新時代 新安全 看安全技術發(fā)展趨勢

申請免費試用、咨詢電話：400-8352-114

如何更好的進行安全防護？只有遵循安全技術的發(fā)展趨勢，及時根據(jù)安全形勢動態(tài)調(diào)整安全策略，站在智能安全建設的角度，企業(yè)和運營商的安全建設才會上一個新臺階。

隨著網(wǎng)絡安全威脅的日益嚴重，用戶也開始關注安全的建設。而現(xiàn)階段的安全威脅在種類上越來越豐富，攻擊形勢也開始多樣化。從早期的病毒蠕蟲到現(xiàn)在非常普遍的惡意代碼，盜號木馬、間諜軟件、網(wǎng)絡釣魚以及大量的垃圾郵件等，無一不給用戶的正常應用帶來了嚴重的安全威脅。受到攻擊的用戶輕則黑屏死機，重則造成個人經(jīng)濟利益上的損失。同時，針對服務器的Web應用層攻擊(包括SQL注入及跨站腳本攻擊等)成為目前的流行方式，造成大量對外提供業(yè)務的服務器的網(wǎng)頁篡改或者服務器癱瘓拒絕服務等。

安全威脅的演變直接推動了安全技術的發(fā)展，回顧安全產(chǎn)品和解決方案的發(fā)展歷程，我們可以看到，新形勢下安全技術的發(fā)展有以下顯著特點：

1) 從技術發(fā)展的角度看，深度的內(nèi)容安全是目前熱點的技術研究方向

在安全建設的初級階段，安全防護主要依靠的是傳統(tǒng)的防火墻包過濾技術，入侵檢測技術以及防病毒技術等“老三樣”產(chǎn)品，這些產(chǎn)品在安全防護的初期階段發(fā)揮了積極的作用，但是在新的安全威脅形勢下，這些產(chǎn)品已經(jīng)不能完全代表安全技術的形象。面對新的不同種類的安全威脅，我們必須要有新的技術手段進行識別和防護，而基于內(nèi)容的深度安全分析已經(jīng)成為目前的熱點方向，包括基于特征匹配的深度分析以及基于行為識別的內(nèi)容分析技術等?；谔卣鲙旌灻纳疃葓笪奶卣髌ヅ涫悄壳氨容^通用的一種方式，通過對報文的深度內(nèi)容分析，獲取安全攻擊的典型特征，通過特征庫匹配實現(xiàn)對網(wǎng)絡攻擊的入侵檢測和防御;或者通過跟蹤協(xié)議的狀態(tài)交互，并通過和學習到的協(xié)議狀態(tài)機模型來比對協(xié)議是否發(fā)生異常，從而檢測出當前網(wǎng)絡是否存在攻擊發(fā)生。此外基于行為的模型學習和智能分析也成為目前最為有效的一種手段，通過對大量攻擊行為的模擬和行為特征分析可以提前預知攻擊行為的發(fā)生并及時告警和響應，從而規(guī)避風險。同時需要考慮的是安全不是一個靜態(tài)的過程，因此及時跟蹤最新的安全漏洞，研究新的安全威脅的行為就顯得尤為重要。

2) 從產(chǎn)品演變的趨勢看，多功能的UTM已經(jīng)成為新一代中低端防火墻的發(fā)展方向

為了實現(xiàn)對各種安全威脅的防護，在Internet出口，企業(yè)往往需要考慮多種安全產(chǎn)品的集合部署，這種串葫蘆式的部署方式，更多的是各種安全設備簡單的堆砌，不僅增加了設備的采購成本，而且加大了后續(xù)安裝維護的難度，這對于大部分企業(yè)來說絕非一個理想的選擇。而集成多功能的UTM安全網(wǎng)關的出現(xiàn)，由于其all in one的優(yōu)勢，代表了新一代防火墻的發(fā)展趨勢，受到了眾多用戶的青睞。優(yōu)秀的安全網(wǎng)關可以從以下幾個方面來衡量：

1、性能是否夠高：這是安全網(wǎng)關的根本要求，沒有性能作為支撐，再好的功能也沒有用武之地，這也是早期部分廠商推出的UTM網(wǎng)關的致命弱點，全功能開啟的性能參數(shù)比純粹防火墻的性能參數(shù)下降很大，甚至降為十分之一，這是用戶無法接受的。新一代的UTM網(wǎng)關產(chǎn)品得益于硬件平臺的發(fā)展，在這個方面已經(jīng)不是瓶頸。

2、特性是否完整：為了應對各種新型的安全威脅，多功能的安全網(wǎng)關除了對傳統(tǒng)的交換路由支持外，對于FW/VPN，防病毒，防垃圾郵件以及基于Web的內(nèi)容過濾等功能的支持也是必然的要求。需要強調(diào)的是：多功能集成并不代表是功能的簡單堆砌串行處理，而是要在各功能的處理流程上進行整合，通過并行處理和內(nèi)部信息交互等技術來實現(xiàn)效率和功能的平衡。

3、功能是否專業(yè)：由于安全技術點多而且相對分散，僅僅依靠單廠商的力量無法兼顧到各項技術的完美實現(xiàn)。通過開放合作，與業(yè)界知名廠商建立廣泛合作，為用戶提供業(yè)界最頂級的解決方案是最為合理的選擇，在這個方面，具有可持續(xù)性發(fā)展能力的廠商更容易獲得業(yè)界專業(yè)廠商的支持。

4、本地化應用是否支持：企業(yè)安全網(wǎng)關的部署，也需要考慮到本地化需求的支持。隨著國內(nèi)針對企業(yè)用戶Internet出口流量帶寬管理和用戶上網(wǎng)行為審計需求的出現(xiàn)，安全網(wǎng)關廠商也應該有足夠的研發(fā)能力可以及時跟進，快速響應用戶的需求，在這個方面具備強大研發(fā)能力的本土廠商是運營商理想的合作對象。

3) 從硬件支撐方面看，基于多核+ASIC的硬件架構已經(jīng)成為安全業(yè)務網(wǎng)關的主流平臺

在安全網(wǎng)關硬件平臺的演進方面，從早期的基于X86通用處理器的架構，到后來的NP架構，F(xiàn)PGA架構以及ASIC架構等，其優(yōu)缺點體現(xiàn)的都非常明顯：

基于通用處理器的集中式架構很好的滿足了防火墻靈活多變的應用需求，但是性能上的缺陷卻成為其在高端市場或者是多功能網(wǎng)關市場上發(fā)展的瓶頸問題，無法滿足用戶的性能需求。而ASIC、FPGA或者NP架構的防火墻性能優(yōu)勢明顯，但是可擴展性差，靈活性不足，用戶必須要為新業(yè)務的擴展投入新的成本，它已無法適應業(yè)務功能不斷豐富、業(yè)務需求不斷變化的防火墻的應用。因此，具備良好的業(yè)務擴展能力、軟件編程可繼承性、高性能并行處理的多核硬件平臺成為新形勢下安全網(wǎng)關發(fā)展的首選。

基于多核的硬件平臺，能夠有效的解決多功能和高性能這對矛盾，使得安全在功能靈活性和設備性能上均達到了新的高度。多核處理器將多個通用的CPU以及一些功能部件集成到一塊芯片中，它良好的繼承了通用處理器高靈活性和高可擴展性的特點，業(yè)務升級和擴展靈活方便，通過軟件升級便可以更新系統(tǒng)獲取最新的安全威脅防御功能。同時，通過多線程技術可以充分利用訪問內(nèi)存或者I/O時所必須等待的時間，盡可能的發(fā)揮多個CPU的并行處理能力，從而提高了整體系統(tǒng)的性能，高速的核間通訊技術使得各個核間、核與其它功能部分之間在同一時間各自并行的傳遞數(shù)據(jù)，打破了以核間通訊以及系統(tǒng)其他部件間通信的性能瓶頸，使系統(tǒng)性能得到保證。

在中低端安全網(wǎng)關市場，基于多核的硬件平臺已經(jīng)成為標準化的支撐平臺，而在高端安全網(wǎng)關市場，基于多核+ASIC的分布式架構由于各自優(yōu)勢的結合也成為主流的設計方向。

4) 從解決方案的建設思路看，要實現(xiàn)從被動防御到主動防御，從局部安全到智能安全防護的轉變

在與安全威脅進行博弈的過程中，我們也經(jīng)歷過頭痛醫(yī)頭的局部安全被動防御的尷尬。從安全防御的效果來看，站在終端用戶的角度，雖然PC系統(tǒng)安裝了防火墻和各種殺毒軟件，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾，而在網(wǎng)絡層面盡管部署了IDS入侵檢測產(chǎn)品，但是受制于檢測算法的局限和硬件平臺的性能瓶頸，在攻擊檢測的提前預警、減少誤報率，以及發(fā)現(xiàn)攻擊之后的及時響應方面都存在不足。另外，運營商和企業(yè)的內(nèi)網(wǎng)安全防護也并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補丁管理、上網(wǎng)行為審計以及合規(guī)性管理等方面都是需要考慮的重點。

因此，在進行安全威脅的防護時，更多的是需要在從整體安全防護的角度來看待問題，要從Internet接入，桌面終端安全接入，內(nèi)部安全域隔離劃分等方面來綜合考慮對業(yè)務支撐系統(tǒng)的安全加固。需要從被動的安全防御向主動安全防御的思路轉變，從針對單個系統(tǒng)、軟硬件及程序本身的安全保障，向關注應用層、關注用戶的行為安全的整體安全防御的方式轉變，利用主動入侵防御的IPS產(chǎn)品來實現(xiàn)針對業(yè)務服務器的應用層安全防御，通過SIEM安全事件管理產(chǎn)品實現(xiàn)對全網(wǎng)安全事件的分析關聯(lián)，并基于安全知識庫的各種安全策略進行響應，從而實現(xiàn)安全威脅的實時監(jiān)控和動態(tài)的調(diào)整，增強了網(wǎng)絡安全的智能性。

歸結起來，在如何更好的進行安全防護的問題上，只要我們遵循安全技術的發(fā)展趨勢，及時根據(jù)安全形勢動態(tài)調(diào)整安全策略，站在智能安全建設的角度，企業(yè)和運營商的安全建設必將上到一個新的臺階。（IT專家網(wǎng)）