您的位置: 网界网 > 周报全文 > 正文

[周报全文]缔结防御合力

2003年06月30日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:缔结防御合力

标签

    随着人们对网络安全认识程度的不断加深,一种观点已经成为共识:安全方案不应该是安全设备的简单堆砌,而应该在安全设备之间建立起有机联系。简单叠加而成的安全方案不仅带来高昂成本和安全隐患,而且安全设备之间的不兼容还会抵消这些设备应有的保护功能。

    安全集成&安全联动
    缔结防御合力
    ■ 本报记者 宋丽娜

    传统的安全防护体系通常是各类安全设备的叠加和堆砌,设备之间缺乏有机的联系,又被称为是松散的安全解决方案。这类安全解决方案即使组合了最全面的安全设备,也不能有效防范日益复杂的混合威胁。传统安全解决方案的缺陷促使人们将目光更多地投向安全集成设备集成和安全设备联动。

    安全集成和安全设备联动的出现是与网络技术以及安全威胁的发展变化息息相关的。

    首先,企业网络面临的安全威胁随着连接范围的不断扩大而变得不可控制。企业网络不仅要与远程办公机构和移动用户实现连接,而且在必要时需要与合作伙伴的网络进行互连。移动办公和分布式网络使得企业网络变得更加开放,这意味着企业网络可能受到来自各方面、针对网络各层面的安全威胁(包括黑客入侵、拒绝服务式攻击、网络病毒等等)。一旦网络中的一台主机受到损害就会殃及其他主机甚至波及所有相关网络。对付这种可能来自各方面的潜在威胁,松散的安全解决方案显然已经无能为力。

    其次,计算机病毒花样不断翻新,传统的防病毒手段很难进行防御。病毒与黑客结合已不再是新鲜事物,利用系统漏洞、具有攻击行为的新型病毒是目前企业网络面临的主要威胁之一,这就需要建立起综合各种安全设备和软件的深层次的安全防护体系。

    在安全集成或者安全联动解决方案中,防病毒系统、防火墙、IDS、漏洞扫描、VPN等各种安全设备和软件既各司其职,又密切合作,共同完成防范、预警、响应、自学习等各项功能,构成一个有机的安全体系。在一套有效的技术机制下,安全设备之间建立起密切联系,实现信息共享,形成对一致抵抗安全威胁的合力。

    安全设备集成

    安全设备集成是将具有不同安全功能的设备和软件集成在同一平台之中,通过统一的管理界面对各种安全应用进行管理。集成的安全设备又被称为整合式安全设备。不同厂商的不同产品集成在一起是一个复杂的过程,从管理角度讲存在一些障碍,因为不同厂商之间的沟通是涉及到很多问题的,如知识产权等,从技术角度来说还需要有一样的运行平台,如果一个是在Windows平台编译,一个是在Linux平台编译,其集成的可能性是很小的。除了在网络使用的通用TCP/IP等协议外,集成产品需要用到特殊协议,这些协议通常是两个或同个厂商之间协商形成的,不具备通用性。

    究竟哪些安全技术可以集成在一起以及怎样才能集成在一起,接下来我们将对以上问题进行诠释。

    集成的条件

    功能互补 安全设备集成是由几种安全技术组成,它们在功能上可以弥补不足,做到优势互补。目前常见的安全集成方式有防火墙和入侵检测、防火墙和VPN、防火墙和防病毒、防火墙和身份认证系统、防火墙和过滤系统、防病毒和过滤系统、防火墙和信息审计系统,或者是多种安全产品之间的复杂集成,而防火墙和VPN设备可以说是在安全集成中的典型应用。

    同一操作系统 安全产品有软件和硬件之分,硬件安全产品进行集成时对操作系统没有要求,一般考虑几种不同的产品之间的配合问题。对于软件系统,如防病毒和数据备份等软件就需要考虑到对操作系统的兼容性。三星计算机安全公司的技术服务总监王皓认为,一般来说要支持Windows系列操作系统,对Unix类操作系统的支持完全要看几种软件产品的跨平台能力。安全产品集成的实质是统一管理平台,也就是说将所有的集成产品的控制台集成在一个统一的界面或软件中。这就要求各种安全产品本身的控制软件就可以在同一种操作系统下运行,然后才能集成在同一个软件或界面下。

    不需频繁升级 天融信的技术总监陈爱锋认为,能够集成的安全应用应该技术稳定,不需要频繁的升级,底层通常具有很好的集成条件。

    深层合作 实现安全集成最重要的是几个厂商之间的技术合作和沟通。而且厂商之间的合作等级至少应该是在战略合作的水平上,这样才能使双方可以交流和共享自身的重要技术,使不同种类的安全设备相互配合、互不干扰,并共同制作统一的控制平台或软件。

    两种作法

    在选择将哪些安全技术与产品集成在一起时。不同的安全厂商有不同的作法。一种模式是通过技术收购,这样原来只有一种安全技术的公司可以拥有多种安全技术,并将这些技术优化在同一硬件平台上,赛门铁克、NAI等致力于防病毒业务的厂商在发现单纯的防病毒技术并不能防御日益复化的计算机病毒,都不约而同地开始大规模地收购行为,NAI日前收购了两家IDS厂商,Symantec在去年收购了四家安全公司,并把收购而来的安全技术与现有技术整合在一起。

    另一种模式是几家拥有不同安全技术的公司进行深度合作,这种合作仅限制在少数几家公司之间,彼此相互开放接口,并且开发特定协议。不久前NetScreen与趋势科技开始了密切合作,双方一起将趋势科技的防病毒软件集成在NetScreen硬件平台上,引起了广泛关注。三星公司也开始将自主开发的防火墙产品、硬盘保护产品和其他厂商的网络防病毒产品和数据备份产品进行深度集成。

    模块化和通用性趋势

    安全设备集成的理想模式是由几家具有一定实力的安全厂商组成战略合作伙伴或其他紧密的合作形式设计出模块化的安全集成产品,根据不同的行业或客户群的需求像搭积木那样进行不同的模块组合,实现灵活高效的安全产品集成。

    目前大部分安全集成产品都具有一定针对性,有些针对数据服务器,有些针对应用服务器,也有针对某种行业或某些特定客户群。开发通用性的集成安全设备是未来的趋势之一。具有通用性的安全产品集成肯定会由几家拥有雄厚技术实力的安全厂商合作开发出来。

    技术优势

    安全集成设备的最终受益者是用户。通过部署一站式的安全解决方案,用户在降低总体拥有成本的前提下,几乎不需要人为操作就可以提高对攻击行为的反应速度,避免损失的发生。

    全面的安全保护:在松散的安全方案中,由于安全设备分别来自不同的厂商而使得防护体系缺乏互操作性而存在漏洞,同时用户也很难决定这些安全设备在企业网络中的部署顺序。将不同安全功能集成到单一平台上可以使所有安全防护工作由一个硬件设备统一完成,在提高安全等级和管理效率方面具有优势。针对一些混合了病毒和黑客工具的新型威胁,集成安全设备可以进行综合分析,即使还没有发现此类威胁的特征码,管理员也可以通过集中管理界面的综合分析能力,发现流量或通信方面的异常,从而采取措施及时抵御攻击。

    整体拥有成本优势:将各种安全应用整合一身的整合设备拥有出色的成本优势。首先,一体化的整合方案在采购成本方面要远远低于分别采购各类安全设备。这一点对于分布式的企业网络显得格外突出。在部署、维护方面,整合的安全设备集硬件设备、操作系统和安全应用程序于一身,用户只需要一个管理平台就可以完成配置、部署和管理,一些安全集成设备还实现了即插即用。整合式解决方案通常采用专属、优化的操作系统可以减少漏洞的发生,而且所有软件更新升级都来自同一家厂商,为IT人员节省大量时间和精力。

    集成安全管理:集成的安全设备简化了用户针对客户端(包括远程用户)的安全管理过程。因为安装、报告和更新都可以从一个控制台上来完成。管理员从单个控制台就可以完全配置、安装、管理和更新客户端病毒、防火墙以及入侵检测功能。管理员还可以使用系统中心控制台来配置、部署和执行企业网络策略,预先配置防病毒、防火墙和入侵检测。

    集成化响应:原来由多家安全厂商提供的响应现在由一家公司提供包括防病毒、防火墙以及入侵检测在内的全面的服务响应。集成化响应功能还能够使企业对于违背安全策略和病毒发作更快做出响应。例如,赛门铁克安全性响应中心可向统一用户发送病毒定义码、防火墙规则以及入侵特征库。

    尽管集成的网络安全解决方案拥有诸多优势,但是也有用户对它发出置疑:将诸多安全应用软件集成在同一个硬件平台上运行速度会不会大大降低?这种质疑不是没有道理的,功能得到优化的整合式安全解决方案往往对硬件性能提出更高的要求,否则无法满足多种安全应用并行的要求。对于这一问题,安全厂商们并不回避,而是采用各种技术来积极解决这个问题。众厂商不约而同地将采用经过特殊设计的高性能硬件平台作为解决之道。

    我们知道,出色的计算速度是ASIC与生俱来的优势,ASIC芯片带有逻辑加速处理加速装置,它能够同时处理所有技术加/解密运算法则。利用ASIC芯片技术的NetScreen集成平台同时高速运行几种安全应用起来可以说是游刃有余。Nokia的硬件平台则是经过专门设计的,Nokia还为之开发了专用的平台操作系统IPSO和软件加速装置,同时Nokia的IP安全平台上只集成一种应用安全软件,只有防火墙和VPN是在一起的,这种特殊设计使Nokia的IP安全平台可以运行在电信的骨干网上,而不会成为网络的瓶颈。

    一般来说,集成的安全设备具有成本低、易于安装和维护的特点,主要应用在中小规模的网络当中,主要产品形式有适合小型分支机构使用的集成客户端和适合中型用户使用的集成安全网关。不过近年来,市场上也涌现出许多高性能的整合式安全设备,如NetScreen 5400、5200安全集成设备以及Nokia的740 IP安全平台,这些整合式安全设备的运行速度可以达到10G以上,可以部署在骨干网中。

    编看编想

    异曲同工

    原以为安全联动与安全集成之间会存在一道不可逾越的鸿沟,但是事实并非如此。在采访过程中,记者发现安全联动与安全集成之间并不存在泾渭分明的界限,而是你中有我,我中有你。主张安全联动与主张安全集成的厂商也不是“你死我活”的取代与被取代关系,相反他们相互看重,彼此之间有着千丝万缕的合作关系。

    主张联动的厂商并不拒绝安全集成。以Check Point为例(+本站微信networkworldweixin),Check Point是安全联动的发起公司,其OPSEC联盟几乎将安全业界一流的应用软件悉数招致麾下,实现协同互动。即使这样,Check Point仍与HP、IBM、SUN等硬件厂商进行着密切合作,共同把安全应用软件集成到经过严格认证的硬件平台上。Check Point还提供集防火墙/VPN/流量管理三位一体的集成产品。而在与防病毒等设备配合时,Check Point则是通过OPSEC协议与之进行沟通,属于典型的联动应用。

    Nokia走着一条更明显的联动与集成相结合的道路。作为Check Point的全球战略合作伙伴,Nokia与Check Point的合作密切到研发层次,是安全联动的忠实支持者。可是Nokia的IP安全平台分明是采用集成技术将包括Check Point防火墙、VPN在内的各种应用安全软件集成在IP安全平台上。这里需要说明的是,一种IP安全平台上只集成一种安全应用软件。利用集群技术和联动技术,Nokia再将这些不同的安全应用软件的IP安全平台有机地联系在一起,使之互相协作。

    应该说,安全集成和安全联动是在安全设备之间建立起有机联系的两种不同方式,本质上两者并不冲突,其目的都是帮助用户建立一个有机的安全防护体系,并且各有优势和不足。套用一位工程师的话,无论是联动还是集成,只要能给用户带来最佳的安全保护,形式就是次要的。

    安全集成设备一览

    NetScreen-5GT

    NetScreen-5GT是NetScreen与趋势科技联手合作,共同开发集成了网络防病毒、防火墙、VPN功能的整合式安全解决方案,NetScreen-5GT适合于分布式企业网络的远程站点,帮助企业构建覆盖从远程分支机构到中央站点的多层网络安全防护体系。它采用“限制式安全区”技术以分隔流量,内存容量和CPU处理能力允许增加新的安全技术,例如IDP等。配合NetScreen的高端产品或中央式管理工具,NetScreen-5GT允许大型企业进行大规模多站点的部署。除了优秀的安全功能外,NetScreen-5GT的性能表现出色,拥有75Mbps防火墙传输量,20Mbps 3DES VPN性能,可以支持10个IPSec VPN通道和2000个会话。

    Nokia IP740

    Nokia IP740是为服务提供商提供的高性能安全平台。利用“热插拔”部件和冗余电源选件,它可以最大限度地保障网络正常运行时间。Nokia IP740上集成着一流的安全应用程序,如Check Point的VPN-1/FireWall-1或者ISS RealSecure。Nokia IP740是诺基亚网络安全的最高性能平台,防火墙吞吐量超过每秒一千兆,提供了4个CPCI插槽用于选配的WAN和LAN接口。广泛的连接选项包括光纤千兆以太网、四端口10/100以太网和广域网接口,可以将IP740轻松集成到任何网络架构中。除了具有易于部署、远程管理和高性能的特点,IP740还获得诺基亚世界级的“一通电话、彻底解决”技术支持。

    secuiMGR一体化安全方案

    secuiMGR一体化信息安全系统是三星计算机安全公司与北京高新达通科技发展有限公司共同推出的一款一体化安全解决方案。secuiMGR集成了三星防火墙secuiWALL、防杀病毒、数据备份及系统恢复产品,用于防范越权访问、病毒蠕虫、恶意破坏、数据丢失、系统瘫痪、系统死机等安全隐患。secuiMGR一体化安全方案能够做到事前预防、事中报警阻止和事后恢复,用户只需要通过secuiMGR的操作窗口就可以对各个模块进行操作。SecuiMGR一体化方案既面向中小型企业用户,也可以满足大型网络环境的安全需求。网管员还可以通过集中管理界面远程跨平台管理secuiMGR。

    Symantec Gateway Security

    Symantec Gateway Security 是一种集合型安全网关,它将防火墙、病毒防护、入侵检测、内容过滤以及VPN功能五种核心安全功能融合到一个硬件平台上,这五种安全模块实现了无缝协同工作,共同防御“混合”威胁。Symantec Raptor管理控制台通过GUI界面在本地或远程配置和管理Symantec Gateway Security。为了满足用户对高吞吐量的要求,每个安全模块中都预装了高可用性和负载均衡功能,最多可以集成八种应用工具,支持八节点的集群功能。赛门铁克为用户提供所有安全功能的技术支持,将最近的病毒定义码、入侵检测标识、安全补丁全部放置在一个可自动安装的更新文件中,不需管理员介入,就可以确保每个集成化安全功能都能够保持最新状态。

    观点回放

    Check Point 工程师

    木桶中的水的高度等于最短的那根木板长度。要想得到十分的安全,就必须选择在各个领域最优秀的产品,让这些最优秀的产品相互配合,发挥最佳效果,提供最大限度的安全保障。

    诺基亚中国区总经理张勇

    复杂多变的外部环境使得企业网络安全无法“一步到位”,而是需要不断改善和随时响应。来自于企业外部的恶意攻击可能瞄准信息系统的任何一个环节,而且系统中任何一个相对落后,或者相对薄弱的环节被攻破都可能导致整个系统的崩溃。

    三星计算机安全客户服务总监王皓

    简单堆砌成的安全解决方案并不能产生全面有效的安全屏障作用,不同设备产品之间的不兼容性甚至会抵消掉这些安全产品应有的效果。

    天融信技术总监陈爱锋

    如果安全设备之间缺乏联系,各自为政,即使用户部署了很多安全设备,也不能真正解决安全问题,同时还给安全系统的管理和发挥作用带来麻烦。

    趋势科技亚太区总裁刘家雍

    对于远程站点、分支机构和远程办公机构来说,由于缺乏IT管理人员和相应的安全措施而面临严重的安全风险,价格低廉的All-in-one设备可以帮助这些用户实现多种安全保护功能。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]