内置、集成的网络解决方案安全性讨论

内置、集成的安全性讨论
思科的集成战略
思科SAFE发展计划

思科网络安全思想：内置在网络中，集成于产品中

无论从所覆盖的地理范围和所互联的内部、外部群体而言，今天的网络都非常庞大。它们更加复杂，支持多种应用和服务，可以在有线和无线连接上传输集成化的数据、语音和视频流量。它们还在变得越来越开放--它们可以使用不可靠的公共网络，连接合作伙伴，是一种能够连接客户和供应商的业务工具。事实上，专用网络和公共网络之间的界限已经变得非常模糊。

网络环境的广泛性、复杂性和开放性提升了人们对于强大、全面的安全的需要，因为必须对网络所接触到的所有地点进行保护，同时也要防范从这些地点对网络发动的攻击。

本文将探讨和介绍内置、集成的安全性，并认为它是保护网络的唯一有效的方法。本文将概括介绍采用集成化方式的主要原因，随后还将介绍思科集成化网络安全解决方案的一些现有的和新推出的补充产品。本文主要面向技术决策的制定者。

首先，让我们回顾一下集成安全和内置安全的定义：

"集成安全" 表示在某个网络设备（例如路由器、交换机或者无线接入点）上提供的安全功能。当流量经过某个网络设备时，网络设备必须对其进行一定的扫描和分析，决定让其继续传输、隔离或者拒绝。这要求集成安全设备具有足够的智能、性能和可扩展性。 "内置安全" 表示分布在网络基础设施的某些关键位置的安全功能--例如终端用户工作站、远程分支机构、园区和数据中心。

内置、集成的安全性必须防止网络受到来自外部和内部的威胁，在对于访问的需求和对于保护的需求之间保持均衡。这意味着安全功能必须在网络任何地方内置和集成--从园区核心到网络终端，同时它还必须对于用户和应用保持透明。

我们的最终目标是部署一套可以共同创建一个"智能化自卫网络"的安全功能，这种网络可以在发生攻击时及时检测到异常情况，发出必要的警报，并可以在无须用户参与的情况下自动做出反应。

实现集成的主要驱动因素

本节将介绍促使人们使用集成、内置的网络安全性的主要驱动因素。

不断增多的网络威胁


网络正在日益成为攻击的目标和源头：

• 实时信息保护公司Riptech最近的一项调查表明，从2001年下半年到2002年上半年，网络安全漏洞增加了28%。
• FBI在2002年发布的一份报告指出，在他们所调查的企业中，有85%的企业在过去12个月中都曾检测到计算机安全漏洞。

网络威胁可能来自于不可靠的外界攻击者或者可靠的内部员工。FBI在2001年的调查中发现，91%的受访者都报告存在内部用户滥用网络的情况。

网络威胁可能来自于机构深处，或者来自于网络边缘。这意味着必须在网络的所有节点，而不仅仅是网络周边或者不可靠区域的入口/出口采取安全措施。只有内置的、完全集成的安全才能提供这种普遍深入的防御。

机构动力

机构人员在安全策略、部署和采购方面所肩负的职责已经发生了很大的变化。网络管理（NetOps）和安全管理（SecOps）团队不再以一种孤立的方式工作。

NetOps传统的部署模式是购买和组建网络基础设施，而SecOps拥有的预算和资源相对较少，因而只能充当一个分散的、非常专业的团队。这两个团队扮演的是两种完全不同的角色--NetOps的作用是提供访问，而SecOps的任务是限制访问。

这导致了机构内部相互牵制。但是，随着威胁等级和人们对于保障新技术（例如无线和IP电话）的需求的不断提升，SecOps和NetOps已经开始更加密切地展开合作。此外，CxO级别的管理层也开始越来越多地参与到安全战略和部署工作中，而高层管理人员的加入也促使NetOps和SecOps更加紧密地团结在一起。

在思科于2002年8月对400名思科客户展开的一项调查中，当被问及谁负责安全事务时，45%的受访者表示由SecOps和NetOps共同负责（36%的受访者回答由NetOps负责，7%回答SecOps，2%则回答由应用管理团队负责）。目前的趋势是SecOps负责制定策略，而NetOps负责实施策略。

机构内部的整合推动了对于集成、内置的安全的需求。如果SecOps和NetOps联合部署安全，那么当安全解决方案是是一个集成化方案时，部署任务就会大大简化。

整体运营成本

安全部署是所有机构优先考虑的问题。但是由于目前的经济形势，企业的预算都很紧张。集成化安全可以提供最低的整体运营成本：

• 向一个已经部署的网络设备添加安全服务意味着可以继续使用现有的机箱、电源、LAN/WAN卡和其他组件。如果网络设备本身是模块化的，可以提供可扩展的性能，那么运营成本还可以进一步降低。
• 现有的管理和监控系统可以管理新的安全服务。
• 现有的支持合同可以涵盖，或者通过经济有效的扩展，涵盖新的安全功能。
• 由于可以"继续使用"现有的系统作为安全平台，可以降低对人员进行培训的需求。
• 在将负载均衡部署为集成化安全解决方案的一部分时，机构可以降低服务器和安全系统（例如防火墙）的数量，从而减少在这方面的投资。

不断扩大的规模

本文已经介绍了网络范围的不断扩大，这是规模问题的一个重要方面。今天的网络必须能够满足不断增加的用户、地点和服务的需要。它必须能够处理不断增多的流量，无论是数据、语音还是视频。现在的网络包括有线和无线连接。

如何在可能的情况下有效地管理这种环境是一个非常具有挑战性的问题。 唯一的方法就是采用一种集成化的方法。例如，如果某个基于一个统一身份识别框架的集成化管理系统可以管理一个由集成化设备组成的网络，那么规模问题就会大大减轻。

产品可用性

在2000年到2002年之间，出现了从单一功能的网络和安全设备向多功能系统发展的重要趋势。网络设备（例如路由器和交换机）现在可以通过添加成熟的安全服务而提供增强的连接和网络服务。

同时，单一功能的安全设备（例如防火墙和VPN集中器）可以受益于附加的安全服务，例如入侵检测。总而言之，可以提供集成化功能的产品的出现有助于推动，或者至少是满足市场对于集成的需求。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有