保险行业在IT建设方面应该有几方面需要考虑。第一个就是安全防御能力的,相应的,我们需要有一个全面的保护的手段。第二个是要求稳定性。如何保证系统实现7×24的不间断运行,从安全、网络监控的角度来说都是非常重要的。第三个就是投资回报率的问题,我们需要有很好的投资回报。我们在做网络安全选择的时候,性价比显然是非常重要的考虑因素。第四,绿色、节能、环保,我们对数据中心、网络进行建设,越来越多地考虑机房占用空间、功耗、发热量等问题。
和其他金融行业一样,保险行业也有访问控制的需求,一定要明确掌握究竟谁才有相应的权限来访问相关的网络区域。要杜绝一切不必要的以及非法的网络请求,尽可能降低安全风险。
再下一个就是说到监控的问题了,对于网络也好,对于安全也好,我们要不断地监控整体的运行状态。之前发生了哪些安全事件,是不是能够有效地发出报警,有没有自动地升级更新来弥补漏洞。
最后一个就是一个良好的管理体系以及安全策略的制订。
这几个方面,Fortinet都提供了相应的安全技术以及解决方案来应对。第一个就是网络层安全。在传统上用的比较多的技术就是传统的防火墙、网络控制、VPN对网络进行加密和认证。第二个层次就是内容安全。在这里就用到一些入侵防御系统,以及应用层的安全过滤。比如说对病毒、木马、蠕虫等等这样的一些防御,以及对信息泄露的防御。比如说我们的一些私秘的信息通过应用层的各种协议(HTTP、FTP、IM、P2P)泄露出去。对于这种数据泄露的防护也是在这个层面考虑的问题。第三个是特定应用的安全。刚才我们提到过,比如说对于数据库,我们的数据库是否存在安全漏洞,或者在数据库的使用过程中是否存在一些安全行为。这些都需要事前的审核,以及事中、事后的一些报警等等。另外,我们的系统要Web化,很多的系统都是在Web上来跑的,对Web系统的安全也要考虑。
Fortinet在2000年成立的时候,就致力于打造一个综合的安全防御体系,在各个层面保护用户的网络。我们致力于将物理设备的数量尽可能压缩到最少。这样做有几个好处。第一,降低了管理的难度。从网络层到内容层再到应用层,有很多需要防御的地方。如果部署很多设备的话,管理的难度显然是比较高的。第二,降低了用户的采购和后续的管理维护成本。第三,符合当前绿色环保、节能减排的要求。
现在在数据中心应用了很多服务器虚拟化技术。我的同一个业务系统有可能是跑在不同的物理设备上的,是通过虚拟化的方式来实现。Fortinet在多年前就开始做虚拟化技术。我们和VMware是战略合作伙伴。在每一台FortiGate当中有一个虚拟网关,它的路由、安全策略、用户帐号等等都是独立的。简单地说,买一台FortiGate,就相当于买了好多台设备。虽然不同的业务系统捆绑在不同的业务主机上,我们也可以通过虚拟的安全网关对它进行安全保护。
另外一点,Fortinet使用非常多的硬件技术来对安全功能进行加速。所以,在数据中心层面上,Fortinet的高端设备可以提供120G以上的防火墙吞吐能力,上千万的会话能力,因此对于大规模、集中化的数据中心,我们的设备在性能上做好了非常充足的储备。我们采用了NP芯片以及内部交换矩阵的体系结构。
Fortinet的Web应用防火墙适合在前端来进行部署。它的部署方式很多种,既可以是那种透明在线的部署,也可以是旁路的部署。初期,我们基本上都是旁路的部署方式,通过Web自学习的功能,它可以来通过一段时间的学习之后,产生这种学习结果的报告,再加上管理人员和安全专家的这种分析,就可以知道,在我们这个网络当中,究竟什么样的一些行为是正常的,哪些行为是非法的,然后我们可以把它变成在线的模式,把它进行过滤,把提到的一系列的Web威胁都过滤掉。
