| 出版日期:2002-10-21 总期号:1161 本年期号:78 |
|
 |
不看产品 看方案
赛迪评测建议 高国栋、何军 2002年是信息安全发展平稳增长的一年。 增强产品功能、提升产品性能、加强不同产品间的互动协作是今年安全产品发展的重要特征。 单一的安全产品和技术已不能够满足行业用户保障网络安全的需求, 用户需要量体裁衣的安全解决方案,这是厂商赢得竞争优势的主要努力方向。 明年,信息安全产业将会走向专业化、多元化、立体化。 2002年是信息安全技术和产品快速发展的一年,安全产品在各个行业中的应用正从过去的通用型转变为行业专业型。各安全厂商竞争的焦点也从单个产品竞争向提供整体解决方案及服务竞争转变,同时安全产品在功能和性能上发展迅速。 安全产品重视“协作” 增强产品功能、提升产品性能、加强不同产品间的互动协作是2002年安全产品发展的重要特征,在防火墙和入侵检测产品中有集中体现。 防火墙性能成为竞争焦点 当防火墙产品的功能竞争达到一定程度时,防火墙的技术和市场竞争就转向到性能的竞争上,使得防火墙产品的性能在2002年有了很大的提高。 
防火墙64byte下平均吞吐量变化 百兆防火墙实现线速不是梦。64Byte下防火墙的吞吐量能够直接反映出一台防火墙产品对数据帧的处理能力,这个数值也是各个防火墙厂商互相竞争的焦点。从2001年平均14%的吞吐量到2002年上半年的24%,再到今年下半年的35%,这些都说明百兆流量的防火墙整体水平有了很大提高。测试证明,在百兆防火墙上使用千兆网卡,性能可提高到80%以上,甚至可达到100%的线速。随着硬件设备价格的下降,在百兆防火墙上实现完全的线速将不再是厂商和用户的梦。 千兆流量防火墙掀起防火墙新一轮竞争。千兆流量的防火墙并不是指防火墙支持千兆网卡,而是指能够提供千兆带宽的防火墙系统。随着用户对高带宽网络应用需求的增大,各个厂商全力投入人力、物力开发千兆防火墙产品并进行测试,虽然测试结果并不令人满意,但由此看到,千兆流量的防火墙性能将成为厂商新一轮竞争的焦点。 此外,防火墙功能的多少在国内主流厂商之间已经没有太大的竞争,但是随着用户需求的变化,防火墙的功能逐渐实现了模块化,这就导致了防火墙功能有了新提高,明显的表现是出现了大部分防火墙具备透明交换能力、基于时间的控制、实现内容过滤、与IDS互动等。 在防火墙管理中无论采用那一种方式管理都是可以的,但前题是安全。在2002年防火墙的发展过程中,许多厂商将管理方式转向控制台管理,而且不断调整各个模块管理之间的逻辑关系,这就说明防火墙的管理开始切近用户习惯。 入侵检测技术快速翻新 产品硬件化成为趋势。2002上半年,在目前入侵检测(IDS)市场上主要是以软件形式进行销售,但从下半年大部分产品开始转向硬件设计并开始销售,软件产品实现硬件化是2002年IDS产品的一大特点,也将是今后IDS产品发展的趋势。 智能检测发展迅速。IDS产品的智能化是2002年IDS发展的另一大特点。新一代IDS产品能够智能探测所保护的网络主机地址及系统服务类型,对不存在的地址或不相干的系统进行佯攻击,系统不会做出任何报警,同样对各种相同或类似的攻击报警有了智能合并归纳的功能。 内容恢复功能成为新特征。2002年IDS产品出现了内容恢复功能,它能基于www、ftp、telnet以及收发邮件等进行内容恢复和回放,虽然对IDS产品的性能有一定的影响,但使IDS产品具有了更强的实用性。 用户要求量体裁衣 回顾2002年各行业的信息化建设情况和未来信息安全在行业中的应用需求,主要集中在防火墙、防病毒软件、IDS、VPN、隔离卡、认证加密等方面,在众多安全产品中,防火墙、防病毒依然是各个行业中应用最广的。但是,不同的行业对现有产品技术的需求却有一定的差异。 如政府行业的应用主要集中在数据、视频、语音、多媒体通信、视频会议、数据共享、安全防护等多种功能,满足多媒体网络通信和各直属机构的机要通信和电子办公的要求。他们的内部网络还具有资源分类别、分级别、密级区别等特点,信息的储存、传递和使用上有严格的权限管理。他们需要严格区分涉密网络和非涉密计算机网络,对上网的信息需要进行经常性检查,因此,就要求防火墙具有高性能,隔离卡就需要有效、稳定。这些需求从现有的防火墙技术来看是能够满足的,但不是仅仅靠防火墙技术就能够解决得了的。这需要安全认证、信息加密、入侵检测及网络安全评估等安全技术互相配合,构成网络安全整体解决方案。 对于金融行业,性能保证并不是主要的,除防火墙严格的控制访问外,防病毒、认证授权管理系统、漏洞扫描和入侵检测将上升为银行安全服务不可或缺的保证,而对于入侵检测产品来讲,内容恢复功能尤其显得重要。 其他行业,如证券、电信业以及中小企业对网络安全产品的需求也有所不同。但主要表现在对安全产品性能、稳定性及整体配合上要求较高。 总体来说,单一的安全产品和技术已不能够满足行业用户保障网络安全的需求,用户需要量体裁衣的安全解决方案,即需要安全厂商对用户需求进行深入研究和分析,实现产品细分,功能定制,并为不同行业做出符合其实际需求的安全解决方案及服务方案,是厂商赢得竞争优势的主要努力方向。 未来的安全产品更“立体” 整体的解决方案归根到底还是由安全产品组成。鉴于上述用户应用需求的特点,安全产品将有可能向以下几个方向发展。 防火墙将走向“复合型” 在现有防火墙产品和技术中,将包过滤技术和应用代理技术融合到一起构成复合型防火墙是目前国内防火墙产品的一个特点,也是防火墙技术今后发展的主流技术,如NetEey 防火墙的“基于状态包过滤的流过滤”技术就是一个例子。还有一种技术是通过两个不同操作系统构建的防火墙系统,这种技术主要是以中网公司推出的两台不同系统的防火墙通过相互“心跳”构成“双盾防护”,这种技术的产品安全性比较好,但管理起来相对麻烦。可作为一种新技术,该类产品还是会得到一定程度的发展。其他防火墙技术,如分布式防火墙,虽然在未来有发展的迹象,但未形成成熟的产品。 高性能、多端口是未来发展的主要方向。一方面,在用户对高性能需求的驱使下,百兆防火墙的性能将会得到进一步的提高,并可能使用千兆网卡提高防火墙性能;另一方面,千兆流量的防火墙将得到较快发展,它将成为防火墙竞争的焦点;而多端口的防火墙能为用户提供更好的安全解决方案,这种多端口技术也是防火墙技术发展的主要方向。 IDS发展呈五个走向 IDS产品未来的发展主要集中在分布式检测、IDS互动功能、千兆以太网检测、管理功能、协议分析等五个方面。 IDS产品采用“分布引擎-集中管理”的分布式检测虽然目前在IDS产品中已经能够实现,但总体来说,技术和应用都还不太成熟。对于分布式检测的IDS产品,它不但可以解决高速网络的问题,而且便于网络管理员的统一管理和分析,这对IDS产品的发展来说,无疑是一个方向。 整体防御、动态防护技术作为安全解决方案的发展趋势,使得IDS如何与防病毒工具、防火墙、VPN等其他安全产品协同工作,形成一套安全网管体系就显得十分重要,因此这种互动功能必然成为IDS产品不可缺少的功能。 高性能的IDS产品是适应高带宽网络的用户需求,如何对1000Mbps以太网中的攻击行为进行检测必然是IDS产品技术研究发展的未来。 在管理方面,入侵检测产品的管理功能是今后IDS技术研究的主要方向。IDS产品的技术将从智能检测转向智能管理,它将比IDS的检测能力更加重要。 技术上,协议分析仍是新一代IDS系统探测攻击手法的主要技术,并得到不断发展,同时,它还要融合传统特征模式匹配技术的优点,最终为用户提供更易于管理并具有智能检测能力的入侵检测系统。 综上所述,2002年中国信息安全产业蓬勃发展并已初具规模,2003年信息安全产业会向专业化、多元化、立体化发展,各种新技术、新产品将不断涌现。 |
||||||||||||||||||||||||
