近年來，來自互聯(lián)網(wǎng)的攻擊，已經(jīng)逐漸從網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層，WEB惡意代碼、蠕蟲病毒、間諜軟件、垃圾郵件、木馬在互聯(lián)網(wǎng)上屢見不鮮，針對內(nèi)容的安全防護(hù)已經(jīng)為各行各業(yè)所關(guān)注，為了解決這些問題，東軟推出NISG集成安全解決方案。

事實上，銀行、電信、電力等大型行業(yè)用戶的數(shù)據(jù)中心通常部署著數(shù)十臺甚至數(shù)百臺網(wǎng)絡(luò)服務(wù)器，分屬于數(shù)十個不同的業(yè)務(wù)部門。這些服務(wù)器都有安全防護(hù)的需求，在部署NISG對服務(wù)器進(jìn)行安全防護(hù)時，每個業(yè)務(wù)部門都會有一些個性化需求，而且隨著業(yè)務(wù)系統(tǒng)的建設(shè)和調(diào)整也需要NISG的安全策略相應(yīng)調(diào)整。

因此，采用單一NISG對整個內(nèi)部服務(wù)器群進(jìn)行防護(hù)，很難同時滿足不同業(yè)務(wù)部門服務(wù)器的實際安全需求，并且一個部門的安全策略的改變可能導(dǎo)致整體的網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)結(jié)構(gòu)都要進(jìn)行相應(yīng)的調(diào)整，增加了管理維護(hù)的復(fù)雜性和難度。如果為每個部門采購獨(dú)立的NISG設(shè)備，又會帶來安全投資的增加，占用緊張的機(jī)架空間，而且使網(wǎng)絡(luò)中的故障點(diǎn)增多。

另外，NISG部署中也存在性能浪費(fèi)的情況。大多數(shù)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)利用率不到20%，即使在峰值的時候通常也不會超過40%，而企業(yè)對安全產(chǎn)品采購的標(biāo)準(zhǔn)通常都是以其處理性能遠(yuǎn)高于峰值來確定的，這無疑造成了NISG性能在使用周期內(nèi)的浪費(fèi)。

對于一些比較重要的業(yè)務(wù)部門，如財務(wù)部或總經(jīng)理辦公室，出于加強(qiáng)內(nèi)控的考慮，企業(yè)往往會采購一臺單獨(dú)的NISG進(jìn)行安全防護(hù)，而這些部門的流量往往很小，大多數(shù)情況下部署的NISG發(fā)揮出的性能不到10%。因此，在部署多臺NISG的網(wǎng)絡(luò)環(huán)境中，由于存在性能上的浪費(fèi)，在解決管理獨(dú)立性的前提下，NISG的數(shù)量完全可以壓縮而對網(wǎng)絡(luò)和應(yīng)用性能不產(chǎn)生任何影響。

那么，有沒有一種辦法，既可以充分利用NISG的處理能力，保證管理的獨(dú)立性，又可以降低NISG的數(shù)量和采購?fù)顿Y呢？答案很簡單，就是采用虛擬集成安全網(wǎng)關(guān)技術(shù)。虛擬集成安全網(wǎng)關(guān)技術(shù)可以在充分發(fā)揮NISG性能的同時，大幅降低用戶的NISG購置成本和整體擁有成本（TCO），己成為安全網(wǎng)關(guān)領(lǐng)域的一個主流技術(shù)。

虛擬集成安全網(wǎng)關(guān)就是將一臺NISG在邏輯上劃分成多臺虛擬的NISG，每個虛擬系統(tǒng)都可以被看成是一臺完全獨(dú)立的NISG設(shè)備。虛擬系統(tǒng)在電信、電力調(diào)度、金融等行業(yè)得到了廣泛的應(yīng)用。其中，在IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)提供的安全保障服務(wù)中，虛擬系統(tǒng)在降低安全建設(shè)投資和運(yùn)行維護(hù)成本，滿足用戶安全防護(hù)的個性化需求方面，起到了重要的作用。

目前來看，東軟虛擬集成安全網(wǎng)關(guān)的一大技術(shù)亮點(diǎn)，就是NEL檢測技術(shù)。據(jù)悉，源于東軟專利應(yīng)用協(xié)議的NEL技術(shù)是一種成熟的、先進(jìn)的檢測技術(shù)，與傳統(tǒng)檢測技術(shù)相比較，該技術(shù)能夠大幅提升對攻擊檢測的命中率和科學(xué)性。

NEL專利技術(shù)（應(yīng)用協(xié)議的擴(kuò)展優(yōu)勢及超大的控制力度）提高了應(yīng)用層檢測能力，能夠更細(xì)致的對QQ、MSN、H.323、SIP等應(yīng)用協(xié)議進(jìn)行控制。此功能國內(nèi)對手均具備，但東軟的控制粒度更細(xì)，占有優(yōu)勢。

例如，對URL掛馬攻擊，NEL僅需要對協(xié)議指定范圍的位置進(jìn)行查找即可，無需再去整個網(wǎng)頁中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關(guān)鍵特征字符導(dǎo)致的誤報。所以該技術(shù)能夠提升東軟NISG產(chǎn)品檢查的效率及準(zhǔn)確性，成為該產(chǎn)品的核心技術(shù)特點(diǎn)。

總體看來，采用虛擬集成安全解決方案不僅可以在最大程度上避免內(nèi)網(wǎng)其它區(qū)域的安全隱患或事故影響到財務(wù)部門網(wǎng)絡(luò)和系統(tǒng)的穩(wěn)定運(yùn)行，而且大大加強(qiáng)了對敏感數(shù)據(jù)的訪問控制，企業(yè)運(yùn)營的IT系統(tǒng)風(fēng)險控制得到了有效增強(qiáng)。
 

【編輯推薦】

1. 技巧分享：動態(tài)ARP檢測防止中間人攻擊
2. 應(yīng)用實例：某電力系統(tǒng)服務(wù)器群組防護(hù)系統(tǒng)方案
3. 從檢測到預(yù)防 解析IDS演化與革命