網(wǎng)絡(luò)安全設(shè)備采購的三大誤區(qū)

2019-11-04 23:49:26

字體：大中小

供稿：網(wǎng)友

　　訪思科安全產(chǎn)品專家
　　網(wǎng)絡(luò)安全設(shè)備采購的三大誤區(qū)

　　作為全球領(lǐng)先的網(wǎng)絡(luò)專家，思科在短短的20年中確立了自己在信息安全行業(yè)中不可撼動(dòng)的領(lǐng)導(dǎo)地位。2002年7月，思科發(fā)布了針對(duì)中國安全市場的戰(zhàn)略，人們驀然發(fā)現(xiàn)，原來思科早已在全球和中國的安全市場上靜靜占據(jù)了市場份額第一的位置。
　　安全問題，仿佛是在一夜之間成為IT業(yè)界的熱點(diǎn)——企業(yè)關(guān)心它，媒體爆炒它，廠商暢談它。但是在這你來我往的言語之中，筆者在尋找一種冷靜的聲音，網(wǎng)絡(luò)安全是什么？為什么企業(yè)不斷增加投入?yún)s得不到有限的安全感？
　　帶著這樣的問題和思考，本報(bào)記者與思科的安全專家進(jìn)行了深入的交流……
　　安全問題，仿佛是在一夜之間成為IT業(yè)界的熱點(diǎn)——企業(yè)關(guān)心它，媒體爆炒它、廠商暢談它。但是在這你來我往的言語中，筆者在尋找一種冷靜的聲音，網(wǎng)絡(luò)安全是什么？為什么企業(yè)不斷增加投入而得不到有限的安全感？思科安全產(chǎn)品專家認(rèn)為，在目前安全熱的背后，用戶對(duì)安全的熟悉其實(shí)還處于初級(jí)階段，并不成熟。
　　用戶熟悉的三大誤區(qū)
　　目前，廣大網(wǎng)絡(luò)用戶所面臨的安全挑戰(zhàn)是比較嚴(yán)重的，這可以從以下幾個(gè)方面窺見一斑：首先，隨著語音、視頻、多媒體等各類集成數(shù)據(jù)應(yīng)用的不斷升級(jí)和迅速增多，用戶網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)正變得越來越復(fù)雜，安全隱患/漏洞自然水漲船高，用戶網(wǎng)絡(luò)需要防御的地方也越來越多；其次，互聯(lián)網(wǎng)正變得日益開放和普及，網(wǎng)絡(luò)應(yīng)用與信息通信十分頻繁，用戶網(wǎng)絡(luò)系統(tǒng)存在的安全隱患和安全漏洞涉及的范圍與暴露的幾率直線上升；再次，黑客攻擊手段正變得越來越復(fù)雜，但是這些工具卻越來越輕易得到，并且它對(duì)于攻擊者的專業(yè)知識(shí)要求也在明顯降低; 第四，面對(duì)眼下用戶網(wǎng)絡(luò)系統(tǒng)遭到的猖獗復(fù)合式攻擊，傳統(tǒng)意義上單點(diǎn)防護(hù)設(shè)備形同虛設(shè)、防不勝防; 最后，由于安全專業(yè)知識(shí)的匱乏和熟悉上的偏差，在網(wǎng)絡(luò)用戶中抱有“投資一次、享受終身”的安全防護(hù)思想的不在少數(shù)，它們大多把網(wǎng)絡(luò)安全產(chǎn)品和方案理解成一道堅(jiān)固的靜態(tài)防線，而不能根據(jù)用戶網(wǎng)絡(luò)應(yīng)用及其拓?fù)浣Y(jié)構(gòu)的發(fā)展變化調(diào)整或者重新部署網(wǎng)絡(luò)系統(tǒng)的安全策略，從而埋下了系統(tǒng)安全的隱患。
　　事實(shí)上，用戶的網(wǎng)絡(luò)系統(tǒng)存在安全漏洞或暴露安全隱患的因素是多方面的，也是錯(cuò)綜復(fù)雜的，沒有任何一家廠商能夠保證用戶網(wǎng)絡(luò)系統(tǒng)，非凡是銀行、證券、電信等非凡行業(yè)運(yùn)行著的要害電子商務(wù)應(yīng)用的、非常龐大的網(wǎng)絡(luò)系統(tǒng)永遠(yuǎn)處于絕對(duì)的安全狀態(tài)，這是不現(xiàn)實(shí)的。要害是建立一套機(jī)制，能夠主動(dòng)、盡早地發(fā)現(xiàn)安全漏洞并制訂相應(yīng)的防護(hù)措施，從而防止這些漏洞成為網(wǎng)絡(luò)安全危機(jī)的隱患。一般來說，具備這種安全機(jī)制并部署了這樣安全策略的網(wǎng)絡(luò)系統(tǒng)就是安全的——這可算是對(duì)網(wǎng)絡(luò)系統(tǒng)安全的一種本質(zhì)熟悉和經(jīng)典闡述?？梢?，網(wǎng)絡(luò)系統(tǒng)安全維護(hù)的根本在于動(dòng)態(tài)的防御，即不斷地發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)和存在的安全漏洞并不斷地加以修補(bǔ)。
　　但是令人遺憾的是，相當(dāng)比例的網(wǎng)絡(luò)用戶對(duì)于網(wǎng)絡(luò)安全維護(hù)“基本法”缺乏起碼的熟悉，迷信于構(gòu)筑一勞永逸的堅(jiān)固防御工事，企圖以“陣地戰(zhàn)”和“堡壘戰(zhàn)”御敵于“國門”之外。要知道以堅(jiān)固著稱的“馬其諾防線”也有被攻破的時(shí)候，何況用戶的網(wǎng)絡(luò)并非堅(jiān)不可摧。
　　歸納起來，國內(nèi)網(wǎng)絡(luò)用戶在選購網(wǎng)絡(luò)安全產(chǎn)品和部署網(wǎng)絡(luò)安全系統(tǒng)的實(shí)踐中還存在著如下一些熟悉上的誤區(qū)：
　　1．認(rèn)為沒有必要制訂符合企業(yè)長遠(yuǎn)發(fā)展的安全策略。這導(dǎo)致了：① 只重視產(chǎn)品的性能，而忽視了安全產(chǎn)品適當(dāng)部署的重要性; ② 在網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行物理擴(kuò)張或結(jié)構(gòu)變化時(shí)，不得不對(duì)原有的安全防護(hù)體系大動(dòng)干戈，甚至推倒重來，從而造成嚴(yán)重的重復(fù)投資和資源浪費(fèi); ③ 由于沒有意識(shí)到安全系統(tǒng)的部署和網(wǎng)絡(luò)系統(tǒng)的發(fā)展是相輔相成的，當(dāng)加載了新的網(wǎng)絡(luò)應(yīng)用后，由于沒有及時(shí)部署相應(yīng)的安全措施，從而造成了安全漏洞。
　　2．面對(duì)不法分子日益猖獗的復(fù)合式攻擊，不少網(wǎng)絡(luò)用戶試圖通過單點(diǎn)產(chǎn)品的簡單堆砌來加以應(yīng)對(duì)，而對(duì)產(chǎn)品之間的協(xié)調(diào)工作考慮較少，導(dǎo)致了安全防護(hù)體系的整體防御能力低下。
　　3．對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境和層出不窮的安全漏洞熟悉不足。許多用戶把已經(jīng)部署了的安全防御體系看成是“完美工事”，或者認(rèn)為“它足可以應(yīng)付相當(dāng)一段時(shí)間”，從而對(duì)安全系統(tǒng)少治理、不監(jiān)控，成為企業(yè)網(wǎng)絡(luò)有效安全防護(hù)的隱患。
　　
　　不難想像，網(wǎng)絡(luò)用戶迷失在自身熟悉的誤區(qū)中，這正給不法分子以可乘之機(jī)，它們順藤摸瓜地對(duì)用戶的網(wǎng)絡(luò)系統(tǒng)發(fā)起密集攻擊，于是一道道安全屏障被穿破，一座座防御工事被摧毀，當(dāng)然遭受損失的一定是擁有和使用網(wǎng)絡(luò)的用戶。
　　用戶網(wǎng)絡(luò)需要整體防護(hù)
　　網(wǎng)絡(luò)用戶安全產(chǎn)品選購與安全系統(tǒng)部署上存在的這些熟悉誤區(qū)，突出地反映了用戶首先需要的是網(wǎng)絡(luò)整體安全防御的思想。
　　整體安全思想要求用戶對(duì)自身的網(wǎng)絡(luò)系統(tǒng)進(jìn)行通盤考慮、全面分析和整體部署，它包含了如下一些核心思想: 安全防護(hù)是一個(gè)過程，用戶需要根據(jù)自身網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)的變化隨時(shí)調(diào)整安全策略的部署；要求采取綜合的防御手段對(duì)用戶的網(wǎng)絡(luò)系統(tǒng)實(shí)行立體的安全防護(hù)，這些安全防御手段渾然一體，它們之間具有良好的“互操作性”，具備良好的溝通能力和有效的互動(dòng)機(jī)制; 安全防御體系不是一勞永逸的靜態(tài)屏障，而是一個(gè)不斷延續(xù)、循環(huán)提升的過程，安全產(chǎn)品及其服務(wù)提供商需要根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)外的變化，持續(xù)跟蹤、測試、治理和調(diào)整整個(gè)安全防護(hù)體系，以達(dá)成企業(yè)網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)安全平衡和嚴(yán)密防御體系。
　　隨著企業(yè)業(yè)務(wù)的快速發(fā)展，構(gòu)建于企業(yè)網(wǎng)絡(luò)平臺(tái)上的基礎(chǔ)與應(yīng)用不斷增多并且功能日益復(fù)雜，用戶網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)也不斷地進(jìn)行物理擴(kuò)張和結(jié)構(gòu)變化。為了適應(yīng)這些變化，用戶網(wǎng)絡(luò)系統(tǒng)的安全策略也需要靈活調(diào)整甚至重新部署。這就需要網(wǎng)絡(luò)安全體系具有相當(dāng)?shù)撵`活性和可擴(kuò)展性，使其安全策略能夠根據(jù)企業(yè)業(yè)務(wù)的發(fā)展和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化隨時(shí)進(jìn)行調(diào)整和重新部署，以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的動(dòng)態(tài)防護(hù)和整體安全。
　　面對(duì)不法分子猖獗的復(fù)合式攻擊，單點(diǎn)安全產(chǎn)品的單一防御手段已經(jīng)沒有意義，整合安全解決方案應(yīng)運(yùn)而生。在整合安全方案中，多種不同類型和性質(zhì)的單點(diǎn)安全產(chǎn)品（如防火墻、入侵檢測系統(tǒng)、VPN等）被無縫集成在一塊兒，聯(lián)合應(yīng)對(duì)來自用戶網(wǎng)絡(luò)系統(tǒng)外部的安全攻擊和內(nèi)部的安全隱患。它的本質(zhì)在于產(chǎn)品之間的互動(dòng)，也就是聯(lián)合行動(dòng)、一體防御，這就需要聯(lián)動(dòng)方案中的所有單點(diǎn)安全產(chǎn)品之間具備良好的互操作性，能夠?qū)崿F(xiàn)有效的“溝通”和及時(shí)的“互動(dòng)”。
　　要使安全防護(hù)體系具備相當(dāng)?shù)撵`活性和可擴(kuò)展性以滿足安全策略頻繁調(diào)整的需要，企業(yè)選擇的安全廠商首先應(yīng)該是一個(gè)網(wǎng)絡(luò)行家，它需要具備相當(dāng)豐富的網(wǎng)絡(luò)專業(yè)知識(shí)和網(wǎng)絡(luò)建設(shè)實(shí)施經(jīng)驗(yàn)，從而保證全面、深入地了解和分析用戶的整個(gè)網(wǎng)絡(luò)，避免顧此失彼、以點(diǎn)代面地部署安全。另外，要用結(jié)構(gòu)化的框架來簡化網(wǎng)絡(luò)分析，以使得網(wǎng)絡(luò)及其安全部署相輔相成，并具有良好的可擴(kuò)展性。
　　思科安全的三件利器
　　作為網(wǎng)絡(luò)與安全的雙重專家，思科又是如何幫助安全用戶實(shí)現(xiàn)對(duì)其網(wǎng)絡(luò)系統(tǒng)的整體安全防護(hù)呢？
　　1．思科SAFE安全藍(lán)圖全面采用了模塊化的體系結(jié)構(gòu)和分層防御的先進(jìn)思想，它建議企業(yè)首先將復(fù)雜的網(wǎng)絡(luò)環(huán)境模塊化，然后分析各個(gè)模塊內(nèi)部及相互聯(lián)結(jié)的薄弱環(huán)節(jié)和要害部分，并有針對(duì)性地采用深度防御戰(zhàn)略。分層防御的思想使得黑客要想擊破用戶網(wǎng)絡(luò)的安全體系，必須跨越SAFE體系設(shè)置的層層關(guān)隘，當(dāng)某些層被擊破時(shí)，用戶的信息仍然是安全的，而用戶則贏得足夠的時(shí)間來重新強(qiáng)化對(duì)信息的防護(hù)。
　　
　　2．為了解決異構(gòu)產(chǎn)品之間的“互操作”問題，思科推出了安全廠商深度合作的AVVID合作伙伴計(jì)劃。參與到該合作計(jì)劃中的廠商們分別貢獻(xiàn)出自己的產(chǎn)品，在專門的試驗(yàn)室里進(jìn)行互操作試驗(yàn)，必要時(shí)還要互相公開源代碼，并且最終由思科向社會(huì)公開這些廠商產(chǎn)品互操作試驗(yàn)的參數(shù)手冊(cè)和各種技術(shù)報(bào)告，從而從根本上避免了“傳統(tǒng)整體安全方案”中各種產(chǎn)品簡單堆砌和各自為政的局面，充分實(shí)現(xiàn)了這些產(chǎn)品之間的優(yōu)勢互補(bǔ)和交相策應(yīng)，有效執(zhí)行了全面的安全策略。
　　3．為了給遍布全國的企業(yè)用戶提供真正專業(yè)化的服務(wù)，思科通過專業(yè)化的渠道合作伙伴資格認(rèn)證，在中國建立了龐大的專業(yè)化服務(wù)體系和完善的治理系統(tǒng)。
　　SAFE藍(lán)圖、AVVID合作伙伴計(jì)劃及專業(yè)化渠道體系是思科成功服務(wù)國內(nèi)外客戶的三大利器。

上一篇：廠商為用戶指點(diǎn)迷津

下一篇：Cisco 產(chǎn)品中 Windows SMB 的 DoS 缺陷