| 出版日期:2004-11-15 总期号:1364 本年期号:85 |
|
 |
安全站在网络的肩膀上
文 本报记者 李刚 在既往的网络技术中,网络通信和网络安全走的是两条平行道路,网络厂商、主机厂商、安全厂商、软件厂商各自开出自己的安全药方。但是网络安全是一个系统级的概念,安全威胁潜藏在网络通信的各个环节之中,各自为政的安全方案在安全威胁面前显得捉襟见肘。例如,网络安全设备和网络通信设备之间不能很好地联动,网络安全设备需要的数据不容易通过网络通信设备采集,使网络安全设备的许多功能成为摆设; 网络与终端和主机不能很好地联动,把安全威胁彻底消灭等。 该向谁要安全? 很多企业的网络安全意识逐步提高,根据核心数据库和系统运营的需要,逐步部署了防火墙、防病毒和IDS等安全产品,并配备了相应的安全策略。有了这些措施,看起来好像一切问题都解决了,但是实际情况如何呢? 在黑客技术发展层面上,从越来越频繁爆发的网络危机趋势来看,黑客们已熟悉了防火墙、IDS等安全部件执行的传统访问控制策略,他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描,而且直指应用程序层面,寻找可以利用的漏洞,攻击手段越发复杂隐蔽和具有立体性,对网络安全提出了新的挑战。 另外,从另一个角度来看,企业在网络建设初期,网络安全并没有很好地规划,随着时间的深入,产品不断增加,整体上缺乏统一管理,相互间没有沟通交互,信息无法有效整合。 现在的防病毒软件有自己的管理系统,防火墙也有自身管理系统,不同的系统有不同的网络管理软件,所以网络管理人员要保持对不同产品管理系统信息的检查。但是这些来自不同安全产品的信息之间存在很大的相关性,如果分开独立地看待这些来自单一设备的信息,很有可能我们会忽略到一些重要的细节,致使网络遭受重大打击。 不断叠加的网络设备,成几何级数增长的数据往往降低了我们对事故的响应速度,如果再加上一些莫名其妙的虚假警报,公司的网络运维人员数量将急剧增长,但这依然无法保证我们的安全,有的时候我们不得不因为某一两个人的一个微小的错误或疏忽而付出高昂的代价。 这就是为什么我们在部署了众多安全设备后依然无法有效地进行安全防范的原因,IT管理者们更希望在问题发生的时候得到一个综合全面的安全报告,以了解企业网络到底处于什么样的状态,遭受过什么样的攻击,正面临着什么样的危险。而不是每一个产品信息的简单罗列,我们需要一个能集中管理所有产品信息的智能化的安全管理中心。思科系统公司产品和技术营销副总裁Redford认为,思科网络方案中安全已经涵盖在网络的多个层面上,当出现问题的时候,网络依然可以运行。 思科的药方 作为资深的网络系统厂商,针对越来越肆虐的安全威胁,思科将如何面对?思科公司运营、流程和系统高级副总裁Randy pond说,思科谈安全主要谈三个方面,一个是综合的或者集成的安全,也就是说安全要遍及网络的各个方面,不仅要检测入侵,还要检测虚拟专用网,另外还要确保网络当中数据包是安全的。其次就是要有一个持续不断的创新,在这方面我们不能只顾目前,比如说在黑客的领域,他们这些人都是非常有能力的,我们要能战胜他们,必须要不断创新,这样才能获得积极主动的方式来掌握网络的安全。第三,我们认为必须拿出解决方案,这个解决方案光靠思科是不够的,必须和合作伙伴合作,我们也和IBM进行合作,IBM是我们在美国主要的系统集成商,它可以把我们的安全解决方案和其它方案结合在一起,作为网络的整体方案,这是未来解决安全问题的重要方法。尽管防火墙产品在全球占有第一的份额,但思科还是超脱了自己,放眼于整个网络系统的角度来深思安全,最终将让安全站上网络的肩膀。这就是思科综合设计整体安全的解决方案。 思科的网络安全方案已经部署于多个用户的网络中,从而最大限度地提升了用户网络的安全性。思科公司可以提供目前业界最为丰富、端到端的网络安全产品和方案,包括PC终端防护系统、防火墙、入侵检测系统、访问控制服务器、VPN网关和安全管理产品及安全顾问咨询服务等,可以帮助客户大大提高安全系数,并降低各项成本。最主要的是,思科可以实现系统级的安全防护,对所有安全产品统一规划管理,在统一的管理平台上实现对所有产品信息的收集、分析与管理并自动分发安全策略,最大限度地提高网络各个层面的安全系数,形成统一的防御之势,大大增强网络的可靠性。 思科推出了最新的智能安全管理中心(Cisco Intelligent Security Management Center)。作为老牌的网络公司,思科将安全置于网络的肩膀上来看安全防护问题,从整体入手,在整个网络框架中加入管理系统,将网络各个层面的信息进行有效的整合,然后再根据收集到的信息调整网络策略,形成一个不断循环、动态的网络维护过程,这也是思科安全解决方案在向自我防御进行转变和发展的一个体现。 思科的网络安全解决方案大体经历了三个阶段,从最初的在路由器等网络基础设施中加入安全模块,到具备独立的管理功能模块的增强型路由器的出现,再到实行全网安全,构筑SDN自防御网络系统,提供端到端的解决方案。Cisco Intelligent Security Management Center的出现可以说是意义非凡,它实现了网络安全一个质的飞跃,极大地改变了我们在安全防御中所处的被动挨打的不利局面,将IT管理者从浩瀚如烟的安全数据中解救了出来,IT经理再也不必要面对为数众多的安全设备。Cisco Intelligent Security Management Center完备的分析、审计和自动策略下发功能帮助企业轻松管理网络中众多型号各异的安全设备,极大减低了网络管理人员的工作量,节省了成本,减少了错漏。清晰明了的报告为管理层决策提供了最好的依据,定期形成的风险评估报告更让企业对自身网络的状况了然于胸。 思科智能安全管理中心 Cisco Intelligent Security Management Center勾画出一个完整的网络防御的闭环流程: 所有从路由器、IDS、防火墙等安全产品收集流出的信息被集中到一个被称为SIMS(Cisco Security Information Management Solution,思科安全信息管理解决方案)的管理中心里。这是一个大型的网络管理软件,可以将所有的安全产品信息收集起来,转换成统一的数据格式,值得说明的是该安全管理中心对思科以外的其它不同厂商的安全产品可以一样进行有效交互。这也是一般安全厂商无法比拟的,只有思科这样知名的网络设备提供商才具有这样的独特优势和号召力。 安全走向统一管理 “安全是三分技术,七分管理”。以为大家所广泛熟知,但是怎么管理、怎么进行有效的管理却始终困扰着我们,让众多CIO头疼。诚然,一个良好的安全机制和策略能帮助我们提供一定的安全保障,但面对网络中数目日益庞大的不同品牌和功能的安全产品,我们的网络管理人员愈发捉襟见肘,单纯依靠人力的管理和维护不但效率低下,而且还面临很多不确定的因素和风险。 目前用户们最需要的,是一个能够对所有安全产品进行统筹规划,可对来自不同产品的信息进行关联分析并给出合理建议,帮助我们制定综合立体的防御策略,并可以统一将策略下发到不同品牌的安全产品中。Cisco Intelligent Security Management Center符合这种产品的特征,它使我们从纷乱繁杂的安全设备和数据中最快最好地得出解决办法,协同整个网络中不同安全设备共同抵御外来攻击。尽管这是思科所着力打造的新一代企业网络安全产品,尽管其用户还不是很多,但相信这样的设计理念也会对安全界有所启发和帮助。可以预见,这样专业的网络安全管理平台将为用户的网络提供较为专业和安全的保障,为企业在激烈的市场竞争当中增添取胜的等码。 
思科安全专场 |
||||||||||||||||||||
