立體融合防御體系:網絡安全出重手
歷史發展:網絡、安全密不可分
一直以來,網絡與安全問題是密不可分的。
回顧十年前,那時候網絡剛剛開始普及,甚至還沒有普及,那時候的安全問題是什么?十年前安全問題很簡單,就是病毒,病毒問題就是安全問題。但是隨著網絡的發展,安全問題已經融入了網絡,也就是說現在的安全問題實際上已經是網絡的安全問題,安全問題是離不開網絡的。正是基于這種情況,H3C等領導廠商提出了“智能安全滲透網絡”(iSPN)的概念。
我們可以這樣來比喻:路由器、交換機等網絡設備是一個信息的通道,相當于高速公路,而防火墻、入侵檢測等安全設備就是高速公路上的安全保障--防護欄,讓我們的高速公路上的汽車行駛的更加平穩。在這里,高速公路上跑的指的是應用的業務。
安全的終極目標:業務安全
傳統的網絡安全模式是一種簡單的疊加模式。就是將防火墻等安全產品疊加在網絡設備上,比如說IPS防火墻,僅僅是部分的安全事件的防范,達到一定的安全保證作用。但這個模型只是簡單的疊加,沒有把網絡和安全真正形成一個整體,這只是一種基于網絡設備基礎安全。
其實,在企業網絡安全發展歷程中,我們可以總結出這樣四個階段:設備安全、數據安全、內容管理,再到整體業務安全。
保證路由器、交換機等網絡設備不受攻擊,這只是設備安全階段。例如,設備自身的穩定性是否有保障?供電是否穩定?交換機的端口是否能夠承受住外部的攻擊?種種安全措施,都是圍繞路由器、交換機、服務器、普通電腦等設備展開的。而要實現這些安全措施,就需要防火墻、入侵檢測等安全設備來完成。
緊接著,數據的安全被提上的日程。企業關鍵的數據成為攻擊盜取的對象,于是,各種反Phishing、反間諜軟件又相繼出現。
第三個階段是內容管理階段。除了對設備、對數據進行安全管理外,對內容管理也非常重要。例如,主要針對流量和應用進行控制和管理,對內網發生的一些Internet行為做針對性的監控,從而去規范員工的上網行為。通過帶寬管理,來約束員工的上網帶寬的占用,從而實現有效的帶寬利用。此外,我們需要建立一種有效的端點準入策略,讓合法的用戶進行我們的網絡,從而有效減少攻擊的發生。
我們對設備、數據、內容管理進行采用各種措施,到底是為了什么呢?
這就是為了保證應用業務的安全,保證應用業務的正常運轉。 #p#
安全的最高境界:智能安全滲透網絡
如何才能全面地保證業務的正常運轉?這就需要網絡設備、數據、行為安全管理等各種安全措施有效地融合在一起。正是在這種趨勢下,H3C公司提出了“智能安全滲透網絡”戰略(iSPN, intelligent Safe Pervasive Network),此戰略涵蓋SecPath防火墻/VPN、多種安全插卡、H3C IPS入侵抵御系統、SecCenter安全管理中心以及安全軟件在內豐富的安全產品線,從而從網絡設備、數據、行為安全管理等各個方面,保證業務的安全。
如今,網絡設備形態、安全產品形態從傳統的里外三層防火墻逐漸的演變到內容的安全管理體系里面。安全也走過了幾個層次,因此,H3C也在SPN的基礎上由提出了ISPN的理念。
H3C安全產品部總工李穎和表示,iSPN從局部安全、全局安全、智能安全三個層面,為用戶提供一個多層次、全方位的立體防護體系,使網絡成為智能化的安全實體。局部安全針對關鍵問題點進行安全部署,抵御最基礎的安全威脅;全局安全利用安全策略完成產品間的分工協作,達到協同防御的目的;智能安全在統一的安全管理平臺基礎上,借助于開放融合的大安全模型,將網絡安全變為從感知到響應的智能實體。
李穎和強調,iSPN在安全滲透的網絡基礎上更加智能,更加關注于應用業務和管理。智能安全滲透網絡能有效保護應用業務的安全,并通過統一安全策略的制定與下發,實現安全網絡事件集中的管理,統一的分析、快速的響應。 #p#
重拳出擊:立體的融合防御體系
具體來說,如何有效地進行立體防護?我們可以通過H3C iSPN來進行解釋。在設備安全層次,通過SecPath防火墻/VPN等安全設備、H3C IPS入侵抵御系統,來保護網絡的傳輸安全,包括了對傳輸內容的深度檢察,保證4-7層的應用安全。
此外,H3C路由、交換所自帶安全聯動功能,以及H3C EAD是端點準入防御系統,對用戶行為、網絡內容進行有效的管理。例如,EAD是端點準入防御系統會檢查機器上是不是有足夠的安全性,或者是查一下機器上是不是有病毒,這個病毒庫是不是一個最新版本的,同時可以看到認證的過程,可以看看你的用戶是不是合法的,這些功能都是由客戶端支持,客戶端會向主體發出一個請求,主體會進行檢查,檢查客戶端是足夠安全的,這個用戶可以登陸上來,登陸上來的時候,經過終端接入的交換機會給它把端口打開,它就可以進入我們的網絡。
最后,通過iSPN安全管理統一平臺,做到全網的統一管理、統一分析以及安全策略的統一下發,保證企業信息系統的安全運行。iSPN安全統一管理平臺以開放的安全管理平臺為框架,將安全體系中各層次的安全產品、網絡設備、用戶終端、網絡服務等納入一個緊密的統一管理平臺中,通過安全策略的集中部署、安全事件的深度感知與關聯分析以及安全部件的協同響應,在現有安全設施的基礎上構建一個智能安全防御體系,大幅度提高企業網絡的整體安全防御能力。H3C安全管理中心由策略管理、事件采集、分析決策、協同響應四個組件構成,與網絡中的安全產品、網絡設備、網絡服務、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的協同防御體系。
對于一個企業來說,最終要實現的就是應用業務的持續性,保證業務的安全運行,所以,將安全融合到網絡,建立立體的融合防御體系勢在必行。
【編輯推薦】
