統(tǒng)一威脅管理（UTM：UnifiedThreatManagement）概念符合安全防護(hù)技術(shù)一體化、集成化的發(fā)展趨勢(shì)。但目前多數(shù)國(guó)內(nèi)UTM廠(chǎng)商是在一種核心技術(shù)的基礎(chǔ)上加入其他技術(shù)，或只是將各種安全功能堆積到一起，沒(méi)有從底層做集成優(yōu)化設(shè)計(jì)，尤其是同時(shí)開(kāi)啟各功能時(shí)，性能會(huì)急劇下降，加上國(guó)際、國(guó)內(nèi)都沒(méi)有UTM產(chǎn)品的統(tǒng)一標(biāo)準(zhǔn)和規(guī)范，更是導(dǎo)致了許多問(wèn)題的出現(xiàn)。提出中國(guó)UTM產(chǎn)品在互操作、硬件支持、基礎(chǔ)平臺(tái)和用戶(hù)定制等技術(shù)上創(chuàng)新發(fā)展的一些設(shè)想和建議。

    隨著IT技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊行為日益呈現(xiàn)出新的特點(diǎn)：一是混合型攻擊，如病毒、蠕蟲(chóng)、木馬和后門(mén)攻擊，通過(guò)E-mail和被感染的網(wǎng)站發(fā)出，并很快地傳遞散播產(chǎn)生攻擊的變種，使得安全設(shè)備必須對(duì)付已知或未知攻擊；二是新漏洞的攻擊產(chǎn)生速度快，安全設(shè)施需要防范各種被稱(chēng)為“零小時(shí)”（zero-hour）或“零日”（zero-day）的新的未知攻擊；三是伴隨著社會(huì)工程陷阱元素的攻擊層出不窮，間諜軟件、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點(diǎn)等防不勝防，攻擊者們偽造合法的應(yīng)用程序和郵件信息來(lái)欺騙用戶(hù)去運(yùn)行它們。此外，越來(lái)越多的企業(yè)發(fā)現(xiàn)，安全威脅不僅來(lái)自外部，企業(yè)內(nèi)部的不當(dāng)互聯(lián)網(wǎng)訪(fǎng)問(wèn)、濫用互聯(lián)網(wǎng)以及泄密行為等，同樣會(huì)帶來(lái)安全問(wèn)題。據(jù)美國(guó)著名的市場(chǎng)研究機(jī)構(gòu)IDC報(bào)告，70%的安全損失是由企業(yè)內(nèi)部原因造成的，而不當(dāng)?shù)馁Y源利用及員工上網(wǎng)行為往往是“罪魁禍?zhǔn)?rdquo;。

    面對(duì)這些新形式下的安全威脅，傳統(tǒng)的防火墻、入侵檢測(cè)系統(tǒng)/入侵防護(hù)系統(tǒng)（IDS/IPS）或防病毒等單一功能安全產(chǎn)品已經(jīng)顯得無(wú)能為力，因此安全防護(hù)技術(shù)一體化和集成化需求應(yīng)運(yùn)而生。中國(guó)信息化技術(shù)和信息化程度不斷提高，面臨的安全問(wèn)題也日益突出，必須在一體化安全管理方面有所創(chuàng)新，研究和發(fā)展新技術(shù)，并開(kāi)辟?gòu)V闊的國(guó)內(nèi)外市場(chǎng)。

    一、UTM概念的起源及研究意義

    2002年，統(tǒng)一威脅管理（UTM：UnifiedThreatManagement）首先由FortiNet公司提出。當(dāng)時(shí)由于混合威脅頻繁出現(xiàn)，為了滿(mǎn)足中小型企業(yè)對(duì)防火墻、IDS、VPN、反病毒等安全產(chǎn)品和功能的集中管理需求，F(xiàn)ortiNet試圖將這些技術(shù)整合到統(tǒng)一的設(shè)備里來(lái)實(shí)現(xiàn)統(tǒng)一的威脅管理，UTM概念也因此誕生。但在UTM發(fā)展的初期，安全廠(chǎng)商對(duì)UTM的解釋不盡相同。直到2004年9月，IDC才對(duì)UTM進(jìn)行了明確定義：是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的專(zhuān)用設(shè)備，組合防火墻、VPN、IDS/IPS、防病毒、防垃圾郵件、網(wǎng)址過(guò)濾、內(nèi)容過(guò)濾、流量監(jiān)控等功能，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。鑒于此，國(guó)際權(quán)威的網(wǎng)絡(luò)與安全測(cè)試機(jī)構(gòu)——NSSGroup制定了測(cè)試UTM產(chǎn)品的依據(jù)，即在單一的UTM設(shè)備上應(yīng)該具有防火墻、IDS/IPS、防病毒、防垃圾郵件、VPN、內(nèi)容過(guò)濾、網(wǎng)址過(guò)濾等多種安全功能（如圖1所示）。

 

    圖1  UTM設(shè)備功能

    UTM概念符合安全防護(hù)技術(shù)一體化、集成化的發(fā)展趨勢(shì)。UTM產(chǎn)品已經(jīng)成為防御混合型攻擊的利劍，能夠提供綜合的功能和安全的性能；能夠降低復(fù)雜度和成本；能夠?yàn)橛脩?hù)定制安全策略，提供靈活性；能夠提供全面的管理、報(bào)告和日志平臺(tái)，用戶(hù)可以統(tǒng)一地管理全部安全特性；此外，UTM要求可擴(kuò)展性好，能夠?qū)σ阎臀粗{、以及來(lái)自外部和內(nèi)部的威脅增加檢測(cè)和防御能力。

    目前，中小型企業(yè)由于缺乏安全技術(shù)人員、資金有限，安全問(wèn)題一直困擾著他們的發(fā)展，UTM自誕生之日起就備受中小企業(yè)用戶(hù)的青睞。隨著信息安全威脅多樣性和混合性的發(fā)展趨勢(shì)越來(lái)越明顯，大型企業(yè)甚至服務(wù)提供商也開(kāi)始部署UTM設(shè)備，尤其是教育、金融、能源和電信等行業(yè)的需求十分明確。

    在快速發(fā)展的中國(guó)IT安全市場(chǎng)中，2005年UTM市場(chǎng)成為一個(gè)重要的新興市場(chǎng)，2006年UTM市場(chǎng)規(guī)模達(dá)到了2700萬(wàn)美元，相對(duì)于2005年增長(zhǎng)了84.3%。據(jù)IDC預(yù)計(jì)，到2011年，中國(guó)UTM市場(chǎng)規(guī)模將達(dá)到1.89億美元。

    二、國(guó)內(nèi)外UTM技術(shù)/產(chǎn)品的現(xiàn)狀及存在的問(wèn)題

    目前UTM設(shè)備的領(lǐng)先廠(chǎng)商均是美國(guó)公司。但聲稱(chēng)支持UTM的諸廠(chǎng)家的技術(shù)實(shí)現(xiàn)有很大的區(qū)別。大多數(shù)UTM產(chǎn)品和UTM解決方案更多的是在已有產(chǎn)品或已有解決方案的基礎(chǔ)上進(jìn)行整合，比如：CiscoASA系列，僅僅是防火墻/VPN設(shè)備加上防病毒、防間諜軟件和入侵防御功能，網(wǎng)關(guān)防病毒/防間諜軟件和IPS則需要不同的硬件模塊，因此不能同時(shí)使用；Juniper的Netscreen5GT則只在個(gè)別產(chǎn)品型號(hào)上支持防病毒功能。還有些廠(chǎng)家的全線(xiàn)產(chǎn)品支持防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防御、反間諜軟件功能、反垃圾郵件功能等，如SonicWALL。而在UTM市場(chǎng)領(lǐng)先的Fortinet公司，則利用自主產(chǎn)權(quán)的ASIC芯片技術(shù)，創(chuàng)新推出FortiGateUTM系列，大幅度提升開(kāi)啟防病毒功能下的安全性能，實(shí)現(xiàn)七種重要的UTM特性，包括防病毒、VPN、防火墻、IDP、內(nèi)容過(guò)濾、反垃圾郵件和流量控制。

    自2005年以來(lái)，以UTM為代表的安全方案受到越來(lái)越多國(guó)內(nèi)用戶(hù)的關(guān)注，特別是在一些中型企業(yè)和政府部門(mén)。市場(chǎng)的變化在促使科研機(jī)構(gòu)和傳統(tǒng)的安全廠(chǎng)商轉(zhuǎn)型，包括安氏、華為、聯(lián)想網(wǎng)御、天融信、啟明星辰、神州泰岳、中科安勝、北信源、綠盟等在內(nèi)的多家國(guó)內(nèi)安全廠(chǎng)商，近期紛紛宣布或者打算挺進(jìn)國(guó)內(nèi)UTM市場(chǎng)。這些安全廠(chǎng)商已經(jīng)在防火墻、IDS/IPS和安全管理領(lǐng)域擁有各自的研究成果和系列產(chǎn)品，并開(kāi)始在UTM相關(guān)領(lǐng)域探索產(chǎn)品的研究和開(kāi)發(fā)。

    但國(guó)內(nèi)的UTM廠(chǎng)商往往在一種核心技術(shù)的基礎(chǔ)上加入其他技術(shù)，從而衍生出一種現(xiàn)象——單邊產(chǎn)品，所謂單邊產(chǎn)品就是其中某一項(xiàng)功能強(qiáng)，而其他功能相對(duì)較弱。這是由UTM廠(chǎng)家的技術(shù)背景決定的。目前來(lái)看，UTM設(shè)備主要有三種出身：一種是從防火墻技術(shù)衍生而來(lái)，一種是從防病毒技術(shù)衍生而來(lái)，還有一種是從入侵檢測(cè)/保護(hù)技術(shù)衍生而來(lái)。這就使得用戶(hù)在使用中發(fā)現(xiàn)，自己所購(gòu)買(mǎi)的產(chǎn)品并未能有效發(fā)揮其預(yù)期的效用，尤其是同時(shí)開(kāi)啟各功能時(shí)，性能會(huì)急劇下降，因此感受不到UTM和單一安全產(chǎn)品的差別。并且，各廠(chǎng)商之間的UTM產(chǎn)品同質(zhì)化趨向明顯，用戶(hù)的選擇性不大，極大地影響了UTM在客戶(hù)群中的置信度。而目前國(guó)際、國(guó)內(nèi)都沒(méi)有UTM產(chǎn)品的統(tǒng)一標(biāo)準(zhǔn)和規(guī)范，各UTM設(shè)備的功能、性能等指標(biāo)，以及各廠(chǎng)商的實(shí)現(xiàn)方法、包含的功能等均不盡相同。

    三、推進(jìn)中國(guó)UTM技術(shù)發(fā)展的自主創(chuàng)新技術(shù)

    隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，各種入侵的行為層出不窮，UTM概念也會(huì)不斷延伸，UTM設(shè)備會(huì)集成越來(lái)越多的功能，用戶(hù)的需求也會(huì)出現(xiàn)更大的差異，因此未來(lái)的UTM設(shè)備在互操作性、可擴(kuò)展性和支持用戶(hù)定制方面應(yīng)該取得大的突破。從性能上來(lái)講，隨著網(wǎng)絡(luò)處理器（NPU）技術(shù)的不斷進(jìn)步，性能越來(lái)越強(qiáng)大的多內(nèi)核網(wǎng)絡(luò)處理器不斷出現(xiàn)，高性能、功能更加豐富的UTM設(shè)備將會(huì)很快出現(xiàn)在市場(chǎng)。從基礎(chǔ)平臺(tái)上看，隨著可信計(jì)算技術(shù)在未來(lái)發(fā)展中的基礎(chǔ)作用，基于可信計(jì)算平臺(tái)的安全操作系統(tǒng)對(duì)于解決UTM基礎(chǔ)平臺(tái)的安全保障會(huì)有很大的吸引力。因此，中國(guó)在UTM技術(shù)和產(chǎn)品上的創(chuàng)新研究應(yīng)該從以下幾個(gè)方面開(kāi)展。

    1.多安全功能互操作技術(shù)

    目前，UTM平臺(tái)中各安全部件不僅需要自身具有整合性，更需要與不同規(guī)范表示的其他安全部件進(jìn)行整合，以最終形成在全球范圍內(nèi)統(tǒng)一的可以進(jìn)行協(xié)同安全防御的防范體系。

    XML（eXtensibleMarkupLanguage）因其易于理解而被人們普遍接受，并且采用XSL（eXtensibleStyle Language）能夠方便地把XML表示的數(shù)據(jù)轉(zhuǎn)化為HTML（Hyper-text Markup Language）格式瀏覽。因此，通過(guò)對(duì)UTM平臺(tái)各安全部件公共特性的分析，研究基于XML和CISL（Common Intrusion Specification Language）的公共入侵和檢測(cè)描述語(yǔ)言，可以方便地實(shí)現(xiàn)各種安全屬性、安全功能和安全管理數(shù)據(jù)的有效融合，是一種有效的解決方案。此外，國(guó)內(nèi)外在安全Web Service技術(shù)上逐步成熟，其基本安全規(guī)范中用于整合的Web Service描述語(yǔ)言、用于認(rèn)證和授權(quán)的安全性聲明標(biāo)記語(yǔ)言、用于通信信道保密的SSL、用于高度機(jī)密的XML加密標(biāo)準(zhǔn)和用于高級(jí)授權(quán)的XML數(shù)字簽名等，以及WS-Security WS-Policy、WS-Trust和WS-Privacy等協(xié)議體系描述，對(duì)于解決UTM部件間的互操作規(guī)范，應(yīng)該是一個(gè)很有應(yīng)用前景的課題。

    2.性能優(yōu)化的硬件支持技術(shù)

    UTM需要強(qiáng)勁的處理能力和更大容量的內(nèi)存來(lái)支持，消耗的資源必然是很大的，僅利用通用服務(wù)器和網(wǎng)絡(luò)系統(tǒng)要實(shí)現(xiàn)應(yīng)用層處理往往在性能上達(dá)不到要求。只有解決功能與性能的矛盾，UTM才能既實(shí)現(xiàn)常規(guī)的網(wǎng)絡(luò)級(jí)安全（例如防火墻功能），又能在網(wǎng)絡(luò)界面高速地處理應(yīng)用級(jí)安全功能（例如病毒與蠕蟲(chóng)掃描）。

    要提高UTM的性能，硬件體系結(jié)構(gòu)起著十分關(guān)鍵的作用。目前硬件體系結(jié)構(gòu)正經(jīng)歷從Intelx86架構(gòu)到ASIC架構(gòu)再到NPU架構(gòu)的發(fā)展過(guò)程。國(guó)際市場(chǎng)上多數(shù)UTM設(shè)備主要采用專(zhuān)用ASIC芯片或依靠軟件在一般x86微處理器上完成。專(zhuān)用ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時(shí)內(nèi)容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能，但由于它的開(kāi)發(fā)周期長(zhǎng)、成本高，在需要功能擴(kuò)充時(shí)又缺乏靈活性。依靠軟件在一般x86微處理器上完成，雖然解決了前者的弊端，但卻以犧牲速度性能為代價(jià)。NPU具有出色的可編程能力、編程模型簡(jiǎn)單、系統(tǒng)靈活性好、處理能力強(qiáng)、功能集成度高、編程接口開(kāi)放、支持第三方開(kāi)發(fā)環(huán)境等特點(diǎn)，因此NPU開(kāi)始被引入到網(wǎng)絡(luò)設(shè)備處理層面，它結(jié)合了RISC處理器的低成本、靈活性以及專(zhuān)用硬件（ASIC芯片）的速度等特性，正成為構(gòu)建網(wǎng)絡(luò)設(shè)備的基本組件。由NPU取代快速通道上的ASIC，慢速通道上仍可采用通用CPU，是一種行之有效的解決性能優(yōu)化的UTM硬件支持技術(shù)方案。

    3.安全可信的專(zhuān)用基礎(chǔ)平臺(tái)技術(shù)

    專(zhuān)用的基礎(chǔ)平臺(tái)——安全操作系統(tǒng)，能夠?yàn)橄到y(tǒng)提供精簡(jiǎn)的、高性能的在線(xiàn)檢測(cè)與分析平臺(tái)?；谟布铀?，加上智能排隊(duì)和管道管理技術(shù)，使各種類(lèi)型流量的處理時(shí)間達(dá)到最小，從而給用戶(hù)提供最好的實(shí)時(shí)系統(tǒng)，有效地實(shí)現(xiàn)防病毒、防火墻、VPN、反垃圾郵件、IDS/IPS等功能。

    目前國(guó)內(nèi)外多數(shù)UTM安全產(chǎn)品的基礎(chǔ)平臺(tái)是通用非安全操作系統(tǒng)。信息安全領(lǐng)域的一個(gè)基本共識(shí)是：高可靠性和高可信度安全操作系統(tǒng)是構(gòu)建信息安全基礎(chǔ)架構(gòu)、防范各類(lèi)安全威脅、保障關(guān)鍵信息系統(tǒng)安全的關(guān)鍵與核心?？梢?jiàn)UTM基礎(chǔ)平臺(tái)的可信度至關(guān)重要。因此，UTM設(shè)備應(yīng)該建立在專(zhuān)用安全操作系統(tǒng)平臺(tái)上，結(jié)合可信計(jì)算機(jī)系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)和可信計(jì)算等新技術(shù)進(jìn)行自主創(chuàng)新。

    4.動(dòng)態(tài)多策略和用戶(hù)定制支持技術(shù)

    選擇可彈性制定安全策略的UTM產(chǎn)品是一種趨勢(shì)，因?yàn)閷?duì)用戶(hù)而言，并非一定得在同一時(shí)間開(kāi)啟UTM所有的功能，可根據(jù)不同的時(shí)間需求彈性制定UTM的功能需求，同時(shí)又不影響其網(wǎng)絡(luò)流量和有效地運(yùn)用其網(wǎng)絡(luò)資源。

    因此，要對(duì)用戶(hù)需求實(shí)現(xiàn)差異化策略部署，并支持定制等新技術(shù)研究。比如：針對(duì)用戶(hù)在實(shí)際中經(jīng)常遇到的問(wèn)題，把用戶(hù)需求劃分為效率保障優(yōu)先、精細(xì)化全面防護(hù)、靈活應(yīng)用控制等三個(gè)重點(diǎn)方向，對(duì)防火墻、VPN等用戶(hù)對(duì)效率要求高的功能，采用硬件、軟件加速方式予以保障，而對(duì)反垃圾郵件等功能，用戶(hù)則更看重提供全面防護(hù)和精細(xì)化的檢測(cè)。對(duì)灰色流量，則采用深度應(yīng)用協(xié)議檢測(cè)，加上靈活流量控制，實(shí)現(xiàn)按照流量帶寬、使用者、使用時(shí)間等控制方式。

    四、結(jié)語(yǔ)

    從整體上看，中國(guó)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)市場(chǎng)的用戶(hù)迫切需要整合更多功能的網(wǎng)絡(luò)安全整體解決方案，以全面保障正常的網(wǎng)絡(luò)運(yùn)行與維護(hù)，中國(guó)網(wǎng)絡(luò)安全廠(chǎng)商也正在努力實(shí)現(xiàn)從產(chǎn)品提供商到整體解決方案提供商的轉(zhuǎn)變，未來(lái)中國(guó)安全產(chǎn)品市場(chǎng)上網(wǎng)絡(luò)安全綜合管理系統(tǒng)將是一個(gè)亮點(diǎn)，而且也是軟件行業(yè)新經(jīng)濟(jì)增長(zhǎng)的一大熱點(diǎn)。因此，在國(guó)家的大力資助下，中國(guó)安全企業(yè)應(yīng)迅速在已有成果和技術(shù)基礎(chǔ)上拓展UTM系統(tǒng)的研發(fā)，不失時(shí)機(jī)地占領(lǐng)國(guó)內(nèi)外市場(chǎng)，產(chǎn)生良好的社會(huì)作用和效益。