新架构中的安全密码
来源:ChinaByte 更新时间:2007-06-19

对企业来说,信息安全一直都是信息化建设中必不可少的一环。记得七年前,时任IBM全球Internet架构负责人的Clerk先生就曾表示,未来十年内,信息安全的发展趋势,必将经历三个环节:

  第一,网络与网络之间的安全互联,利用各种安全设备组建企业的安全基础设施;第二,在林林总总的设备基础上进行整合,力求组成企业在应用层面的联动平台;第三,在前两步的基础上,进一步实现安全的业务创新建设。

  目前,Clerk先生已经成功预言了安全的前两大趋势。从2000年开始的网络建设促使了安全设备的普及化;而2006年开始的基于平台技术的安全建设,已经拉开了安全整合的大幕。事实上,在今年2月份,本报就曾介绍过新一代安全架构的设想,五个月后,完整的、基于联动技术的模块化安全产品与方案已经摆在了用户的面前。

  这种变化快的令人吃惊,有意思的是,用户这次却表现出了极大的热情,不少用户已经部署了一些模块化的安全方案。从某种意义上说,这次新安全架构潮流远远超过当初UTM进入中国时带给用户的惊喜。

  那么,这次的新安全架构与传统技术有什么不同?用户又为何如此感兴趣呢?为了揭示这个秘密,本报特别邀请了众多行业用户与业内的安全专家,和读者一起分享其中的经验与感受。

  基石:模块化与平台化

  “所有的安全都需要设备,不同的是这些设备不能是孤立存在的。”南车集团北方区信息安全专家刘洋在接受记者采访时表示,他们已经从2006年开始了企业安全平台的建设,而模块化带来的弹性优势,一直令其津津乐道。

  “事实上,我并不需要单个信息安全设备,我关注的是在不同安全模块之间的混搭,形成某个具体的弹性安全方案。比如,我可以把在防火墙中的访问控制模块移植到交换机中,实现不同业务部门的安全控制。”

  刘洋的想法并非空穴来风,当网络、安全与企业应用捆绑在一起的时候,很多事情都会发生变化。记者发现,企业早期的网络平台可以使用通用的防火墙等设备,但是与应用捆绑以后,就会产生个性化需求。

  以前企业用防火墙仅仅是为了进行地址过滤,但现在这么做就不全面了,对于DHCP分配的地址,企业需要区分是哪一个用户。因此,在此基础上,需要在防火墙内加入用户认证的功能。在防火墙进行访问控制的时候加入用户的信息,这样,不论用户到哪里都是唯一的。换句话说,现在的边界设备需要实现用户的审计,看到某个用户的真实行为。事实上,在模块化技术出现以前,这是很难做到的。

  记得在今年4月份的安全巡展上,北京宅急送公司的IT工程师王文辉表示,大量新应用的出现,已经引起了物流企业对于安全的关注,比如电子邮件中的重要文档,甚至是邮件本身的安全,如果利用传统的基于端口的访问控制技术就无法提供完善的保护。

  他认为,目前的企业和安全厂商应该配合起来,利用安全模块的复用,尽可能地实现内容控制保护,包括对病毒、垃圾邮件、内容审计的控制,这些模块可以集成在反垃圾邮件设备上,也可以集成在防火墙、安全网关、UTM等设备上。

  天融信高级产品研究员段亚峰在接受采访时表示,新型的安全架构已经不是2006年所说的“平台+处理器+软件”的模式,随着用户需求的不断变化,未来的安全架构将会是一个系统,是安全硬件、安全软件和安全服务共同组成的一个有机整体,并进一步形成一个纵深防御体系。

  事实上,段亚峰认为,此举对于用户有着重大的意义:第一,用户的整网安全水平会提升到一个新高度;第二,由于新型安全构架的可扩展性和自动升级能力,在面对未知的网络威胁的时候,可以维持现有网络的正常运转,并能很快地生成新的安全策略来消除未知威胁;第三,新型安全架构采用模块化与平台化技术,从技术上体现了灵活性,可以保证用户把钱花在刀刃上。

  新华人寿集团的IT经理杜大军表示,对于行业用户,在选择新型的安全方案的同时,也就选择了新型的安全架构。另外,他本人不认可将防火墙、IDS/IPS、VPN、反病毒、反垃圾邮件结合起来就会形成新型安全架构。相反,他认为新型安全架构的作用是使这些通用的安全技术和产品的分工更加明确,在网络中的位置更加清晰并且可管理。当然,他承认UTM也是新架构中的一分子,只不过UTM还无法引起大企业的兴趣。

  侠诺科技行销总监张建清对此有类似看法。他表示,就像液晶技术是最接近纯数字方式的输出设备一样,UTM也是在概念上最接近未来安全架构的产品。特别是很多大厂提出将UTM与广域网功能再结合的思路,在概念上较接近未来的思路。不过他认为,这仍要看面向用户的需求。若厂商强行以技术观点来推广新一代的想法,基本上是不太好落实的。

  不过,用户和厂商的看法在某些方面并不完全一致。他们认为在安全建设中采取模块化的思路,为的是保证企业安全建设的规范化,同时提高系统整合的推进速度。这个目标在2006年显然没有完成,不过从今年的情况看,新技术在一定程度上推动了整合的进度。因为当安全成为某种通用平台的时候,安全设备的发展方向就会自然与某些技术形成模块,并获得用户青睐。

  持同样观点的还有深信服安全产品经理邬迪,他表示,模块化与平台化技术都将成为新安全架构在设备层的“核心密码”。其实最早尝试这类技术的应该是网络厂商,一些全网安全方案都具有“模块+平台”的理念,只不过2007年的访问控制要求更加细致与深入。

  记者的理解是,从技术底层分析,未来安全架构的特点在于有专用的核心操作系统、高速的硬件处理平台和相配套的服务体系。对此,段亚峰也表示认同。他透露说,核心操作系统的特点在于专为网络安全体系而设计,采用模块化构造,并且做到了硬件平台无关性。而高速硬件处理平台的运用是产品正常运行的基础,也是新型安全架构工作效率高于过去体系的主要原因,而配套的服务体系是维护整个系统运行的重要保证。像天融信的“猎豹”防火墙和TOPIDP入侵防御设备,都遵循了这一理念。

  共2页。

  目标:应用安全管理

  面对层出不穷的安全设备,用户的看法往往更加现实。北京医药集团的IT工程师李杰曾向记者表示,企业对于信息安全的最终目标,不是简单的把安全组合起来,而是要把企业的各个方面用安全的手段管理起来。

  “这有点像目前常说的业务导向的安全管理,各种设备都是安全的手段与过程,而目标则是管理。”李杰的看法是,只有拥有完善的安全管理机制,企业才有可能实现在未来安全架构中的业务连续性与健壮性。

  对此,联想网御技术总监毕学尧认为,所有的安全设备在用户网络的底层做事情,而靠近业务的部分,则需要进行监控与优化。事实上,他一直认为安全厂商需要对用户的业务进行强力支撑,但往往厂商在这部分忽视的比较厉害。

  杜大军的看法是,对大型企业来说,安全管理拥有更深刻的含义,这里面包括对终端设备的管理,比如企业内部的PC,上面需要配置各种安全解决方案,从网关到全网,包括补丁、资源控制、文件加密等技术都要一一落实,这样才能确保对终端控制的有效性。

  他强调说,在应用安全管理中需要关注传统上忽视的两大部分:内容安全和行为安全。在内容安全中,利用外发信息管理与防泄密技术来审计信息的可控性;在行为安全中,还要结合身份认证与审计技术,实现对内部员工的准入与控制。对于一些涉及到终端应用的安全审计,比如对QQ或者FoxMail的审计,需要安全厂商在网络层面之上进一步提供本土化监控的能力。

  不过仅仅落实到终端还不够。国家计生委的IT工程师王华认为,作为大型企业或者政府机构,还要加强对Web应用的安全管理。他表示,在这方面不少企业有过教训:很多企业的IT部门都在保护自己的内网、终端的万无一失,可很多时候却忽视了Web服务器的安全,甚至Web服务器宕机后管理员都不知道。

  “合理的做法是,企业必须构建一套安全管理平台,从而去实时监控所有的服务器资源是否可用。如果某台服务器处于非正常状态,系统需要及时通知管理员,这就是政府机构常说的对重要应用的安全管理。此外,像对日志、攻击流量的管理,也是安全管理的工作范畴。”另外,段亚峰也指出,在未来的安全架构中,安全管理平台将会成为核心组件,并有可能进一步涵盖安全服务的部分内容。

  他认为,当前企业网络中安全事件爆发越来越频繁,爆发后传播速度越来越快,已经不能被传统的手段所防范。而实时防御这些网络事件的唯一途径,就是依赖各种类型的网络安全设备。但随着网络的不断扩张,网络安全设备的数量也不断增加,对于管理者来说,对复杂的网络系统进行管理和协同才是关键,而安全管理平台正好解决了设备管理的问题。

  事实上,到记者发稿时止,天融信已经将安全管理平台产品TopAnalyzer进行了硬件化,该系统对其管理区域内的安全产品、网络设备进行集中统一管理,可以自动评估网络的安全风险,并根据风险情况自动调整网络安全策略,做出快速响应,从而做到将各类异构安全产品、网络设备、应用服务器的资源整合,实现一个动态自适应的安全防护体系。

  最后,张建清提醒用户关注安全管理中的成本问题。他说,由于芯片单位运算能力的成本持续下降,因此,成本肯定会慢慢降到普及的水准。但是管理成本如何简化,这不是技术可以解决的问题,而是需要更深度地了解用户的需要,包括用户自身的努力。

  塔尖:方法论创新

  如前所述,设备层、管理层都是未来一个时期内安全架构中的新亮点,不过,仅仅这样还无法满足企业对于安全的完美期待。就像王华所说的,企业需要能够在许可的情况下,通过完善的部署与配套政策,确保将风险降到最低。

  对此,在卫生部任职的李大伟最有感触。作为信息安全专家,他的工作是构建符合国家机关要求的安全架构,并确保日常的安全工作能够落到实处。

  “这个工作并不轻松,目前在这方面还没有统一的标准。”李大伟解释说,“目前国际上采用的都是法律法规遵从性与一致性标准,国内主要采用安全评估与等级保护标准,这其中的差异很大,有时令人难以抉择。”

  记者发现,在很多企业中类似的情况屡见不鲜。用户需要一套完整、可行的安全方法论来指导自身的信息化建设,以此获得最好的安全体验。

  用户的需求可以理解,但实现起来并不容易。首先,用户不需要单独的设备来解决问题,而是需要解决问题的“指导方针”。其次,无论采用法律法规遵从性的方法,还是采用等级保护的方法,都涉及到安全评估、定级、统计与分析这些过程,而这对于安全厂商也是很高要求的。

  从目前的情况看,国内安全厂商更加青睐利用安全评估、运维设计、体系设计的三部曲方式,勾画符合用户需要的“用户厂商安保条约”。

  举例来看,当某个企业需要进行安全规划设计的时候,安全厂商首先会对其进行一个系统评估与安全定级,把安全设备、安全风险、应用风险、应用价值统计出来,并定出级别。根据级别的不同,选择配备哪些安全设备与方案,落实具体的保护程度,分析需要关注的信息资产。比如在三级安全条件下,用户一般就需要防火墙;而二级状态则需要UTM;一级状态则需要网闸等信息隔离设备。

  另外,在整个方法论的实施过程中,除去开始的评估过程,后期的安全服务也是新安全架构的范畴。因为,目前状况下,仅仅依赖各种软硬件安全产品已经不能很好地解决各类网络威胁,只有依靠全面的安全服务才能弥补设备在有些领域的不足,形成一个纵深的防御体系。

  对此,李大伟的观点相当“折衷”。他表示,安全实施的“根”是规划,规划不好管理再好也不行。安全保护的程度,出现风险的损失评估,都需要按部就班地进行。每一块都是不同厂家提供不同的方案。网络设备厂商善于提出平台化解决方案,他们在设备上较强,但对于安全的理解很有限。比如很多网络方案的访问控制设置过于简单,深入的控制则有难度。而安全厂商的目的则是控制,不仅善于安全评估与规划,而且一般都会积累大量的知识库,因此,双方可以结合起来做。

  不过现实情况是,即便有网络、安全厂商的双管齐下,新架构在实施中仍旧会遇到不小的困难。邬迪认为,用户的挑战是结合实际情况的安全部署问题。大家的基本认识有了,需要进一步结合情况,分析自身业务需求与保护级别。

  在实际操作中,段亚峰和张建清的看法比较接近。他们指出,用户需要把自己的实际情况和厂商的安全理念结合,形成自己的安全规划。从实现情况看,一般大型企业和政府都青睐等级保护的做法。但很多小公司也需要利用这种保护的意识。

  安全架构仍在推陈出新

  一直以来,安全架构的发展都在不断变化中,从设备连接到应用安全、再到现在的设备、管理、方法论一把抓,安全的理念在逐步进化。

  同样的道理,此次采访中的用户与厂商都异口同声地表示,安全架构仍有很大发展空间,而未来的安全架构会更多地体现创新因素。

  在记者看来,这个创新有些被迫的味道。因为当前用户业务中的安全挑战远没有解决:比如逐渐流行起来的利用搜索引擎的竞价诈骗,还有全球每天新增一万起的网络钓鱼案件。对此,虽然有一些解决方案,但还非常不完善,这是需要新技术来应对的。

  也许有用户会问,在这个不断推陈出新的架构下面,应当何去何从?记者的看法是,从某些安全技术上说,国外产品更加有竞争力,但国货的优势在于,可以尽力满足中国的特色应用。比如电子政务问题,国内厂商理解的很深。中国政府都是树型结构,从中央到地方,然后地方进一步扩展分支,如果要部署VPN设备,就必须要支持这种树型结构,才能设计好安全体系。

  另外,用户在安全架构之中应当尽力实现灵活性部署,在安全扩展能力、设备弹性上多花心思,因为安全永远是动态的,设计不灵活的产品日后是难以扩展的。