为使IT架构正常运作,企业往往要将信息安全作为一个关键因素引入到技术和管理体系中。在某些特定领域,与商业安全产品相比,开源安全技术有相当大的优势。
开源安全产品的开发、测试和发布过程完全是透明的,同时提供产品的源代码及完善的文档。企业可以清楚地了解开源安全技术的工作原理和实现方法,在选择开源安全技术时更有把握,也更容易得到质量更好的安全方案。开源安全方案的开发者大多是经验丰富的安全厂商或技术人员,这就保证了开源安全技术除功能上不逊于封闭源代码的商业安全方案外,同时还具有更高的可靠性、灵活性以及更低的采购和使用成本。
案例一:Snort入侵检测系统
Snort是开源安全技术领域中最有名的入侵检测系统,截至目前,Snort各版本的下载次数已达数百万次,Snort已成为世界上使用最广泛的入侵检测系统。Snort使用针对攻击行为标志(Signature-Based)和 网络通讯协议(Protocols)的检测方式实现以下功能:实时通讯分析和数据包记录,数据包有效载荷检查,协议分析和内容查询匹配,探测缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试,使用系统日志、指定文件、Unix socket或通过Samba的WinPopus 四种入侵行为的实时报警和日志记录。
Snort有三种工作模式:数据包嗅探、数据包记录和成熟的侵入探测系统。与大部分开源软件相类似,Snort支持各种形式的插件、扩充和定制,包括数据库或XML记录、小帧探测和异常探测统计等。数据包有效载荷探测是Snort最有用的一个特点,这就意味着可以探测到很多额外种类的敌对行为。近年来,随着描述入侵行为的入侵规则语言(Rules language)及检测技术的发展,Snort已经成为最富弹性而且最精确的入侵检测系统之一。
带来的好处:
Snort在企业安全市场的成功应用,代表了市场对开源安全技术的“比封闭源代码的商业安全产品更好的质量”这一宗旨的广泛接受。Snort成为世界上使用最广泛的入侵检测系统的原因也在于此。它不完全依靠安全厂商进行产品的升级和支持,广大的开源社区用户及安全研究组织也在为改进Snort本身所用技术、Snort检测威胁数量和Snort部署方法而努力,因此Snort才能成为最富弹性及最精确的入侵检测系统之一。
开源安全产品的开发、测试和发布过程完全是透明的,同时产品的源代码及完善的文档也会在开源社区公布。企业可以清楚地了解开源安全技术的工作原理和实现方法,在选择开源安全技术时更有把握,也更容易得到质量更好的安全方案。尤其对于一些很重视企业内部信息保密的特定行业企业来说,开源安全技术的源代码开放性还是一个关键的选择因素。因为这些特殊的企业用户需要掌握自己所部署的所有IT(包括安全)方案的内部运作原理,并要求对IT产品的源代码进行审计。这对封闭源代码的商业安全产品来说是不可逾越的鸿沟,而使用开源安全技术则完全没有这方面的问题。
案例二:SNARE日志管理和事件报告方案
SNARE是一个开放源代码的跨平台系统日志审计和入侵检测产品,它的开发厂商InterSect Alliance 有非常丰富的多种操作系统——Solaris、Windows 2000/NT/XP/2003、Novell Netware、AIX、even MVS (ACF2/RACF)
日志审计和入侵检测经验,并为政府部门、商业组织等提供专业服务。这些经验都反映在SNARE上,使SNARE成为一个功能强大的日志管理和事件报告方案。
SNARE在逻辑上分成三个部分:1.内核动态加载模块,该模块封装了系统内的危险调用,并收集用户和程序所执行的可疑系统调用信息;2.用户空间审核程序,该程序负责收集内核动态加载模块所收集的审计信息,并按照一定的格式进行整理和保存;3.SNARE日志分析前端,由于SNARE审计程序所产生的审计信息对用户来说仍然是难于阅读和理解的,因此SNARE还提供了一个图形化的日志分析前端,用户可以通过日志分析前端,得到可自定义的、规范的系统日志管理和事件报告。
带来的好处:
企业用户可以把SNARE部署成客户/服务器结构的中央日志管理和报告系统。这样不单可以简化系统部署的复杂性和减轻管理员的工作强度,企业还可以享受SNARE的跨平台特性。这对内部网络结构复杂、同时使用多种操作系统平台的企业来说尤其重要。企业整体部署SNARE日志管理和事件报告方案,除了可以在信息安全方面获得更高的保障和更快的事件响应速度之外,还可以因此而满足企业外部环境对企业合规性(Compliance)的强制要求,如SOX法案、HIPPA、PCIDSS、ISO 27001等对企业系统日志审计的需求。
开源安全方案的开发者大多是经验丰富的安全厂商或技术人员。这除了能保证开源安全技术从功能上不输于封闭源代码的商业安全方案,同时还能保证它具有更高的可靠性。此外,由于开源安全技术的实现是完全透明的,众多第三方机构和技术人员还能够对开源安全产品进行完善的二次测试工作,进一步保证开源安全产品的稳定和可靠性。企业在选择开源安全产品时,在产品和部署的可靠性上要比选择封闭源代码的、只经过生产厂商测试的商业安全产品有更多保证。如果用户在开源安全技术的部署和管理过程中遇到问题的话,还能在互联网上得到相关开源社区及广大热心用户的免费帮助和支持。而企业选择商业安全技术的话,往往要付费才能获得安全厂商的支持。
#p#案例三:Untangle 安全网关
Untangle Network Gateway是一款使用开源安全技术的、功能完备、高集成度、高灵活性的安全网关,在2007年荣获LinuxWorld Best Security Solution等多项由有影响的开源杂志所颁发的奖项。Untangle还被认为是商用级安全网关的优秀替代产品,可以很好地满足从作为大型企业的部门级/分公司级的安全网关,到中小型企业的内部网络出口网关的不同需求。
Untangle安全网关包含14个不同的功能模块:1.提高生产效率的3个模块,垃圾邮件拦截(Spam blocker)、Web内容过滤(Web filtering)和协议控制(Protocol Control)。2.用于安全用途的6个模块,病毒拦截(Virus blocker)、间谍软件拦截(Spyware blocker)、网络钓鱼拦截(Phish blocker)、入侵拦截(Intrusion Prevention)、攻击拦截(Attack blocker)和防火墙(Firewall)。3.用于提供远程访问的2个模块,远程访问Portal (Remote Access Portal)和OpenVPN (SSL VPN功能)。4.用于发送报告的功能模块和Untangle报告(Untangle Reports)模块。5.用于网络连接的路由器 (Router)模块。
带来的好处:
Untangle安全网关的14项主要功能完全满足了企业对生产率、安全和远程访问的需求。Untangle安全网关还提供了客户端管理方式,管理员可以直观地使用专用客户端查看Untangle安全网关的运行报告,实时掌握企业内部网络的运行及安全保护状况,还可以根据企业内部网络的安全需求,方便地增加或减少Untangle运行的安全功能模块,对企业内部网络的安全保护和网络性能进行平衡。
开源安全技术比封闭源代码的商业安全产品具有更强的灵活性。由于用户可以访问开源安全技术及产品的源代码,企业可以根据自己的IT架构和实际需求,方便地对开源安全技术进行定制,添加或删减安全功能模块,得到在安全保护需求和执行性能处于完美平衡的最优解决方案。
尤其是对功能、稳定性、部署规模等特定参数需要定制的目标企业用户来说,开源安全技术可以随意定制这个特性是极其重要的。随意定制功能的灵活性在用户选用商业安全产品时是几乎不可想象的,即使有时候企业用户在选择某些安全产品时可以要求厂商进行定制,但往往需要付出大笔的额外采购费用。
案例四:Nessus 漏洞扫描工具
Nessus是一款使用开源安全技术的、功能强大的漏洞扫描工具,在安全业界长期享有盛誉,一直排在最好的100个安全工具榜的前列。Nessus还是许多安全厂商、技术人员进行售前和售后服务支持的必备工具之一,Nessus的漏洞描述方式也为许多商业或免费安全漏洞扫描产品所使用。
Nessus功能十分完备,能够检查众多操作系统、网络设备和各种应用服务器是否存在已知的漏洞。它的使用也极其方便,用户只需要输入漏洞扫描目标主机的IP地址或域名,待Nessus扫描结束之后,就可以获得详细的安全检测报告,并可以根据需求输出多种格式的文档。内部网络中存在大量节点的企业,还可以将Nessus部署成服务器-客户端方式的分布式漏洞扫描方案,通过多台客户端的同时扫描,有效地提高企业内部网络日常的漏洞扫描效率。
带来的好处:
作为安全业界公认的100个最好的安全工具之一,Nessus是企业IT部门和安全技术人员手中不可或缺的重要武器。企业需要定时或随机地对自己的内部网络所有节点的安全状况进行检查,以保证内部网络中存在安全漏洞和弱点的节点都能及时得到修正和保护,而用于执行这项功能的封闭源代码的商业漏洞扫描工具往往十分昂贵,企业有限的安全预算难以承受,只能选择功能较差或不使用漏洞扫描产品。但企业如果选择Nessus的话,就不需要过多地考虑采购成本的问题,企业可以免费获得并无限制地使用Nessus,Nessus的安全漏洞发现和预警功能大大提升了企业内部网络的安全程度。
开源安全技术比封闭源代码的商业安全产品有更低的采购和使用成本。企业无需顾虑自己的安全方案预算是否能够承受开源安全产品的采购和部署费用——开源安全产品是免费的。用户在选择开源安全技术时,主要的成本来自于对管理人员的培训及对开源安全技术部署的维护,但这个成本与商业安全产品的采购和部署成本相比具有相当大的优势。企业可能会顾虑自己将要或已部署的开源安全技术的支持问题,这时企业便可以选择专业开源厂商的收费支持服务,或者请专业的培训机构代为培训人员。目前大部分的主流开源安全技术,都有大量的专业支持厂商作为它们的支持服务提供者。因此,尽管企业在选择商业安全产品时能获得很好的支持及相关服务,但综合考虑成本和产品功能,开源安全技术总的使用成本还是要远远低于相同功能的商业安全产品的。
开源安全产品的两种选择策略
策略一:针对安全需求的选择策略
首先,用户根据企业的安全策略和风险分析,确定信息资产的保护范围。企业进行开源安全技术选择的第一步,要了解自己打算部署的开源安全技术的保护对象。比如对电子商务类企业来说,客户数据和财务数据是最重要的数据,存储和处理这些信息的信息系统是最重要的IT资产。因此,电子商务类企业在选择开源安全技术之前,就要先根据自己的安全策略,确定客户端数据和财务数据、以及存储和处理这些信息的信息系统是要优先进行保护的对象,然后再从保护这些信息资产的目标出发选择开源安全技术。
其次,用户根据自身具体的安全需求,确定开源安全技术的选择范围。企业用户确定使用开源安全技术之后,便可以采用风险评估的方法来对安全威胁进行辨别和分类,并确定采用哪种可以防御已识别威胁的技术手段,进行完善的文档记录,进而选择对应的开源安全产品。
如果用户希望获得网域分隔、入侵防护及网络流量控制等与网络底层操作有关的安全功能,可以考虑开源安全技术中的边界安全方案,如基于Linux的防火墙、集成基础安全功能的路由器或网关等。如果用户有控制针对企业内部网络、系统及信息资产的访问需求的话,可以考虑开源安全技术中的访问控制方案,如基于Linux的VPN服务器、Free RADIUS/Open LDAP等单点登录等,这些开源安全方案都能够给用户提供认证、授权及记账服务。
最后,用户可对特定范围内的开源安全产品进行横向比较,选择最适应企业安全需求的产品。由于每个开源安全技术领域内都有几个甚至十几个功能类似,各有长处的产品或解决方案,因此,企业接下来需要进行的步骤便是在模拟或真实的企业内部网络环境内,对这些选定的开源安全产品进行评测和横向比较,再从中选出最适应企业安全需求的产品。
策略二:方案与成本的平衡策略
企业在部署一个安全方案时,往往希望能够用尽可能少的成本来获得尽可能多的安全功能和可靠性, 这也是许多企业选择开源安全方案的出发点。但我们也应该了解到,成本和收获并不是一定成正比或反比的:在实践中常有企业付出相当多的费用,部署的安全产品没有多大的效果;但也有一些企业没有消耗多少预算,就实现了覆盖整个企业内部网络的安全方案。因此,企业需要在自己的安全需求和安全方案成本之间进行平衡,以达到最佳的安全效果。
举个例子,企业需要部署一套开源的边界安全产品,企业应该针对内部网络的规模、工作时间的网络流量情况、用户日常使用的服务等多个要素来确定这套方案的预算,不能一味地追求尽可能低的成本。如果企业不大,内部网络的用户不多,工作时间的流量也不大,企业可以直接使用运行在一个较老的机器上的开源防火墙作为边界安全方案,这种开源安全技术的部署方案能够完全满足目标企业的需求;但对于一个内部网络巨大,用户众多,工作时间的网络流量以Gb来计算的大型企业来说,边界安全方案的性能和稳定性就成为首要考虑因素,企业用户在选择时就应该考虑能够进行集群操作、管理方便的开源安全方案,甚至要考虑更贵的针对目标企业网络环境定制过的开源安全方案,以保证企业内部网络所有用户的网络使用及业务的正常运行。
综上所述,企业如果选择开源安全技术,将只须付出比商业方案更低的成本乃至免费便可获得充分满足企业安全需求的安全解决方案。当然,企业也需要在部署的安全方案上投入比使用商业安全产品更多的精力来对开源安全技术进行维护,提供支持。企业只有在充分地认识自己的实际情况和安全需求的前提下,同时仔细地对开源安全产品或方案进行筛选,才能最终实现特定的安全目标。
【编辑推荐】