各位达人，安全是未来趋势吗？与业务需求到底相差多远？转[浅谈安全网络架构]

davidmu

随着信息网络在企业或机构的运作作用越来越重要，令CIO们最头疼的问题莫过于如何确保信息网络正常高效的运行，同时应付各种层出不穷的病毒、蠕虫以及黑客攻击对组织网络的侵蚀。据统计，仅2004年1月，“MyDoom”病毒发作，就给全球经济造成了300多亿美元的损失。\r\n\r\n近年来，这些针对网络安全的攻击已经从最初的目标性、非商业性目的的特征发展演变为以获取商业利益为诉求，扫描式的攻击。攻击方式也从最初的从外向内的对服务器的攻击，演变成里应外合以窃取资料或瘫痪网络服务为目标的方式。曾经单独接入互联网的便携式电脑，打开email的附件，从内部网络无意中访问含有恶意代码的网页，都可能成为网络攻击的“内应”，对企业造成严重的损失。\r\n\r\n针对不断“进化”的网络攻击，各种防御措施和防御体系也不断更新。从最初单纯的防病毒软件、防火墙和入侵检测设备到今天集成防病毒、防攻击和防垃圾邮件等安全功能的UTM；从单纯的交换机到支援基本的VLAN功能再到今天支持各种准入控制功能的交换机；从网关安全到端点安全再到今天强调的系统安全架构。达成安全网络的解决方案从提供单一的防范措施逐步向系统性、集成性发展从而降低安全损失和管理成本。\r\n\r\n为了能更好的描述现代安全网络结构以及各组成部分之间的关系，从安全角度，我们将网络上的元素分为四类（如图1所示）：\r\n一、        端点设备（End Point Element）\r\n主要指各种需要接入网络的终端系统，如PC，手提电脑，PDA等\r\n二、        准入安全设备（Access Control Secure）\r\n主要提供准入级安全控制的设备，如交换机，路由器，无线接入点等\r\n三、        侦测/预防系统（Detection and Prevention）\r\n侦测/预防各种网络异常(如病毒，蠕虫，木马，异常流量等)并发出报告的硬件设备或软件服务，如：防毒软件，IDP，IDS，UTM等\r\n四、        策略控制系统（Policy and Control System）\r\n基于策略的综合管理中心，对侦测/预防系统做出相应，实施应对方案。\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n俗话说“常在河边走，哪有不湿鞋”，各种端点设备接入互联网，难免会不小心感染安全隐患，而手提电脑、PDA等可携带式设备常常接非安全区域，就更容易成为安全隐患因素。所以当任何端点设备（PC、手提电脑、PDA等）试图接入网络时，策略控制系统应根据已制定的准入策略（比如，用户身份验证）对其做出安全判定，透过对准入安全设备的设定将其分配到相应的逻辑网络中或拒绝其接入。\r\n当侦测/预防系统检测到网络系统中存在异常情况（如，病毒，蠕虫或木马程序 等）时，则会将相关信息报告到策略控制系统，再由策略控制系统自动发出控制指令，通过准入安全设备将异常端点设备隔离，同时报告给网络管理员作进一步处理。在短时间内控制发作范围，免去了因为人工操作时间较长，造成病毒或木马已经在网络内蔓延，难以控制的局面。\r\n这样，通过准入设备、侦测/预防系统和策略控制系统的联动，将整个网络打造成预防、及时处理和策略控制的全面安全系统，降低了网络系统安全危机发生的频率、缩小发生的范围、提高处理的效率，降低企业损失和成本。\r\n但是要实现这样的安全架构，还需面对以下两个问题：\r\n一、        涉及技术领域较多\r\n很少有企业可以同时擅长四个领域，独立提出令人满意的方案。如果要独立提供这样的安全架构，厂商需要至少同时具备交换、防病毒、IDS/IDP、网络管理等多方面的技术背景。根据短板理论，在任何一方面的忽略都会造成安全系统整体效能的大幅下降，最终不能达成预期效果。\r\n二、        设备间尚无标准接口\r\n目前尚无标准的协议接口来定义各类设备间的信息传递。势必要面临冗长的兼容性测试过程。\r\n\r\n近两年，各大厂商各自提出了自己的解决方案，其中较有代表性且已经初见成效的有Cisco提出的NAC；Alcatel倡导的CrystalSec架构；Nortel与SyGate合作方案等等，都扬长避短，解决了上面的问题。\r\n\r\nCisco的NAC项目，病毒防护：\r\n采用在端点设备上安装思科可信代理（CTA, Cisco Trust Agent）的方式，收集端点设备上的信息，包含系统信息以及防毒软件的版本等信息，通过网络访问设备（准入安全设备）传送给策略服务器(策略控制系统)来决定是否准许接入网络。但解决CTA与不同厂商的防毒软件兼容性问题将会是该方案面临的最大问题。现在思科已经将CTA的技术许可权开放给防病毒领域的联合发行人。\r\n企图通过CTA的方式整合/引导防病毒专业领域厂商的方式，将会对防病毒市场造成不小的影响。虽然在其白皮书内特别注明CTA的方式是对传统安全技术的补充而非替代，但对于暂不支援CTA的防病毒软件厂商来说，毕竟会有相当的冲击。\r\n这只是思科自防御网络架构中的一环。\r\n        \r\nAlcatel倡导的CrystalSec架构\r\n        Alcatel与著名网络安全厂商Fortinet合作，发挥各自长处，进一步补充了Alcatel攻击遏制解决方案。Alcatel Quarantine Engine作为策略控制系统可以解读由Fortinet 防火墙（侦测/预防系统）发送的IDS信息，并对交换机迅速做出指令隔离攻击电脑。\r\n相比之下，Alcatel的方案更为务实，毕竟与有实力的伙伴合作，先专注于实现一个具体的解决方案是比较踏实的作法。\r\n        \r\nNortel与SyGate的合作\r\n        SyGate通用强制器可对Nortel交换机进行VLAN操作，将不符合安全策略的终端划分到特殊VLAN中进行杀毒或者其他操作。\r\n                \r\n        各种方案虽然在具体实施的时候略有差异，但是殊途同归，都是希望借助多种传统安全防范措施的结合和联动，来布置整个系统的安防架构，达到安全接入，自动快速反应的机制。目前来看，传输设备与安防设备配合共同构建组织安全网络已成未来趋势，其发展前景和对安防行业的意义不容忽视。