论安全产品"老三样"的发展趋势 - 启明星辰

中国的信息化安全事业在近几年得到快速的发展，这一方面是由于从中央到地方政府的广泛重视，另一方面也是因为我国有一批积极进取的信息安全企业，他们不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了信息安全产业的发展。可以看到，在他们的推动下，目前我国自主研发的入侵检测、防火墙等产品取得了骄人的成绩，特别是在千兆水平和芯片技术方面，基本上达到了与国际同步的水平；在系统、网络防护技术方面、网络检测与监控技术方面同样取得了显著的进步；另外，在数据加密和加密设备研究方面也具有世界先进水平。在取得成绩的同时，我们也必须关注到面临的问题。从技术层面来看，目前信息安全产品在发展过程中面临的主要问题是：以往主要关心系统与网络基础层面的防护问题，而现在越来越多要求更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据上升到了应用层面，这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全已经与应用相结合。
谈及安全产品，就必须提到安全产品的"老三样"--防火墙、入侵检测以及防病毒。任何一个用户，在刚刚开始面对安全问题的时候，往往考虑的就是这"老三样"。可以说，这三种安全产品为我国整个信息安全建设起到了功不可没的作用，但是传统的安全"老三样"或者说是以其为主的安全产品技术面临着许多新的问题。
首先，从用户角度来说，虽然安装了防火墙，但是还避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰；而从未大规模部署的入侵检测单个产品来看，在提前预警方面存在着先天的不足，且精确定位和全局管理方面还有很大的空间；同时,虽然很多用户在单机、终端都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说，虽然"老三样"已经立下了赫赫的战功，且仍然在发挥着历史作用，但是用户已渐渐感觉到其不足之处。其次，从信息安全的整体技术框架来看，同样面临着很大的问题，"老三样"基本上还是针对数据、单个的系统，对软硬件、程序本身安全的保障。但是应用层面的安全，需要将侧重点集中在信息语义范畴的"内容"和网络虚拟世界的"行为"上。
立体化的边界防御－防火墙进入UTM时代
UTM（Unified Threat Management）是指"一体化的威胁管理"。在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而对于集成多种安全功能的UTM设备来说，以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。
由于UTM设备是串联接入的安全设备，因此UTM设备本身的性能和可靠性要求非常高，同时，UTM时代的产品形态，实际上是结合了原有的多种产品、技术精华，在统一的产品管理平台下，集成防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击等众多产品功能于一体，实现多种的防御功能。因此，防火墙发展的最终形态应该是UTM，而UTM具备一些重要特点：
第一，网络全协议层防御。防火墙仅仅作为简单的二到四层的防护。如果把防火墙比喻成一个墙，那它就是一座"防君子，不防小人的墙"，主要是针对于一些像IT、端口等这样一些静态的信息进行防护和控制，但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到综合检测和治理的效果，能够实现七层协议保护，而不仅局限于二到四层。
第二，就是有高检测技术来降低误报。作为一个串联接入的网关设备，一旦误报过高，对用户来说是一个灾难性的后果。IPS这个理念在九十年代就已经提出来，但是从目前全世界对IPS的部署情况看，非常有限，影响部署的一个最大问题就是误报率。而采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，来采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件的攻击、防违规短信攻击等，有效整合可以显著降低误报率。
第三，就是有高可靠、高性能的硬件平台支撑。对于UTM时代的防火墙，在保障网络安全的同时，也不能成为网络应用的瓶颈，防火墙/UTM必须以高性能、高可靠性的专用芯片及专用硬件平台为支撑，以避免UTM设备在复杂环境下其可靠性和性能不佳可能带来的对用户核心业务正常运行的威胁。
第四，就是UTM一体化的统一管理。由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。这样，使设备本身平台标准化并具有可扩展性，用户可在统一平台上进行组件管理，同时，也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，更好地保障用户的网络安全。
而要实现UTM设备的四大特点，必须满足两大基础条件，即高检测技术和高性能、高可靠性硬件平台。安全厂商的优势在于应用层安全检测技术，入侵检测、漏洞扫描、防拒绝服务攻击、防垃圾邮件网关等技术都是与应用层相关联的；而提供高性能的网络接入设备则是网络厂商的优势，鉴此，安全厂商与网络厂商合作，共同开发和研制UTM设备将是今后发展的必然趋势。据了解，国内安全厂商启明星辰与国内网络设备厂商港湾网络就联合推出了一款UTM设备——天清汉马防火墙，另外，启明星辰还推出了一系列的分类检测产品，启明星辰的防御网关类产品品牌的名称为"天清"。
纵深化的可信监管－IDS进入IMS时代
IMS（Intrusion Management System）是指“入侵管理系统”。国内安全厂商启明星辰认为，入侵检测技术将从简单的事件报警通过IMS达到广泛的趋势预测和深入的行为分析。IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，将对客户的安全起到巨大的作用。
IMS的四大典型特征本身是具有一个明确的层次关系的。
首先，大规模部署是实施入侵管理的基础条件。一个有组织的完整系统通过规模部署的作用，要远远大于单点系统简单的叠加。比如：建立一个全世界的地震活动监测网系统，就可以看出全球地震带的活动状况和规律；而如果只是孤立的监测点就很难做到这点。IMS对于网络安全监控有着同样的效用，可以实现从宏观的安全趋势分析到微观的事件控制。
第二、入侵预警。检测和预警的最终目标就是一个"快"，要和攻击者比时间。只有减小这个时间差，才能使损失降低到最小。试想，如果蠕虫已经大规模爆发，并且已经引起了严重的后果，这种时候如果才预警已经严重滞后了。要实现这个"快"字，入侵预警必须具有全面的检测途径，并以先进的检测技术来实现高准确和高性能。入侵预警是IMS进行规模部署后的直接作用，也是升华IMS的一个非常重要的功能。
第三、精确定位。入侵预警之后就需要进行精确定位，这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域，良好的定位还可以通过联运接口和其它安全设备进行合作抑制攻击的继续。总体的说来，IMS要求做到对外定位到边界，对内定位到设备。
第四、监管结合。监管结合就是把检测提升到管理，形成自改善的全面保障体系。监管结合最重要的是落实到对资产安全管理，通过IMS可以实现对资产风险的评估和管理。监管结合是要通过人来实现但并不意味着大量的人力投入，IMS具备良好的集中管理手段来保证人员的高效，同时具备全面的知识库和培训服务，能够有效提高管理人员知识和经验，保证应急体系的高效执行。
IMS体系中需要一个重要的核心技术，那就是对漏洞生命周期和机理的研究。据了解，启明星辰的核心竞争力集中在对检测技术和漏洞技术的研究方面，启明星辰具体的安全产品是有其生命周期的，但是产品背后的核心技术是不断的发展的，特别是攻防领域的检测技术。因此，对于漏洞生命周期和机理的研究，将是启明星辰今后的一个长期发展方向，而这也是能够走向IMS的一个重要保证。在IMS品牌方面，启明星辰推出了"天阗"和"天镜"系列化产品，具备多种型号适应不同的环境要求。在配合安全域良好划分的规模化部署条件下，IMS将可以实现快速的入侵检测和预警，进行精确定位和快速响应，从而建立起完整的安全监管体系，实现更快！更准！更全面！
精细化的内部治理－内网安全进入了SCM时代
SCM（Security Compliance Management）是指"安全合规性管理"。而对于内网安全来说，未来的趋势将是SCM时代，即安全合规性管理时代。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM时代的四大特点，通过精细化的内网管理可使现有的内网安全达到真正的"可信"。
目前，内网安全的需求有两大趋势，一是终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；二是内网的业务行为审计，即从传统的安全审计或网络审计，向对业务行为审计的发展，这两个方面都是非常重要的。
首先,从被动响应到主动合规。通过规范终端行为，避免未知行为造成的损害，使IT管理部门将精力放在策略的制定和维护上，避免被动响应造成人力、物力的浪费和服务质量下降;其次,从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析，而业务行为里面的内容是没有办法进行控制的，SCM时代的审计要求在合规行为下实现对业务内容的控制，实现对业务行为的认证、控制和审计。对于内网来说，尽管是WINDOWS一统天下,但随着业务的发展，Unix、Linux等平台也越来越多的出现在企业的信息化解决方案中，这就要求内网安全管理要实现从单一系统到异构平台的过渡、避免了由于异构平台的不可管理引起安全盲点的出现。
传统的内网安全管理模式是一个头痛医头，脚痛医脚的局面，尽管部署了很多产品，但是问题仍然频繁发生，IT管理人员疲于奔命。这就要求将内网管理提升到更高的层次，启明星辰遵循ITIL的服务流程并结合内网安全管理的特点，抛弃了各自为政的安全产品解决方案从整体运维的角度来看待内网安全管理。让IT管理部门能够从更高的层次去考虑企业高速发展和信息系统建设的结合问题,从而从全局上避免了解决一个问题又带来一个新问题的现象。
在SCM方面，启明星辰推出了两个品牌的产品，它们是"天玥"和"天珣"。启明星辰认为，内网安全在合规性管理的基础上，融合业务审计和运维管理，通过策略的定制可以进行更精细化的内网治理，通过终端布防能够实现更严格的管理
通过强制策略和主动服务能够做到更方便的管理。更细、更严、更方便，这就是SCM时代能够给IT管理部门带来的好处。