新時(shí)代 新安全 看安全技術(shù)發(fā)展趨勢

申請免費(fèi)試用、咨詢電話：400-8352-114

如何更好的進(jìn)行安全防護(hù)？只有遵循安全技術(shù)的發(fā)展趨勢，及時(shí)根據(jù)安全形勢動(dòng)態(tài)調(diào)整安全策略，站在智能安全建設(shè)的角度，企業(yè)和運(yùn)營商的安全建設(shè)才會(huì)上一個(gè)新臺階。

隨著網(wǎng)絡(luò)安全威脅的日益嚴(yán)重，用戶也開始關(guān)注安全的建設(shè)。而現(xiàn)階段的安全威脅在種類上越來越豐富，攻擊形勢也開始多樣化。從早期的病毒蠕蟲到現(xiàn)在非常普遍的惡意代碼，盜號木馬、間諜軟件、網(wǎng)絡(luò)釣魚以及大量的垃圾郵件等，無一不給用戶的正常應(yīng)用帶來了嚴(yán)重的安全威脅。受到攻擊的用戶輕則黑屏死機(jī)，重則造成個(gè)人經(jīng)濟(jì)利益上的損失。同時(shí)，針對服務(wù)器的Web應(yīng)用層攻擊(包括SQL注入及跨站腳本攻擊等)成為目前的流行方式，造成大量對外提供業(yè)務(wù)的服務(wù)器的網(wǎng)頁篡改或者服務(wù)器癱瘓拒絕服務(wù)等。

安全威脅的演變直接推動(dòng)了安全技術(shù)的發(fā)展，回顧安全產(chǎn)品和解決方案的發(fā)展歷程，我們可以看到，新形勢下安全技術(shù)的發(fā)展有以下顯著特點(diǎn)：

1) 從技術(shù)發(fā)展的角度看，深度的內(nèi)容安全是目前熱點(diǎn)的技術(shù)研究方向

在安全建設(shè)的初級階段，安全防護(hù)主要依靠的是傳統(tǒng)的防火墻包過濾技術(shù)，入侵檢測技術(shù)以及防病毒技術(shù)等“老三樣”產(chǎn)品，這些產(chǎn)品在安全防護(hù)的初期階段發(fā)揮了積極的作用，但是在新的安全威脅形勢下，這些產(chǎn)品已經(jīng)不能完全代表安全技術(shù)的形象。面對新的不同種類的安全威脅，我們必須要有新的技術(shù)手段進(jìn)行識別和防護(hù)，而基于內(nèi)容的深度安全分析已經(jīng)成為目前的熱點(diǎn)方向，包括基于特征匹配的深度分析以及基于行為識別的內(nèi)容分析技術(shù)等?；谔卣鲙旌灻纳疃葓?bào)文特征匹配是目前比較通用的一種方式，通過對報(bào)文的深度內(nèi)容分析，獲取安全攻擊的典型特征，通過特征庫匹配實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的入侵檢測和防御;或者通過跟蹤協(xié)議的狀態(tài)交互，并通過和學(xué)習(xí)到的協(xié)議狀態(tài)機(jī)模型來比對協(xié)議是否發(fā)生異常，從而檢測出當(dāng)前網(wǎng)絡(luò)是否存在攻擊發(fā)生。此外基于行為的模型學(xué)習(xí)和智能分析也成為目前最為有效的一種手段，通過對大量攻擊行為的模擬和行為特征分析可以提前預(yù)知攻擊行為的發(fā)生并及時(shí)告警和響應(yīng)，從而規(guī)避風(fēng)險(xiǎn)。同時(shí)需要考慮的是安全不是一個(gè)靜態(tài)的過程，因此及時(shí)跟蹤最新的安全漏洞，研究新的安全威脅的行為就顯得尤為重要。

2) 從產(chǎn)品演變的趨勢看，多功能的UTM已經(jīng)成為新一代中低端防火墻的發(fā)展方向

為了實(shí)現(xiàn)對各種安全威脅的防護(hù)，在Internet出口，企業(yè)往往需要考慮多種安全產(chǎn)品的集合部署，這種串葫蘆式的部署方式，更多的是各種安全設(shè)備簡單的堆砌，不僅增加了設(shè)備的采購成本，而且加大了后續(xù)安裝維護(hù)的難度，這對于大部分企業(yè)來說絕非一個(gè)理想的選擇。而集成多功能的UTM安全網(wǎng)關(guān)的出現(xiàn)，由于其all in one的優(yōu)勢，代表了新一代防火墻的發(fā)展趨勢，受到了眾多用戶的青睞。優(yōu)秀的安全網(wǎng)關(guān)可以從以下幾個(gè)方面來衡量：

1、性能是否夠高：這是安全網(wǎng)關(guān)的根本要求，沒有性能作為支撐，再好的功能也沒有用武之地，這也是早期部分廠商推出的UTM網(wǎng)關(guān)的致命弱點(diǎn)，全功能開啟的性能參數(shù)比純粹防火墻的性能參數(shù)下降很大，甚至降為十分之一，這是用戶無法接受的。新一代的UTM網(wǎng)關(guān)產(chǎn)品得益于硬件平臺的發(fā)展，在這個(gè)方面已經(jīng)不是瓶頸。

2、特性是否完整：為了應(yīng)對各種新型的安全威脅，多功能的安全網(wǎng)關(guān)除了對傳統(tǒng)的交換路由支持外，對于FW/VPN，防病毒，防垃圾郵件以及基于Web的內(nèi)容過濾等功能的支持也是必然的要求。需要強(qiáng)調(diào)的是：多功能集成并不代表是功能的簡單堆砌串行處理，而是要在各功能的處理流程上進(jìn)行整合，通過并行處理和內(nèi)部信息交互等技術(shù)來實(shí)現(xiàn)效率和功能的平衡。

3、功能是否專業(yè)：由于安全技術(shù)點(diǎn)多而且相對分散，僅僅依靠單廠商的力量無法兼顧到各項(xiàng)技術(shù)的完美實(shí)現(xiàn)。通過開放合作，與業(yè)界知名廠商建立廣泛合作，為用戶提供業(yè)界最頂級的解決方案是最為合理的選擇，在這個(gè)方面，具有可持續(xù)性發(fā)展能力的廠商更容易獲得業(yè)界專業(yè)廠商的支持。

4、本地化應(yīng)用是否支持：企業(yè)安全網(wǎng)關(guān)的部署，也需要考慮到本地化需求的支持。隨著國內(nèi)針對企業(yè)用戶Internet出口流量帶寬管理和用戶上網(wǎng)行為審計(jì)需求的出現(xiàn)，安全網(wǎng)關(guān)廠商也應(yīng)該有足夠的研發(fā)能力可以及時(shí)跟進(jìn)，快速響應(yīng)用戶的需求，在這個(gè)方面具備強(qiáng)大研發(fā)能力的本土廠商是運(yùn)營商理想的合作對象。

3) 從硬件支撐方面看，基于多核+ASIC的硬件架構(gòu)已經(jīng)成為安全業(yè)務(wù)網(wǎng)關(guān)的主流平臺

在安全網(wǎng)關(guān)硬件平臺的演進(jìn)方面，從早期的基于X86通用處理器的架構(gòu)，到后來的NP架構(gòu)，F(xiàn)PGA架構(gòu)以及ASIC架構(gòu)等，其優(yōu)缺點(diǎn)體現(xiàn)的都非常明顯：

基于通用處理器的集中式架構(gòu)很好的滿足了防火墻靈活多變的應(yīng)用需求，但是性能上的缺陷卻成為其在高端市場或者是多功能網(wǎng)關(guān)市場上發(fā)展的瓶頸問題，無法滿足用戶的性能需求。而ASIC、FPGA或者NP架構(gòu)的防火墻性能優(yōu)勢明顯，但是可擴(kuò)展性差，靈活性不足，用戶必須要為新業(yè)務(wù)的擴(kuò)展投入新的成本，它已無法適應(yīng)業(yè)務(wù)功能不斷豐富、業(yè)務(wù)需求不斷變化的防火墻的應(yīng)用。因此，具備良好的業(yè)務(wù)擴(kuò)展能力、軟件編程可繼承性、高性能并行處理的多核硬件平臺成為新形勢下安全網(wǎng)關(guān)發(fā)展的首選。

基于多核的硬件平臺，能夠有效的解決多功能和高性能這對矛盾，使得安全在功能靈活性和設(shè)備性能上均達(dá)到了新的高度。多核處理器將多個(gè)通用的CPU以及一些功能部件集成到一塊芯片中，它良好的繼承了通用處理器高靈活性和高可擴(kuò)展性的特點(diǎn)，業(yè)務(wù)升級和擴(kuò)展靈活方便，通過軟件升級便可以更新系統(tǒng)獲取最新的安全威脅防御功能。同時(shí)，通過多線程技術(shù)可以充分利用訪問內(nèi)存或者I/O時(shí)所必須等待的時(shí)間，盡可能的發(fā)揮多個(gè)CPU的并行處理能力，從而提高了整體系統(tǒng)的性能，高速的核間通訊技術(shù)使得各個(gè)核間、核與其它功能部分之間在同一時(shí)間各自并行的傳遞數(shù)據(jù)，打破了以核間通訊以及系統(tǒng)其他部件間通信的性能瓶頸，使系統(tǒng)性能得到保證。

在中低端安全網(wǎng)關(guān)市場，基于多核的硬件平臺已經(jīng)成為標(biāo)準(zhǔn)化的支撐平臺，而在高端安全網(wǎng)關(guān)市場，基于多核+ASIC的分布式架構(gòu)由于各自優(yōu)勢的結(jié)合也成為主流的設(shè)計(jì)方向。

4) 從解決方案的建設(shè)思路看，要實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御，從局部安全到智能安全防護(hù)的轉(zhuǎn)變

在與安全威脅進(jìn)行博弈的過程中，我們也經(jīng)歷過頭痛醫(yī)頭的局部安全被動(dòng)防御的尷尬。從安全防御的效果來看，站在終端用戶的角度，雖然PC系統(tǒng)安裝了防火墻和各種殺毒軟件，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_，而在網(wǎng)絡(luò)層面盡管部署了IDS入侵檢測產(chǎn)品，但是受制于檢測算法的局限和硬件平臺的性能瓶頸，在攻擊檢測的提前預(yù)警、減少誤報(bào)率，以及發(fā)現(xiàn)攻擊之后的及時(shí)響應(yīng)方面都存在不足。另外，運(yùn)營商和企業(yè)的內(nèi)網(wǎng)安全防護(hù)也并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理、上網(wǎng)行為審計(jì)以及合規(guī)性管理等方面都是需要考慮的重點(diǎn)。

因此，在進(jìn)行安全威脅的防護(hù)時(shí)，更多的是需要在從整體安全防護(hù)的角度來看待問題，要從Internet接入，桌面終端安全接入，內(nèi)部安全域隔離劃分等方面來綜合考慮對業(yè)務(wù)支撐系統(tǒng)的安全加固。需要從被動(dòng)的安全防御向主動(dòng)安全防御的思路轉(zhuǎn)變，從針對單個(gè)系統(tǒng)、軟硬件及程序本身的安全保障，向關(guān)注應(yīng)用層、關(guān)注用戶的行為安全的整體安全防御的方式轉(zhuǎn)變，利用主動(dòng)入侵防御的IPS產(chǎn)品來實(shí)現(xiàn)針對業(yè)務(wù)服務(wù)器的應(yīng)用層安全防御，通過SIEM安全事件管理產(chǎn)品實(shí)現(xiàn)對全網(wǎng)安全事件的分析關(guān)聯(lián)，并基于安全知識庫的各種安全策略進(jìn)行響應(yīng)，從而實(shí)現(xiàn)安全威脅的實(shí)時(shí)監(jiān)控和動(dòng)態(tài)的調(diào)整，增強(qiáng)了網(wǎng)絡(luò)安全的智能性。

歸結(jié)起來，在如何更好的進(jìn)行安全防護(hù)的問題上，只要我們遵循安全技術(shù)的發(fā)展趨勢，及時(shí)根據(jù)安全形勢動(dòng)態(tài)調(diào)整安全策略，站在智能安全建設(shè)的角度，企業(yè)和運(yùn)營商的安全建設(shè)必將上到一個(gè)新的臺階。（IT專家網(wǎng)）