从目前的网络攻击情况来看,混合型的攻击手段层出不穷,想要抵御这样的攻击,仅靠一台防火墙是远远不够的,只有像UTM这种综合性安全防护产品才是应对混合攻击的最佳选择。防火墙只是UTM的一个最基本模块,综合防护能力远不及UTM。
UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
UTM的特点与企业需求
UTM可以建一个更高,更强,更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝服务,黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。我们看到中小企业网络拓扑比较简单,层次不深,对于应用层有较高要求,于是该特性正好应对中小企业需要,弥补了网络不足。 UTM有高检测技术来降低误报。作为一个串联接入的网关设备,一旦误报过高,对拥护来说是一个灾难性的后果,IPS就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率,因此,针对不同的攻击,应采取不同的检测技术有效整合可以显著降低误报率。
图一
中小企业中,网络管理员的工作繁杂,人员一般比较紧张,而UTM的出现恰好可以帮助网络管理员解决一部分网络问题,提高运营效率。
UTM有高可靠,高性能的硬件平台支撑。对于UTM时代的防火墙,在保障网络安全的同时,也不能成为网络应用的瓶颈,防火墙/UTM必须以高性能,高可靠性的专用芯片及专用硬件平台为支撑,以避免UTM设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。
虽然说UTM不能完全屏蔽掉网络中可能出现的弊端,但是对于具有人工智能方式的网络来说,其自身的优势已经可以排除大部分手工内容,其互补性不言自明。
企业应用UTM案例
随着湖北中烟安全系统建设规模越来越大,安全防范技术越来越复杂,增加了安全管理工作的难度和复杂性:现有部署的安全防护产品各自为政,没有形成有效的互动、发挥安全合力的作用,形成全方位、多层次的安全体系;各种安全设备相对独立的部署方式,产生了独立、海量的事件报警,导致难以把握全局的安全状况,无法对整个系统潜在威胁以及风险状况进行评估;同时安全策略和配置难于统一协调,也导致了安全运维管理的难度;此外,安全管理制度不完善,缺乏流程执行情况的监管措施,导致安全策略体系的不健全,已有的安全策略无法得到落实。
图二
经过谨慎评估,湖北中烟最终决定通过启明星辰泰合信息安全运营中心系统(TSOC)来搭建安全管理平台,完善安全管理体系、安全运维体系和安全技术体系。
完善安全管理体系,建立健全组织机构、规章制度,落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。整合现有和将建的安全系统,实现安全体系的统一集中管理,对安全事件进行集中处理、关联分析和预警,实现可管。
完善信息安全运维体系,制定全面、合理、可行的运维操作流程和规范,内容覆盖风险评估、系统维护、应急计划和事件响应等运行维护的各个方面,并结合安全管理平台,进行安全运维体系的实施。
实现安全风险的全局监控,对于全局的整体安全状况进行可视化展示,并通过对安全风险的监控与统计,为以后安全技术体系的完善提供建设分析依据。建立应急响应预案及知识库,为安全事件的处理提供参考,从而实现安全事件从发生、到分析、到定位、到解决的闭环处理,实现可控。
束语
UTM凭借灵活的模块化设计,为各类型的企业提供了不同的选择,企业可以按自身的实际需求选择模块,有效的节约成本;对于未来需要添加的功能,等到升级时再添加即可,这使得初期投资更加有保障。UTM大大降低了网络维护人员的技术要求,同时大大减少了繁琐的日常维护工作,这样也为企业减少了一笔不小的维护成本!