天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

软件安全 如何选择“新三样”?

2008-2-18通信产业报佚名

  长期以来,防火墙、IDS和防病毒软件在安全市场上稳居前三把交椅,被誉为安全采购的“老三样”。而随着企业安全形势不断变化,传统的解决方案已经不能满足新的需求,在这样的背景下,安全厂商纷纷推出了以SSLVPN、IPS和增强型的防病毒软件为代表的“新三样”。

  而电信企业由于具有大量的信息数据,一向是安全建设的先导者。那么,正经历转型和网络融合考验的运营商对以上产品的需求点在哪?除了维护自身的网络和信息安全,是否还能借助这些产品发挥其作为信息基础设施和信息产品提供者的社会使命?

  服务BOSS

  东软安全网关产品经理徐松泉认为:SSLVPN相比IPSECVPN最大区别就是“零部署,免维护”。客户端简化,减少后续升级和维护麻烦。Forrester研究公司预测SSLVPN将成为新的标准,取代IPSec成为远程接入方法的首选,这得益于其在简化远程接入和实现快速应用方面的优势。

  SSLVPN对运营商的吸引力在哪呢?专家分析,随着运营商网络融合和业务转型向纵深发展,BOSS系统的组网技术也必须随之发生变化。而基于SSL协议的VPN远程访问方案不仅可以有效地保证了信息的真实性、完整性和保密性,而且更加容易配置和管理,并降低网络配置成本。

  首先,SSLVPN可以在访问自由度与安全性间找到平衡,“无客户端软件”易于使用和维护,不仅几乎所有的商业浏览器都集成了SSL,而且越来越多的硬件设备集成SSL的功能。其次,SSLVPN更高的安全性和保密性满足了BOSS系统对组网技术产品的要求。SSL网关隔离了内部服务器和客户端,只保留一个Web浏览接口,客户端的大多数病毒木马感染不到内部服务器。同时,SSLVPN提高了BOSS系统的扩展性和可管理性。电信新的业务和服务层出不穷,将导致“业务核心”BOSS系统的不断发展,而SSLVPN部署无需影响原有网络结构。最后,伴随数据业务的高速发展,基于Web的电信应用越来越多,远程接入呈现快速增长态势,而SSLVPN可以帮助BOSS系统满足电信业的这一趋势。

  探索安全托管

  其实,谁取代谁也许并不重要。在电信市场已经“刺刀见红”的今天,运营商更关心的应该是如何利用SSLVPN来开拓中小企业信息化市场。Juniper网络公司新兴技术系统工程师徐洪涛预测,“随着人们逐渐接受SSLVPN,服务提供商可以将SSLVPN作为托管服务提供给其企业客户,从而创造新的收入。”

  徐洪涛认为,服务商提供SSLVPN服务主要有三种方式:在初级水平,服务提供商可以简单地代理产品,这样终端用户可以拥有和管理设备;其次是客户端设备(CPE)方式,服务提供商管理设备(设备能够被安装在客户端或服务提供商的数据中心),终端用户每月支付服务费;最后则是基于网络的服务选择,服务提供商安装SSLVPN设备,从单个设备向多个客户提供服务。

  而在实践层面,已经有先行者做出了探索。记者从上海电信了解到,去年,上海电信采购ArrayNetworks运营商级的产品进行商用试验,通过销售或出租SSLVPN虚拟门户站点给企业,提供用户便捷安全的外联网解决方案,通过搭建安全的远程接入平台,确保企业内部用户在任何时间、任何地点也可以安全便捷地接入企业核心应用,企业外部用户经过应用授权后也可以可控地接入企业相应应用。

  上海电信在实行中总共采取了两种模式,一种是租赁SSLVPN的虚拟门户站点给企业,数据后台部署在电信机房;另一种是租赁网关设备给企业,数据在各自公司自己的机房里,通过一条VPN专线连接到运营商。而由于目前国内企业对IT外包服务还存在着很多安全性的担忧,后一种模式更符合用户的消费心理。

  作为上海电信的设备提供方,ArrayNetworks则认为,“未来,SSLVPN不能仅满足解决安全接入问题和发挥一些审计功能。企业的应用是复杂的,ERP里面就有很多的认证和要求,如何联系生产系统的应用,提高生产效率,做到这些,SSLVPN的商业模式才是成功的。”

  “泛防护”时代

  IDC中国跨产品研究部分析师董锐告诉记者:“从软件角度划分,对安全的研究涉及身份和访问控制管理、安全威胁管理、安全内容管理、安全性与漏洞管理,当然还包括安全服务。而其中防病毒属于安全内容管理范畴。”2006年,除了来自新老病毒的威胁,网络上还充斥着蠕虫、间谍软件、流氓软件等各种威胁。

  在这样的背景下,国内外众多安全厂商纷纷面向电信应用推出了自己的杀手产品。前不久,安氏领信推出了其系列化的IPS产品,其中NP8000系列定位在大型网络和运营商网络的千兆线速需求。安氏领信总裁李红松告诉记者,“IPS继承了IDS数据包深度分析和监控的能力,且采用串入连接的方式,直接对各类攻击进行阻断。”显然,相比传统的防火墙和IDS,IPS更容易实现对电信网络与Internet连接的安全防护。

  在以防病毒为代表的安全防护体系建设方面,四川泸州电信的建设经验可资借鉴。泸州电信的网络组成包括BBS网络、OSS网络和MSS网络。其中,MSS网络作为整个泸州电信的管理支撑体系,包括OA系统、财务系统等,涉及运营商内部的管控流程。此前,公司在Internet入口和BSS网络入口部署了防火墙,进行了一定程度的访问控制和攻击防御,但是防火墙不能防病毒,不能阻止内部网络中的病毒进行传播和感染。而在BSS网络中,有部分远程用户通过ADSL拨入泸州电信网络,或通过PSTN接入泸州电信网络。因此,必须针对病毒的传播渠道采取最有效的防治策略。防病毒的需求主要集中在MSS系统的各楼层OA用户和BSS系统的远程接入用户。

  最终,通过和金山毒霸合作,泸州电信在集中管理的防病毒体系思想指导下,对不同主机采取不同的防护组件手段,泸州电信在其内部互联网的访问上实现了全面监管,有效防范互联网上传播的病毒、黑客攻击和恶意网站对客户端注册表的破坏和锁定。

  链接:网络防病毒体系的功能要求

  面对新的安全威胁,厂商纷纷推出以SSLVPN、IPS和增强型的防病毒软件为代表的“新三样”。电信企业如何才能在满足自身安全需求的同时,在新业务开拓方面有所建树?上海电信和泸洲电信的经验可供借鉴。

  随着网络融合和数据增值业务的不断增多,电信运营支撑系统的安防形势也变得严峻,这就需要系列化的防护思想:独立的本地升级服务器,可以分级灵活部署,以实现升级流量的负载均衡,有效地优化网络性能。具备灵活的升级方式,具有独立的升级模块,确保在连接不上升级服务器的情况下可以到internet升级。能够在人工不干预的情况下进行自动升级和扫描。快速智能更新病毒定义码和病毒引擎。具备集中的漏洞扫描和全网自动打补丁的功能。要能够针对系统漏洞、弱口令和共享进行扫描。具备灵活的部署方式,支持web安装、远程安装和脚本安装。具备实时自动防护功能。能够在各种可能感染病毒的途径上防止病毒,其能够扫描预防电子邮件附带的病毒和未知宏病毒。具备先进的检测清除病毒的功能。当感染传播性很强的病毒时,能够快速从整个网络上把这一病毒清除,不让病毒残留在某台机器上。对已感染的病毒文件,能够通过先进的修复工具保证文件免受损害。对于感染无法处理的未知病毒,不让其在网络上传播,同时,能够快速获得解决方案。具备强制执行策略:能够强制客户端病毒防火墙和邮件防火墙始终处于打开状态;能够强制客户端执行管理中心命令;能够强制客户端程序不被关闭和卸载;能够强制客户端不能修改防毒和杀毒策略。对整个网络性能的影响非常小。提供对邮件服务器的监控功能,能有效过滤和处理垃圾邮件。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:通信产业报 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行