2012年4月24日，由中國電子信息產(chǎn)業(yè)發(fā)展研究院主辦、《網(wǎng)管員世界》雜志社承辦的主題為“合規(guī) 有效 精準”的“2011政府及公共事業(yè)單位信息安全論壇”巡展從北京站拉開帷幕，并將會在上海、廣州與成都舉行。參會嘉賓共同就政府及公共事業(yè)單位信息安全建設的現(xiàn)狀、存在的問題、需要加強的內容進行了深入的探討。多家國內外知名信息安全廠商參與了本次論壇，為政府及公共事業(yè)單位的信息安全建設提出了有效的建議。其中，飛塔中國技術總監(jiān)李宏凱發(fā)表在論壇?？?012政府及公共事業(yè)單位信息安全啟示錄》中有關行業(yè)信息安全建議、安全方案以及應用部署的文章，獲得了一致好評。

　　談到當前的網(wǎng)絡安全技術和體系的特點，我們不得不提及目前云計算網(wǎng)絡和交互化應用對企業(yè)帶來的新的安全防御壓力。

　　一 安全建議

　　目前越來越多的社交化的應用滲入到企業(yè)的各個角落，云計算豐富了我們網(wǎng)絡應用，帶來了更靈活的便捷性，更使得我們的每個終端都成為云計算網(wǎng)絡的一個神經(jīng)支點，網(wǎng)絡的邊界性變得模糊。 而在這樣的一個虛擬化大云網(wǎng)絡體系層面下，對企業(yè)的個體安全的滲透將變得前所未有的開放。企業(yè)內部的每個桌面主機、每個移動辦公的手持電腦甚至移動終端都有可能成為噩夢的發(fā)起源。這正成為目前流行的APT高級持續(xù)性攻擊的溫床。在內外區(qū)域模糊化，企業(yè)的安全管理從面發(fā)展到點的形式下，企業(yè)的信息管理層該如何考慮安全體系的規(guī)劃？

　　毋庸置疑是按傳統(tǒng)安全技術分類的分布式安全防護體系將被打破，多形態(tài)的混合型威脅借助社交化網(wǎng)絡通信散播，高級的多層安全融合防護技術將成為主流，以任何一個訪問點的應用為基礎的綜合性安全防御措施將為企業(yè)提供立體化的防御系統(tǒng)。任何滲透到內部的常駐探測和入侵程序在安全融合防御的多層檢測防御體系下都將難以長期隱藏，無論是系統(tǒng)層的弱點探測還是文件級的共享感染在安全融合的技術檢測體系下都會讓這些潛在的威脅無處盾形。統(tǒng)一安全威脅防御 UTM和下一代安全防火墻技術都是安全融合檢測技術的產(chǎn)品化方向，而基于混合型威脅防御的集中化審計和安全分析呈現(xiàn)系統(tǒng)則是企業(yè)安全部署和管理的重要維護平臺，可以幫助企業(yè)實現(xiàn)多點威脅的關聯(lián)性態(tài)勢分析，以在任何惡意威脅發(fā)生前給予及時的分析和警告，盡量把危險屏蔽在萌芽階段。

　　二 解決方案

　　1.基本概述

　　在網(wǎng)絡安全建設過程中，政府及公共事業(yè)單位用戶遇到了大量難題，諸如：

　　·網(wǎng)絡安全威脅多樣化，需要考慮網(wǎng)絡層、系統(tǒng)層、應用層的方方面面。部署大量的安全產(chǎn)品，高成本，高能耗，維護難。

　　·網(wǎng)絡流量越來越大，安全設備的性能跟不上。

　　·安全形勢瞬息萬變，普通用戶難以及時追蹤并響應。

　　Fortinet公司的UTM（統(tǒng)一威脅管理）產(chǎn)品FortiGate整合了業(yè)界最廣泛的安全技術，覆蓋從網(wǎng)絡層到應用層的多種安全需求，集成到統(tǒng)一的硬件設備中。FortiGate采用專門的安全芯片和軟件，組成穩(wěn)定、高效的系統(tǒng)，滿足用戶不斷提高的網(wǎng)絡性能要求。Fortinet公司遍布全球的安全專家全天候捕獲、分析最新安全威脅，并通過FortiGuard云安全網(wǎng)絡分發(fā)至世界各地的用戶，幫助用戶第一時間提升安全能力，抵御各種零日攻擊。

　　FortiGate安全網(wǎng)關能夠有效解決安全難題，深受全球用戶青睞，產(chǎn)品銷量長期領冠全球。

　　2. 飛塔安全解決方案的獨到之處

　　FortiGate作為引領安全技術和市場的產(chǎn)品，利用自身的獨到之處，為用戶打造多層次、易管理、高性能、可持續(xù)的安全體系。

　　全面集成多重安全防護

　　FortiGate設備通過動態(tài)威脅防御技術、高級啟發(fā)式異常掃描引擎提供了無與倫比的功能和檢測能力。它集多種安全功能于一身，覆蓋網(wǎng)絡層、系統(tǒng)層和應用層，是功能最全面的網(wǎng)絡安全產(chǎn)品。FortiGate可以為用戶提供以下安全防御能力：

　　·狀態(tài)檢測包過濾防火墻；

　　·網(wǎng)絡防病毒（可過濾數(shù)百萬種病毒）；

　　·入侵防御（支持防御6000種以上網(wǎng)絡攻擊）；

　　·IPSec及SSL VPN；

　　·可識別并控制1000多種網(wǎng)絡應用程序；

　　·Web過濾（包含20億個網(wǎng)頁的分類數(shù)據(jù)庫）；

　　·防數(shù)據(jù)泄漏

　　·反垃圾郵件

　　·無線管理及安全

　　·廣域網(wǎng)優(yōu)化

　　·終端準入控制

　　上述安全技術在FortiGate設備中有機結合，形成多層次安全防御體系，有效抵御當前流行的混合型安全威脅及APT（高級持續(xù)性攻擊）。

　　FortiGate的高集成度優(yōu)勢還能幫助用戶精簡安全設備數(shù)量，節(jié)約采購成本，減少空間占用，降低發(fā)熱量和能耗，實現(xiàn)節(jié)能減排、綠色環(huán)保的安全解決方案。同時，安全設備數(shù)量的減少和FortiGate易用的中文圖形管理界面，也極大地降低了安全部署和管理的難度。

　　極高的安全性能

　　一般的網(wǎng)絡安全設備都使用CPU來處理所有安全任務，當網(wǎng)絡當中的流量和會話都達到較高水平，而且安全設備還啟用了多項功能時，CPU的負載會變得很高，此時很容易導致網(wǎng)絡性能的下降甚至設備的不穩(wěn)定。

　　而FortiGate除了使用高性能多核CPU作為操作系統(tǒng)執(zhí)行者和任務調度者，還采用多種Fortinet公司自行設計開發(fā)的專用ASIC 芯片，來進行特定安全功能（如防火墻、VPN、防病毒、內容過濾等）的加速處理，將CPU從繁重的工作中解放出來。專用的ASIC芯片與通用處理器（CPU）配合使用來處理復雜的業(yè)務，實現(xiàn)更高的性能。CPU和ASIC芯片處理器一起工作的形式與人的大腦和脊柱以及周圍神經(jīng)系統(tǒng)協(xié)同工作來執(zhí)行一個動作的情況類似。

　　CPU+ASIC的高性能構架，使得FortiGate的各項性能都領先業(yè)界。其中高端旗艦產(chǎn)品FortiGate-5140B的小包防火墻吞吐量可達547Gbps，IPS吞吐量可達122Gbps，被譽為“全球最快的防火墻”。

　　持續(xù)的安全防護

　　FortiGuard云安全網(wǎng)絡每日數(shù)次為FortiGate設備更新病毒、入侵、不良網(wǎng)站、垃圾郵件、網(wǎng)絡應用等安全特征，為用戶不斷提升安全保護水平，構建可持續(xù)的動態(tài)安全防御體系。

　　三 應用部署

　　FortiGate系列安全設備共有20多個型號，可覆蓋萬兆、千兆、百兆級不同規(guī)模的網(wǎng)絡。高中低端型號均提供完整的安全功能，即使分支機構或小型單位，也可獲得與運營商、數(shù)據(jù)中心同樣的高級安全防護能力。

　　FortiGate具備的多種安全功能可根據(jù)不同網(wǎng)絡場景和安全需求開啟或關閉，非常靈活地適應多種網(wǎng)絡環(huán)境。主要應用場景有：

　　·Internet邊界的UTM安全網(wǎng)關，防御來自公網(wǎng)的各種病毒、攻擊、入侵、不良內容、垃圾郵件等安全威脅，并對內網(wǎng)用戶的網(wǎng)絡訪問行為進行規(guī)范，例如限制網(wǎng)絡應用，控制帶寬及連接數(shù)等；

　　·核心及骨干網(wǎng)絡的高性能防火墻；

　　·數(shù)據(jù)中心的防火墻和IPS，保護服務器免受黑客攻擊和入侵；

　　·辦公網(wǎng)的UTM網(wǎng)關，過濾辦公網(wǎng)絡中的各種有害流量；

　　·總部與分支機構間，以及遠程訪問用戶的VPN等。

　　從上述應用場景可知，F(xiàn)ortiGate UTM是類似于路由器、交換機的網(wǎng)絡安全基礎構架產(chǎn)品，適用于各行業(yè)用戶網(wǎng)絡，目前已被國內外大量政府、軍隊、電信、金融、能源、制造、教育、醫(yī)療、零售等機構廣泛應用。