企业在选择网络安全解决方案之前应该先了解自身的需求。自身的网络架构是什么样子?哪些网络应用属于关键业务?哪些应用环节容易遭受病毒攻击? 只有充分认识了自己的需求,才能面对众多安全厂商销售人员时处乱不惊、冷静分析,找到最适合自己的解决方案。资金预算有限,我们要打响精打细算的金算盘, 坚决抵制花冤枉钱。
大型企业 多合一防护 利弊两面
大型企业网络规模大、业务多,超多节点和复杂应用意味着网络将面临更多的安全威胁。作为大型企业的IT主管应该如何应对安全威胁?是实施产品分 开的综合安全防范,还是采纳整合方案,选用集多种安全功能于一身的统一威胁管理平台?我们有必要精打细算一番。
传统方式只能大投入
大型企业网络一般采用以太网组建网络,利用ADSL或者DDN专线连接Internet网络,网络应用多元化,主要包括自身应用系统、邮件系统 等。其网络特点是数据存储量大,安全性要求高,以保证分支机构互相通信。
大型企业的网络特性决定了其对网络安全的特殊要求:减少网络中的病毒侵害,抵御恶性攻击,终端客户的有效管理,设备资源的有效管理,数据存储的 安全可靠,分支机构的网络通信安全通畅。
摆在大型企业用户面前的安全解决方案有两种方案。其一,针对网络可能出现的不同威胁安装相应安全设备,例如防火墙、网络防病毒、入侵检测系统、 内容检查系统等;其二,安装基于硬件平台的、集多种安全防护功能为一身的UTM产品。
对这类网络系统应用复杂的大型企业来说,传统的安全部署方案通常如下:
首先,针对病毒威胁,在网络中安装企业版防病毒系统,价格起码在20万元以上。通过防病毒系统可以有效地防御通过文件、软盘以及从其他外来数据 拷贝途径带来的病毒侵害。
其次,在总部及各分支机构网络边界安装带有网关防毒功能的防火墙,采用防火墙可以有效地防护和抵制外来代码、人员的恶意攻击,使得网络的保护能 力加强,内部网络的使用变得安全。由于带宽流量较高,应用复杂,高端防火墙的价格大约是百万元起价。
第三步就是增加入侵检测设备。根据防护对象的不同,入侵检测设备分为主机防护和网络防护,主机防护主要针对数据存储安全级别高的服务器进行入侵 防护。这部分设备的投入也不菲。
第四是增加网络设备管理系统。在大型企业内部,设备多、功能不同,人为管理容易失灵,所以应该添加适当的网络设备管理系统。企业为此该支出的费 用大约为十多万元。
第五是增加网络资源管理和桌面管理系统。这部分并不是每个大型企业都会有支出,但是一旦购买该系统,就能够实现对设备和终端用户更为有效地管 理,使得设备资源不至于大面积浪费,减少没不必要的投资,减少公司开销,提高工作效率和管理能力。
此外,再根据企业的实际应用,还需增加反垃圾邮件、身份认证等。总的来说,一个大型企业的网络安全部署大致要耗资数百万元,而且由于多种安全设 备的综合使用,给网络管理人员也带来了不小的工作压力。
UTM有弊端但也省钱
如此价格不菲的支出,即使是财力相对雄厚的大型企业也必须对市场上现有的安全设备权衡考虑。如何能兼顾成本和效用,一些大型企业决定使用统一威 胁管理(UTM)设备。
目前,在安全领域,不同厂商实现UTM的方式不尽相同,通过采访了解,一种功能实现的方法是,基于原有防火墙的架构增加其他各项功能;另一种功 能实现的方法是,基于原有IDS/IPS的架构,增加其他各项功能;而比较理想的功能实现的方法是基于统一威胁管理的平台,再在上面根据需要添加各项功 能。
在大型企业内部,各项安全防范措施都基本完善的前提下,选用UTM实现方式从经济性上考虑更为合适。采用高端UTM产品虽然花费也不小,但相对 于独立部署相应的安全产品,还是节约很多,而且同样可以做到对进出企业网络的流量全方位过滤黑客攻击、病毒、入侵、不良内容和垃圾邮件等,在几乎不影响网 络速度的情况下提供高速内容处理能力,达到用户期望的安全防范效果。
另外一方面,虽然UTM集成了多种功能,但不一定需要同时开启。用户可根据不同的需求以及不同的网络规模,来决定功能的选择。例如,能源型企业 对于防病毒、入侵防御的安全需求较大,因此需要UTM安全解决方案整合防火墙、防病毒、入侵防御、VPN、Web过滤、反垃圾邮件等多种安全功能。
当然,UTM产品由于其多合一的特性,目前也存在不少需要解决的地方,有些企业在部署之后会发现网络性能下降,例如,在发生阻断服务攻击时,系 统处理大量的攻击封包,造成攻击渗透的问题;同时,UTM强调整合性防御,集多种安全机制于一身,却因此在一定程度上减少了防御纵深。
多功能合一不可避免会对网络性能产生影响,但分开的单一安全防范也不可能万无一失。特别是UTM设备能提供全面的管理、报告和日志平台,用户可 以统一地管理全部安全特性,包括特征库更新和日志报告等。随着性能的提高,大型企业和服务提供商也可以考虑使用UTM作为优化的整体解决方案的一部分。
中小企业 囊中羞涩企业也无需气短
如今的中小企业与大型企业一样,都开始广泛地利用信息化手段提升自身的竞争力。信息设施有效提升了中小企业的运营效率,使中小企业可以更快速地 发展壮大。然而在获得这些利益的同时,给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小,但是 其面临的安全威胁却日益增加。
中小企业一般只在总部设立完善的网络布局,采取专线接入、ADSL接入或多条线路接入等网络接入方式,一般网络终端总数在几十到几百台不等。网 络中有的划分了子网,并部署了与核心业务相关的服务器,如数据库服务器、邮件服务器、文档资料库服务器甚至ERP服务器等。
理论上说,中小企业既可以构建由防火墙、入侵检测、防病毒等功能产品组成的整体方案来保证企业的网络安全,也可以通过UTM设备来实现安全。对 于很多保证安全的用户来说,到底哪一种方案更加适合呢?我们还是同样从功能、性能、经济性等方面,一起来算算帐吧。
功能更合适
UTM并非某种新产品,而是目前各种安全产品与解决方案的集成。因此,在保证安全的功能方面,两者之间几乎是等同的。随着UTM平台的完善,目 前几乎所有的安全产品和技术都可以在UTM中集成,而且从单一功能的角度来比较,差别很小。从这个角度来说,担心UTM不够全面的用户大可放心选择。
同时,从实际选购的角度来说,虽然市场上有众多的安全产品,然而很多中小企业却失望地发现适合自身的“佳偶”实在是难觅。这是由于市面上的网络 安全产品大多是以大型企业的系统为标准,这种直接将大型企业授权的模式应用在中小企业的方案,无法将琐碎乏味的管理工作简化,并会造成大量网络资源的浪 费。对于中小企业而言,使用这些安全产品只会是事倍功半。再有就是服务,“优质的服务都只是对那些大型企业而言的,对我们中小企业来说只能是梦想!”一位 中小企业负责人如是说。
性能更简单
一个可以有效保证中小企业网络安全的系统通常包括防火墙、入侵检测、漏洞扫描、安全审计、防病毒和流量监控等功能产品。但由于安全产品来自不同 的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,容易形成许多安全孤岛和安全盲区。
UTM则有着传统安全防护设备所不具备的优势。首先,UTM设备大大降低了安全系统构件的复杂性,一体化的设计简化了产品选择、集成和支持服务 的工作量、避免了软件安装工作和服务器的增加。安全服务商、产品经销商甚至最终用户通常都能很容易地安装和维护这些设备,而且这一过程还可以远程进行。
其次,UTM设备的维护量通常很小,因为这些设备通常都是即插即用的,只需要很少的安装配置。
再有,大多数UTM设备可以和高端软件解决方案协同工作,这一特性很有吸引力,因为很多硬件设备通常安装在远程地点,企业在那里往往没有专业安 全管理人员,UTM设备可以很容易地安装并通过远程遥控来管理它。这种管理方式可以很好地和大型集中式的软件防火墙协同工作。
最后,由于应用的需求,用户通常都倾向于尝试各种操作,而UTM安全设备的“黑盒子”设计限制了用户危险操作的可能,通过更少的操作过程降低了 误操作隐患,从而提高了安全性。
价格更便宜
中小企业的资金流比较薄弱,这使得中小企业在网络安全方面的投入总显得底气不足。“现在竞争激烈,利润低,开支大。像我们这样的中小企业资金本 就有限,上马信息化系统都已经很不容易了,根本就没有足够的钱再来建立完善的防御体系。”一位企业负责人李先生无可奈何地表示。的确,中小企业有限的资金 都用在了日常的生产和运作之中了,能够建立起企业网已属不易。李先生接着表示,“现在的网络解决安全方案都很昂贵,不是我们这样的企业能够承受的。”
而整合式的UTM产品相对于单独购置各种功能,可以有效地降低成本投入。以一个带宽流量在100MB以内、终端数量200台左右的中小企业用户 为例,如果构建网络安全系统,即便是采用基本配置,也需要购买4万元左右的防火墙一套、10万元的网络版防病毒软件、7~8万元的IPS一套,再结合一些 反垃圾邮件、URL过滤等设备,总价应该在40万元以上,而如果客户选择UTM产品,据介绍,客户只需要有10~20万元的投入,即可满足上述要求。
此外,从系统后期运行维护的角度来说,选择UTM给企业带来的安全效益是难以准确估量的。中小企业由于规模小,IT人才相当匮乏,一个中型企业 的IT人员往往只有一个人,而且可能还有身兼数职。因此,中小企业即使建立起了安全防护体系,其维护和升级也往往是三天打鱼两天晒网,最终导致整个安全体 系形同虚设。不是中小企业不想维护,实在是心有余而力不足。而UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不 足。这使得中小企业可以最大限度地降低对安全供应商的技术服务要求,充分发挥产品的使用效果。
特殊机构 单独问题单独处理
除了大、中小型企业之外,市场中还存在着一大批拥有特殊信息安全要求的企业或机构,比如医疗、电信、政府、金融等机构。这些用户规模各异,但往 往有着自己特殊的安全需求。政府机构信息安全的重要性不言自喻,医院着重要求信息系统有安全运行管理、安全防御和应对突发事件的能力;电信行业严格要求 7×24小时的运转维护,使得安全设备经受更严格的考验……
具体以金融行业为例,现在许多金融机构都处在一个十字路口。一方面,他们希望扩大电子化网点,推出电子化新品种;另一方面,他们又对随之产生的 安全风险感到忧心。远程访问可以大大提高银行运作效率并使之从中获得更多商业机会。这就要求金融远程访问服务系统不仅要依从严格的安全数据通讯协议,更要 求应用强有力的身份认证机制和完善的存取控制措施。对于近年在安全产品市场上一路高歌猛进UTM,是否适合金融行业呢?我们来一把秋后算账。
单买 好用但贵
一个省银行从网络结构上整体分为业务网络与办公自动化网络系统,办公自动化网络系统为银行内部用户办公使用,银行通过全省业务网络或全国联网, 实现银行储蓄及对公业务跨地域通存通兑等业务。银行信息网络安全系统的建设工作总体看来都包涵在安全防护、安全监测、安全管理和安全服务4个部分。
安全防护中,访问控制主要依靠防火墙技术、划分Vlan技术身份认证技术等方式来实现。保密性、可用性、不可抵赖性主要包括一些信息保密手段, 例如使用 VPN技术、采用加密软件或者应用CA证书保证数据的安全防护等。防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。
安全监测中,实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件,系统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应 用系统漏洞情况并及时采取必要的措施。
安全管理中,建立好的银行信息网安全管理体系,需要负责管理全网所有设备的技术人员,这是一项不可忽视的支出。
安全服务中,银行不能忽视安全公司所提供的前期、中期、后期所需的各种保障服务,这项支出对于明智的银行来说不能忽略。
从功能上看,独立购买安全设备肯定能满足特殊机构的需求,因为UTM都是由各种不同厂商的各种产品集合起来的,但如果从经济上来看,这就非常不 划算了。
从性能上看,目前银行对网络出口敏感信息和对于网络内部重要应用服务器、交换机的审计越来越受到重视。而使用传统的七拼八凑方式,因为各种产品 的标准不统一、不兼容而导致没有办法实现安全审计这一环。此外,分散单一功能的设备虽然专业性强,但是协调性、可维护性、投入成本往往不尽如人意。有时不 同供应厂商之间还会产生扯皮现象,不利于分析故障。
风险与经济并存
UTM十分适合中小企业使用,大企业也开始使用。那么UTM是否适合这些网络规模不大,但是安全要求很严格的用户呢,这些用户选择UTM有何 得?有何失?
UTM的优点不用赘述,成本降低、管理复杂度降低、技术复杂度降低。最突出的一点是价格因素,以金融机构为例,“如果一个银行只针对内网的话, 使用UTM大概需要二、三十万元,和一个普通的中小企业类似;但如果针对外网的话,需要100万元以上”。记者从联想网御了解到,以联想网御Power V5200 UTM防火墙为例,这款据介绍可在企业、政府机关、电信、金融行业的网络边界处提供实时地安全防护的产品,最低配置媒体报价是166万元,最高配置的媒体 报价是336万元。报价尽管不菲,但是同时节省了大量的技术人员工资支出以及维护费用。
对于这些用户来说,对UTM的担心主要体现在过度集成带来的风险以及性能和稳定性的不足。
将所有功能集成在UTM 设备中,使得抗风险能力大大降低。一旦该UTM 设备出现问题,所有的安全防御措施全都失效。而你能想象金融机构,甚至政府机关、电信运营机构出现这种断层现象吗?后果一定不堪设想。
与UTM的弱点有关,与目前市面上的UTM产品质量参差不齐也有关,对于安全数据、身份认证机制、存取控制措施三个金融机构的特殊要求,很多厂 商可以说是可以实现,但并非完全能胜任,这其中还有一个很大的上升空间。
目前,众多厂商正在前赴后继地在实践中不断完善UTM技术和整体解决方案中,所以这些用户可以静观其变,做出自己正确的判断。