統一威脅管理（UTM：UnifiedThreatManagement）概念符合安全防護技術一體化、集成化的發(fā)展趨勢。但目前多數國內UTM廠商是在一種核心技術的基礎上加入其他技術，或只是將各種安全功能堆積到一起，沒有從底層做集成優(yōu)化設計，尤其是同時開啟各功能時，性能會急劇下降，加上國際、國內都沒有UTM產品的統一標準和規(guī)范，更是導致了許多問題的出現。提出中國UTM產品在互操作、硬件支持、基礎平臺和用戶定制等技術上創(chuàng)新發(fā)展的一些設想和建議。

    隨著IT技術的不斷發(fā)展，網絡攻擊行為日益呈現出新的特點：一是混合型攻擊，如病毒、蠕蟲、木馬和后門攻擊，通過E-mail和被感染的網站發(fā)出，并很快地傳遞散播產生攻擊的變種，使得安全設備必須對付已知或未知攻擊；二是新漏洞的攻擊產生速度快，安全設施需要防范各種被稱為“零小時”（zero-hour）或“零日”（zero-day）的新的未知攻擊；三是伴隨著社會工程陷阱元素的攻擊層出不窮，間諜軟件、網絡欺詐、基于郵件的攻擊和惡意Web站點等防不勝防，攻擊者們偽造合法的應用程序和郵件信息來欺騙用戶去運行它們。此外，越來越多的企業(yè)發(fā)現，安全威脅不僅來自外部，企業(yè)內部的不當互聯網訪問、濫用互聯網以及泄密行為等，同樣會帶來安全問題。據美國著名的市場研究機構IDC報告，70%的安全損失是由企業(yè)內部原因造成的，而不當的資源利用及員工上網行為往往是“罪魁禍首”。

    面對這些新形式下的安全威脅，傳統的防火墻、入侵檢測系統/入侵防護系統（IDS/IPS）或防病毒等單一功能安全產品已經顯得無能為力，因此安全防護技術一體化和集成化需求應運而生。中國信息化技術和信息化程度不斷提高，面臨的安全問題也日益突出，必須在一體化安全管理方面有所創(chuàng)新，研究和發(fā)展新技術，并開辟廣闊的國內外市場。

    一、UTM概念的起源及研究意義

    2002年，統一威脅管理（UTM：UnifiedThreatManagement）首先由FortiNet公司提出。當時由于混合威脅頻繁出現，為了滿足中小型企業(yè)對防火墻、IDS、VPN、反病毒等安全產品和功能的集中管理需求，FortiNet試圖將這些技術整合到統一的設備里來實現統一的威脅管理，UTM概念也因此誕生。但在UTM發(fā)展的初期，安全廠商對UTM的解釋不盡相同。直到2004年9月，IDC才對UTM進行了明確定義：是由硬件、軟件和網絡技術組成的專用設備，組合防火墻、VPN、IDS/IPS、防病毒、防垃圾郵件、網址過濾、內容過濾、流量監(jiān)控等功能，構成一個標準的統一管理平臺。鑒于此，國際權威的網絡與安全測試機構——NSSGroup制定了測試UTM產品的依據，即在單一的UTM設備上應該具有防火墻、IDS/IPS、防病毒、防垃圾郵件、VPN、內容過濾、網址過濾等多種安全功能（如圖1所示）。

 

    圖1  UTM設備功能

    UTM概念符合安全防護技術一體化、集成化的發(fā)展趨勢。UTM產品已經成為防御混合型攻擊的利劍，能夠提供綜合的功能和安全的性能；能夠降低復雜度和成本；能夠為用戶定制安全策略，提供靈活性；能夠提供全面的管理、報告和日志平臺，用戶可以統一地管理全部安全特性；此外，UTM要求可擴展性好，能夠對已知和未知威脅、以及來自外部和內部的威脅增加檢測和防御能力。

    目前，中小型企業(yè)由于缺乏安全技術人員、資金有限，安全問題一直困擾著他們的發(fā)展，UTM自誕生之日起就備受中小企業(yè)用戶的青睞。隨著信息安全威脅多樣性和混合性的發(fā)展趨勢越來越明顯，大型企業(yè)甚至服務提供商也開始部署UTM設備，尤其是教育、金融、能源和電信等行業(yè)的需求十分明確。

    在快速發(fā)展的中國IT安全市場中，2005年UTM市場成為一個重要的新興市場，2006年UTM市場規(guī)模達到了2700萬美元，相對于2005年增長了84.3%。據IDC預計，到2011年，中國UTM市場規(guī)模將達到1.89億美元。

    二、國內外UTM技術/產品的現狀及存在的問題

    目前UTM設備的領先廠商均是美國公司。但聲稱支持UTM的諸廠家的技術實現有很大的區(qū)別。大多數UTM產品和UTM解決方案更多的是在已有產品或已有解決方案的基礎上進行整合，比如：CiscoASA系列，僅僅是防火墻/VPN設備加上防病毒、防間諜軟件和入侵防御功能，網關防病毒/防間諜軟件和IPS則需要不同的硬件模塊，因此不能同時使用；Juniper的Netscreen5GT則只在個別產品型號上支持防病毒功能。還有些廠家的全線產品支持防火墻、VPN、網關防病毒、入侵防御、反間諜軟件功能、反垃圾郵件功能等，如SonicWALL。而在UTM市場領先的Fortinet公司，則利用自主產權的ASIC芯片技術，創(chuàng)新推出FortiGateUTM系列，大幅度提升開啟防病毒功能下的安全性能，實現七種重要的UTM特性，包括防病毒、VPN、防火墻、IDP、內容過濾、反垃圾郵件和流量控制。

    自2005年以來，以UTM為代表的安全方案受到越來越多國內用戶的關注，特別是在一些中型企業(yè)和政府部門。市場的變化在促使科研機構和傳統的安全廠商轉型，包括安氏、華為、聯想網御、天融信、啟明星辰、神州泰岳、中科安勝、北信源、綠盟等在內的多家國內安全廠商，近期紛紛宣布或者打算挺進國內UTM市場。這些安全廠商已經在防火墻、IDS/IPS和安全管理領域擁有各自的研究成果和系列產品，并開始在UTM相關領域探索產品的研究和開發(fā)。

    但國內的UTM廠商往往在一種核心技術的基礎上加入其他技術，從而衍生出一種現象——單邊產品，所謂單邊產品就是其中某一項功能強，而其他功能相對較弱。這是由UTM廠家的技術背景決定的。目前來看，UTM設備主要有三種出身：一種是從防火墻技術衍生而來，一種是從防病毒技術衍生而來，還有一種是從入侵檢測/保護技術衍生而來。這就使得用戶在使用中發(fā)現，自己所購買的產品并未能有效發(fā)揮其預期的效用，尤其是同時開啟各功能時，性能會急劇下降，因此感受不到UTM和單一安全產品的差別。并且，各廠商之間的UTM產品同質化趨向明顯，用戶的選擇性不大，極大地影響了UTM在客戶群中的置信度。而目前國際、國內都沒有UTM產品的統一標準和規(guī)范，各UTM設備的功能、性能等指標，以及各廠商的實現方法、包含的功能等均不盡相同。

    三、推進中國UTM技術發(fā)展的自主創(chuàng)新技術

    隨著網絡技術的發(fā)展，各種入侵的行為層出不窮，UTM概念也會不斷延伸，UTM設備會集成越來越多的功能，用戶的需求也會出現更大的差異，因此未來的UTM設備在互操作性、可擴展性和支持用戶定制方面應該取得大的突破。從性能上來講，隨著網絡處理器（NPU）技術的不斷進步，性能越來越強大的多內核網絡處理器不斷出現，高性能、功能更加豐富的UTM設備將會很快出現在市場。從基礎平臺上看，隨著可信計算技術在未來發(fā)展中的基礎作用，基于可信計算平臺的安全操作系統對于解決UTM基礎平臺的安全保障會有很大的吸引力。因此，中國在UTM技術和產品上的創(chuàng)新研究應該從以下幾個方面開展。

    1.多安全功能互操作技術

    目前，UTM平臺中各安全部件不僅需要自身具有整合性，更需要與不同規(guī)范表示的其他安全部件進行整合，以最終形成在全球范圍內統一的可以進行協同安全防御的防范體系。

    XML（eXtensibleMarkupLanguage）因其易于理解而被人們普遍接受，并且采用XSL（eXtensibleStyle Language）能夠方便地把XML表示的數據轉化為HTML（Hyper-text Markup Language）格式瀏覽。因此，通過對UTM平臺各安全部件公共特性的分析，研究基于XML和CISL（Common Intrusion Specification Language）的公共入侵和檢測描述語言，可以方便地實現各種安全屬性、安全功能和安全管理數據的有效融合，是一種有效的解決方案。此外，國內外在安全Web Service技術上逐步成熟，其基本安全規(guī)范中用于整合的Web Service描述語言、用于認證和授權的安全性聲明標記語言、用于通信信道保密的SSL、用于高度機密的XML加密標準和用于高級授權的XML數字簽名等，以及WS-Security WS-Policy、WS-Trust和WS-Privacy等協議體系描述，對于解決UTM部件間的互操作規(guī)范，應該是一個很有應用前景的課題。

    2.性能優(yōu)化的硬件支持技術

    UTM需要強勁的處理能力和更大容量的內存來支持，消耗的資源必然是很大的，僅利用通用服務器和網絡系統要實現應用層處理往往在性能上達不到要求。只有解決功能與性能的矛盾，UTM才能既實現常規(guī)的網絡級安全（例如防火墻功能），又能在網絡界面高速地處理應用級安全功能（例如病毒與蠕蟲掃描）。

    要提高UTM的性能，硬件體系結構起著十分關鍵的作用。目前硬件體系結構正經歷從Intelx86架構到ASIC架構再到NPU架構的發(fā)展過程。國際市場上多數UTM設備主要采用專用ASIC芯片或依靠軟件在一般x86微處理器上完成。專用ASIC芯片集成了硬件掃描引擎、硬件加密和實時內容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數據包掃描，以及流量整形的加速功能，但由于它的開發(fā)周期長、成本高，在需要功能擴充時又缺乏靈活性。依靠軟件在一般x86微處理器上完成，雖然解決了前者的弊端，但卻以犧牲速度性能為代價。NPU具有出色的可編程能力、編程模型簡單、系統靈活性好、處理能力強、功能集成度高、編程接口開放、支持第三方開發(fā)環(huán)境等特點，因此NPU開始被引入到網絡設備處理層面，它結合了RISC處理器的低成本、靈活性以及專用硬件（ASIC芯片）的速度等特性，正成為構建網絡設備的基本組件。由NPU取代快速通道上的ASIC，慢速通道上仍可采用通用CPU，是一種行之有效的解決性能優(yōu)化的UTM硬件支持技術方案。

    3.安全可信的專用基礎平臺技術

    專用的基礎平臺——安全操作系統，能夠為系統提供精簡的、高性能的在線檢測與分析平臺?；谟布铀?，加上智能排隊和管道管理技術，使各種類型流量的處理時間達到最小，從而給用戶提供最好的實時系統，有效地實現防病毒、防火墻、VPN、反垃圾郵件、IDS/IPS等功能。

    目前國內外多數UTM安全產品的基礎平臺是通用非安全操作系統。信息安全領域的一個基本共識是：高可靠性和高可信度安全操作系統是構建信息安全基礎架構、防范各類安全威脅、保障關鍵信息系統安全的關鍵與核心?？梢奤TM基礎平臺的可信度至關重要。因此，UTM設備應該建立在專用安全操作系統平臺上，結合可信計算機系統等級保護標準和可信計算等新技術進行自主創(chuàng)新。

    4.動態(tài)多策略和用戶定制支持技術

    選擇可彈性制定安全策略的UTM產品是一種趨勢，因為對用戶而言，并非一定得在同一時間開啟UTM所有的功能，可根據不同的時間需求彈性制定UTM的功能需求，同時又不影響其網絡流量和有效地運用其網絡資源。

    因此，要對用戶需求實現差異化策略部署，并支持定制等新技術研究。比如：針對用戶在實際中經常遇到的問題，把用戶需求劃分為效率保障優(yōu)先、精細化全面防護、靈活應用控制等三個重點方向，對防火墻、VPN等用戶對效率要求高的功能，采用硬件、軟件加速方式予以保障，而對反垃圾郵件等功能，用戶則更看重提供全面防護和精細化的檢測。對灰色流量，則采用深度應用協議檢測，加上靈活流量控制，實現按照流量帶寬、使用者、使用時間等控制方式。

    四、結語

    從整體上看，中國網絡安全產品及服務市場的用戶迫切需要整合更多功能的網絡安全整體解決方案，以全面保障正常的網絡運行與維護，中國網絡安全廠商也正在努力實現從產品提供商到整體解決方案提供商的轉變，未來中國安全產品市場上網絡安全綜合管理系統將是一個亮點，而且也是軟件行業(yè)新經濟增長的一大熱點。因此，在國家的大力資助下，中國安全企業(yè)應迅速在已有成果和技術基礎上拓展UTM系統的研發(fā)，不失時機地占領國內外市場，產生良好的社會作用和效益。