当前位置:首页 > 新闻资讯 > IT业界 > 新闻
企业信息安全需要下一代防火墙护航
  • 2014-8-1 15:45:33
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:张芃捷
  • 作者:
【电脑报在线】随着信息网络的高速发展,越来越多的企业不可抗拒地加入到了信息网络时代中。它们都逐步组建了自己的办公网络,从而实现了生产过程自动化和管理水平现代信息化,使得企业的工作效率得到了极大的提高。

随着信息网络的高速发展,越来越多的企业不可抗拒地加入到了信息网络时代中。它们都逐步组建了自己的办公网络,从而实现了生产过程自动化和管理水平现代信息化,使得企业的工作效率得到了极大的提高。就大多数企业而言,虽然在前几年就建立了信息网络系统,但是由于在安全防护领域的投入不够,加上安全防护意识的淡薄,目前大多数企业的信息安全防护水平还停留在三四年前的水平,或者更早。随着信息技术广泛深入的应用,云计算、BYOD移动办公等新兴技术在企业的落地以及ERP、CRM、OA、HR 等信息系统的广泛使用,给企业信息化办公和管理带来高效率的同时,也对企业网络信息安全提出了更高的要求。

大多数企业的信息安全现状

笔者所在的企业属于通信行业,大多数业务都依托于自建内部网络,只有少部分业务应用在外网中。在建设之初,由于资金和人力有限,加上网络安全防护意识比较淡薄,企业内部网络安全防护问题没有得到足够的重视,网络防御系统也过于陈旧,网络系统不注重更新,企业网络建设投入资金过少,再加上网络安全防护机制不健全等因素,导致企业网络安全事件频发。2008年,笔者所在企业发生一起企业招标文件泄露的安全事件,给企业造成了严重的损失。2009年企业一重要的服务器系统宕机,服务器中存储的数据发生损坏,负责热备份的服务器也因硬盘损坏停机多日。在数据恢复过程中发现平常所备份的数据都无法使用,最终发现只有七个月前的备份数据可以使用,造成了企业数据信息大量丢失,给企业相关业务和管理带来了较大的损失。2011年,笔者所在企业发生一起严重的网络病毒传播事故,造成了多台服务器宕机和部分业务系统瘫痪,企业文件服务器中很多重要数据因感染病毒而无法使用,给企业整个业务工作造成了较大的影响。虽然这些安全事件的频发给企业的信息安全工作敲响了警钟,但是这也给信息安全的发展提供了清晰的思路和明确了方向。

企业信息安全防护需要主动防御

同时我们也应该看到,目前大多数企业的信息安全防护体系建设,主要就是以防火墙、IPS(入侵预防系统)和IDS(入侵检测系统)等“老三样”安全设备组成,虽然说大多数企业在信息安全防护方面的投入逐年增加,在信息安全基础设施上逐步添加了网络行为管控、应用安全网关等新的安全设备,但整体防护理念还基本停留在“防”的阶段,信息安全工作的主动性和防范意识不高,防护策略基本基于“预防威胁→检测威胁→处理威胁→执行策略”的循环过程,防护水平和效果已经越来越不能适应当前企业IT运维环境和企业发展的需要。

总体而言,国内大多数企业的信息安全防护体系水平在整体上还处于被动防守的态势,安全防护策略都是在安全事件发生后进行补救,信息安全防护的效益不高已经明显阻碍了企业的信息化建设。面对日益严峻的信息安全形势,企业的信息安全需要开拓性地发展和变革。企业要有效应对安全威胁不断增大的局面,就必须大幅提升现有技术措施的工作效率,然而提升效率的唯一办法是提高技术措施的智能化水平,例如信息安全设备可根据攻击的具体情况自动选择相应的防护策略等。

新一代信息安全防护体系的建设

目前,随着企业内部移动办公的落地和数据信息防泄密问题对信息安全提出了更高的要求,在国内大环境下,云计算、物联网等技术的普及促使信息安全水平不断提高,针对当前的信息安全环境,信息安全威胁也发生了明显的变化。攻击动机从技术炫耀向获取实际利益转变,攻击手法从单纯地利用漏洞向结合社会工程转变,攻击目标从无特定性向有明显针对性转变,攻防双方的整体态势对比从不对称向极其悬殊转变,攻击方呈现产业化和组织化倾向。从近两年的信息安全事件来看,一些黑客不再以单打独斗的方式活动,而是组成松散的联盟并以公开的形式频繁发动攻击。这些新兴网络安全威胁势必给企业信息安全带来很多不确定的因素和极大的安全隐患,也迫使企业调整其安全防护体系以提升安全防护能力,逐步建立和完善具有自己特色的新一代信息安全防护体系。

从另外一个方面来看,在企业的信息化建设过程中,ERP、CRM、OA、财务、HR 等各类信息系统基本采用外包形式进行开发,在开发过程中很有可能因为没有过多地考虑安全问题,程序本身存在很多安全漏洞,而且由于企业自身没有技术能力去升级现有的信息应用系统,也不可能在各类信息系统研发上投入大量资金,这样不可避免地给数据泄密、病毒破坏等信息安全事件提供了发酵的“温床”,因而信息安全事件必然会发生,只是在于次数的多少而已。因而面对当前复杂的信息安全环境,企业必须加大在这方面的人才投入和资金支持,建立一套“有用、有效、整体”的新一代安全防护体系。

下一代防火墙颠覆访问控制管理基础

从传统的企业信息安全体系建设来看,由于在“救火”工作中投入了大量的精力和资金,造成整个安全防护工作基本处于疲于奔命的状态。传统的防护技术手段已无法满足当前企业信息化应用的安全防护需求。过去一旦提到信息安全,更多的是讲在物理边界上进行防御。但是现在看来很多威胁入侵已经完全能够突破网络边界。比如,当客户进行远程访问内部资源时,当内部人员外出办公时,当各种各样的智能终端被用于工作时,安全的边界已经十分模糊。对企业而言,不只是在传统物理边界严防死守就行了,而是不得不承认人走到哪里,网络的边界就到哪里。传统的基于端口的访问控制已基本失效,因为在下一代网络应用中,可以利用标准协议中的知名端口进行传输或复制,或直接承载于标准的协议中,传统的安全防护设备对基于端口的控制方式已无法实现精确预警和处置,同样早期的基于IP地址的访问控制已经不能适应当前新兴技术的需求。

智能的下一代防火墙


在当前国际国内信息安全形势严峻的大环境下,应该清楚地认识到当前对以云安全、移动安全和数据安全等为主的安全体系产生了巨大的影响,特别是“斯诺登”事件曝光后,给企业甚至是国家的信息安全防护体系建设敲响了警钟。以APT为代表的下一代安全威胁带给业界前所未有的挑战,基于社会工程学的攻击方式也令人防不胜防,传统的安全防护手段已经不足以抵抗这些新的威胁。

云计算和移动互联带来了IT产业的革命,也颠覆了信息安全原有的基本前提和假设。随着云计算的普及,安全需求和议题也不断被翻新、挑战,比如管理策略的更新、系统部署的合规性等。以管理策略为例,传统的网段是由物理部署完成隔离,虚拟时代则是用逻辑设定进行隔离。过去网络信息的监控可以用网管设备来满足,在虚拟化时代同一个主机上的虚拟系统互相访问则不会经过这些过时的网管设备。

再有传统物理时代能够用”拔网线“这样的手段立即中止网络形式的病毒爆发和信息入侵等安全事件,在虚拟化时代这样的策略已经不符合新的系统安全形态。还有就是边境式、保垒式的防护在云计算时代也随着边境定义模糊、消失而不再适用。对通信领域的企业,在新的产业形势下如何面对新的信息安全问题,要进行固有思维的转变,用下一代安全防护技术来应对当前的安全威胁,提升用户的安全防护能力。

如何选择下一代防火墙

“防患于未然”已经是下一代信息安全建设的目标。当前越来越多的企业将信息安全管理工作外包给专业的信息安全服务运营公司,由专业人员和团队以更专业高效的方式提供信息安全服务。然而有的企业由于自身的性质决定了,无法和其他企业一样将信息安全管理工作整体外包出去。因而面对下一代威胁,笔者认为企业对信息安全的需求将不再仅限于某一类安全产品,而是整体的安全管理方案和思维模式,要跳出以往单纯的软硬件实体的采购思路,回归到信息安全本质上予以考虑,要充分认识到信息安全不仅意味着购买安全产品,更多的是购买一种服务和解决方案。

当然作为企业的信息运维管理人员,如何选择下一代防火墙,前提是要清醒地看到未来的安全威胁正变得更加智能和复杂,更有持续性,危害性更大。面临这样的威胁和挑战,下一代信息安全系统也应更加智能化和系统化。如何架设下一代信息安全系统,如何打造整体的安全解决方案,笔者认为必须做到早期风险预警、实时检测威胁、防护与安全响应和故障应急处置,同时要提高信息安全防护系统的业务识别能力、信息获取能力、快速升级能力及灵活部署能力。只有这样,当新的威胁到来时,有了新的信息安全系统及安全生态链的协作,企业才可以从容地应对各类信息安全威胁,从而建立“预警为先、防护和处置并重”的信息安全防护体系。

究竟什么是真正的下一代防火墙?第一,它应该具备基本防火墙的功能,如NAT、VPN等;第二也是最核心的本质特性:应用识别能力,应用识别应该是下一代防火墙所有安全管控的基础,而非简单地为了实现应用控制;第三是要跟IPS深度集成,而不是简单的功能叠加;第四,还要能提供诸如智能联动和智能分析等一些辅助功能。

其实下一代防火墙有着独特的产品价值,与高级防火墙相比更是有着明显的区别。相对而言,下一代防火墙代表的是完全不同的安全理念,在部署、使用、管理甚至整个安全模式上都与传统防火墙截然不同,能够把整个策略实现原理和对网络资源调度提升到新的应用管理水平,它还颠覆了整个防火墙访问控制管理的基础,带来了新的管理视角,因此实际上能够简化管理。

如何选择下一代防火墙安全防护产品呢?笔者认为首先要认清下一代防火墙的安全本质,其本质可以这样理解:就是采用安全的管理方式,降低安全的“门槛”,真正将安全技术变为一种人人都可以理解和掌握的技术,从而应对未来的安全威胁。当然要选择更简单和更完整的安全方案来构造企业的信息安全防护体系,并不是随意而行的。

选择下一代防火墙时一定要充分考虑防火墙的性能:首先要考虑安全防护设备的应用层吞吐能力。传统防火墙往往会以网络层性能作为参数,然而网络层性能对于下一代防火墙而言基本没有意义,因为下一代防火墙是在应用层上工作的信息安全设备,还必须要考察在多安全引擎全部开启的情况下,安全防护设备的性能表现。

其次要考虑防火墙应用识别能力。不管是下一代防护墙还是下一代应用网关,都必须充分考虑其应用识别能力,这是因为未来的安全威胁不只是一次单独行为,而是一系列的行为,从渗透、驻留到破坏、撤退都会与外界发生大量的交互。也许这一个周期是几个小时,也有可能是一天两天,甚至是半年或者几年。因而安全防护设备能否在极短的时间或者较长时间内对异常行为进行识别和判断,发现安全威胁后再据此主动调整安全防护策略至关重要

最后要考虑防火墙的安全防护能力。从信息安全的角度看,下一代防火墙要能实现多安全引擎的深度整合和对云技术的支持,能够为用户考虑未来发展的需要和技术的支持与更新,因为只有在信息安全提供商的技术支持下,下一代防火墙才能发挥出最大的作用。

当然在选择下一代防火墙时,同样也不能超出企业的经济承受能力,大家都知道,信息安全防护设备的价格不菲,打造一套完善的信息安全防护体系,需要投入大量的人力物力,因此要奉行“少花钱、多办事”的原则,追求利益和效益的最大化,建立一个符合企业实际需求的信息安全防护体系。
 

下一代防火墙产品推荐

●Hillstone 山石网科新一代防火墙SG-6000

    

通过多维主动检测技术,进行健康状态分析,综合形成量化的全网健康指数(NHI),以全网健康报告的形式,帮助运维人员提前发现安全风险,并快速响应异常,保障政务业务服务的可用性。Hillstone 山石网科新一代防火墙SG-6000适用于政府、高校、企业、金融等机构的互联网出口和服务器前端,在实现下一代防火墙应用识别和访问控制的基础上,创新的主动安全技术并结合最新的大数据分析技术,能够全面提升用户业务的可用性,降低安全风险,帮助客户实现独创的全网健康性指数(NHI),保障业务系统可用性;它具有增强的智能流量管理功能(iQoS),实现差异化的服务质量保证;还具有智能分析诊断功能,可提升安全策略配置调优效率,进行健康状态分析,提前预知安全风险,提供全网健康报告,让用户多维度掌握业务运行状态。

 

●深信服下一代防火墙NGAF-1700

    

深信服下一代防火墙NGAF-1700通过可视化管理、双向流量防护、智能的防御模式以及高效的运行性能几大优势,帮助用户轻松看懂安全、了解网络安全状态、熟练的驾驭网络安全管理。它能够识别用户、应用、内容的属性以及网络流量,让访问控制更精细,使用户更容易了解到存在于L2-L7层的安全威胁。并且,深信服下一代防火墙产品可以从业务的角度帮用户进行安全分析,提供风险分析报告,帮助用户实现简单方便、易懂可视的管理。

深信服 NGAF-1700提供主动防御模式,能够通过自动学习,识别合法的业务交互模式,具备完整的L2-L7从外到内的攻击防御能力,能够有效防御Web攻击,产品已通过OWASP的Web攻击防御专业性认证。它内置安全规则超过5000条,并且每月更新4到6次,高于业界2到3次的平均水平。同时对流量的双向检测,可以有效识别内部主动外发的信息中是否包含恶意流量,是否有泄密信息以及被篡改的信息,从而防止信息泄露、网页篡改等安全事故的发生。

 

●华为下一代防火墙USG6000

   

华为USG6000是业界首个识别6000+应用的下一代防火墙,它基于独家“V-ISA”信誉机制来应对愈演愈烈的DDoS威胁,在支持虚拟化防护的同时,能基于IP信誉机制实现僵尸网络防御,基于会话(Session)信誉抵御慢速攻击,可以提供最精准的访问控制、最全面的威胁防护、最简单的配置管理、最高速的性能体验。华为USG6000提供6维环境感知及管控能力,以“ACTUAL(Application,Content,Time,User,Attack,Location)”全局环境感知为核心,将网络环境转换为具体的“应用+内容+时间+用户+威胁+位置”的应用层信息,可实现对移动办公、云计算等新环境下网络边界的感知,提供基于应用层的精确访问控制和动态威胁防御。全部功能开启后性能下降不超过50%的优异表现,让华为USG6000的高性能体验傲视群雄。

 

●梭子鱼下一代防火墙F600

 

梭子鱼下一代防火墙F600可以通过控制中心对所有远程终端完成下一代防火墙的配置工作。在预算控制紧张和人力有限的情况下,梭子鱼下一代防火墙F600通过简单操作的图形界面,即可满足用户的一些弹性需求,如提供故障分析功能等。它提供了高度自动化的配置,通过一个脚本,从一个中央数据区读取所有的必要信息,不需要专门的人员对它进行维护和管理工作。在网络中配置一台梭子鱼下一代防火墙F600,仅需要接受过培训如何维护设备的少数网管人员即可,大部分配置工作都可由非技术人员轻松完成,从而提供了一个安全而稳定的网络环境。

小结:提到企业的信息安全,总体来说大部分企业都已基本建立了详实的网络安全管理制度,形成了具有特色的信息安全理念,同时我们也要清楚地认识到,企业的安全防护非一朝一夕,对安全产品的选择也绝非一点一面。在下一代防火墙如火如荼的竞争格局中,用户应冷静自省,明辨真假需求,牢牢把握住新一代网络安全的攻防特征,并以此为本,从厂商基因、技术实力、大行业经验、地域分布及战略投入等多方面综合审视,客观全面地衡量厂商及其产品表现,才能最终作出合理、优化、正确的选择方案。笔者相信在一个良好的环境氛围下,在信息安全方面始终保持一定比例的投入的前提下,企业应对未来新的安全威胁也不太难,未来企业必须建立策略、技术和管理相结合的安全防护体系。

                                                @李贵华

                    

 

 

 
本文出自2014-08-04出版的《电脑报》2014年第30期 A.新闻周刊
(网站编辑:shixi01)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖