新統一安全防護系統:安全因組合而簡單
1、安全的新形勢:終端成為新的邊界
傳統的網絡安全模型中,將網絡劃分為內網,外網,DMZ等多個安全域,通過在網邊界部署防火墻,來隔離內外網。防火墻的作用類似一道城堡,通過執行訪問控制策略,將外部威脅隔離在城堡之外,保護內部網絡的安全。
隨著信息網絡技術的發展,網絡安全的勢態發現了變化。一個明顯的特征是:終端成為新的網絡邊界。
首先,隨著網絡接入技術的發展,終端接入網絡的方式已經不再局限于局域網接口,包括雙網卡,WiFi,CDMA/GPRS上網卡,Modem撥號,紅外,藍牙…,這些接口已經成為企業內部網絡的另一道邊界。不能管理內部PC通過這些接口上網,就類似在防火墻的城堡下,存在很多沒有安全警衛的后門、小道,內部網絡的安全性無法保障。
其次,傳統的企業網絡中,終端具有固定的辦公位置,內部網絡相對是靜態的。然而隨著移動終端的普及(便攜機銷售超過臺式機),產生了移動辦公方式,內部網絡上接入的終端變得動態化。一方面,員工的終端可能在多個位置動態接入內部網絡;另一方面,各種非公終端也可能接入內網(包括員工個人PC,以及合作伙伴,客戶的PC)。隨著用戶PC的不斷接入,內部網絡的邊界在不斷擴充。內部網絡的動態化,需要我們從另外一個視角來看邊界安全問題。在內網邊界動態變化的過程中,我們必須在新加入的PC這一新的邊界上,進行必要的安全檢察,配置必要的安全防護,才能滿足網絡安全的需要。
終端成為內部網絡的另一道邊界,網絡安全必須同時管理網關+終端雙重邊界,是安全產品必須面對的問題。
2、安全的新挑戰:黑客攻擊技術的集成化
隨著信息安全的概念逐漸普及,大部分企業都部署了防火墻和防病毒軟件。對安全威脅進行了有針對性的防御。
與此同時,黑客的攻擊手段也在和安全產品的“控制與反控制”斗爭中不斷發展。
針對企業防火墻的部署,黑客工具被設計為反彈連接方式,繞開防火墻的安全策略。黑客在內部網絡的PC上植入木馬后,反彈木馬從內部主機上主動發起連接。網關防火墻對這類攻擊難以識別。
針對終端防病毒軟件的部署,黑客工具加強了與防病毒軟件對終端系統控制權的爭奪,很多木馬病毒被設計成首先上來終結防病毒軟件進程。
黑客把這些技術結合在一起,形成集成化的新一代攻擊工具。單一的安全產品,在抵御這些集成化的攻擊工具時,都存在一些脆弱點。
3、安全的新思維:網關+終端跨界組合
面對安全的新形勢和新挑戰,將網關安全產品和終端安全產品組合在一起,形成更加有效的縱深防御體系,這種安全的新思維逐漸成為趨勢。
通過組合,首先可以統一管理網絡邊界,同時在網關和終端同時進行安全控制,對整個網絡邊界執行統一的訪問控制策略,統一配置,統一監控,確保網絡安全無盲點,將企業IT管理的范圍從網絡邊界的網關設備推進到終端PC,保證整體的網絡安全性,更好的實現業務的可用性和連續性。
在此基礎上,實現針對新安全威脅的縱深防御體系。面對集成化的黑客攻擊方式,傳統的單一安全產品都存在一定程度的脆弱性,將網關+終端通過互相保護,協同配合,形成縱深防御體系,更好的抵御新的安全威脅。防火墻上通過檢查用戶安全狀態,確保防病毒軟件進程的激活。解決防病毒軟件被木馬病毒強制關閉的后顧之憂。終端安全軟件通過主機安全防護,阻止非法軟件通過80等合法端口穿透防火墻訪問外部網絡,解決防火墻不能防范“反彈木馬”的難題。
就如同剪刀一樣,通過兩個不同方向的刀刃組合,發揮了獨特的作用。
4、UTM2安全因組合而簡單:啟明星辰的技術實踐
作為信息安全領航企業,啟明星辰首先感知到“終端成為新的網絡邊界”這一安全形勢的變化。即將推出的UTM2統一安全套件,是網絡UTM與終端UTM的跨界組合,她是由〔天清漢馬 統一安全網關〕與〔天珣 統一安全端點〕產品構成。她遵循“統一部署,統一配置,統一監控”的思路將網絡威脅、終端安全的一體化管理變為現實,讓網絡準入控制、統一威脅管理變得更簡單、易部署。
天清漢馬USG在即將發布的新版本中,除了繼承以往的防病毒、防入侵、VPN等統一網絡威脅管理功能以外,將新增內置終端安全管理策略服務器和天珣終端安全客戶端程序。而內置于天清漢馬USG 新版本中“自助準入”的天珣客戶端安裝過程,就像首次登錄“網上銀行”自動下載安裝插件一樣輕松、簡便。終端部署問題得到解決,終端策略的管理與同步全部在天清漢馬USG上統一配置完成。其中,包括終端病毒軟件版本檢查、系統補丁檢查、安全進程要求、非法軟件進程、系統服務、非法外聯控制等多項終端管理特性;還提供基于身份認證、域認證等機制的聯合終端安全策略的準入控制。這些功能依據可信網絡連接架構,具備了完整的控制檢查點、控制點及管理特性,使內網和網關管理具備了真正的強制可執行性,確保管理無盲點。
USG V3.0 內網終端管理架構圖
啟明星辰的UTM2統一安全套件具有以下技術優點:
1. 同時面向“網關”和“終端”兩個企業網絡邊界,有機融合“安全網關”和“終端安全”產品技術,實現協同配合,形成“統一安全防護系統”。在保持原有安全網關全部功能的前提下,將企業IT管理的范圍推進至終端PC。
2. 遵循“安全從簡單開始”這一原則,實現“安全網關”和“終端安全”產品的統一部署,統一配置,統一監控。充分考慮用戶的“易用性”需求。
【編輯推薦】
