迄今为止,还有很多人认为,防火墙、杀毒是保证企业网络安全稳定的唯一措施。而且说一直以来行业内都这么认为的,这难道会有错?
遗憾的是,从用户实际的应用效果上却产生了诸多疑惑。用户反映,防火墙、杀毒还有UTM都上了,网络掉线、卡滞的问题丝毫未减,搞了一套价格不菲的上网行为管理,好不了几天,又掉线了。这样的网络给企业的信息化进程造成了不小的打击。防火墙、杀毒不管用,行业定律应该质疑了。
纵观目前企业网络安全的大局,已经从对外网攻击和侵入的防范,转为对内网安全管理的关注,从采取上网行为管理、终端准入、杀毒等手段,转为对网络通信设备和通信过程直接的安全介入。这是企业网络安全技术发展的一种趋势。
技术趋势是由当前的网络安全形势决定的。之前,网络应用不像现在这么普及,外网攻击和侵入是主要的网络安全威胁,解决了外网攻击就解决了网络稳定的问题,防火墙应运而生,风风火火地起到了重要的作用。后来又看到,网络内的终端也会发起各种攻击,这是因为木马、肉鸡的大肆传播。因此,只有选择杀毒了。
但现在问题已经不是那么简单了。随着网络的普及和发展,内网问题已经成为影响企业网络安全的最主要问题。企业网掉线、卡滞、被盗号、难管理等故障的发生,80%都是内网问题引起的。解决这些问题,就必然要对内网采取安全措施。由于防火墙、UTM、IDS\IPS等部署在边界的安全设备,对付的是外网攻击,对内网无能为力,所以就承担不起这个作用了。
出于这个认识,很多厂商已经开展了针对内网基础安全的工作,目前主要分为几个流派:
1、 杀毒和身份准入系统
2、 上网行为管理、桌面安全
3、 交换网络的安全措施
4、 免疫网络系统
在这几种方案中,杀毒和身份准入,着眼点在于保证终端的安全。而终端安全了,并不能避免上网时各种突发的感染,尤其那种针对网络的攻击病毒,零日攻击、暴动式攻击等等,杀毒软件往往力不从心。在杀毒软件中配备的个人防火墙、ARP防火墙、安全卫士等手段,对终端自身有一定效果,对网络的整体安全却是不涉及的。
上网行为管理和桌面安全系统,基本是采用行政管理而不是技术的方式进行网络安全管理。虽然它能够起到一定的辅助作用,但对网络基础安全——掉线、卡滞等,起不到根本的作用。严格来说,在网络安全方面,上网行为管理和桌面安全系统,跟网络基础安全根本不是一个领域。
在交换网络上做安全设置和管理,是一些资深网管员津津乐道的话题。在技术上的探讨固然值得赞赏,但交换网络安全设置的实用性和有效性,无疑是很令人失望的。仔细划分VLAN、终端绑定、交换机绑定、交换机端口管理等等手段,在网络安全上属于传统手工做法。网管员的技能和努力尽管令人尊敬,但效果不好还疲于奔命也是无奈何的。
免疫网络系统是业界一直以来认为的、专门针对内网基础安全的有效手段。华为、思科、惠普等重量级厂家在这方面也做过提倡和研究。北京欣全向率先进行了产品研发和推广,几年来逐渐赢得了广大用户的肯定,免疫网络的市场实践也取得了预期的成功。
所谓的免疫网络,就是通过在网络通信设备中加入安全和管理的策略,在每一个底层的通信过程都进行动态的安全管理。透过对2、3、4层协议的安全控制和对终端的管理,从底层、从末端、从接入端全面彻底杜绝网络的攻击,进行网络的管理。源于自身的主动防御和管理、网络通信和安全机制的融合、网内终端身份的基因式管理等等,就是免疫网络概念的主要特征。
因此,对于防火墙、入侵监测和病毒防范等网络安全的“老三样”手段,国家信息化专家咨询委员会专家沈昌祥院士就曾经说:“老三样,堵漏洞、做高墙、防外攻,防不胜防。”
免疫网络在技术原理和实践效果上是对“老三样”的突破,在新的网络安全形势下,免疫网络能够起到不可替代的重要作用。此一时彼一时,致力网络安全,免疫网络要占头功。
欣全向的免疫网络解决方案,在免疫网络的专业化、普及化方面做的比较到位,在用户实施的过程中,产品多样化、实用化、简易化突出。现在看来,解决网络基础安全的棘手问题,免疫网络是正确和唯一的选择。欣全向的方案值得尝试。