模板
教程
环境
性能
功能
管理
技术时评:全面总结安全的几个瞬间一
主动挑战全球化安全威胁
在网络信息的世界里,安全不是一种状态,而是一个过程。相应的,它所代表的心态也不是高枕无忧,而是如履薄冰。
但是,这并不意味着,我们只能高墙壁垒,殚精竭虑把自己包裹起来。“主动”,就是要在威胁和恐惧中,释放沉静的力量。
环境:网络的惆怅与反思
失掉的比赛
如果仅仅从统计的角度来看,信息安全的未来是悲观的,尽管我们采用了花样翻新的安全产品和解决方案,但我们所面临的安全威胁不是减少,而是大大增加了。
根据CERT的统计,1995年全世界只报告了171个安全漏洞。自此之后,每年报告的漏洞数量已经增加了几个数量级,而且预计还将会以指数形式增长。根据赛门铁克新的互联网安全威胁报告,仅2004年下半年新增的漏洞就达到1403个,比前半年增长了 13%。而且,漏洞的危害性也在水涨船高,新近发现的漏洞中,有 97% 的严重程度为中等或较高,在这其中,更有 70% 被认为是易于利用的,换句话说,网络系统的弱点正越来越频繁地暴露在攻击威胁之下。
与此同时,我们在和病毒、漏洞等安全威胁所展开的速度竞赛中,也逐渐落入下风。随着网络的快速发展,上述这些漏洞平均被黑客利用的时间仅为6天,但是,发现这个漏洞,再经过测试并给其打上补丁却平均需要45~90天的时间。
除了速度和时间上的优势,黑客和病毒在“能力”上也是突飞猛进,新一代的蠕虫病毒出现于2002年,比第一代病毒更为危险,加强了自动化功能,而且由于传播途径的多样化更加难以截获。同时,这些病毒也具备了一定程度的智能特性,Bagle,Mydoom和Netsky 等已经可以扫描硬盘(包括硬盘中的文件和文档)来搜索邮件地址和SMTP客户端并传播病毒副本。它们成功地绕过安全措施防线,因为病毒已被加密打包成可执行文件,并具备终止安全软件运行的功能。这些蠕虫病毒还可以包括在代码中集成的或从恶意网络服务器上下载的黑客后门组件中,可执行拒绝访问攻击,有时也会利用软件漏洞自动执行。
还有一个值得注意的现象就是,由于网络的发展使得带宽大大增加,不少用户更是24小时在线,这使得一些本已在 90 年代末销声匿迹的古老攻击方式,(例如 land ,其使用类似的源向目标 IP 地址和端口发送 UDP 信息包),现在又卷土重来。实际上,他们之所以死灰复燃,就是因为计算机并行处理能力和带宽迅速增加带来的“副作用”。这种“过时的”拒绝服务攻击,在很多情况下却显得“非常有效”,让黑客屡屡得手。
不归路
总结来看,目前网络安全不断受挫的根源有以下两点。
首先是病毒发作或漏洞发布到实施攻击的时间窗越来越短。红色代码在24小时内感染了超过30万台主机;Blaster在4小时内破坏了将近15万台计算机;Sasser蠕虫在48小时内感染了多达130万台PC;Slammer病毒更在10分钟内传遍了整个世界。当我们和这些安全威胁进行打补丁或升级特征库的竞赛时,早已变得力不从心,实时保护更是无从谈起。
其二,就是我们都已经熟悉的木桶理论,由各种安全产品和方案堆积起来的安全系统,难免百密一疏,而只要一点漏洞,就可能导致全盘崩溃,这正是我们防范的难点,因为攻击的手段和所涉及的技术太过庞杂,比如对SYN 洪水有效的防护措施,对于防护会话攻击来说却无能为力,了解到这一点的攻击者即使没有先进的“武器”,但只要混合多种攻击手段,在一种攻击无效时,迅速采用其他手段,往往就可以达到目的。
上述原因的综合作用,带来了一个残酷的现实,那就是,虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了数十亿美元,但企业每天受到攻击的次数却以每半年30%的速度增长。
显然,如果按原有的方式进行下去,这注定是一场无法赢得的战争,也是一条不归路,现在的我们,需要的不是更多的技术,而是一种新的网络安全思路,这就是“主动安全”。
应变:从技术到服务
源头入手
主动安全的实现,首先一点就是打破原有的“堡垒式”防御,很显然,这是一种过时的防护概念,它不仅使我们在被动的封锁中,只能跟在攻击者的后面,完全丧失了斗争的先机,也使得不同厂商、不同产品所建立的“安全堡垒”的沟通,成为整体系统安全的薄弱环节。
要实现主动式的安全,很重要的一点,就是建立一个灵活智能,可以信赖的网络环境。那么,这种网络环境需要达到什么样的要求呢?简单来说,如果一个网络中的行为和行为的结果总是可以预知与可控的,那么这个网络就是安全并且可以信赖的。
当然,在现有的技术条件下,要在短期内实现这一目标是不现实的,但是这并不重要,重要的是,这已经为我们给出了一条新的安全思路,我们可以在这一原则之下,更灵活地掌握和控制。
说到底,用户最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。
所以,虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证用户业务活动和业务数据的安全,并确保用户业务应用的可用性,那么承载用户业务的这个网络对于该用户来说就是符合要求的安全网络。要实现这一点,不可绕过的一步,就是目前非常火热的网络准入控制技术。
撇开复杂的商业利益争夺,各厂商推出的网络准入控制技术虽然称呼各有差异,但核心是基本相同的,具体来讲,该技术的目的,就是在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险。
网络准入控制是实现主动安全的代表性技术之一,相关的技术产品还有很多,我们在后面的文章里会有更详细的介绍。不过,从市场的角度来看,这些技术更多应该是安全厂商关心的话题,而对于广大用户来说,他们更希望以简单直接的方式获得安全,而这非服务莫属。
速溶的“安全冲剂”
一些安全界的专家曾经断言过,“在五年后,市场上将不会再有独立的安全产品。相反,安全功能将会被直接嵌入到网络中。真正全面的、自适应的端到端安全将通过‘虚拟安全’实现。”
这种预言即使不是完全准确,但也代表了一种不可回避的趋势,那就是,有形的安全产品的意义越来越被淡化,用户需要的是一个已经“安全化”的网络,以及保证网络继续“安全下去”的专业服务。这也是未来安全产业最有潜力的市场。
有统计预测,近两年来中国信息安全软件和其他相关产品的销售额,约190亿元,比2003年增长了近30%;中国目前有1400万家中小企业,有信息安全需求的占到40%~50%。
而进一步的调查更现实,这些需求正在不断的整合、改变。其指导思想,就是从寻求合适的产品到寻求可靠的保障。
具体看来,企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。同时经过几年的安全产品的使用,当用户面对更加复杂的网络安全威胁时,已经认识到“仅有安全产品是不够的”。专业化的安全服务正在成为网络安全的重要内容,是否具有专业化的服务能力已经成为考核厂商实力的一条关键性标准。
从去年开始,针对企业级市场的服务之争已初现端倪,更多的厂商把投入重点转到服务上来。对于安全行业来说,基本的服务是保证快速解决用户问题。比如安全厂商大多数采取建立呼叫中心向用户提供服务响应,及时的升级也是必须的服务。在保证这些基本服务前提之下,用户服务需要进一步提升,例如有的企业用户在购买信息安全产品时,不能正确分析自身需求,面对众多安全产品往往出现不知如何选择。这种情况越来越多,厂商们已经开始把竞争的焦点转向对于企业的个性化服务上,帮用户分析自身需求,制订合适的安全策略,甚至让企业用户通过免费试用,来体验解决方案的安全性和可靠性。
其实,从本质上来讲,安全产业就是一个服务型产业,这也是“主动”安全从技术辐射到市场层面的必然结果。
最后,基于安全界“三分方案、七分管理”的缄言,我们还要关注一下“主动”在安全管理上的实现。
