1. 邊界安全發(fā)展簡介
藍盾信息安全科技股份有限公司成立于1999年,至今正好十年了。十年來藍盾公司專注于網(wǎng)絡(luò)安全產(chǎn)品的研發(fā),至今形成了四個研發(fā)方向,其中邊界安全方面上有防火墻、IDS、IPS、DDOS防御網(wǎng)關(guān)、流控墻、UTM等設(shè)備;內(nèi)網(wǎng)保護方面有安全掃描系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)、帳號集中管理系統(tǒng)等;在應(yīng)用防護方面有反垃圾郵件系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、黑客追蹤系統(tǒng)、數(shù)據(jù)庫保護系統(tǒng)等;在終端安全保護方面有基于文件安全的保密系統(tǒng)和相應(yīng)的主機安全保護系統(tǒng)等。十年來,藍盾共開發(fā)出十二大類五十余種型號的公共安全產(chǎn)品。同時,藍盾也承擔(dān)了公安部及保密局的專項產(chǎn)品開發(fā)任務(wù),開發(fā)出多款部級、省級專用安全產(chǎn)品。

邊界安全是藍盾的強項,也是藍盾自成立以來就有的產(chǎn)品。邊界網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在經(jīng)歷了四個階段,從網(wǎng)絡(luò)邊界部署的硬件防火墻;過渡到深度包過濾防火墻;再到目前邊界上比較流行的混合式安全,即UTM;到目前,整個網(wǎng)絡(luò)安全發(fā)展趨勢是朝著高效的安全平臺、模塊化的運用、可聯(lián)動的系統(tǒng)管理、可定制的功能需求和快速開發(fā)維護的產(chǎn)品體系架構(gòu)發(fā)展。
這十年來,我們藍盾在邊界安全產(chǎn)品線的研發(fā)也同樣經(jīng)歷了四個階段,1999年開發(fā)出了國內(nèi)具有自主知識產(chǎn)權(quán)的防火墻產(chǎn)品,2002年開發(fā)出深度包過濾防火墻產(chǎn)品,期間同時開發(fā)出漏洞掃描、IDS、DDOS網(wǎng)關(guān)等專業(yè)防御產(chǎn)品,2005年開始研發(fā)UTM統(tǒng)一威脅管理產(chǎn)品,從2009年開始我們基于四維UTM的安全平臺架構(gòu)(以下簡稱4d-UTM,4-dimensional Unified Threat Management)開發(fā)出更加高效、更加靈活、可拓展更高的安全產(chǎn)品。

2. 藍盾4d-UTM體系
藍盾的4d-UTM安全體系是由UTM統(tǒng)一威脅管理,UEM統(tǒng)一終端管理,UPM統(tǒng)一策略管理、以及UCM統(tǒng)一通道管理構(gòu)成。UTM是解決邊界上的應(yīng)用融合,UEM是解決終端主機、服務(wù)器上的安全監(jiān)控。正如目前安全行業(yè)的研發(fā)熱點,可信網(wǎng)絡(luò)與可信終端有一個融合的趨勢,在藍盾4d-UTM的體系里面我們有網(wǎng)絡(luò)上的UTM以及終端上UEM,并且通過UPM對UTM及UEM進行統(tǒng)一的策略管理,體現(xiàn)了這種融合。在4d-UTM體系里,UCM代表者對IPv4、IPv6以及其他異構(gòu)網(wǎng)絡(luò)、復(fù)合網(wǎng)絡(luò)的協(xié)議自適應(yīng)管理。

我們認為4d-UTM體系是解決目前點、線、面信息安全單獨為戰(zhàn)的格局,可以實現(xiàn)信息化的全面安全聯(lián)動。以下我們再稍微具體地來看看這個體系。

首先是邊界層面的UTM,分為4層,從下到上依次為多核安全硬件層、安全內(nèi)核層、可模塊化的功能層、以及設(shè)備表現(xiàn)層/管理層。通過這種系統(tǒng)架構(gòu),藍盾的邊界產(chǎn)品線可以很容易地按功能模塊進行劃分,分解為多種專項功能產(chǎn)品,如防火墻、UTM、VPN、漏洞掃描系統(tǒng)、流控墻、郵件過濾網(wǎng)關(guān)等。
其次是關(guān)鍵信息終端上部署的UEM,在藍盾4d-UTM架構(gòu)圖中,我們看到具體體現(xiàn)為HSC主機安全控制插件,該插件可以運行在主機及服務(wù)器上進行遠程安全管理。同時,UTM與主機上的UEM安全控件可以進行策略聯(lián)動設(shè)置,實現(xiàn)網(wǎng)絡(luò)與終端的安全聯(lián)動。
然后是管理層面的UPM統(tǒng)一策略管理平臺,通過集中及分級管理方式,該UPM平臺能對多臺UTM設(shè)備進行統(tǒng)一的管理,包括了日志的收集和分析、統(tǒng)一的策略下發(fā)、統(tǒng)一的風(fēng)險管理。同時,我們通過部署在互聯(lián)網(wǎng)上的藍盾安全系統(tǒng)管理服務(wù)器對UPM平臺、UTM網(wǎng)關(guān)實時或定時進行更新升級,包括對入侵特征庫、病毒庫、網(wǎng)頁黑名單,以及目前越來越流行的應(yīng)用層級別的程序特征進行升級。
最后,通過該體系的UCM自適應(yīng)通道管理實現(xiàn)對異構(gòu)網(wǎng)絡(luò)和復(fù)合型網(wǎng)絡(luò)的協(xié)議支持。
以下給大家舉個例子了解一下4d-UTM在實際網(wǎng)絡(luò)中的作用。在下面這張拓撲圖中,大家可以看到一個典型的分布式網(wǎng)絡(luò),里面有總部和分部的網(wǎng)絡(luò)拓撲。我們首先把UTM架設(shè)在總部和各個分布的出口位置,保障邊界的安全;再將UEM終端安全控件部署在各子網(wǎng)絡(luò)中重點的信息控制點,實現(xiàn)安全從邊界到終端的控制,包括對進程、注冊表、USB接口、敏感文件、殺毒軟件、系統(tǒng)補丁等方面的安全管理;我們再通過統(tǒng)一的策略管理平臺UPM程序進行設(shè)備的統(tǒng)一管理、日志的統(tǒng)一收集分析,以及風(fēng)險級別、警告級別的統(tǒng)一設(shè)置。整個網(wǎng)絡(luò)涉及到點(及信息終端)、線(即網(wǎng)絡(luò)邊界)、面(及管理層面)各個安全漏洞的易發(fā)點,形成了立體網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全體系的建立。

3. 異常監(jiān)控技術(shù)
另外,在4d-UTM的平臺上有個很重要的技術(shù),就是基于網(wǎng)絡(luò)層的異常監(jiān)控。大家可能會問,對于UTM來說,實現(xiàn)了單純的功能性復(fù)合,而這些功能性的復(fù)合到底是否可以聯(lián)動工作其實更加重要。另一方面,單純從功能而言,UTM可以實現(xiàn)對邊界上各種威脅的管理任務(wù),但是這種管理的復(fù)合性對復(fù)雜網(wǎng)絡(luò)有一定難度,網(wǎng)管人員用起來會眼花繚亂,光顧及功能方面就夠看的了。于是我們在想,是否能有這樣的一種簡單的管理平臺來支持,使用戶能方便的管理網(wǎng)絡(luò)?我們發(fā)現(xiàn),相對于各種花哨的功能,網(wǎng)管人員其實更加關(guān)注網(wǎng)絡(luò)異常情況,希望網(wǎng)絡(luò)安全設(shè)備能對異常進行預(yù)警、定位。于是我們有了這樣一個異常監(jiān)控系統(tǒng)作為4d-UTM體系的補充,與目前潮流反其道而行,拋開應(yīng)用層各種層出不窮的特征分析、程序分析,從網(wǎng)絡(luò)底層發(fā)現(xiàn)網(wǎng)絡(luò)異常狀況。一旦發(fā)現(xiàn)異常狀況即進行警報,同時聯(lián)動UTM上的各項功能進行聯(lián)動防御工作。通過獲取在網(wǎng)絡(luò)層流進流出的數(shù)據(jù)流,對端口數(shù)據(jù)、連接數(shù)據(jù)和流量數(shù)據(jù)加以分析,形成相應(yīng)的關(guān)鍵點監(jiān)控,包括每個IP的流量、連接、端口情況,從數(shù)據(jù)包包頭分析提升到應(yīng)用分析,如對FTP、郵件收發(fā)、網(wǎng)頁瀏覽等應(yīng)用的異常分析,從最根本的網(wǎng)絡(luò)層推測到應(yīng)用層的各種異常原因。

通過這樣一種由底而上的異常分析系統(tǒng),我們可以實現(xiàn)很多網(wǎng)管員關(guān)心的網(wǎng)絡(luò)異常情況診斷工作。
比如,異常監(jiān)控分析系統(tǒng)首先會對部署在各網(wǎng)絡(luò)中的UTM設(shè)備進行自檢,對設(shè)備的網(wǎng)卡工作情況、系統(tǒng)資源等方面建立了一個系統(tǒng)自檢表,保證設(shè)備的正常運行,同時對設(shè)備資源情況也有個異常監(jiān)控。
然后,對網(wǎng)絡(luò)層會話數(shù)實現(xiàn)快照,對網(wǎng)絡(luò)連接數(shù)、新建連接數(shù)進行跟蹤、記錄、異常報警。現(xiàn)在有越來越多的小包的會話充斥在網(wǎng)絡(luò)中,可以產(chǎn)生比大流量爆發(fā)更具有威脅的破壞力,我們可以監(jiān)測網(wǎng)絡(luò)中的小包數(shù)量,設(shè)置警戒線,當(dāng)過了警戒線即實時向管理員報警,使其能采取相應(yīng)的預(yù)防補救措施。同時,在流量方面通過以預(yù)設(shè)警戒線的方式進行報警,對網(wǎng)絡(luò)進出的流量進行了實時的分析,并且比對數(shù)據(jù)包方面的監(jiān)控數(shù)據(jù)進行多維分析,將流量還原歸類為不同大小的數(shù)據(jù)包。
在實際應(yīng)用中,越來越多的網(wǎng)絡(luò)里小包的產(chǎn)生率越來越高,在眾多實施過的網(wǎng)絡(luò)中我們發(fā)現(xiàn)如果不對小包加以控制的話,如果讓 64 bytes到 256 bytes的小包比重達到30-50%時,就會造成網(wǎng)絡(luò)不穩(wěn)定,就會有網(wǎng)絡(luò)連接慢、連接不穩(wěn)定的情況發(fā)生。通過對數(shù)據(jù)包、流量、連接情況進行警戒線的比對捕捉,我們就可以實現(xiàn)異常網(wǎng)絡(luò)情況的實時分析和報警。
通過以上的介紹,大家可以了解到,經(jīng)過藍盾4d-UTM體系的部署,用戶能真實解決信息安全管理散亂的格局,統(tǒng)一對多維安全域?qū)崟r監(jiān)控,實現(xiàn)信息化安全的全面聯(lián)動。