安全產(chǎn)品新挑戰(zhàn)——威脅升級(jí)，你將會(huì)面臨怎樣的風(fēng)險(xiǎn)？

2011年4月，黑客侵入索尼美國(guó)數(shù)據(jù)服務(wù)器，影響用戶(hù)超過(guò)1億人，涉及57個(gè)國(guó)家和地區(qū); 2011年2月，某銀行網(wǎng)銀被爆可能存在漏洞，用戶(hù)百萬(wàn)資金被盜……安全威脅的不斷出現(xiàn)，給傳統(tǒng)安全產(chǎn)品帶來(lái)了前所未有的挑戰(zhàn)。過(guò)去，寄希望于安全的“老三樣”：防病毒、防火墻、入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)為網(wǎng)絡(luò)保駕護(hù)航已經(jīng)不現(xiàn)實(shí)。隨著安全危害更復(fù)雜性，簡(jiǎn)單的“非黑即白”的判斷模式已經(jīng)很難準(zhǔn)確地找出它們，面對(duì)各種新興安全威脅，傳統(tǒng)的安全產(chǎn)品能否有效應(yīng)對(duì)？

如果只是盲目地將防病毒產(chǎn)品、防火墻、入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)、反垃圾郵件產(chǎn)品、Web應(yīng)用防火墻、內(nèi)網(wǎng)安全產(chǎn)品、統(tǒng)一威脅管理產(chǎn)品(UTM)、數(shù)據(jù)保護(hù)產(chǎn)品、安全管理產(chǎn)品等各種安全加入到安全體系中，不但需要巨額的采購(gòu)成本，后期的部署維護(hù)成本、人力成本、安全服務(wù)成本絕對(duì)會(huì)是一筆天文數(shù)字。更何況，各種安全產(chǎn)品的簡(jiǎn)單疊加，如果沒(méi)有足夠精準(zhǔn)的安全策略做配合，其防護(hù)效果還可能出現(xiàn)“1+1<2”的現(xiàn)象。

此外，各種安全產(chǎn)品也能井然有序地相互配合，步調(diào)一致地統(tǒng)一對(duì)外呢？并且，當(dāng)越來(lái)越多的關(guān)鍵業(yè)務(wù)被架設(shè)在網(wǎng)絡(luò)之上，業(yè)務(wù)系統(tǒng)越來(lái)越復(fù)雜多樣，不可避免地會(huì)影響到業(yè)務(wù)系統(tǒng)的高效運(yùn)行，甚至?xí)驗(yàn)榇蟠笤黾恿瞬僮鞯膹?fù)雜性而影響到用戶(hù)的體驗(yàn)感知。

知己知彼方能百戰(zhàn)不殆，只有在深入理解具體的特色業(yè)務(wù)和關(guān)鍵應(yīng)用基礎(chǔ)上構(gòu)建的安全防護(hù)體系，才能夠真正實(shí)現(xiàn)“安全”。

客制化取代同質(zhì)化

沒(méi)有任何兩個(gè)網(wǎng)絡(luò)以及跑在上面的應(yīng)用和業(yè)務(wù)是完全相同的，在某一個(gè)領(lǐng)域用起來(lái)很好的安全產(chǎn)品或解決方案，在其他領(lǐng)域中并不一定會(huì)有同樣優(yōu)異的表現(xiàn)，因此，要想走自己的安全之路，保證每一類(lèi)特色業(yè)務(wù)和應(yīng)用的安全，就必須做到“知己知彼”——這無(wú)論對(duì)IT廠(chǎng)商還是對(duì)組織機(jī)構(gòu)自己來(lái)說(shuō)，都不是一項(xiàng)簡(jiǎn)單的工作。

現(xiàn)在的安全產(chǎn)品或解決方案通常都是在總結(jié)大多數(shù)客戶(hù)的安全需求后開(kāi)發(fā)設(shè)計(jì)而成的，只有深入了解每一個(gè)客戶(hù)的特色業(yè)務(wù)和關(guān)鍵應(yīng)用后，才能夠幫助客戶(hù)解決大多數(shù)安全問(wèn)題，由此保證業(yè)務(wù)和應(yīng)用的安全。

“深挖應(yīng)用，幫助客戶(hù)進(jìn)行深度的定制化”正是客戶(hù)需要的，具體到安全體系建設(shè)方面也同樣如此。安全的難點(diǎn)不在于防御，而在于準(zhǔn)確的識(shí)別和鎖定：當(dāng)關(guān)鍵業(yè)務(wù)、普通業(yè)務(wù)、安全威脅混和在一起，只有將每一項(xiàng)的位置、類(lèi)型準(zhǔn)確地識(shí)別出來(lái)，才可能真正做好保障、防御、分析以及呈現(xiàn)工作。

當(dāng)然，行業(yè)定制化應(yīng)用是需要真正圍繞客戶(hù)的業(yè)務(wù)需求來(lái)展開(kāi)的，是客戶(hù)所能真實(shí)感受到的體驗(yàn)效果，因此，要想做好行業(yè)定制并不是一件容易的事情。然而企業(yè)可以通過(guò)不斷完善自己的產(chǎn)品技術(shù)和不停深挖行業(yè)用戶(hù)的特色需求來(lái)做好行業(yè)定制工作。目前，MSG多業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品線(xiàn)，通過(guò)全新的體系架構(gòu)設(shè)計(jì)，在安全網(wǎng)關(guān)上集成1-2個(gè)BLADE SERVER插卡，用于快速融合定制化業(yè)務(wù)，這也保證了行業(yè)定制化的快速靈活。

高效能取代高性能

安全與業(yè)務(wù)似乎一直處在對(duì)立面：要安全，就要進(jìn)行諸多限制和內(nèi)容過(guò)濾，或多或少會(huì)影響到應(yīng)用的速度或者客戶(hù)的體驗(yàn)，給業(yè)務(wù)發(fā)展造成一定的阻礙;但如果一切以“業(yè)務(wù)”優(yōu)先，各種安全威脅勢(shì)必會(huì)趁虛而入，讓企業(yè)經(jīng)濟(jì)和名譽(yù)都蒙受不同程度的損失。

要安全還是要業(yè)務(wù)？這顯然是一道很難取舍、沒(méi)有正確答案的選擇題。也正因?yàn)槿绱耍啡ジ咝阅艹蔀樵S多安全產(chǎn)品首要追尋的目標(biāo)。但安全產(chǎn)品僅僅有高性能就足夠了么？

安全產(chǎn)品的高性能固然可以在一定程度上調(diào)和安全與業(yè)務(wù)發(fā)展的矛盾，但如果在高性能的同時(shí)，還伴隨著安全功能的缺失或者后期維護(hù)費(fèi)用的攀升，它依然不是解決問(wèn)題的最優(yōu)方法。因此，高性能并不能讓安全產(chǎn)品“一俊遮百丑”。

安全產(chǎn)品需要的不是單純的“高性能”，而是“高效能”，即將效率、功能、性能等綜合起來(lái)進(jìn)行更全面的提升。例如，安全服務(wù)網(wǎng)關(guān)(SSG)就基于A(yíng)TCA架構(gòu)，在單一機(jī)箱內(nèi)幫助客戶(hù)實(shí)現(xiàn)廣域加速、應(yīng)用加速、負(fù)載均衡、流量控制、應(yīng)用性能分析、身份管理等功能，配合業(yè)務(wù)感知引擎、綠色I(xiàn)T架構(gòu)、智能虛擬化平臺(tái)，可以幫助客戶(hù)輕松搭建具有“權(quán)限業(yè)務(wù)感知、全面安全防御、踐行綠色高效、完善虛擬統(tǒng)一”特色的集防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)于一體的整體安全保障體系，讓“性能”與“功能”共同提升，讓“業(yè)務(wù)”得以安全、順暢的發(fā)展。而1U萬(wàn)兆安全平臺(tái)，在單一機(jī)架內(nèi)提供業(yè)內(nèi)最高吞吐能力，功耗超低，且支持高壓直流供電，全面降低PUE，為下一代數(shù)據(jù)中心標(biāo)準(zhǔn)提供了最高效節(jié)能的選擇。

虛擬化取代單體化

安全威脅的類(lèi)型、攻擊目標(biāo)、入侵手段等一直都處在變化之中，“以不變應(yīng)萬(wàn)變”的策略顯然是行不通的。一成不變的安全體系及防護(hù)策略只能發(fā)揮一時(shí)的作用，要想讓安全防御體系真正發(fā)揮作用，就要隨時(shí)做好調(diào)整安全體系和防范策略的準(zhǔn)備。這對(duì)于普通的中小型企業(yè)來(lái)說(shuō)并不難。偶爾根據(jù)安全需要添加一兩臺(tái)安全設(shè)備，或者為每臺(tái)安全設(shè)備添加新的安全策略，手動(dòng)一臺(tái)臺(tái)現(xiàn)場(chǎng)調(diào)試、部署即可，并不會(huì)消耗太多的人力物力。

然而，這對(duì)大中型企業(yè)卻并不是件容易的事情。很多大中型企業(yè)都有許多分支機(jī)構(gòu)，且部署在不同的地理位置，難道每個(gè)分支機(jī)構(gòu)不分大小，都配備相同類(lèi)型安全產(chǎn)品和同等級(jí)的安全管理人員？也有很多企業(yè)下設(shè)眾多部門(mén)，不同部門(mén)具備不同的安全權(quán)限，甚至相同部門(mén)不同級(jí)別的工作人員也具備不同的安全權(quán)限，難道同樣的安全產(chǎn)品要給每個(gè)部門(mén)都配備一臺(tái)甚至幾臺(tái)？

的確，每個(gè)分支機(jī)構(gòu)或部門(mén)面臨的安全威脅是相同的，分別采購(gòu)和部署、管理這些安全產(chǎn)品甚至配備必要的安全管理人員，可以在很大程度上減少“安全短板”的出現(xiàn)，更好地保障網(wǎng)絡(luò)安全，但現(xiàn)實(shí)問(wèn)題是：有多少企業(yè)的安全投入是無(wú)限制的？有多少企業(yè)的安全管理人員是富足的？一旦分支機(jī)構(gòu)或部門(mén)發(fā)生變化，又有誰(shuí)能為多出來(lái)的安全產(chǎn)品進(jìn)行投資保護(hù)？

安全產(chǎn)品采購(gòu)時(shí)，不停歇的購(gòu)買(mǎi)、增加安全運(yùn)維人員并非解決問(wèn)題的根本辦法，而是用虛擬化取代單體化。通過(guò)虛擬化，可以將一臺(tái)安全設(shè)備虛擬出多個(gè)虛擬產(chǎn)品，用于不同的場(chǎng)景，也可以將更多的安全產(chǎn)品統(tǒng)一管理起來(lái)進(jìn)行按需分配。

【編輯推薦】

1. 技術(shù)分析：當(dāng)安全產(chǎn)品遭遇安全威脅
2. Web安全產(chǎn)品分析
3. Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述
4. Wedge Networks獲得2011年度全球卓越網(wǎng)絡(luò)安全產(chǎn)品大獎(jiǎng)
5. 功能強(qiáng)大的邁克菲移動(dòng)安全產(chǎn)品系列