历史发展:网络、安全密不可分
一直以来,网络与安全问题是密不可分的。
回顾十年前,那时候网络刚刚开始普及,甚至还没有普及,那时候的安全问题是什么?十年前安全问题很简单,就是病毒,病毒问题就是安全问题。但是随着网络的发展,安全问题已经融入了网络,也就是说现在的安全问题实际上已经是网络的安全问题,安全问题是离不开网络的。正是基于这种情况,H3C等领导厂商提出了“智能安全渗透网络”(iSPN)的概念。
我们可以这样来比喻:路由器、交换机等网络设备是一个信息的通道,相当于高速公路,而防火墙、入侵检测等安全设备就是高速公路上的安全保障--防护栏,让我们的高速公路上的汽车行驶的更加平稳。在这里,高速公路上跑的指的是应用的业务。
安全的终极目标:业务安全
传统的网络安全模式是一种简单的叠加模式。就是将防火墙等安全产品叠加在网络设备上,比如说IPS防火墙,仅仅是部分的安全事件的防范,达到一定的安全保证作用。但这个模型只是简单的叠加,没有把网络和安全真正形成一个整体,这只是一种基于网络设备基础安全。
其实,在企业网络安全发展历程中,我们可以总结出这样四个阶段:设备安全、数据安全、内容管理,再到整体业务安全。
保证路由器、交换机等网络设备不受攻击,这只是设备安全阶段。例如,设备自身的稳定性是否有保障?供电是否稳定?交换机的端口是否能够承受住外部的攻击?种种安全措施,都是围绕路由器、交换机、服务器、普通电脑等设备展开的。而要实现这些安全措施,就需要防火墙、入侵检测等安全设备来完成。
紧接着,数据的安全被提上的日程。企业关键的数据成为攻击盗取的对象,于是,各种反Phishing、反间谍软件又相继出现。
第三个阶段是内容管理阶段。除了对设备、对数据进行安全管理外,对内容管理也非常重要。例如,主要针对流量和应用进行控制和管理,对内网发生的一些Internet行为做针对性的监控,从而去规范员工的上网行为。通过带宽管理,来约束员工的上网带宽的占用,从而实现有效的带宽利用。此外,我们需要建立一种有效的端点准入策略,让合法的用户进行我们的网络,从而有效减少攻击的发生。
我们对设备、数据、内容管理进行采用各种措施,到底是为了什么呢?
这就是为了保证应用业务的安全,保证应用业务的正常运转。 #p#
安全的最高境界:智能安全渗透网络
如何才能全面地保证业务的正常运转?这就需要网络设备、数据、行为安全管理等各种安全措施有效地融合在一起。正是在这种趋势下,H3C公司提出了“智能安全渗透网络”战略(iSPN, intelligent Safe Pervasive Network),此战略涵盖SecPath防火墙/VPN、多种安全插卡、H3C IPS入侵抵御系统、SecCenter安全管理中心以及安全软件在内丰富的安全产品线,从而从网络设备、数据、行为安全管理等各个方面,保证业务的安全。
如今,网络设备形态、安全产品形态从传统的里外三层防火墙逐渐的演变到内容的安全管理体系里面。安全也走过了几个层次,因此,H3C也在SPN的基础上由提出了ISPN的理念。
H3C安全产品部总工李颖和表示,iSPN从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
李颖和强调,iSPN在安全渗透的网络基础上更加智能,更加关注于应用业务和管理。智能安全渗透网络能有效保护应用业务的安全,并通过统一安全策略的制定与下发,实现安全网络事件集中的管理,统一的分析、快速的响应。 #p#
重拳出击:立体的融合防御体系
具体来说,如何有效地进行立体防护?我们可以通过H3C iSPN来进行解释。在设备安全层次,通过SecPath防火墙/VPN等安全设备、H3C IPS入侵抵御系统,来保护网络的传输安全,包括了对传输内容的深度检察,保证4-7层的应用安全。
此外,H3C路由、交换所自带安全联动功能,以及H3C EAD是端点准入防御系统,对用户行为、网络内容进行有效的管理。例如,EAD是端点准入防御系统会检查机器上是不是有足够的安全性,或者是查一下机器上是不是有病毒,这个病毒库是不是一个最新版本的,同时可以看到认证的过程,可以看看你的用户是不是合法的,这些功能都是由客户端支持,客户端会向主体发出一个请求,主体会进行检查,检查客户端是足够安全的,这个用户可以登陆上来,登陆上来的时候,经过终端接入的交换机会给它把端口打开,它就可以进入我们的网络。
最后,通过iSPN安全管理统一平台,做到全网的统一管理、统一分析以及安全策略的统一下发,保证企业信息系统的安全运行。iSPN安全统一管理平台以开放的安全管理平台为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高企业网络的整体安全防御能力。H3C安全管理中心由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。
对于一个企业来说,最终要实现的就是应用业务的持续性,保证业务的安全运行,所以,将安全融合到网络,建立立体的融合防御体系势在必行。
【编辑推荐】