| 出版日期:2005-07-04 总期号:1425 本年期号:48 |
|
 |
安全:从边界到全网
罗峻 网络无处不在,陷阱也无处不在。QQ、MSN、网游、网上银行、邮件、上网、下载文件、手机、PDA、汽车、家电……安全的威胁可能随时随刻发生在所有区域。边界防范能提供足够的安全吗?交大捷普认为,安全的战斗前沿将从边界扩大到全网! 6月22日,西安交大捷普网络科技有限公司“捷普安全产品2005年全国巡展(北京站)”启航。此次,巡展活动历时5、6、7三个月,遍及全国25个省会城市,沈阳、哈尔滨、济南、杭州、上海、武汉、广州、兰州、重庆、昆明……从南到北、从东到西,交大捷普踏遍祖国神州大地,只为传递一个信念——迅捷普及网络安全。 也许大家对交大捷普的了解不很全面,在与副总经理廖明涛的交流中,记者感受最深的是交大捷普从1999年12月创立至今,一直专注于网络安全产品的研发与推广。至2000年推出第一款防火墙开始,其入侵检测、信息审计、认证计费、VPN、网络综合审计监管、服务器群组动态保护、可视化网络异常监视等系列的网络安全产品相继推出。多年在安全领域摸爬滚打,让交大捷普对网络安全有着深刻的理解。 安全:仅有产品和技术不够 公安部公共信息网络安全监察局在2004年全国信息网络安全状况调查中,调查了7072家分布在政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等重要信息网络、信息系统的使用单位。其中,信息网络安全事件未发生的占35%,发生一次的占22%,发生二次的占13%,发生三次的占23%,不清楚的占7%。在对信息网络安全事件的类型中,发生大规模垃圾邮件的达36%,发生拒绝服务、端口扫描和篡改网页的达43%,而病毒、蠕虫及木马程序的暴发则达到了79%。而在信息网络安全事件发现途径调查中,有关部门通知过的占15%,事后分析的占27%,安全产品报警的占45%,技术监测的占63%。在分析信息网络安全事件攻击来源中,内外都有的占24%,来自内部的占7%,来自外部的达到46%…… 以上数据表明,业务模式的扩展,可能带来边界的更多风险。但基于边界的安全产品,无法防范来自内部的风险。面对威胁来自网络的所有区域,廖明涛指出:“安全,绝不仅仅指产品与技术!网络安全产品与技术的应用发展趋势应涵盖:一,政策与法律。国家出台什么样的政策与法律,将直接界定什么是安全,什么是不安全,哪些技术手段是合法,哪些是非法;二,网络安全依赖于根据国家政策、法律所指定的制度所执行的管理措施;三,所有的政策、法律制度和管理,都需要技术与产品给予足够的支撑,技术与产品也只有在政策、法律、制度和管理的框架之内,才能发挥它应有的作用。这三者是一个互相促进、互相制约的关系,它们之间的协同发展,将决定网络安全如何发展。” 综合防御:构建整体安全 在网络安全的应用范围上,将由面向边界的安全,转向面向全网的安全;在安全的应用深度上,将由面向网络的安全,转向面向应用的安全;在产品的实现技术上,将改变被动堵漏的方式,转变为主动智能防御。 廖明涛认为:“我们需要一个针对全网的安全防范。在这个安全防范体系中,首先需要建立一套面向系统中所有资源的安全管理体系。这些资源包括我们的网络边界、网络中的设备、系统中的服务器和主机。在管理上,需要建立分级分层的安全管理和集中的安全策略管理以及集中的安全事件管理。目前,思科的自防御网络、微软的应用安全框架、赛门铁克的主动性安全基础架构、捷普的面向资源的分布式网络安全防御架构都对全网安全起到了良好的主动防范作用。” 在安全的应用深度中,面向网络的防御措施包括:防火墙、VPN、入侵检测/入侵防护、漏洞扫描/漏洞管理、防病毒等。面向应用的防御措施包括:垃圾邮件过滤、反网络钓鱼、互联网内容过滤与审计;蠕虫、木马程序;P2P通信内容安全、手机安全、电子商务、VoIP、视频会议、数据库以及服务器安全。随着IPv6和3G的普及,下一步的安全技术重点是面向应用、面向行业。但是,网络安全的应用范围从边界扩大到全网,应用深度从面向网络转向面向应用的过程中,有一个问题:我们目前的技术手段能够支撑网络安全应用范围与应用深度的扩展吗?传统安全手段通过堵漏洞、打补丁、添加新的病毒特征码和入侵特征码,升级安全产品来实现。但问题解决了吗?系统反应时间长,效果滞后,无法对抗未知的病毒和入侵手段。而依赖管理员的技术管理水平,效果差。因此,需要新的网络安全基础架构。它要具有主动防御:基于安全策略的检测技术、智能实时响应。目前的研究热点是蠕虫病毒的零延迟检测及自动阻断技术。 此次巡展中,面向资源的分布式网络安全防御架构是捷普整体网络安全综合解决方案。廖明涛指出了其两大特色:第一,以前的被动防御基于病毒库、特征码,而现在的主动防御基于对蠕虫异常行为的判断和定位。第二,对系统资源的分配,不仅基于用户的带宽分配,也基于应用的分配,是一个多模式、灵活的资源分配。 
捷普面向资源的分布式网络安全防御架构 产品链接 捷普网络安全的“六道墙” 捷普整体网络安全综合解决方案包括边界、安全域、基于多种责任的内容管理、基于角色的多层管理、重要数据资源、多层监管等。在基于分层的防御思想里,其安全产品布署在网络安全的六层体系中: 在网络安全层,布署了防火墙、网络安全综合审计监管系统、服务器群组动态防护系统; 在系统安全层,布署了入侵检测系统、可视化网络运行监视系统; 在账号安全层,布署了互联网安全认证接入系统、认证计费系统; 在应用安全层,布署了网络安全综合审计监管系统、服务器群组动态防护系统; 在内容安全层,布署了信息审计系统; 在管理安全层,布署了涉密信息系统资源安全管理平台。 |
||||||||||||||||||||
