超高速网络背后的安全隐患
之前,大多数企业虽然已经采用一定的网络安全手段(如防火墙、入侵检测、漏洞扫描等)和安全管理措施,但在安全事故发生后,却仍然无法进行及时告警响应、准确定位事件源头,由此给政府、企事业单位带来极大的困扰和严重的信息安全隐患。而近几年,为了有效避免网络上泛滥的泄密、色情、反动、暴力等内容,净化互联网环境,很多企事业单位都按照公安部82号令要求部署了上网行为管控设备,以及保存行为记录的日志系统。
在快速发展的中国,会有很多意料之外的事情发生。预计到2015年末,我国的网络用户将从目前平均1.4M的宽带水平提高到20M,运营商、大型企事业单位的城域网都将迎来流量“洪峰”。“曾经”可以胜任的审计平台,在内部业务需求不断增长和国家“宽带中国”战略下,面对大流量、多业务等复杂情况,将真正遇到性能极限的挑战。
以运营商为例,安全审计的要求是能够100%记录用户上网日志,并且要有极高的识别率,这就要求审计设备需要记录NAT、URL和IM上下线的所有日志,并在10G大流量下保证日志数据不会丢失。但传统的架构是采用网关与第三方日志系统“分离”的审计平台,在如此大的带宽和用户接入数量面前,吞吐量明显不足,直接映射出“日志入库遗漏、不完整,查询速度缓慢……”等诸多问题。另外,传统产品特征库更新缓慢,面对层出不穷的互联网新应用、新软件(如微博、微信等),将无法提取关键信息。
新的挑战已经抛出!如何在超高速网络下,对上网行为进行有效的监控,及时发现违反安全策略的事件并实时告警、记录?如何在“海量”日志中对安全事件定位分析,取证迅速,满足合规性审计要求,已经成为我们迫切需要解决的问题。
网关与审计一体化之后重在“高效”
信息安全是一个挑战不断与持续创新领域,面对问题,我们不得不思考答案:“合力则生机”。为了突破国内网络大提速对网关和审计所造成的性能与容量瓶颈,一直专注于网络安全领域前沿技术研发的Hillstone将高性能安全网关与HSA安全审计平台采用“一体化”管理。
这样的设计并非简单的“混搭”,它重点解决了网络提速后的两大难题:网关的性能;审计的容量。要突破高速网络下的审计瓶颈,必须采取“1+1>2”的思路,解决环环相扣的问题。由于Hillstone高性能安全网关不但可提供超强的处理能力,还可以根据应用的内容特征、行为规律、历史记录关联信息等,对800多种网络应用以及加密的P2P应用进行深度识别,这就解决了100%日志提取和新应用、新软件的采集瓶颈。
在容量方面,Hillstone HSA提供了高达8TB的存储空间,满足监管部门监管要求。日志入库性能最高可达100,000EPS,而日志记录检索时间小于20秒,充分满足快速响应监管审计的要求。配合Hillstone高性能安全网关的高性能NAT功能和上网行为分析功能,能够有效记录接入用户的NAT、URL和IM上下线访问日志,为用户提供了“海量”日志“秒级”查询的功能。
“一体化管理”多行业受益
仍以宽带运营商为例:将 Hillstone高性能安全网关以HA模式部署在转发层,同时将HSA安全审计平台直连汇聚层交换机,通过配置将安全网关的日志服务器集中连接到HSA安全审计平台,便可通过HSA相关的管理工具对日志进行快速的索引。
【Hillstone安全审计平台的典型部署示意图】
通过实践,福建移动、江苏电信、金华电信、中国电信SOC平台、中国电信WAP平台、方正宽带等都对Hillstone的产品性能给出了极高的评价。方正宽带公司核心网管理部的何山先生表示:“与其他行业相比,运营商真正符合了‘海量日志’这个大家非常习惯用的修饰词。从测试到部署,HSA安全审计平台的高性能得到了充分的验证,在高峰期8Gbit/s的流量下,具有良好的稳定性,并且保持高速日志存储的能力。”
Hillstone高性能安全网关与HSA安全审计平台“一体化管理”的组合,不但可以为宽带运营商提供高性能平台,在高校、政府单位、大中型企业中皆都实现了网络安全创新的价值。