密码机防护 应用层,链路层 [应用层防护的实时化与一体化]

　　随着一些主动实时防护技术和统一威胁管理(United Threat Management，UTM)技术的出现，网络及应用层的信息安全保护呈现出实时化与一体化的趋势。 　　可以说，企业网络信息安全能否得以保障，在很大程度上取决于网络应用层安全防护技术的部署。而随着相关主动实时防护技术和统一威胁管理技术的出现，网络及应用层的信息安全保护呈现出实时化与一体化的趋势。
　　
　　强调主动实时防护
　　
　　当前的安全防护强调的是主动实时防护，相关模型与技术的战略目标是通过掌握态势感知、风险评估、安全检测等手段来对当前安全态势进行判断，并依据判断结果实施网络主动防御。当通过态势判断出某个地方出现网络安全事件时，别的地方就要跟着调整。特别是利用风险评估，某地方出现威胁，我们就要提高风险防护，这被称为主动防护战略。其创新点是提出主动防护的新模型、新技术、新方法。不过现在这方面并不是很成熟，还有待提出态势感知模型、风险模型等主动实时协同防护机制和方法。
　　当前的安全防护形势提出的一个要求是对网络与信息系统的安全运行特征和恶意行为特征进行自动分析与提取。根据这些分析监控特征，判断现在是不是处于安全状态。不同的系统可能有不同的需求，实时防护系统应该具有提取能力，然后通过监控来判断现在出现的情况是否安全。另外还要有可组合与可变安全等级的安全防护技术，因为在某种状态下，可能需要做级别的变化，要采取一系列各种各样的安全手段，如果某种风险不存在，把安全手段降低，就可以提高运行效率。
　　主动实时防护主要基于风险评估和网络安全事件监控两项技术。风险评估分析的重点将放在安全测评评估技术上。它的战略目标是掌握网络、信息系统安全测试及风险评估技术，建立完整的、面向等级保护的测评流程及风险评估体系。这一点和过去不一样，过去做测评是没有强调等级保护的。而国家中长期发展战略已经明确提出，要按照等级保护的原则来做测评。
　　其主要创新点和切入点在于: 首先提出适应等级保护和分级测评机制的通用信息系统与信息技术产品测评模型; 适应不同的级别要有不同的测评方法，这个分级要符合登记保护体制; 重点放在通用产品上，要建成一个标准的方法; 要建立统一的测评信息库和知识库，测评要有统一的背景，制定相关的国家技术标准; 要提出面向大规模网络与复杂信息系统安全风险分析的模型与方法，尤其安全风险分析，重点面向大规模复杂网络，因为复杂网络要分析的要素很多; 要建立基于管理和技术的风险评估流程，测试风险评估面临的威胁和不安全因素。
　　此外，因为保证信息安全不只是技术问题，管理不到位也会带来风险，所以风险评估应该把技术和管理都包括在内，要制定定性和定量的测评指标体系。监测的重要技术是网络安全事件监控技术，它提出网络数据获取接口标准，并且提出网络流量海量性与分析系统计算能力不匹配的应对方法。
　　
　　力求全方位保护
　　
　　UTM是将企业防火墙、入侵检测和防御以及防病毒等结合为一体的设备，将成为未来的应用趋势。网络安全威胁的发展经历了从物理攻击、协议攻击、数据包攻击到文件型攻击的转变，单一的网络检测技术越来越显示出其薄弱的一面。威胁的多样化发展淡化了防御技术的分类界限。新型的UTM产品将会以网络行为威胁为防御基础，病毒、蠕虫、黑客攻击、木马的威胁分类逐渐消失，行为特征分析会成为安全防御的基础。而相应的安全内容级管理会成为越来越重要的部分。2003年全球威胁管理市场总销量达到了15.8亿美元。IDC预测这个市场将以年均16.8%的速度增长，到2008年时达到34.5亿美元。而这其中UTM将会逐渐成为市场的主流。
　　UTM的一个特点是可以只用到该产品的某一个专门用途，比如用于网关防病毒或是用于内部的入侵检测，也可以全面应用所有功能。当UTM作为一种单点产品来应用时，企业能获得统一管理的优势，并且也能在不增加新设备的情况下开启自身需要的任何功能。UTM产品为网络安全用户提供一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更加可贵的是，用户可以随时在这个平台上增加或调整安全功能。
　　UTM技术可以进行改良的信息包检查、识别应用层信息、命令入侵检测和阻断、蠕虫病毒防护以及高级的数据包验证。这些特性和技术使得IT管理人员可以很容易地控制如即时信息传输、BT多线程动态应用下载、Skype等新型软件的应用，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时，设备可以支持动态的行为特征库更新，更具备7层的数据包检测能力，完全克服了目前市场上深度包检测的技术弱点，特别是针对分包攻击的内容效果明显。但UTM技术必须要有强大的硬件平台支撑，否则，难以适应当前的网络性能要求。
　　UTM的应用优势在于: 降低安全管理复杂度、集成的维护平台、单一服务体系结构、集中的安全日志管理、组合式的安全保护、应用的灵活性、良好的可扩展性、进一步降低成本。
　　
　　观点
　　勿让UTM不堪重负
　　UTM解决了企业必须管理多项单功能产品的难题。通过单一的操作系统与管理接口，提供一个能够满足多方面安全需求的全功能架构。这不但在学习新系统方面节省下可观的时间，也可以提高 IT 人员在防御攻击时的有效性。
　　然而，UTM绝非是企业管理网络的灵丹妙药。许多企业抱怨，UTM装置的防病毒功能不如其他单一功能的防病毒产品，防垃圾邮件功能错误百出等。许多使用问题不禁让人对UTM的价值产生怀疑。只是我们必须要了解，企业网络与一般的学术网络相比是相对好管理的网络环境。也就是说，企业网络的存在是有目的性的，其终极目标是在协助企业赚钱、协助企业更有效率地完成各项工作，UTM就是在有目的的IT资源分配、系统规划的企业网络环境之下产生并存在的。
　　UTM 的价值在于简化管理，即以最精简的单一设备来得到企业所需要的网络管理水平，并具有快速迁移、集中管理、节省成本的优势。部署UTM的意义主要是基于公司业务考虑，而非只是纯粹以IT技术的眼光来思考。使用UTM解决方案应有的理念是将其放在最恰当的地方，让其发挥适当的功能，而非只是硬要将其赋予的各项功能，拿来与业界单一功能最优秀的产品做比较。
　　UTM对于总公司与分支机构的意义不尽相同。UTM可以满足分支机构人员较少、IT资源有限、需快速移动、常使用各种不同网络基础设施的特性。对分支机构而言，UTM可以协助公司在有限的预算内最有效率地运用信息人力资源，协助企业减轻信息工作负担，也可以让企业的信息安全工程由分公司开始做起，再延伸至总公司。在分公司设置UTM装置，可以简化管理工作来解决信息人员大多配置于总公司的问题。借助适合的UTM解决方案，分公司可以过滤掉80%的安全问题。剩下的20%则可通过个别的单一安全功能产品来解决，并可与总公司的安全网络连接。（节选自cn.省略，作者系Juniper网络公司中国区总经理张小琳）