自动防御 安全新理念信息时代离不开网络,企业要对市场需求作出强有力的响应,其市场竞争力的提高也离不开网络,畅通安全的网络为企业信息化铺设了一条星光大道,如果企业网络遭遇病毒或遭到有意无意的黑客攻击,除了会导致系统崩溃、网络瘫痪外,也可能因为机密的泄漏而造成上亿的经济损失。因此,保证企业网络的安全已成当务之急。 网络时代的安全问题已成为一个迫切需要解决的问题,也许人们对在过去一年中出现的MyDoom、Bagle.B等蠕虫病毒以及“冲击波”还记忆犹新,而此起彼伏的黑客、入侵、攻击对网络安全的破坏性可能是毁灭性的——不仅导致业务上的损失、生产效率的下降,还会因故障排除和修复损坏设备而引起额外的开支,严重的安全性攻击还会导致企业公众形象的破坏,乃至客户丧失对企业的信心,进而造成无法估量的成本损失。 在网络安全不断遭受挑战的今天,企业必须高度重视网络安全的问题。与此同时,面对市场上各种各样的网络安全系统和产品,企业面临着诸多疑惑,什么才是最安全可靠同时又是最适合自己企业的网络安全解决方案呢? 安全方案 百花齐放如今市场上五花八门的网络安全解决方案,有专门对付病毒的杀毒软件,有对付黑客的防火墙,还有检测入侵的IDS、入侵防御系统IPS等。 但是,由于厂商各自有着其自身的技术优势,所以解决方案或者侧重于对网络非法入侵的阻断,或者侧重于使用专门的定制安全工具完成特定的安全任务,解决方案往往厚此薄彼,且从本质看来都很孤立,缺少一个完整的安全体系概念。 “兵来将挡,水来土掩”。但是,往往蔓延肆虐的都是全新的病毒,企业原有的防火墙、防病毒产品对此束手无策,于是厂商立即专项研究,企业马上升级打补丁,一片慌乱,然而这次病毒的解决又预示着新一轮战争将在不久的将来打起。同样,面对黑客越来越高明的攻击手段,防火墙也并不能“通吃”所有的入侵,也许通过一个主机操作系统的漏洞,黑客就可以利用合法途径轻松绕过防火墙的“围追堵截”。由此可见,没有一个立体、深层的防护体系,我们将陷入一个重复不断的被动局面。 此外,今天的网络已经发生了巨大变化,无线联网、企业间通信、远程办公和VPN的出现使接入途径多样化,市场对家庭办公、分支机构连通性、无线移动性和新企业到企业战略的需求不断增加,现代网络周边环境的封闭性已经被打破,网络开放性更强,每一次的网络连接都可能改变原有安全状况;同时,人为因素也显得越来越重要,如,对漏洞的不重视等。这些人为或非人为的因素使系统屡次被病毒感染、入侵,企业频繁地成为网络犯罪的牺牲品。很显然,目前的安全解决方案并不能使企业对网络彻底放心,任何一次疏忽都可能会酿成大祸。另外,企业总是需要不断地进步,不断增长自己的新业务,现在所使用的那种针对早期、不很复杂的网络而设计的安全设备对企业新业务的安全保障已经无能为力。 众所周知,引发网络安全问题具有很大的不确定性,只要是有计算机和网络存在的地方就有可能存在着安全问题,从网络底层的传输信道,到接入层的交换机、路由器,再到终端计算机的操作系统、服务器的操作系统,加上用户的各种实际应用,每个层次都有安全的需要。可见,一方面,不一样的网络环境给企业网络安全带来更大挑战,另一方面,企业网络对安全需求也越来越高,要防止蠕虫的攻击,要保障数据中心安全,要达成无线安全和语音安全,还要维护整个系统安全策略,对网络滥用行为进行检测和恢复等等。 因此,过去那种用非智能的、使用简单设备承担安全任务的解决方案已经被淘汰,现在企业需要一个完整的智能安全体系去打破目前网络安全领域疲于应付的局面,从而走上健康发展的轨道。 自动防御 安全新希望为了实现这个目标,一直以来,各厂商都进行着不懈的努力,他们进行着将病毒扫描、防火墙以及站点到站点的VPN设置和监控等功能都纳入同一种解决方案中等一系列的探索和实践。 作为网络界的领先厂商,思科的路由器、交换机等网络设备遍布全球,在骨干网、企业网络中发挥着巨大的作用,面对网络安全问题,思科责无旁贷,也独具优势。从最初的在企业路由器上通过命令行界面保障路由器安全,到采用单独管理软件增强路由器的安全,再到把安全的概念融会到路由器、交换机、终端、防火墙+VPN+IDS产品中,并采用集成化管理软件,思科在不停地探索什么才是网络安全最完善的解决方案,如果网络能像人一样,对病毒、黑客攻击等外来侵蚀有一种自然的抵抗力,且随环境的变化,这种抵抗力还能不断升级和进化,这才是一种理想的状态。 2004年3月15日,思科以第三代安全解决方案为体系框架,创新地提出了“自防御网络(Self-Defending Network,SDN)”计划,这是一种多侧面、多阶段的安全计划,能大大提高网络发现、预防和对抗安全威胁的能力,这也是“让网络自己具有抵抗力”思路的体现。 思科自防御网络(SDN)是在网络管理和分析的基础上,首先保证安全连接系统,通过接入认证判断敌友,防御非安全因素的威胁,保证客户在网络环境中安全传输各种企业应用。然后采用一个防御威胁的安全系统,结合安全和网络智能服务,有效打击敌人,最大限度地减少已知和未知威胁的影响。最后,也是最关键的是,SDN为了摆脱企业网络安全的被动局面,建立了一个信任和身份管理系统,授权和信任建立在识别身份的基础上,从根本上解决企业网络安全的被动局面。 首先,请看在“Slammer”病毒爆发时拥有SDN的思科公司网络是如何防御攻击的:病毒一开始发作时,思科公司主机上的Cisco Security Agent就阻止了Slammer的攻击,紧接着在第3分钟的时候,SDN网络中的异常探测技术确认有不正常流量,第6分钟时验证不正常流量同时触发警告,第10分钟,封闭相应的内部和外部端口,第30分钟,对思科公司内部网络的漏洞扫描完成,200多个系统被确认为易受攻击,通过采取相应措施,使思科公司的网络没有受到感染。由此可见,拥有了SDN,企业网络安全无忧。 过去,思科以优良的品质保证赢得了全球的信赖,人们相信,拥有思科就拥有了品质保证。这次创新性的提出从终端方面的网络准备控制,到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤,形成全面的网络安全防御体系的SDN新理念,就是思科“更快速、更智能、更持久”这一概念的延伸。 SDN能及时发现安全问题,然后迅速、灵活自动地根据客户制定的策略执行相应安全保障措施,维护企业网络的安全。而SDN在设备上可以采用专用安全装置,可以采用基于路由器、交换机安全的灵活性,使客户可以充分利用以前的对于思科网络和防病毒解决方案的投资,另外,可扩展性部署性能,支持企业新业务的发展,让企业无网络安全后顾之忧地开发自己的市场,同时,思科一贯良好的服务令人相信,拥有思科安全解决方案,企业将长久获得品质的保证。 展望未来 智能安全是主题网络安全技术的未来,一定是在智能保障企业网络安全的同时,以当前占据主流的IP技术为基础,符合各种网络协议和技术规范,满足IP网络和安全技术之间的协作,可以无缝地集成到数据、语音、视频、无线、存储等多种IP服务,以方便企业安全地展开各种新业务,不断提升企业市场竞争能力。 简言之,未来的安全技术要兼容VPN、防火墙、威胁防范、AAA、URL过滤、802.1x等多种技术,可以全面覆盖网络的各个环节,包括PC和服务器平台,跨越无线、LAN、园区、城域网,以及边缘、服务供应商、分支机构等所有网络,同时还应当是拥有自愈合能力的完整网络安全体系。 网络的智能化是方向,同样智能化的网络需要智能的完整的网络安全保障。思科SDN理念在此方面是行业的一个突破。目前思科已逐渐实现了其接入路由器和中档路由器支持网络接入控制,根据SDN计划,未来还将把安全代理(CSA)软件集成到相应的网络设备以及合作厂商的软件产品中,然后将网络 接入控制扩展到包括交换机、无线接入设备和安全设备等多种产品中,最终实现将PC和服务器端点与网络的安全互操作能力扩展为围堵安全威胁的能力。 网络、PC、服务器一个都不能少的自动防御新理念也充分体现了未来的网络安全技术不仅要能对系统端到端保护,还能对各种应用进行保护,使网络拥有自愈功能的趋势。独具优势、一直站在安全技术发展前沿位置的思科,还将继续引领行业安全技术的发展,新理念也将在新时代的企业网络安全中发挥重大的作用。 正如人从一出生就接受着大大小小疾病的挑战,从而渐渐拥有了自我免疫能力,以茁壮的趋势成长一样,全新理念的自防御网络计划就是要让网络也拥有对病毒、黑客的攻击具有自我防御能力,从而实现网络真正的安全,促进网络的长治久安、健康发展。 相信通过努力,我们必将打赢这场网络安全的硬仗,还网络一个干净的天空。 广发行:“保险箱”里的网上银行2003年1月至4月,正值SARS肆虐,广东省发展银行业务同比增长140%;信用卡较年初增长17.1万张。非常时期获得不凡业绩,这得益于广发行网上银行业务的及早部署,其中最关键的环节,就是网络安全策略全面升级的成功。 自1998年成立,广发行就采用思科PIX系列防火墙安全解决方案,这就像为广发行网络系统外围装上了一扇扇防盗门,实现了对传统银行业务和网上银行业务的全面安全保障。2003年初,作为广发行网络安全策略的全面合作伙伴,思科为其部署了全套网络安全体系架构,使广发行的网上银行业务得到最高级别的安全保护。广发行不仅在总行数据中心采用思科Catalyst 6500交换机,还在分行全面推广思科PIX 500系列防火墙安全解决方案。有了多层次、全方位的思科网络安全防御体系,广发行的网上银行业务不仅成为其传统银行业务的发展和延伸,并即将成为广发行在未来银行业市场竞争中取胜的一个重要筹码。 业内人士普遍认为,思科的这套立体交叉全方位安全防御体系,超越了现有网上银行业安全策略的普遍水准,是目前国内银行业最高级别的安全体系,就像把广发行的网上银行放到了保险箱里! “越狱”:思科安全防火墙抵御入侵“越狱”是英国一个最受欢迎的真实的电视节目。而“越狱”网站则是这个节目得以大获成功的一个关键因素。 “越狱”网站每天24小时播放“囚犯”们的生活实况,并且让观众可以玩游戏和通过电子邮件向参赛者们提供关于越狱的建议。因此,该网站每天获得的点击数高达一百万次——仅在开通第一周就获得了一千万次点击! 从一开始,安全就是“越狱”网站面临的一个难题。他们必须对拒绝服务和网站盗窃进行防范。而最理想的安全防御产品就是PIX防火墙,因为它工作在第三层——网络层,而不是第七层——应用层。PIX的高性能基于一项思科专有的技术,名为“切断代理”,它使PIX可以只查看一个数据分组流中的第一个分组。PIX可以识别和验证第一个分组,继而识别下一个数据流的第一个分组。这种效率为PIX防火墙带来了出色的性能。 而Cisco Secure PIX防火墙还有一项重要优势,那就是吞吐量——每天可处理远高于一百万次的吞吐量。 “由于‘越狱’节目的成功,我们今后在推出每个真实节目时都会开设一个网站。然而我们无法想象在不使用PIX提供保护的情况下开通网站。”频道IT主管 Ken Davis说。 |