介绍,UAC由IC内网控制器和防火墙组成,它可以实现当用户访问内部资源的时候,将身份认证与进入设备进行捆绑,实施安全检查。如果设备或者用户不符合企业的安全策略,比如没有防病毒软件,则不允许访问内部服务器。而相关的网络准入机制,则通过802.1x来实现。
而神州数码网络则新近发布了2007版的3DSMP安全方案,即全网联动安全技术。通过这种技术,既可以实现传统的交换机、防火墙、IPS/IDS与认证系统的安全联动。同时如果用户不更换交换机,也可以实现防火墙、IPS/IDS与NAC的安全联动。
王景辉的看法是,新技术整合了UTM与专门的反垃圾邮件系统,并提供对WLAN的安全支持,在网关设备进行处理的时候,实现了对问题IP的抽取,以便传输到后台DCBI认证服务器,从而实现在交换机列表中对问题系统的精确定位,包括对IP、MAC、交换机IP、交换机端口的控制。
当然,并非只有传统网络厂商才可以驾驭未来安全的走向,TippingPoint的NCP则是非常讨巧的技术。凭借与3Com的整合优势,他们推出了以IPS为基础的网络准入控制技术。TippingPoint的安全专家李臻表示,通过将IPS和NAC整合,可以绕开传统的准入技术必须依赖接入交换机的局面,通过网络中心的安全控制器,同样可以做到对全网结点的安全监控与准入,只要交换机支持802.1x,NCP技术就可以实现联动,而基于IPS的网关控制则对于目前的间谍软件提供了良好的防御手段。
另外,在2007年的联动大潮中,记者对传统安全厂商应当如何应对也很感兴趣。对此,张卓表示,一方面,他们会在现有的防火墙技术中加入高效的动态过滤技术,比如更先进的实时连接状态监控功能,根据实际应用的需要,为合法的访问连接动态地打开所需的端口,如:H.323、视频会议等应用。同时,利用防火墙进行深入的URL过滤,控制用户对网页的访问,实现真正的页面内容过滤、基于权重的短语过滤、邮件过滤,这样可以尽量保证传统设备的应用前景。另一方面,他们也会将新的基础设施加入可信计算平台中,利用平台的优势确保用户的安全,同样可以实现问题设备的精细控制,而且更加保护用户的投资。
编看编想:安全之盾 可大可小
对于热闹了一年多的安全架构问题,至今没有统一的定论,甚至连统一的技术也没有。不过大家的看法却非常平静:安全无定论,架构可大小。
事实上,从单一的多WAN安全路由器,到UTM,再到复杂的NAC、UAC、3DSMP、NCP,安全的技术架构充满了弹性。正如王景辉所讲的,“内网、网关、联动”,三者构成了安全架构的基石。当然,说归说,落实到具体部署上,用户还需要进行实施划分。
专家们的看法是,用户在部署安全架构的时候,可以分成两步走:第一步,部署身份认证系统和防火墙,并在之间实现联动。这样的部署较为简单,代价也比较小,而且可以满足企业对于内部服务器的保护需求。
第二步,分阶段实施网络的准入控制。由于技术较为复杂,所谓稳妥的方法是分阶段部署,用户必须注意接入层交换机的兼容性问题。
另外梁小东提醒说,近期国内股市火爆,但如果您的企业想去美国融资,必须符合萨班斯法案对于企业安全的需求。目前的要求是,申请上市企业必须拥有内网访问控制的机制,特别是对内网行为的监控记录,必须做到有据可查。因此可以预见,今后基于联动的安全技术将会更加普及。
标签: idc 安全 防火墙 防火墙技术 服务器 互联网 美国 企业 网络 网络安全 网络安全事件 网站 问题 信息安全 信息化 信息技术 信息网络安全 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。