谈笑间,樯橹灰飞烟灭-金融企业网关安全管理正从复杂走向简单-《金融时报》
发布时间:2008-02-27   作者:金融时报 潘竑

 

金融信息化进程的不断深入,将“网络边界”安全带入一个全新的阶段。无论是人与网络分界处的“人网边界”,还是网络与网络交界的“网网边界”,安全的深度与广度同过去相比已不可同日而语,因此,采用“安全域边界”一词来理解“网络边界”安全会更加贴切一些。

 

如今,由于各金融机构的局域网已发展到一定规模,各种威胁的对象也正在由主机资源转变为网络资源,与此相对应,安全域边界也就成为金融机构网络建设的重中之重,安全网关作为域边界的主要防护设备,也在不断从复杂走向简单,以适应全新的安全发展需要。

 

网关安全之惑——复杂

 

安全网关有很多种,包括防火墙、VPN网关、防病毒网关、入侵防御网关、反垃圾邮件网关等等,这使得金融企业在安全域边界部署安全网关时,时常感到无从选择。

 

威胁愈加复杂:在各类网络中,安全威胁越来越复杂多变,在任何时刻都会使网络面临日益增长的安全危险。以往威胁大多只是企图利用创新而具破坏性的攻击手法来提高知名度,如今却转而以谋利为目的。除去威胁程度日益增加的病毒和蠕虫,企业还必须面对更加复杂的攻击,如木马程序、僵尸网络、间谍程序、垃圾邮件、网络钓鱼、网站嫁接等。在威胁种类变得复杂的同时,利用漏洞的病毒、蠕虫的攻击能够赶在补丁程序安装之前出现在网络中,这在时间坐标上使威胁变得复杂。

 

选择部署复杂:丰富的安全网关类型给金融企业带来方便灵活的选择方式,企业可以根据自身的投入和安全程度需求选择不同的网关组合,但随着企业要求的安全程度越来越高,对于选择和部署安全网关也有了新的困惑。选用单一的安全网关能够节省投入、方便管理,但只能起到部分的安全防范作用,例如,防火墙主要针对四层以下的威胁进行防范,反垃圾邮件网关主要针对于垃圾邮件进行防范;选用多个安全网关进行组合在功能上比较全面,但随之而来的是投入高、整体性能下降、管理分散等问题。

 

策略实施复杂:安全策略是企业根据自身情况量身定制的,在总体安全策略的规范下,落实到网关上的安全策略具备一致性,也就是具体的安全策略之间是相互配合、相互联系的。当存在多个网关实体时,需要分别实施安全策略,这增加了安全策略实施的难度。与此同时,多个安全网关可能来自于不同的厂商,相互配合会存在比较大的问题,在此情况下想要保证安全策略实施的一致性是非常复杂的。

 

管理维护复杂:在安全网关日常维护过程中,安全管理粒度越来越细,一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。对单台设备进行配置修改、信息监控相对简单,但对多台具备不同功能的安全网关进行相应维护就比较复杂,尤其当存在多级网关设备时。对于网络流量与业务的实时监控是网管员判断网络安全的重要依据,单一功能安全网关提供的信息不全面,多个安全网关提供的信息关联性差,需要较多的分析工作,这也加大了管理维护工作的复杂度。

 

网关安全之道——简单

 

复杂的威胁、复杂的部署、复杂的策略和复杂的维护,这让金融企业对安全有“剪不断、理还乱”的感觉。国内信息安全市场领航者启明星辰公司认为,如若能够化繁为简,让安全策略、部署、维护均走向一体化,做到设备一体化、设计一体化、管理一体化,那么,企业就能进入到一种“谈笑间,樯橹灰飞烟灭”的理想安全境界。

 

设备一体化:“多则惑,少则明”,在同一硬件平台上融合多种安全功能,做到设备一体化是实现简单的基础,是解决部署复杂的良药。统一威胁管理设备(UTM)的本质就是设备一体化,这已经成为业界的共识。

 

设计一体化:在设备一体化的前提下,继而需要解决的是针对复杂威胁的防御能力,这体现在功能和性能两个方面。也就是既要完全发挥每个功能模块的作用,相互实现配合,又能够保障性能。这就要求在软件体系设计上进行创新,实现一体化设计,这可以解决复杂的威胁和复杂的策略实施。

 

管理一体化:管理一体化是站在用户角度对“简单”的有效诠释。当管理对象为单台设备时,“一体化”体现在多个功能间;当管理对象为多台多级设备时,“一体化”更体现在统一部署的网关设备和安全策略间。当然,对于界面、逻辑方面的“易理解、易学习、易记忆”的维护要求也是“管理一体化”的重要组成部分。这将从根本上解决复杂的策略实施和复杂的管理两大问题。

 

网关安全之髓——创新

 

“简单”是安全的外在表现形式,而技术上的创新则是成就“简单”的基石,是“简单”的真实内涵。凭借多年的技术积累和强大的研发实力,国内重要的网络安全厂商通过多项专利和创新技术,将“简单”的理念发挥到极致,并在新型的一体化安全网关中得到了完美体现。

 

设备部署变得简单:作为网关技术集大成者,“一体化”安全网关涵盖了防火墙、防病毒、入侵防御、抗拒绝服务、反垃圾邮件、内容过滤等多种功能。基于对多功能开启导致性能下降问题的考虑,启明星辰认为采用“基于标签的融合式综合匹配技术”和“综合分析引擎技术”,结合经过优化的匹配算法,“一体化”安全网关可以极大提高设备效率,确保性能满足需要。如此一来,企业就不必再为如何选择为难,而只需要一个硬件平台即可实现简单部署。

 

防御威胁变得简单:治病讲究“对症下药”,确定病因是关键。防范威胁也是同样的道理,准确、全面地识别威胁是关键,之后才能进行相应控制。对于统一威胁管理设备来说,“重点在于控制,难点在于检测”。“一体化”安全网关中使用“基于插件的协议识别技术”、“自适应多模式匹配算法”、“可追查性检查”、“基于知识库的非法连接请求动态抽样与分析技术”等专利技术,大大提升了防御威胁的全面性和准确度,使对于威胁的防御变得简单。

 

策略实施变得简单:为了使各个软件功能模块无缝融合,“一体化”安全网关设计之初就采用了一体化的软件体系架构设计,并采用了综合分析引擎技术,使各模块之间的耦合度达到最佳,各功能模块的协调性达到了前所未有的默契,这让安全策略实施过程变得简单。另外,安全策略模版的使用,通过集中管理与控制技术实现对多台设备的同时安全策略部署,都更加简化了安全策略的实施过程。

 

管理维护变得简单:“一体化”安全网关创新采用“先界面、后功能”的研发模式,通过加强集中管理与控制技术,建设“四化”,使管理维护变得简单界面定位快捷化,配置界面三键到位率达90%以上;配置操作简单化,任一配置在两个界面内完成;安全策略模板化,所有安全服务配置在一个模版上完成;关键业务自动化,自动升级、自动报警、自动报表。

 

面对网关安全的复杂之惑,金融企业通过实践“一体化”设计管理的思路,采用各种创新技术,最终实现了“简单”的信息安全管理之道。安全由此变得简洁明了,愈显安全网关真谛。

文章来源:金融时报
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号