不久前听说了一个很奇怪的采购案例:一个网络规模不大的企业用户想买台流控产品放在互联网出口,闻风而动的代理商给推荐的则大多是下一代防火墙,且一度得到用户认可。但在一系列的评估测试之后,用户最终却选择了一台上网行为管理产品,做为网络边缘唯一的设备。
是什么原因导致招标采购对象前后出现两次变化呢?
经过了解,用户的原始需求其实很简单,就是屏蔽一些与工作无关的应用,同时基于应用做流量整形,缓解出口带宽拥塞的情况。用户业务对互联网没有很强的依赖性,自身也没有足够的IT能力,希望出口设备越少越好,操作越简单越好。
流控是最先被排除的一类产品,用户发现不少流控产品并不支持路由和NAT,也就是说不具备接入能力,还得另行采购一台路由器或者防火墙。这不但增加了拓扑和运维的复杂度,也让总体价格有所增加。而下一代防火墙一度被认可,是因为它能在满足包括接入在内的所有需求的同时,提供了基于身份的配置与报表输出能力。不过,在将邮件服务迁移到云端的企业邮箱后,企业内部已经没有任何对外发布的服务器,用户不愿为IPS等用不上的安全功能付费。
至于上网行为管理的胜出,其实与IT人员关系不大。在他看来,接入、对应用流量进行控制、基于用户的配置与管理,这些下一代防火墙和上网行为管理都能做。真正对上网行为管理表现出浓厚兴趣的是企业的管理层,他们对这种产品提供的提升管理效率和员工工作效率的技术手段更感兴趣。换句话说,上网行为管理在满足IT需求外,也满足了企业的管理需求,是两个层面的价值令其脱颖而出,成为用户的最终选择。
上网行为管理的前世今生
这个案例的采购过程虽然比较曲折,结果却丝毫不令人惊讶。虽然在几年前的下一代防火墙专题调研中,有不少安全厂商认为这种新产品会蚕食掉一部分上网行为管理的份额,但如今的市场格局却与预测相反。在下一代防火墙、IPS等主流产品的夹击下,上网行为管理非但没显示出低迷的迹象,反而有二次发力的征兆,受到用户越来越多的关注与认可。
在多数人眼里,上网行为管理就是流控产品的加强版。它除了能对流量中的应用进行识别与控制,还能做一些文件或者关键字级别的过滤,同时对应用流量的传输内容进行留存审计。站在横向对比的角度,这种看法是正确的,但从产品发展的纵向角度看,上网行为管理和网络安全审计产品之间才是真正的传承关系。而它们技术上共同的DNA,是数据收集。
做为数据收集领域的开拓者,网络安全审计产品曾在行业用户中有着广泛部署,但在网络技术和网络应用的发展面前,它逐渐失去了原有的效果。受当时软硬件水平的限制,网络安全审计产品无法感知上层应用,只能通过端口识别的方式对特定流量进行记录。此外,它仅能工作在旁路模式,无法对网络访问行为做到阻断等实时处理,只有在取证溯源时发挥作用。对于这样一款产品,用户的重视程度自然越来越小。
大约十年前,网络安全审计产品开始了第一次形态革命。在逐步加入应用识别、身份识别、URL分类库等功能和网络接入能力后,它以上网行为管理的全新形象出现在世人面前(这绝对是个雅俗共赏且令人望文生义的好名字,堪称网络安全产品发展史上最成功的一次产品包装)。而数据收集这一继承自网络安全审计的核心功能,也有了相当程度的强化。从最初的五元组信息到网页、邮件标题,再到网页、邮件、聊天的内容及应用协议传输文件的重组还原,上网行为管理的数据收集能力愈发丰富,并以此为基础赋予用户强大的审计能力。同时,部分行业领导厂商开始将目光投向收集到的海量数据,基于数据分析为用户提供了诸如员工离职、工作效率、泄密等趋势预测功能。自此,上网行为管理产品不再只服务于IT部门,也开始为管理层提供有价值的决策参考。
在这个进化的过程中,上网行为管理比网络安全审计主要有了三个方面的蜕变。首先是对流量的识别方式,从基于端口过度到基于应用协议,跟上了网络应用的发展潮流。其次是作用对象从IP到自然人的变化,可以与用户的组织结构对应融合,使策略与报表的描述变得更加贴近于管理流程。最后也是最关键的变化,上网行为管理的作用层面从事后向前拓展至事中,变成了对IT和管理起到辅助作用的产品,而不再仅仅是一款保证合规性的产品。毫无疑问,事后溯源取证只是无奈之举,如果能够实时管控好人的行为,势必可以避免很多需要溯源取证的事件的发生,这也是如今上网行为管理产品的核心价值所在。
随着移动互联网时代的到来,上网行为管理正在需求驱动下发生着又一次革命。面对网络中出现的海量移动设备,对移动终端类型的识别、对移动终端上网位置的感知、对移动应用的识别、管理、审计,逐步成为用户眼中上网行为管理产品必须具备的功能。此外,越来越多的用户对上网行为管理收集到的数据产生兴趣,他们已不满足于设备提供的普适却不深入的分析能力,而是希望借助这些数据,挖掘出对自身运营及业务发展有益的信息。用户的尝试目前虽然仍停留在初级阶段,却为上网行为管理产品未来的发展指出了明确的方向。
原文地址:http://www.gawainresearch.com/%E4%B8%8A%E7%BD%91%E8%A1%8C%E4%B8%BA%E7%AE%A1%E7%90%86%E4%BA%A7%E5%93%81%E3%80%81%E5%B8%82%E5%9C%BA%E4%B8%8E%E5%BA%94%E7%94%A8%E7%8E%B0%E7%8A%B6%E8%B0%83%E7%A0%94%E5%88%86%E6%9E%90%EF%BC%881%EF%BC%89/