盾之图腾??网络安全架构新动向

过去的三年是IT信息安全的挑战年，层出不穷的安全事件引爆了网络安全的新思路，原有的木桶理论需要新的补充和改进。转到2007年，基于安全架构的新技术将会把希望带给用户：在适合的架构之下，部署合适的方案，获得理想效果。

　　对此，我们邀请到了新华人寿集团、北京西城区政府、国家烟草总局、河南省建设银行、天津港散货物流中心的用户，以及Cisco、IronPort、Juniper、神州数码网络、TippingPoint、天融信、卫士通的安全专家，一起探讨2007安全架构的新动向。

　　高效之盾：小企业的安全架构

　　所谓小企业，大部分都是人员规模在50人以下，信息应用较为初级。这部分企业难以负担购买专用的安全设备，更多的是选择具有安全防御能力的网络设备。

　　近年安全事件之多令人印象深刻。事实上，早在公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示，在被调查的一万三千多家单位中，54％的被调查单位发生过信息网络安全事件，其中中小企业占了90%。

　　同时，最近两年几乎染及所有企业用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮地充斥着互联网。而IDC在2006年底的调查统计显示，89%的个人电脑平均感染过30种间谍软件。

　　这些事件表明了一个清晰的信号：传统的安全防护体系已经无法适应互联网发展的需要。而天融信公司总裁金玉丹的说法更加明确：“当前企业用户需要更新的、与时俱进的安全架构来应付各种层出不穷的新型安全威胁。传统的木桶理论已经过时了。”

　　而北京西城区政府信息化办公室负责人强调，基于短板的“木桶”理论，无法解释当前复合威胁下，企业短板的所在。因为来自网关、内网、操作系统、客户端的各个环节，都已经成为了安全的“热点地区”。另外，企业对于安全的投入也是没有尽头的，实现全方位安全大多停留在设想，没有实践意义。

　　对此，卫士通公司安全营销事业部副总经理张卓曾公开表示，在目前的环境下，要求新型的安全架构必须能够从企业的业务出发，从传统的产品导向、四层安全，逐渐过渡到应用导向、七层安全。而在此过程中，整个安全架构模型的搭建是动态的，可以适应不同规模企业的需求。

　　而西城区政府信息化办公室负责人也提醒用户注意，历次安全事件中，中小企业都是重灾区。而且规模越小，受灾越重，恢复时间越长。对于小企业而言，采取的网络安全规划并不像中型和大型企业一样完整。因此当新的攻击形式不断出现时，就会显得不足。

　　对于小企业而言，一个较好的安全架构必须是价格低廉，易于管理，并且针对企业网的安全问题能发挥作用的。很多网络设备附带的安全功能成为不少用户的选择。现有的小企业路由器产品，显然需要针对这方面进一步改善。例如，很多中小企业现有的路由器，由于处理器效能不足，因此在面对攻击时显得防御能力不足。

　　因此，以结合更多防火墙等安全功能的多WAN路由器为基础的安全架构较为合适。带有安全功能的多WAN路由器可以利用内建的防火墙实施端口过滤与ACL控制，同时这类产品也都内建了基本的SYN Flood防御机制，可以阻挡一般的DoS攻击。

　　另外，对于小企业安全架构中的病毒防护问题，天津港散货物流公司的IT负责人认为，病毒防御属于单机的功能，在未来操作系统也会有所关注，因此小企业在部署上并不会有太多的问题，一般基于桌面的病毒防御系统已经可以满足需求。

集成之盾：中型企业的安全架构
　　
　　所谓中型企业，主要是指人员规模在50～500人，有一定的信息应用，部分企业有ERP系统和服务器资源。这部分企业往往有一定的安全设备，但由于人员和技术的限制，其防御能力并不比小企业好多少。

　　有意思的是，国家烟草总局信息化办公室的领导透露说，对中型企业来讲，很多安全厂商都将其视为新技术的策源地，因此新的安全架构反而运用较多。目前业界公认的、适合中型企业的安全架构，主要是基于新型UTM的安全技术。

　　神州数码网络的安全产品经理王景辉向记者透露，根据经验，传统的中型企业用户，其网络中一般都部署了防火墙、VPN等设备，安全的主要侧重点在于网络层的攻击检测和防护。然而，由于这些中型企业的各种应用不断增多，特别是一些企业部署了ERP系统，因此两年来几次蠕虫灾害给他们造成了一定损失。而新华人寿的IT经理杜大军表示，频繁出现的垃圾邮件，已成为不少中型甚至大型企业中IT人员最头疼的问题，因此用户对网关安全防护过滤设备提出了更高的管理要求。换句话说，中型企业的安全挑战正在从网络层向应用层转移。

　　从目前来看，以UTM为主的安全架构可以满足中型企业的安全等级和需求。Juniper的安全产品经理梁小东解释说，UTM架构的好处不仅在于防火墙、入侵防御、反病毒、反垃圾邮件的集成，而且其本身是变化的，当新的安全问题出现以后，相关的补充升级方案仍会继续。

　　河南省建设银行信息技术部的领导表示，对于一般的中型企业来说，UTM架构的性能不是主要困扰。毕竟大部分中型企业的出口带宽都在2M以下，而UTM硬件即使出现了部分性能损失，其技术实力本身也可以满足中等规模的用户使用，其性能下降可以降低到企业的接受范围内。换句话说，一般的中型企业面对UTM架构上的性能和安全性没有压力。

　　事实上，未来UTM架构的发展与技术突破很可能是安全领域中的亮点。王景辉和梁小东两人均表示，根据目前市场中的安全需求来看，新型安全架构都是在第七层作考虑：入侵与攻击行为保护、病毒防御技术、垃圾邮件防御与过滤。因此，UTM未来注定是多厂商多技术的联合，设备商都是跟踪安全市场发展趋势推出不同的方案。

　　当然，UTM架构并非万能。IronPort的中国区总经理李松向记者透露说，对于一般的中型企业用户，其安全架构搭建的关键是看有多少安全设备、有多少在网流量。他表示，UTM架构主打全能，但“全能也可能全不能”。

　　因为在每一个安全领域中，企业都会有一个期望值。目前的看法是，所有的UTM架构对于防火墙支持比较好，但在反病毒和防垃圾邮件方面，表现的参差不齐，有些甚至一旦开启就会造成瓶颈。因此，如果企业要求不是很高，特别是对于每一个专业安全领域要求不是很高，UTM架构是比较合适的。

　　另外，河南省建设银行信息技术部的领导也提示说，作为中型企业的另类，大部分的网站企业是不适合UTM架构的，原因在于其网络流量较大，且邮件系统较为复杂，过多的基于互联网的应用容易挑战UTM架构的性能底线。同时，内网流量较大的高校也不适合，道理都是相似的。
　　
　　在UTM架构的性能方面，张卓的看法是，从2006年开始大量采用定制芯片技术的UTM已经获得较大发展，受惠于ASIC、NP，甚至是下一代NP的专用安全芯片技术。UTM架构的效能已经有了较大提升，至于其未来走势，还要看2007年的新技术普及程度。

联动之盾：全网安全联动出炉
　　
　　安全无大小，2007年企业安全的大热门就是“全网安全联动机制”。这个东西在去年相当火爆。要知道，只有企业的各个设备、各个终端，网络的各个节点都具备安全联动，真正意义上的信息安全才可能实现。

　　之所以记者今年把全网安全列为重点，是因为这个技术终于在广大安全厂商中“开花了”。从老牌的Cisco NAC、神州数码网络的3DSMP，到Juniper UAC和TippingPoint NCP，都从技术脉络上把联动拉在了一起。

　　事实上，王景辉在接受采访时曾直言不讳：“传统的专业安全厂商解决问题比较片面，在2007年他们将面临生存挑战。”他表示，这么多年来，对于企业用户安全影响最大的，就是病毒和各种攻击，特别是蠕虫病毒导致的网络核心设备宕机、瘫痪。对于以网络来开展业务应用的企业，则是损失惨重。

　　“因此对用户来说，整个2006年他们都在做一件事，就是如果网络出现安全问题，一定要知道问题出在哪里。”但事实上，这个要求对于传统的安全厂商挑战较大，因为商家并不知道问题出在哪里，他们所提供的大多都是“内容丰富”的IDS报告。这个困境主要是由于传统的安全厂商不熟悉接入层设备，对底层终端的应用不了解，因此发现和分析攻击与威胁定位总是出现脱节。

　　最明显的就是前期爆发的蠕虫王病毒，一个100M用户环境中能瞬间吃掉80%的带宽。但从原理上说，这种病毒不会感染本地文件，它就是在内存中发作。如果用户定位到染毒终端，仅仅需要拔掉网线，重启一下，就可以保证网络安全。

　　为此，Cisco、Juniper、神州数码网络这些传统的网络厂商，他们提出了全网安全联动的概念，为的就是做到安全的网络层定位。

　　像Juniper近期发布的内网UAC安全联动技术，主要以统一访问控制为基础。据梁小东介绍，UAC由IC内网控制器和防火墙组成，它可以实现当用户访问内部资源的时候，将身份认证与进入设备进行捆绑，实施安全检查。如果设备或者用户不符合企业的安全策略，比如没有防病毒软件，则不允许访问内部服务器。而相关的网络准入机制，则通过802.1x来实现。

　　而神州数码网络则新近发布了2007版的3DSMP安全方案，即全网联动安全技术。通过这种技术，既可以实现传统的交换机、防火墙、IPS/IDS与认证系统的安全联动。同时如果用户不更换交换机，也可以实现防火墙、IPS/IDS与NAC的安全联动。

　　王景辉的看法是，新技术整合了UTM与专门的反垃圾邮件系统，并提供对WLAN的安全支持，在网关设备进行处理的时候，实现了对问题IP的抽取，以便传输到后台DCBI认证服务器，从而实现在交换机列表中对问题系统的精确定位，包括对IP、MAC、交换机IP、交换机端口的控制。

　　当然，并非只有传统网络厂商才可以驾驭未来安全的走向，TippingPoint的NCP则是非常讨巧的技术。凭借与3Com的整合优势，他们推出了以IPS为基础的网络准入控制技术。TippingPoint的安全专家李臻表示，通过将IPS和NAC整合，可以绕开传统的准入技术必须依赖接入交换机的局面，通过网络中心的安全控制器，同样可以做到对全网结点的安全监控与准入，只要交换机支持802.1x，NCP技术就可以实现联动，而基于IPS的网关控制则对于目前的间谍软件提供了良好的防御手段。

　　另外，在2007年的联动大潮中，记者对传统安全厂商应当如何应对也很感兴趣。对此，张卓表示，一方面，他们会在现有的防火墙技术中加入高效的动态过滤技术，比如更先进的实时连接状态监控功能，根据实际应用的需要，为合法的访问连接动态地打开所需的端口，如：H.323、视频会议等应用。同时，利用防火墙进行深入的URL过滤，控制用户对网页的访问，实现真正的页面内容过滤、基于权重的短语过滤、邮件过滤，这样可以尽量保证传统设备的应用前景。另一方面，他们也会将新的基础设施加入可信计算平台中，利用平台的优势确保用户的安全，同样可以实现问题设备的精细控制，而且更加保护用户的投资。

　　编看编想：安全之盾 可大可小

　　对于热闹了一年多的安全架构问题，至今没有统一的定论，甚至连统一的技术也没有。不过大家的看法却非常平静：安全无定论，架构可大小。

　　事实上，从单一的多WAN安全路由器，到UTM，再到复杂的NAC、UAC、3DSMP、NCP，安全的技术架构充满了弹性。正如王景辉所讲的，“内网、网关、联动”，三者构成了安全架构的基石。当然，说归说，落实到具体部署上，用户还需要进行实施划分。

　　专家们的看法是，用户在部署安全架构的时候，可以分成两步走：第一步，部署身份认证系统和防火墙，并在之间实现联动。这样的部署较为简单，代价也比较小，而且可以满足企业对于内部服务器的保护需求。

　　第二步，分阶段实施网络的准入控制。由于技术较为复杂，所谓稳妥的方法是分阶段部署，用户必须注意接入层交换机的兼容性问题。

　　另外梁小东提醒说，近期国内股市火爆，但如果您的企业想去美国融资，必须符合萨班斯法案对于企业安全的需求。目前的要求是，申请上市企业必须拥有内网访问控制的机制，特别是对内网行为的监控记录，必须做到有据可查。因此可以预见，今后基于联动的安全技术将会更加普及。

标签： idc 安全 防火墙 防火墙技术 服务器 互联网 美国 企业 网络 网络安全 网络安全事件 网站 问题 信息安全 信息化 信息技术 信息网络安全 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。