為使IT架構(gòu)正常運(yùn)作，企業(yè)往往要將信息安全作為一個(gè)關(guān)鍵因素引入到技術(shù)和管理體系中。在某些特定領(lǐng)域，與商業(yè)安全產(chǎn)品相比，開源安全技術(shù)有相當(dāng)大的優(yōu)勢(shì)。

開源安全產(chǎn)品的開發(fā)、測(cè)試和發(fā)布過程完全是透明的，同時(shí)提供產(chǎn)品的源代碼及完善的文檔。企業(yè)可以清楚地了解開源安全技術(shù)的工作原理和實(shí)現(xiàn)方法，在選擇開源安全技術(shù)時(shí)更有把握，也更容易得到質(zhì)量更好的安全方案。開源安全方案的開發(fā)者大多是經(jīng)驗(yàn)豐富的安全廠商或技術(shù)人員，這就保證了開源安全技術(shù)除功能上不遜于封閉源代碼的商業(yè)安全方案外，同時(shí)還具有更高的可靠性、靈活性以及更低的采購(gòu)和使用成本。

案例一：Snort入侵檢測(cè)系統(tǒng)

Snort是開源安全技術(shù)領(lǐng)域中最有名的入侵檢測(cè)系統(tǒng)，截至目前，Snort各版本的下載次數(shù)已達(dá)數(shù)百萬次，Snort已成為世界上使用最廣泛的入侵檢測(cè)系統(tǒng)。Snort使用針對(duì)攻擊行為標(biāo)志(Signature-Based)和 網(wǎng)絡(luò)通訊協(xié)議(Protocols)的檢測(cè)方式實(shí)現(xiàn)以下功能：實(shí)時(shí)通訊分析和數(shù)據(jù)包記錄，數(shù)據(jù)包有效載荷檢查，協(xié)議分析和內(nèi)容查詢匹配，探測(cè)緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測(cè)、操作系統(tǒng)侵入嘗試，使用系統(tǒng)日志、指定文件、Unix socket或通過Samba的WinPopus 四種入侵行為的實(shí)時(shí)報(bào)警和日志記錄。

Snort有三種工作模式：數(shù)據(jù)包嗅探、數(shù)據(jù)包記錄和成熟的侵入探測(cè)系統(tǒng)。與大部分開源軟件相類似，Snort支持各種形式的插件、擴(kuò)充和定制，包括數(shù)據(jù)庫(kù)或XML記錄、小幀探測(cè)和異常探測(cè)統(tǒng)計(jì)等。數(shù)據(jù)包有效載荷探測(cè)是Snort最有用的一個(gè)特點(diǎn)，這就意味著可以探測(cè)到很多額外種類的敵對(duì)行為。近年來，隨著描述入侵行為的入侵規(guī)則語(yǔ)言(Rules language)及檢測(cè)技術(shù)的發(fā)展，Snort已經(jīng)成為最富彈性而且最精確的入侵檢測(cè)系統(tǒng)之一。

帶來的好處：

Snort在企業(yè)安全市場(chǎng)的成功應(yīng)用，代表了市場(chǎng)對(duì)開源安全技術(shù)的“比封閉源代碼的商業(yè)安全產(chǎn)品更好的質(zhì)量”這一宗旨的廣泛接受。Snort成為世界上使用最廣泛的入侵檢測(cè)系統(tǒng)的原因也在于此。它不完全依靠安全廠商進(jìn)行產(chǎn)品的升級(jí)和支持，廣大的開源社區(qū)用戶及安全研究組織也在為改進(jìn)Snort本身所用技術(shù)、Snort檢測(cè)威脅數(shù)量和Snort部署方法而努力，因此Snort才能成為最富彈性及最精確的入侵檢測(cè)系統(tǒng)之一。

開源安全產(chǎn)品的開發(fā)、測(cè)試和發(fā)布過程完全是透明的，同時(shí)產(chǎn)品的源代碼及完善的文檔也會(huì)在開源社區(qū)公布。企業(yè)可以清楚地了解開源安全技術(shù)的工作原理和實(shí)現(xiàn)方法，在選擇開源安全技術(shù)時(shí)更有把握，也更容易得到質(zhì)量更好的安全方案。尤其對(duì)于一些很重視企業(yè)內(nèi)部信息保密的特定行業(yè)企業(yè)來說，開源安全技術(shù)的源代碼開放性還是一個(gè)關(guān)鍵的選擇因素。因?yàn)檫@些特殊的企業(yè)用戶需要掌握自己所部署的所有IT(包括安全)方案的內(nèi)部運(yùn)作原理，并要求對(duì)IT產(chǎn)品的源代碼進(jìn)行審計(jì)。這對(duì)封閉源代碼的商業(yè)安全產(chǎn)品來說是不可逾越的鴻溝，而使用開源安全技術(shù)則完全沒有這方面的問題。

案例二：SNARE日志管理和事件報(bào)告方案

SNARE是一個(gè)開放源代碼的跨平臺(tái)系統(tǒng)日志審計(jì)和入侵檢測(cè)產(chǎn)品，它的開發(fā)廠商InterSect Alliance 有非常豐富的多種操作系統(tǒng)——Solaris、Windows 2000/NT/XP/2003、Novell Netware、AIX、even MVS (ACF2/RACF)

日志審計(jì)和入侵檢測(cè)經(jīng)驗(yàn)，并為政府部門、商業(yè)組織等提供專業(yè)服務(wù)。這些經(jīng)驗(yàn)都反映在SNARE上，使SNARE成為一個(gè)功能強(qiáng)大的日志管理和事件報(bào)告方案。

SNARE在邏輯上分成三個(gè)部分：1.內(nèi)核動(dòng)態(tài)加載模塊，該模塊封裝了系統(tǒng)內(nèi)的危險(xiǎn)調(diào)用，并收集用戶和程序所執(zhí)行的可疑系統(tǒng)調(diào)用信息;2.用戶空間審核程序，該程序負(fù)責(zé)收集內(nèi)核動(dòng)態(tài)加載模塊所收集的審計(jì)信息，并按照一定的格式進(jìn)行整理和保存;3.SNARE日志分析前端，由于SNARE審計(jì)程序所產(chǎn)生的審計(jì)信息對(duì)用戶來說仍然是難于閱讀和理解的，因此SNARE還提供了一個(gè)圖形化的日志分析前端，用戶可以通過日志分析前端，得到可自定義的、規(guī)范的系統(tǒng)日志管理和事件報(bào)告。

帶來的好處：

企業(yè)用戶可以把SNARE部署成客戶/服務(wù)器結(jié)構(gòu)的中央日志管理和報(bào)告系統(tǒng)。這樣不單可以簡(jiǎn)化系統(tǒng)部署的復(fù)雜性和減輕管理員的工作強(qiáng)度，企業(yè)還可以享受SNARE的跨平臺(tái)特性。這對(duì)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、同時(shí)使用多種操作系統(tǒng)平臺(tái)的企業(yè)來說尤其重要。企業(yè)整體部署SNARE日志管理和事件報(bào)告方案，除了可以在信息安全方面獲得更高的保障和更快的事件響應(yīng)速度之外，還可以因此而滿足企業(yè)外部環(huán)境對(duì)企業(yè)合規(guī)性(Compliance)的強(qiáng)制要求，如SOX法案、HIPPA、PCIDSS、ISO 27001等對(duì)企業(yè)系統(tǒng)日志審計(jì)的需求。

開源安全方案的開發(fā)者大多是經(jīng)驗(yàn)豐富的安全廠商或技術(shù)人員。這除了能保證開源安全技術(shù)從功能上不輸于封閉源代碼的商業(yè)安全方案，同時(shí)還能保證它具有更高的可靠性。此外，由于開源安全技術(shù)的實(shí)現(xiàn)是完全透明的，眾多第三方機(jī)構(gòu)和技術(shù)人員還能夠?qū)﹂_源安全產(chǎn)品進(jìn)行完善的二次測(cè)試工作，進(jìn)一步保證開源安全產(chǎn)品的穩(wěn)定和可靠性。企業(yè)在選擇開源安全產(chǎn)品時(shí)，在產(chǎn)品和部署的可靠性上要比選擇封閉源代碼的、只經(jīng)過生產(chǎn)廠商測(cè)試的商業(yè)安全產(chǎn)品有更多保證。如果用戶在開源安全技術(shù)的部署和管理過程中遇到問題的話，還能在互聯(lián)網(wǎng)上得到相關(guān)開源社區(qū)及廣大熱心用戶的免費(fèi)幫助和支持。而企業(yè)選擇商業(yè)安全技術(shù)的話，往往要付費(fèi)才能獲得安全廠商的支持。

案例三：Untangle 安全網(wǎng)關(guān)

Untangle Network Gateway是一款使用開源安全技術(shù)的、功能完備、高集成度、高靈活性的安全網(wǎng)關(guān)，在2007年榮獲LinuxWorld Best Security Solution等多項(xiàng)由有影響的開源雜志所頒發(fā)的獎(jiǎng)項(xiàng)。Untangle還被認(rèn)為是商用級(jí)安全網(wǎng)關(guān)的優(yōu)秀替代產(chǎn)品，可以很好地滿足從作為大型企業(yè)的部門級(jí)/分公司級(jí)的安全網(wǎng)關(guān)，到中小型企業(yè)的內(nèi)部網(wǎng)絡(luò)出口網(wǎng)關(guān)的不同需求。

Untangle安全網(wǎng)關(guān)包含14個(gè)不同的功能模塊：1.提高生產(chǎn)效率的3個(gè)模塊，垃圾郵件攔截(Spam blocker)、Web內(nèi)容過濾(Web filtering)和協(xié)議控制(Protocol Control)。2.用于安全用途的6個(gè)模塊，病毒攔截(Virus blocker)、間諜軟件攔截(Spyware blocker)、網(wǎng)絡(luò)釣魚攔截(Phish blocker)、入侵?jǐn)r截(Intrusion Prevention)、攻擊攔截(Attack blocker)和防火墻(Firewall)。3.用于提供遠(yuǎn)程訪問的2個(gè)模塊，遠(yuǎn)程訪問Portal (Remote Access Portal)和OpenVPN (SSL VPN功能)。4.用于發(fā)送報(bào)告的功能模塊和Untangle報(bào)告(Untangle Reports)模塊。5.用于網(wǎng)絡(luò)連接的路由器 (Router)模塊。

帶來的好處：

Untangle安全網(wǎng)關(guān)的14項(xiàng)主要功能完全滿足了企業(yè)對(duì)生產(chǎn)率、安全和遠(yuǎn)程訪問的需求。Untangle安全網(wǎng)關(guān)還提供了客戶端管理方式，管理員可以直觀地使用專用客戶端查看Untangle安全網(wǎng)關(guān)的運(yùn)行報(bào)告，實(shí)時(shí)掌握企業(yè)內(nèi)部網(wǎng)絡(luò)的運(yùn)行及安全保護(hù)狀況，還可以根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全需求，方便地增加或減少Untangle運(yùn)行的安全功能模塊，對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)和網(wǎng)絡(luò)性能進(jìn)行平衡。

開源安全技術(shù)比封閉源代碼的商業(yè)安全產(chǎn)品具有更強(qiáng)的靈活性。由于用戶可以訪問開源安全技術(shù)及產(chǎn)品的源代碼，企業(yè)可以根據(jù)自己的IT架構(gòu)和實(shí)際需求，方便地對(duì)開源安全技術(shù)進(jìn)行定制，添加或刪減安全功能模塊，得到在安全保護(hù)需求和執(zhí)行性能處于完美平衡的最優(yōu)解決方案。

尤其是對(duì)功能、穩(wěn)定性、部署規(guī)模等特定參數(shù)需要定制的目標(biāo)企業(yè)用戶來說，開源安全技術(shù)可以隨意定制這個(gè)特性是極其重要的。隨意定制功能的靈活性在用戶選用商業(yè)安全產(chǎn)品時(shí)是幾乎不可想象的，即使有時(shí)候企業(yè)用戶在選擇某些安全產(chǎn)品時(shí)可以要求廠商進(jìn)行定制，但往往需要付出大筆的額外采購(gòu)費(fèi)用。

案例四：Nessus 漏洞掃描工具

Nessus是一款使用開源安全技術(shù)的、功能強(qiáng)大的漏洞掃描工具，在安全業(yè)界長(zhǎng)期享有盛譽(yù)，一直排在最好的100個(gè)安全工具榜的前列。Nessus還是許多安全廠商、技術(shù)人員進(jìn)行售前和售后服務(wù)支持的必備工具之一，Nessus的漏洞描述方式也為許多商業(yè)或免費(fèi)安全漏洞掃描產(chǎn)品所使用。

Nessus功能十分完備，能夠檢查眾多操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和各種應(yīng)用服務(wù)器是否存在已知的漏洞。它的使用也極其方便，用戶只需要輸入漏洞掃描目標(biāo)主機(jī)的IP地址或域名，待Nessus掃描結(jié)束之后，就可以獲得詳細(xì)的安全檢測(cè)報(bào)告，并可以根據(jù)需求輸出多種格式的文檔。內(nèi)部網(wǎng)絡(luò)中存在大量節(jié)點(diǎn)的企業(yè)，還可以將Nessus部署成服務(wù)器-客戶端方式的分布式漏洞掃描方案，通過多臺(tái)客戶端的同時(shí)掃描，有效地提高企業(yè)內(nèi)部網(wǎng)絡(luò)日常的漏洞掃描效率。

帶來的好處：

作為安全業(yè)界公認(rèn)的100個(gè)最好的安全工具之一，Nessus是企業(yè)IT部門和安全技術(shù)人員手中不可或缺的重要武器。企業(yè)需要定時(shí)或隨機(jī)地對(duì)自己的內(nèi)部網(wǎng)絡(luò)所有節(jié)點(diǎn)的安全狀況進(jìn)行檢查，以保證內(nèi)部網(wǎng)絡(luò)中存在安全漏洞和弱點(diǎn)的節(jié)點(diǎn)都能及時(shí)得到修正和保護(hù)，而用于執(zhí)行這項(xiàng)功能的封閉源代碼的商業(yè)漏洞掃描工具往往十分昂貴，企業(yè)有限的安全預(yù)算難以承受，只能選擇功能較差或不使用漏洞掃描產(chǎn)品。但企業(yè)如果選擇Nessus的話，就不需要過多地考慮采購(gòu)成本的問題，企業(yè)可以免費(fèi)獲得并無限制地使用Nessus，Nessus的安全漏洞發(fā)現(xiàn)和預(yù)警功能大大提升了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全程度。

開源安全技術(shù)比封閉源代碼的商業(yè)安全產(chǎn)品有更低的采購(gòu)和使用成本。企業(yè)無需顧慮自己的安全方案預(yù)算是否能夠承受開源安全產(chǎn)品的采購(gòu)和部署費(fèi)用——開源安全產(chǎn)品是免費(fèi)的。用戶在選擇開源安全技術(shù)時(shí)，主要的成本來自于對(duì)管理人員的培訓(xùn)及對(duì)開源安全技術(shù)部署的維護(hù)，但這個(gè)成本與商業(yè)安全產(chǎn)品的采購(gòu)和部署成本相比具有相當(dāng)大的優(yōu)勢(shì)。企業(yè)可能會(huì)顧慮自己將要或已部署的開源安全技術(shù)的支持問題，這時(shí)企業(yè)便可以選擇專業(yè)開源廠商的收費(fèi)支持服務(wù)，或者請(qǐng)專業(yè)的培訓(xùn)機(jī)構(gòu)代為培訓(xùn)人員。目前大部分的主流開源安全技術(shù)，都有大量的專業(yè)支持廠商作為它們的支持服務(wù)提供者。因此，盡管企業(yè)在選擇商業(yè)安全產(chǎn)品時(shí)能獲得很好的支持及相關(guān)服務(wù)，但綜合考慮成本和產(chǎn)品功能，開源安全技術(shù)總的使用成本還是要遠(yuǎn)遠(yuǎn)低于相同功能的商業(yè)安全產(chǎn)品的。

開源安全產(chǎn)品的兩種選擇策略

策略一：針對(duì)安全需求的選擇策略

首先，用戶根據(jù)企業(yè)的安全策略和風(fēng)險(xiǎn)分析，確定信息資產(chǎn)的保護(hù)范圍。企業(yè)進(jìn)行開源安全技術(shù)選擇的第一步，要了解自己打算部署的開源安全技術(shù)的保護(hù)對(duì)象。比如對(duì)電子商務(wù)類企業(yè)來說，客戶數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)是最重要的數(shù)據(jù)，存儲(chǔ)和處理這些信息的信息系統(tǒng)是最重要的IT資產(chǎn)。因此，電子商務(wù)類企業(yè)在選擇開源安全技術(shù)之前，就要先根據(jù)自己的安全策略，確定客戶端數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)、以及存儲(chǔ)和處理這些信息的信息系統(tǒng)是要優(yōu)先進(jìn)行保護(hù)的對(duì)象，然后再?gòu)谋Ｗo(hù)這些信息資產(chǎn)的目標(biāo)出發(fā)選擇開源安全技術(shù)。

其次，用戶根據(jù)自身具體的安全需求，確定開源安全技術(shù)的選擇范圍。企業(yè)用戶確定使用開源安全技術(shù)之后，便可以采用風(fēng)險(xiǎn)評(píng)估的方法來對(duì)安全威脅進(jìn)行辨別和分類，并確定采用哪種可以防御已識(shí)別威脅的技術(shù)手段，進(jìn)行完善的文檔記錄，進(jìn)而選擇對(duì)應(yīng)的開源安全產(chǎn)品。

如果用戶希望獲得網(wǎng)域分隔、入侵防護(hù)及網(wǎng)絡(luò)流量控制等與網(wǎng)絡(luò)底層操作有關(guān)的安全功能，可以考慮開源安全技術(shù)中的邊界安全方案，如基于Linux的防火墻、集成基礎(chǔ)安全功能的路由器或網(wǎng)關(guān)等。如果用戶有控制針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)、系統(tǒng)及信息資產(chǎn)的訪問需求的話，可以考慮開源安全技術(shù)中的訪問控制方案，如基于Linux的VPN服務(wù)器、Free RADIUS/Open LDAP等單點(diǎn)登錄等，這些開源安全方案都能夠給用戶提供認(rèn)證、授權(quán)及記賬服務(wù)。

最后，用戶可對(duì)特定范圍內(nèi)的開源安全產(chǎn)品進(jìn)行橫向比較，選擇最適應(yīng)企業(yè)安全需求的產(chǎn)品。由于每個(gè)開源安全技術(shù)領(lǐng)域內(nèi)都有幾個(gè)甚至十幾個(gè)功能類似，各有長(zhǎng)處的產(chǎn)品或解決方案，因此，企業(yè)接下來需要進(jìn)行的步驟便是在模擬或真實(shí)的企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境內(nèi)，對(duì)這些選定的開源安全產(chǎn)品進(jìn)行評(píng)測(cè)和橫向比較，再?gòu)闹羞x出最適應(yīng)企業(yè)安全需求的產(chǎn)品。

策略二：方案與成本的平衡策略

企業(yè)在部署一個(gè)安全方案時(shí)，往往希望能夠用盡可能少的成本來獲得盡可能多的安全功能和可靠性， 這也是許多企業(yè)選擇開源安全方案的出發(fā)點(diǎn)。但我們也應(yīng)該了解到，成本和收獲并不是一定成正比或反比的：在實(shí)踐中常有企業(yè)付出相當(dāng)多的費(fèi)用，部署的安全產(chǎn)品沒有多大的效果;但也有一些企業(yè)沒有消耗多少預(yù)算，就實(shí)現(xiàn)了覆蓋整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全方案。因此，企業(yè)需要在自己的安全需求和安全方案成本之間進(jìn)行平衡，以達(dá)到最佳的安全效果。

舉個(gè)例子，企業(yè)需要部署一套開源的邊界安全產(chǎn)品，企業(yè)應(yīng)該針對(duì)內(nèi)部網(wǎng)絡(luò)的規(guī)模、工作時(shí)間的網(wǎng)絡(luò)流量情況、用戶日常使用的服務(wù)等多個(gè)要素來確定這套方案的預(yù)算，不能一味地追求盡可能低的成本。如果企業(yè)不大，內(nèi)部網(wǎng)絡(luò)的用戶不多，工作時(shí)間的流量也不大，企業(yè)可以直接使用運(yùn)行在一個(gè)較老的機(jī)器上的開源防火墻作為邊界安全方案，這種開源安全技術(shù)的部署方案能夠完全滿足目標(biāo)企業(yè)的需求;但對(duì)于一個(gè)內(nèi)部網(wǎng)絡(luò)巨大，用戶眾多，工作時(shí)間的網(wǎng)絡(luò)流量以Gb來計(jì)算的大型企業(yè)來說，邊界安全方案的性能和穩(wěn)定性就成為首要考慮因素，企業(yè)用戶在選擇時(shí)就應(yīng)該考慮能夠進(jìn)行集群操作、管理方便的開源安全方案，甚至要考慮更貴的針對(duì)目標(biāo)企業(yè)網(wǎng)絡(luò)環(huán)境定制過的開源安全方案，以保證企業(yè)內(nèi)部網(wǎng)絡(luò)所有用戶的網(wǎng)絡(luò)使用及業(yè)務(wù)的正常運(yùn)行。

綜上所述，企業(yè)如果選擇開源安全技術(shù)，將只須付出比商業(yè)方案更低的成本乃至免費(fèi)便可獲得充分滿足企業(yè)安全需求的安全解決方案。當(dāng)然，企業(yè)也需要在部署的安全方案上投入比使用商業(yè)安全產(chǎn)品更多的精力來對(duì)開源安全技術(shù)進(jìn)行維護(hù)，提供支持。企業(yè)只有在充分地認(rèn)識(shí)自己的實(shí)際情況和安全需求的前提下，同時(shí)仔細(xì)地對(duì)開源安全產(chǎn)品或方案進(jìn)行篩選，才能最終實(shí)現(xiàn)特定的安全目標(biāo)。

【編輯推薦】

1. 企業(yè)安全調(diào)查：26%被裁員工隨手盜秘
2. 新興web和移動(dòng)技術(shù)會(huì)增加企業(yè)安全風(fēng)險(xiǎn)
3. 五個(gè)明智做法確保中小企業(yè)安全