歷史發(fā)展：網(wǎng)絡(luò)、安全密不可分

一直以來，網(wǎng)絡(luò)與安全問題是密不可分的。

回顧十年前，那時候網(wǎng)絡(luò)剛剛開始普及，甚至還沒有普及，那時候的安全問題是什么？十年前安全問題很簡單，就是病毒，病毒問題就是安全問題。但是隨著網(wǎng)絡(luò)的發(fā)展，安全問題已經(jīng)融入了網(wǎng)絡(luò)，也就是說現(xiàn)在的安全問題實際上已經(jīng)是網(wǎng)絡(luò)的安全問題，安全問題是離不開網(wǎng)絡(luò)的。正是基于這種情況，H3C等領(lǐng)導(dǎo)廠商提出了“智能安全滲透網(wǎng)絡(luò)”（iSPN）的概念。

我們可以這樣來比喻：路由器、交換機等網(wǎng)絡(luò)設(shè)備是一個信息的通道，相當(dāng)于高速公路，而防火墻、入侵檢測等安全設(shè)備就是高速公路上的安全保障--防護欄，讓我們的高速公路上的汽車行駛的更加平穩(wěn)。在這里，高速公路上跑的指的是應(yīng)用的業(yè)務(wù)。

安全的終極目標(biāo)：業(yè)務(wù)安全

傳統(tǒng)的網(wǎng)絡(luò)安全模式是一種簡單的疊加模式。就是將防火墻等安全產(chǎn)品疊加在網(wǎng)絡(luò)設(shè)備上，比如說IPS防火墻，僅僅是部分的安全事件的防范，達到一定的安全保證作用。但這個模型只是簡單的疊加，沒有把網(wǎng)絡(luò)和安全真正形成一個整體，這只是一種基于網(wǎng)絡(luò)設(shè)備基礎(chǔ)安全。

其實，在企業(yè)網(wǎng)絡(luò)安全發(fā)展歷程中，我們可以總結(jié)出這樣四個階段：設(shè)備安全、數(shù)據(jù)安全、內(nèi)容管理，再到整體業(yè)務(wù)安全。

保證路由器、交換機等網(wǎng)絡(luò)設(shè)備不受攻擊，這只是設(shè)備安全階段。例如，設(shè)備自身的穩(wěn)定性是否有保障？供電是否穩(wěn)定？交換機的端口是否能夠承受住外部的攻擊？種種安全措施，都是圍繞路由器、交換機、服務(wù)器、普通電腦等設(shè)備展開的。而要實現(xiàn)這些安全措施，就需要防火墻、入侵檢測等安全設(shè)備來完成。

緊接著，數(shù)據(jù)的安全被提上的日程。企業(yè)關(guān)鍵的數(shù)據(jù)成為攻擊盜取的對象，于是，各種反Phishing、反間諜軟件又相繼出現(xiàn)。

第三個階段是內(nèi)容管理階段。除了對設(shè)備、對數(shù)據(jù)進行安全管理外，對內(nèi)容管理也非常重要。例如，主要針對流量和應(yīng)用進行控制和管理，對內(nèi)網(wǎng)發(fā)生的一些Internet行為做針對性的監(jiān)控，從而去規(guī)范員工的上網(wǎng)行為。通過帶寬管理，來約束員工的上網(wǎng)帶寬的占用，從而實現(xiàn)有效的帶寬利用。此外，我們需要建立一種有效的端點準(zhǔn)入策略，讓合法的用戶進行我們的網(wǎng)絡(luò)，從而有效減少攻擊的發(fā)生。

我們對設(shè)備、數(shù)據(jù)、內(nèi)容管理進行采用各種措施，到底是為了什么呢？

這就是為了保證應(yīng)用業(yè)務(wù)的安全，保證應(yīng)用業(yè)務(wù)的正常運轉(zhuǎn)。 #p#

安全的最高境界：智能安全滲透網(wǎng)絡(luò)

如何才能全面地保證業(yè)務(wù)的正常運轉(zhuǎn)？這就需要網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、行為安全管理等各種安全措施有效地融合在一起。正是在這種趨勢下，H3C公司提出了“智能安全滲透網(wǎng)絡(luò)”戰(zhàn)略（iSPN, intelligent Safe Pervasive Network），此戰(zhàn)略涵蓋SecPath防火墻/VPN、多種安全插卡、H3C IPS入侵抵御系統(tǒng)、SecCenter安全管理中心以及安全軟件在內(nèi)豐富的安全產(chǎn)品線，從而從網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、行為安全管理等各個方面，保證業(yè)務(wù)的安全。

如今，網(wǎng)絡(luò)設(shè)備形態(tài)、安全產(chǎn)品形態(tài)從傳統(tǒng)的里外三層防火墻逐漸的演變到內(nèi)容的安全管理體系里面。安全也走過了幾個層次，因此，H3C也在SPN的基礎(chǔ)上由提出了ISPN的理念。

H3C安全產(chǎn)品部總工李穎和表示，iSPN從局部安全、全局安全、智能安全三個層面，為用戶提供一個多層次、全方位的立體防護體系，使網(wǎng)絡(luò)成為智能化的安全實體。局部安全針對關(guān)鍵問題點進行安全部署，抵御最基礎(chǔ)的安全威脅；全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺基礎(chǔ)上，借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實體。

李穎和強調(diào)，iSPN在安全滲透的網(wǎng)絡(luò)基礎(chǔ)上更加智能，更加關(guān)注于應(yīng)用業(yè)務(wù)和管理。智能安全滲透網(wǎng)絡(luò)能有效保護應(yīng)用業(yè)務(wù)的安全，并通過統(tǒng)一安全策略的制定與下發(fā)，實現(xiàn)安全網(wǎng)絡(luò)事件集中的管理，統(tǒng)一的分析、快速的響應(yīng)。 #p#

重拳出擊：立體的融合防御體系

具體來說，如何有效地進行立體防護？我們可以通過H3C iSPN來進行解釋。在設(shè)備安全層次，通過SecPath防火墻/VPN等安全設(shè)備、H3C IPS入侵抵御系統(tǒng)，來保護網(wǎng)絡(luò)的傳輸安全，包括了對傳輸內(nèi)容的深度檢察，保證4-7層的應(yīng)用安全。

此外，H3C路由、交換所自帶安全聯(lián)動功能，以及H3C EAD是端點準(zhǔn)入防御系統(tǒng)，對用戶行為、網(wǎng)絡(luò)內(nèi)容進行有效的管理。例如，EAD是端點準(zhǔn)入防御系統(tǒng)會檢查機器上是不是有足夠的安全性，或者是查一下機器上是不是有病毒，這個病毒庫是不是一個最新版本的，同時可以看到認(rèn)證的過程，可以看看你的用戶是不是合法的，這些功能都是由客戶端支持，客戶端會向主體發(fā)出一個請求，主體會進行檢查，檢查客戶端是足夠安全的，這個用戶可以登陸上來，登陸上來的時候，經(jīng)過終端接入的交換機會給它把端口打開，它就可以進入我們的網(wǎng)絡(luò)。

最后，通過iSPN安全管理統(tǒng)一平臺，做到全網(wǎng)的統(tǒng)一管理、統(tǒng)一分析以及安全策略的統(tǒng)一下發(fā)，保證企業(yè)信息系統(tǒng)的安全運行。iSPN安全統(tǒng)一管理平臺以開放的安全管理平臺為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個緊密的統(tǒng)一管理平臺中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個智能安全防御體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體安全防御能力。H3C安全管理中心由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的協(xié)同防御體系。

對于一個企業(yè)來說，最終要實現(xiàn)的就是應(yīng)用業(yè)務(wù)的持續(xù)性，保證業(yè)務(wù)的安全運行，所以，將安全融合到網(wǎng)絡(luò)，建立立體的融合防御體系勢在必行。

【編輯推薦】

1. 網(wǎng)管心得：企業(yè)網(wǎng)絡(luò)安全管理三大原則
2. 網(wǎng)絡(luò)安全服務(wù)路由器挑大梁