企業使用開源安全技術的四大好處
為使IT架構正常運作,企業往往要將信息安全作為一個關鍵因素引入到技術和管理體系中。在某些特定領域,與商業安全產品相比,開源安全技術有相當大的優勢。
開源安全產品的開發、測試和發布過程完全是透明的,同時提供產品的源代碼及完善的文檔。企業可以清楚地了解開源安全技術的工作原理和實現方法,在選擇開源安全技術時更有把握,也更容易得到質量更好的安全方案。開源安全方案的開發者大多是經驗豐富的安全廠商或技術人員,這就保證了開源安全技術除功能上不遜于封閉源代碼的商業安全方案外,同時還具有更高的可靠性、靈活性以及更低的采購和使用成本。
案例一:Snort入侵檢測系統
Snort是開源安全技術領域中最有名的入侵檢測系統,截至目前,Snort各版本的下載次數已達數百萬次,Snort已成為世界上使用最廣泛的入侵檢測系統。Snort使用針對攻擊行為標志(Signature-Based)和 網絡通訊協議(Protocols)的檢測方式實現以下功能:實時通訊分析和數據包記錄,數據包有效載荷檢查,協議分析和內容查詢匹配,探測緩沖區溢出、秘密端口掃描、CGI攻擊、SMB探測、操作系統侵入嘗試,使用系統日志、指定文件、Unix socket或通過Samba的WinPopus 四種入侵行為的實時報警和日志記錄。
Snort有三種工作模式:數據包嗅探、數據包記錄和成熟的侵入探測系統。與大部分開源軟件相類似,Snort支持各種形式的插件、擴充和定制,包括數據庫或XML記錄、小幀探測和異常探測統計等。數據包有效載荷探測是Snort最有用的一個特點,這就意味著可以探測到很多額外種類的敵對行為。近年來,隨著描述入侵行為的入侵規則語言(Rules language)及檢測技術的發展,Snort已經成為最富彈性而且最精確的入侵檢測系統之一。
帶來的好處:
Snort在企業安全市場的成功應用,代表了市場對開源安全技術的“比封閉源代碼的商業安全產品更好的質量”這一宗旨的廣泛接受。Snort成為世界上使用最廣泛的入侵檢測系統的原因也在于此。它不完全依靠安全廠商進行產品的升級和支持,廣大的開源社區用戶及安全研究組織也在為改進Snort本身所用技術、Snort檢測威脅數量和Snort部署方法而努力,因此Snort才能成為最富彈性及最精確的入侵檢測系統之一。
開源安全產品的開發、測試和發布過程完全是透明的,同時產品的源代碼及完善的文檔也會在開源社區公布。企業可以清楚地了解開源安全技術的工作原理和實現方法,在選擇開源安全技術時更有把握,也更容易得到質量更好的安全方案。尤其對于一些很重視企業內部信息保密的特定行業企業來說,開源安全技術的源代碼開放性還是一個關鍵的選擇因素。因為這些特殊的企業用戶需要掌握自己所部署的所有IT(包括安全)方案的內部運作原理,并要求對IT產品的源代碼進行審計。這對封閉源代碼的商業安全產品來說是不可逾越的鴻溝,而使用開源安全技術則完全沒有這方面的問題。
案例二:SNARE日志管理和事件報告方案
SNARE是一個開放源代碼的跨平臺系統日志審計和入侵檢測產品,它的開發廠商InterSect Alliance 有非常豐富的多種操作系統——Solaris、Windows 2000/NT/XP/2003、Novell Netware、AIX、even MVS (ACF2/RACF)
日志審計和入侵檢測經驗,并為政府部門、商業組織等提供專業服務。這些經驗都反映在SNARE上,使SNARE成為一個功能強大的日志管理和事件報告方案。
SNARE在邏輯上分成三個部分:1.內核動態加載模塊,該模塊封裝了系統內的危險調用,并收集用戶和程序所執行的可疑系統調用信息;2.用戶空間審核程序,該程序負責收集內核動態加載模塊所收集的審計信息,并按照一定的格式進行整理和保存;3.SNARE日志分析前端,由于SNARE審計程序所產生的審計信息對用戶來說仍然是難于閱讀和理解的,因此SNARE還提供了一個圖形化的日志分析前端,用戶可以通過日志分析前端,得到可自定義的、規范的系統日志管理和事件報告。
帶來的好處:
企業用戶可以把SNARE部署成客戶/服務器結構的中央日志管理和報告系統。這樣不單可以簡化系統部署的復雜性和減輕管理員的工作強度,企業還可以享受SNARE的跨平臺特性。這對內部網絡結構復雜、同時使用多種操作系統平臺的企業來說尤其重要。企業整體部署SNARE日志管理和事件報告方案,除了可以在信息安全方面獲得更高的保障和更快的事件響應速度之外,還可以因此而滿足企業外部環境對企業合規性(Compliance)的強制要求,如SOX法案、HIPPA、PCIDSS、ISO 27001等對企業系統日志審計的需求。
開源安全方案的開發者大多是經驗豐富的安全廠商或技術人員。這除了能保證開源安全技術從功能上不輸于封閉源代碼的商業安全方案,同時還能保證它具有更高的可靠性。此外,由于開源安全技術的實現是完全透明的,眾多第三方機構和技術人員還能夠對開源安全產品進行完善的二次測試工作,進一步保證開源安全產品的穩定和可靠性。企業在選擇開源安全產品時,在產品和部署的可靠性上要比選擇封閉源代碼的、只經過生產廠商測試的商業安全產品有更多保證。如果用戶在開源安全技術的部署和管理過程中遇到問題的話,還能在互聯網上得到相關開源社區及廣大熱心用戶的免費幫助和支持。而企業選擇商業安全技術的話,往往要付費才能獲得安全廠商的支持。
#p#案例三:Untangle 安全網關
Untangle Network Gateway是一款使用開源安全技術的、功能完備、高集成度、高靈活性的安全網關,在2007年榮獲LinuxWorld Best Security Solution等多項由有影響的開源雜志所頒發的獎項。Untangle還被認為是商用級安全網關的優秀替代產品,可以很好地滿足從作為大型企業的部門級/分公司級的安全網關,到中小型企業的內部網絡出口網關的不同需求。
Untangle安全網關包含14個不同的功能模塊:1.提高生產效率的3個模塊,垃圾郵件攔截(Spam blocker)、Web內容過濾(Web filtering)和協議控制(Protocol Control)。2.用于安全用途的6個模塊,病毒攔截(Virus blocker)、間諜軟件攔截(Spyware blocker)、網絡釣魚攔截(Phish blocker)、入侵攔截(Intrusion Prevention)、攻擊攔截(Attack blocker)和防火墻(Firewall)。3.用于提供遠程訪問的2個模塊,遠程訪問Portal (Remote Access Portal)和OpenVPN (SSL VPN功能)。4.用于發送報告的功能模塊和Untangle報告(Untangle Reports)模塊。5.用于網絡連接的路由器 (Router)模塊。
帶來的好處:
Untangle安全網關的14項主要功能完全滿足了企業對生產率、安全和遠程訪問的需求。Untangle安全網關還提供了客戶端管理方式,管理員可以直觀地使用專用客戶端查看Untangle安全網關的運行報告,實時掌握企業內部網絡的運行及安全保護狀況,還可以根據企業內部網絡的安全需求,方便地增加或減少Untangle運行的安全功能模塊,對企業內部網絡的安全保護和網絡性能進行平衡。
開源安全技術比封閉源代碼的商業安全產品具有更強的靈活性。由于用戶可以訪問開源安全技術及產品的源代碼,企業可以根據自己的IT架構和實際需求,方便地對開源安全技術進行定制,添加或刪減安全功能模塊,得到在安全保護需求和執行性能處于完美平衡的最優解決方案。
尤其是對功能、穩定性、部署規模等特定參數需要定制的目標企業用戶來說,開源安全技術可以隨意定制這個特性是極其重要的。隨意定制功能的靈活性在用戶選用商業安全產品時是幾乎不可想象的,即使有時候企業用戶在選擇某些安全產品時可以要求廠商進行定制,但往往需要付出大筆的額外采購費用。
案例四:Nessus 漏洞掃描工具
Nessus是一款使用開源安全技術的、功能強大的漏洞掃描工具,在安全業界長期享有盛譽,一直排在最好的100個安全工具榜的前列。Nessus還是許多安全廠商、技術人員進行售前和售后服務支持的必備工具之一,Nessus的漏洞描述方式也為許多商業或免費安全漏洞掃描產品所使用。
Nessus功能十分完備,能夠檢查眾多操作系統、網絡設備和各種應用服務器是否存在已知的漏洞。它的使用也極其方便,用戶只需要輸入漏洞掃描目標主機的IP地址或域名,待Nessus掃描結束之后,就可以獲得詳細的安全檢測報告,并可以根據需求輸出多種格式的文檔。內部網絡中存在大量節點的企業,還可以將Nessus部署成服務器-客戶端方式的分布式漏洞掃描方案,通過多臺客戶端的同時掃描,有效地提高企業內部網絡日常的漏洞掃描效率。
帶來的好處:
作為安全業界公認的100個最好的安全工具之一,Nessus是企業IT部門和安全技術人員手中不可或缺的重要武器。企業需要定時或隨機地對自己的內部網絡所有節點的安全狀況進行檢查,以保證內部網絡中存在安全漏洞和弱點的節點都能及時得到修正和保護,而用于執行這項功能的封閉源代碼的商業漏洞掃描工具往往十分昂貴,企業有限的安全預算難以承受,只能選擇功能較差或不使用漏洞掃描產品。但企業如果選擇Nessus的話,就不需要過多地考慮采購成本的問題,企業可以免費獲得并無限制地使用Nessus,Nessus的安全漏洞發現和預警功能大大提升了企業內部網絡的安全程度。
開源安全技術比封閉源代碼的商業安全產品有更低的采購和使用成本。企業無需顧慮自己的安全方案預算是否能夠承受開源安全產品的采購和部署費用——開源安全產品是免費的。用戶在選擇開源安全技術時,主要的成本來自于對管理人員的培訓及對開源安全技術部署的維護,但這個成本與商業安全產品的采購和部署成本相比具有相當大的優勢。企業可能會顧慮自己將要或已部署的開源安全技術的支持問題,這時企業便可以選擇專業開源廠商的收費支持服務,或者請專業的培訓機構代為培訓人員。目前大部分的主流開源安全技術,都有大量的專業支持廠商作為它們的支持服務提供者。因此,盡管企業在選擇商業安全產品時能獲得很好的支持及相關服務,但綜合考慮成本和產品功能,開源安全技術總的使用成本還是要遠遠低于相同功能的商業安全產品的。
開源安全產品的兩種選擇策略
策略一:針對安全需求的選擇策略
首先,用戶根據企業的安全策略和風險分析,確定信息資產的保護范圍。企業進行開源安全技術選擇的第一步,要了解自己打算部署的開源安全技術的保護對象。比如對電子商務類企業來說,客戶數據和財務數據是最重要的數據,存儲和處理這些信息的信息系統是最重要的IT資產。因此,電子商務類企業在選擇開源安全技術之前,就要先根據自己的安全策略,確定客戶端數據和財務數據、以及存儲和處理這些信息的信息系統是要優先進行保護的對象,然后再從保護這些信息資產的目標出發選擇開源安全技術。
其次,用戶根據自身具體的安全需求,確定開源安全技術的選擇范圍。企業用戶確定使用開源安全技術之后,便可以采用風險評估的方法來對安全威脅進行辨別和分類,并確定采用哪種可以防御已識別威脅的技術手段,進行完善的文檔記錄,進而選擇對應的開源安全產品。
如果用戶希望獲得網域分隔、入侵防護及網絡流量控制等與網絡底層操作有關的安全功能,可以考慮開源安全技術中的邊界安全方案,如基于Linux的防火墻、集成基礎安全功能的路由器或網關等。如果用戶有控制針對企業內部網絡、系統及信息資產的訪問需求的話,可以考慮開源安全技術中的訪問控制方案,如基于Linux的VPN服務器、Free RADIUS/Open LDAP等單點登錄等,這些開源安全方案都能夠給用戶提供認證、授權及記賬服務。
最后,用戶可對特定范圍內的開源安全產品進行橫向比較,選擇最適應企業安全需求的產品。由于每個開源安全技術領域內都有幾個甚至十幾個功能類似,各有長處的產品或解決方案,因此,企業接下來需要進行的步驟便是在模擬或真實的企業內部網絡環境內,對這些選定的開源安全產品進行評測和橫向比較,再從中選出最適應企業安全需求的產品。
策略二:方案與成本的平衡策略
企業在部署一個安全方案時,往往希望能夠用盡可能少的成本來獲得盡可能多的安全功能和可靠性, 這也是許多企業選擇開源安全方案的出發點。但我們也應該了解到,成本和收獲并不是一定成正比或反比的:在實踐中常有企業付出相當多的費用,部署的安全產品沒有多大的效果;但也有一些企業沒有消耗多少預算,就實現了覆蓋整個企業內部網絡的安全方案。因此,企業需要在自己的安全需求和安全方案成本之間進行平衡,以達到最佳的安全效果。
舉個例子,企業需要部署一套開源的邊界安全產品,企業應該針對內部網絡的規模、工作時間的網絡流量情況、用戶日常使用的服務等多個要素來確定這套方案的預算,不能一味地追求盡可能低的成本。如果企業不大,內部網絡的用戶不多,工作時間的流量也不大,企業可以直接使用運行在一個較老的機器上的開源防火墻作為邊界安全方案,這種開源安全技術的部署方案能夠完全滿足目標企業的需求;但對于一個內部網絡巨大,用戶眾多,工作時間的網絡流量以Gb來計算的大型企業來說,邊界安全方案的性能和穩定性就成為首要考慮因素,企業用戶在選擇時就應該考慮能夠進行集群操作、管理方便的開源安全方案,甚至要考慮更貴的針對目標企業網絡環境定制過的開源安全方案,以保證企業內部網絡所有用戶的網絡使用及業務的正常運行。
綜上所述,企業如果選擇開源安全技術,將只須付出比商業方案更低的成本乃至免費便可獲得充分滿足企業安全需求的安全解決方案。當然,企業也需要在部署的安全方案上投入比使用商業安全產品更多的精力來對開源安全技術進行維護,提供支持。企業只有在充分地認識自己的實際情況和安全需求的前提下,同時仔細地對開源安全產品或方案進行篩選,才能最終實現特定的安全目標。
【編輯推薦】
