网络安全是一个动态的过程,有如逆水行舟,不进则退,因此,只有不断调整自己的安全策略和防范措施,才可能将安全风险降低到可控范围内。然而,面对不断升级的安全威胁,怎样才能找到真正的安全之路?
威胁升级,你面临怎样的风险?
2011年4月,黑客侵入索尼美国数据服务器,影响用户超过1亿人,涉及57个国家和地区; 2011年2月,某银行网银被爆可能存在漏洞,用户百万资金被盗……安全威胁的不断出现,给传统安全产品带来了前所未有的挑战。过去,寄希望于安全的“老三样”:防病毒、防火墙、入侵检测/防御系统(IDS/IPS)为网络保驾护航已经不现实。随着安全危害更复杂性,简单的“非黑即白”的判断模式已经很难准确地找出它们,面对各种新兴安全威胁,传统的安全产品能否有效应对?
如果只是盲目地将防病毒产品、防火墙、入侵检测/防御系统(IDS/IPS)、反垃圾邮件产品、Web应用防火墙、内网安全产品、统一威胁管理产品(UTM)、数据保护产品、安全管理产品等各种安全加入到安全体系中,不但需要巨额的采购成本,后期的部署维护成本、人力成本、安全服务成本绝对会是一笔天文数字。更何况,各种安全产品的简单叠加,如果没有足够精准的安全策略做配合,其防护效果还可能出现“1+1<2”的现象。此外,各种安全产品也能井然有序地相互配合,步调一致地统一对外呢?并且,当越来越多的关键业务被架设在网络之上,业务系统越来越复杂多样,不可避免地会影响到业务系统的高效运行,甚至会因为大大增加了操作的复杂性而影响到用户的体验感知。
知己知彼方能百战不殆,只有在深入理解具体的特色业务和关键应用基础上构建的安全防护体系,才能够真正实现“安全”。
客制化取代同质化
没有任何两个网络以及跑在上面的应用和业务是完全相同的,在某一个领域用起来很好的安全产品或解决方案,在其他领域中并不一定会有同样优异的表现,因此,要想走自己的安全之路,保证每一类特色业务和应用的安全,就必须做到“知己知彼”——这无论对IT厂商还是对组织机构自己来说,都不是一项简单的工作。
现在的安全产品或解决方案通常都是在总结大多数客户的安全需求后开发设计而成的,只有深入了解每一个客户的特色业务和关键应用后,才能够帮助客户解决大多数安全问题,由此保证业务和应用的安全。
“深挖应用,帮助客户进行深度的定制化”一直是汉柏科技所坚持的特色之路,具体到安全体系建设方面也同样如此。在汉柏科技看来,安全的难点不在于防御,而在于准确的识别和锁定:当关键业务、普通业务、安全威胁混和在一起,只有将每一项的位置、类型准确地识别出来,才可能真正做好保障、防御、分析以及呈现工作,而这正是汉柏科技的强项。
汉柏科技在深化DPI、DFI、DCI识别引擎前提下,首创了SDI定制化业务识别引擎,能够帮助行业客户做好深度识别,鉴别出业务系统中的关键业务,而不仅仅是找出P2P、IM等常规应用,因此可以更深入地和行业特色业务(如ERP系统)进行深耦合,轻松实现精细化安全识别、本土化的应用识别、客制化的业务识别。例如,汉柏科技的业务识别引擎除了进行常规识别、控制和防御外,还能做到对业务的真正识别,能够判断出ERP、进销存、存贷款业务以及各种行业专网内的专属应用,这是常规应用安全产品根本无法识别的内容。汉柏科技还可以做到基于移动互联网的深度应用识别,可以轻松从识别出微博、手机微博、移动QQ和MSN、WAP等应用,帮助移动互联网运营商感知自己终端用户的移动互联网流量,以便进一步优化其网络,为其客户提供更好的服务。
当然,行业定制化应用是需要真正围绕客户的业务需求来展开的,是客户所能真实感受到的体验效果,因此,要想做好行业定制并不是一件容易的事情。而汉柏科技是通过不断完善自己的产品技术和不停深挖行业用户的特色需求来做好行业定制工作的。为了保证行业定制化的快速灵活,汉柏科技推出了MSG多业务网关产品线,通过全新的体系架构设计,在安全网关上集成1-2个BLADE SERVER插卡,用于快速融合定制化业务。
高效能取代高性能
安全与业务似乎一直处在对立面:要安全,就要进行诸多限制和内容过滤,或多或少会影响到应用的速度或者客户的体验,给业务发展造成一定的阻碍;但如果一切以“业务”优先,各种安全威胁势必会趁虚而入,让企业经济和名誉都蒙受不同程度的损失。
要安全还是要业务?这显然是一道很难取舍、没有正确答案的选择题。也正因为如此,追去高性能成为许多安全产品首要追寻的目标。但安全产品仅仅有高性能就足够了么?
安全产品的高性能固然可以在一定程度上调和安全与业务发展的矛盾,但如果在高性能的同时,还伴随着安全功能的缺失或者后期维护费用的攀升,它依然不是解决问题的最优方法。因此,高性能并不能让安全产品“一俊遮百丑”。
在汉柏科技看来,安全产品需要的不是单纯的“高性能”,而是“高效能”,即将效率、功能、性能等综合起来进行更全面的提升。例如,汉柏科技的安全服务网关(SSG)就基于ATCA架构,在单一机箱内帮助客户实现广域加速、应用加速、负载均衡、流量控制、应用性能分析、身份管理等功能,配合业务感知引擎、绿色IT架构、智能虚拟化平台,可以帮助客户轻松搭建具有“权限业务感知、全面安全防御、践行绿色高效、完善虚拟统一”特色的集防护、检测、响应、恢复于一体的整体安全保障体系,让“性能”与“功能”共同提升,让“业务”得以安全、顺畅的发展。而汉柏科技的1U万兆安全平台,在单一机架内提供业内最高吞吐能力,功耗超低,且支持高压直流供电,全面降低PUE,为下一代数据中心标准提供了最高效节能的选择。
虚拟化取代单体化
安全威胁的类型、攻击目标、入侵手段等一直都处在变化之中,“以不变应万变”的策略显然是行不通的。一成不变的安全体系及防护策略只能发挥一时的作用,要想让安全防御体系真正发挥作用,就要随时做好调整安全体系和防范策略的准备。这对于普通的中小型企业来说并不难。偶尔根据安全需要添加一两台安全设备,或者为每台安全设备添加新的安全策略,手动一台台现场调试、部署即可,并不会消耗太多的人力物力。
然而,这对大中型企业却并不是件容易的事情。很多大中型企业都有许多分支机构,且部署在不同的地理位置,难道每个分支机构不分大小,都配备相同类型安全产品和同等级的安全管理人员?也有很多企业下设众多部门,不同部门具备不同的安全权限,甚至相同部门不同级别的工作人员也具备不同的安全权限,难道同样的安全产品要给每个部门都配备一台甚至几台?
的确,每个分支机构或部门面临的安全威胁是相同的,分别采购和部署、管理这些安全产品甚至配备必要的安全管理人员,可以在很大程度上减少“安全短板”的出现,更好地保障网络安全,但现实问题是:有多少企业的安全投入是无限制的?有多少企业的安全管理人员是富足的?一旦分支机构或部门发生变化,又有谁能为多出来的安全产品进行投资保护?
在汉柏科技看来,解决问题的根本办法不是不停地采购安全产品、增加安全运维人员,而是用虚拟化取代单体化。通过虚拟化,可以将一台安全设备虚拟出多个虚拟产品,用于不同的场景,也可以将更多的安全产品统一管理起来进行按需分配。
事实上,汉柏科技的全系列安全产品都支持虚拟化技术,可以虚拟为多台设备工作,如防火墙产品最高可支持512个虚拟防火墙。而且,汉柏科技的安全产品均已获得VMware标识,防火墙、流控、IPS等软件支持vmware ready(可以作为一个vmware虚拟机镜像工作),实现真正的安全资源、QoS资源按需分配。
结束语
作为一家全球领先行业深度定制化、智能网络设备和解决方案提供商,汉柏科技自2010年正式进军国内来,以推动行业定制化网络应用为己任。凭借灵活的产品策略、成熟的应用案例和丰富的客户经验,为政府、广电、运营商以及社保等行业客户提供了一系列行业深度客制化网络产品和解决方案,是北京市政府采购中心指定的网络设备产品服务商,并且是惟一一家行业定制化网络设备供应商。
目前,汉柏科技的业务已经涵盖政府、电信、交通、公安、社保、广电、教育、金融、智能楼宇、医疗、酒店等各个行业,凭借独特的产品架构和敏锐的行业感知,汉柏科技可以更好地为提供客户定制化的产品和解决方案,帮客户梳理好自己的业务体系,轻松找到安全与业务的最佳平衡点,让IT更好地服务于业务发展。
网友评论