歷史發(fā)展：網(wǎng)絡(luò)、安全密不可分

一直以來，網(wǎng)絡(luò)與安全問題是密不可分的。

回顧十年前，那時(shí)候網(wǎng)絡(luò)剛剛開始普及，甚至還沒有普及，那時(shí)候的安全問題是什么？十年前安全問題很簡(jiǎn)單，就是病毒，病毒問題就是安全問題。但是隨著網(wǎng)絡(luò)的發(fā)展，安全問題已經(jīng)融入了網(wǎng)絡(luò)，也就是說現(xiàn)在的安全問題實(shí)際上已經(jīng)是網(wǎng)絡(luò)的安全問題，安全問題是離不開網(wǎng)絡(luò)的。正是基于這種情況，H3C等領(lǐng)導(dǎo)廠商提出了“智能安全滲透網(wǎng)絡(luò)”（iSPN）的概念。

我們可以這樣來比喻：路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備是一個(gè)信息的通道，相當(dāng)于高速公路，而防火墻、入侵檢測(cè)等安全設(shè)備就是高速公路上的安全保障--防護(hù)欄，讓我們的高速公路上的汽車行駛的更加平穩(wěn)。在這里，高速公路上跑的指的是應(yīng)用的業(yè)務(wù)。

安全的終極目標(biāo)：業(yè)務(wù)安全

傳統(tǒng)的網(wǎng)絡(luò)安全模式是一種簡(jiǎn)單的疊加模式。就是將防火墻等安全產(chǎn)品疊加在網(wǎng)絡(luò)設(shè)備上，比如說IPS防火墻，僅僅是部分的安全事件的防范，達(dá)到一定的安全保證作用。但這個(gè)模型只是簡(jiǎn)單的疊加，沒有把網(wǎng)絡(luò)和安全真正形成一個(gè)整體，這只是一種基于網(wǎng)絡(luò)設(shè)備基礎(chǔ)安全。

其實(shí)，在企業(yè)網(wǎng)絡(luò)安全發(fā)展歷程中，我們可以總結(jié)出這樣四個(gè)階段：設(shè)備安全、數(shù)據(jù)安全、內(nèi)容管理，再到整體業(yè)務(wù)安全。

保證路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備不受攻擊，這只是設(shè)備安全階段。例如，設(shè)備自身的穩(wěn)定性是否有保障？供電是否穩(wěn)定？交換機(jī)的端口是否能夠承受住外部的攻擊？種種安全措施，都是圍繞路由器、交換機(jī)、服務(wù)器、普通電腦等設(shè)備展開的。而要實(shí)現(xiàn)這些安全措施，就需要防火墻、入侵檢測(cè)等安全設(shè)備來完成。

緊接著，數(shù)據(jù)的安全被提上的日程。企業(yè)關(guān)鍵的數(shù)據(jù)成為攻擊盜取的對(duì)象，于是，各種反Phishing、反間諜軟件又相繼出現(xiàn)。

第三個(gè)階段是內(nèi)容管理階段。除了對(duì)設(shè)備、對(duì)數(shù)據(jù)進(jìn)行安全管理外，對(duì)內(nèi)容管理也非常重要。例如，主要針對(duì)流量和應(yīng)用進(jìn)行控制和管理，對(duì)內(nèi)網(wǎng)發(fā)生的一些Internet行為做針對(duì)性的監(jiān)控，從而去規(guī)范員工的上網(wǎng)行為。通過帶寬管理，來約束員工的上網(wǎng)帶寬的占用，從而實(shí)現(xiàn)有效的帶寬利用。此外，我們需要建立一種有效的端點(diǎn)準(zhǔn)入策略，讓合法的用戶進(jìn)行我們的網(wǎng)絡(luò)，從而有效減少攻擊的發(fā)生。

我們對(duì)設(shè)備、數(shù)據(jù)、內(nèi)容管理進(jìn)行采用各種措施，到底是為了什么呢？

這就是為了保證應(yīng)用業(yè)務(wù)的安全，保證應(yīng)用業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。 #p#

安全的最高境界：智能安全滲透網(wǎng)絡(luò)

如何才能全面地保證業(yè)務(wù)的正常運(yùn)轉(zhuǎn)？這就需要網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、行為安全管理等各種安全措施有效地融合在一起。正是在這種趨勢(shì)下，H3C公司提出了“智能安全滲透網(wǎng)絡(luò)”戰(zhàn)略（iSPN, intelligent Safe Pervasive Network），此戰(zhàn)略涵蓋SecPath防火墻/VPN、多種安全插卡、H3C IPS入侵抵御系統(tǒng)、SecCenter安全管理中心以及安全軟件在內(nèi)豐富的安全產(chǎn)品線，從而從網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、行為安全管理等各個(gè)方面，保證業(yè)務(wù)的安全。

如今，網(wǎng)絡(luò)設(shè)備形態(tài)、安全產(chǎn)品形態(tài)從傳統(tǒng)的里外三層防火墻逐漸的演變到內(nèi)容的安全管理體系里面。安全也走過了幾個(gè)層次，因此，H3C也在SPN的基礎(chǔ)上由提出了ISPN的理念。

H3C安全產(chǎn)品部總工李穎和表示，iSPN從局部安全、全局安全、智能安全三個(gè)層面，為用戶提供一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體。局部安全針對(duì)關(guān)鍵問題點(diǎn)進(jìn)行安全部署，抵御最基礎(chǔ)的安全威脅；全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達(dá)到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺(tái)基礎(chǔ)上，借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實(shí)體。

李穎和強(qiáng)調(diào)，iSPN在安全滲透的網(wǎng)絡(luò)基礎(chǔ)上更加智能，更加關(guān)注于應(yīng)用業(yè)務(wù)和管理。智能安全滲透網(wǎng)絡(luò)能有效保護(hù)應(yīng)用業(yè)務(wù)的安全，并通過統(tǒng)一安全策略的制定與下發(fā)，實(shí)現(xiàn)安全網(wǎng)絡(luò)事件集中的管理，統(tǒng)一的分析、快速的響應(yīng)。 #p#

重拳出擊：立體的融合防御體系

具體來說，如何有效地進(jìn)行立體防護(hù)？我們可以通過H3C iSPN來進(jìn)行解釋。在設(shè)備安全層次，通過SecPath防火墻/VPN等安全設(shè)備、H3C IPS入侵抵御系統(tǒng)，來保護(hù)網(wǎng)絡(luò)的傳輸安全，包括了對(duì)傳輸內(nèi)容的深度檢察，保證4-7層的應(yīng)用安全。

此外，H3C路由、交換所自帶安全聯(lián)動(dòng)功能，以及H3C EAD是端點(diǎn)準(zhǔn)入防御系統(tǒng)，對(duì)用戶行為、網(wǎng)絡(luò)內(nèi)容進(jìn)行有效的管理。例如，EAD是端點(diǎn)準(zhǔn)入防御系統(tǒng)會(huì)檢查機(jī)器上是不是有足夠的安全性，或者是查一下機(jī)器上是不是有病毒，這個(gè)病毒庫(kù)是不是一個(gè)最新版本的，同時(shí)可以看到認(rèn)證的過程，可以看看你的用戶是不是合法的，這些功能都是由客戶端支持，客戶端會(huì)向主體發(fā)出一個(gè)請(qǐng)求，主體會(huì)進(jìn)行檢查，檢查客戶端是足夠安全的，這個(gè)用戶可以登陸上來，登陸上來的時(shí)候，經(jīng)過終端接入的交換機(jī)會(huì)給它把端口打開，它就可以進(jìn)入我們的網(wǎng)絡(luò)。

最后，通過iSPN安全管理統(tǒng)一平臺(tái)，做到全網(wǎng)的統(tǒng)一管理、統(tǒng)一分析以及安全策略的統(tǒng)一下發(fā)，保證企業(yè)信息系統(tǒng)的安全運(yùn)行。iSPN安全統(tǒng)一管理平臺(tái)以開放的安全管理平臺(tái)為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個(gè)緊密的統(tǒng)一管理平臺(tái)中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè)智能安全防御體系，大幅度提高企業(yè)網(wǎng)絡(luò)的整體安全防御能力。H3C安全管理中心由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個(gè)組件構(gòu)成，與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨(dú)立功能部件通過各種信息交互接口形成一個(gè)完整的協(xié)同防御體系。

對(duì)于一個(gè)企業(yè)來說，最終要實(shí)現(xiàn)的就是應(yīng)用業(yè)務(wù)的持續(xù)性，保證業(yè)務(wù)的安全運(yùn)行，所以，將安全融合到網(wǎng)絡(luò)，建立立體的融合防御體系勢(shì)在必行。

【編輯推薦】

1. 網(wǎng)管心得：企業(yè)網(wǎng)絡(luò)安全管理三大原則
2. 網(wǎng)絡(luò)安全服務(wù)路由器挑大梁