想摆脱信息孤岛现象,机构用户就要把一个个单独的局域网连接起来,并且支持自己的员工远程通过互联网安全可靠地接入公司局域网。如此冲破LAN限制、享受WAN服务的模式,在信息化建设角度来讲只算是“迈出的一小步”,但从安全管理角度来看却是危险的“一大步”。
局域网是一个小世界,在小局域网内做安全控制相对简单,终端是一个点,两点对联是一条线,多点交互是一个面。在点、线、面的三个维度,以病毒管理和防守好边界为主,辅以内部网络设备上的适当控制,基本可以满足局域网里的风险管理要求。但迈出局域网的围墙与其他的局域网相连,甚至和互联网上的人与设备相连接,必然要引来各式各样的威胁。
我们的任务
安全建设任务可以分为两大类,共性的和个性的。共性的任务旨在解决所有子系统、子环节的安全隐患,比如加强审计、配足人力、塑造良好的安全文化等,做好这些工作有助于保护安全的方方面面;个性的任务旨在消除具体某个系统、某个环节的安全隐患,比如对于边界有边界控制的对策,对门户网站有Web防御的方法。我们探讨广域网安全问题,研究的正是个性化的安全任务。讨论个性化安全任务时,要避免陷入产品导向型误区,而应该走目的导向型之路。追本溯源,广域网安全的目的同样可以从最基本的安全三要素——保密性(Confidentiality,简称C)、完整性(Integrity,简称I)、有效性(Availability,简称A)——加以考虑。于是,我们对广域网安全的个性化对策也应该从这三方面进行设计,对厂家的方案也可以从这三方面评判。
保障保密性
LotFlow方案中,应对保密性问题的方案包括数据流量有效性的验证和员工上网行为的管理,挡住DoS攻击等威胁,管住即时聊天、P2P、Web聊天、在线游戏、非法隧道。不要小看普通人员的上网行为,这可是引狼入室的渠道,不良的上网行为更是诱发局域网信息外泄的重要原因。SonicWALL则应用了VPN技术进行与互联网交互时的数据加密。VPN是依托别人的网络资源 ,私密地传输自己的数据的行为。
SonicWALL使用的是SSL型VPN,高级质询、缓存控制、安全桌面、阻止可疑邮件附件、阻止对金融数据访问等等具体手段对我们迈出局域网时所要经历的风险进行了防范。天融信使用的也是VPN技术,它的“保密性”技术包括:综合使用IPSec VPN和SSL VPN技术将加密工作覆盖了各种远程接入,采用CLEAN VPN技术消除接入过程中引入病毒的可能,认证加密技术做到了对来访者身份的抗抵赖性等等。
保障完整性与有效性
LotFlow的方案整合不同于ISP及WAN链路,实现流量负载均衡及容错备份,确保互联网/ 企业网的存取服务不会中断,维持链路的平稳、快速的传输品质,同时用上QoS技术,使得不同类型与特性的网络流量能共存于同一个网络,并彼此保持应有的效率与稳定。
SonicWALL的方案是围绕SSL VPN展开的,“完整性”和“有效性”看似与VPN关系不大,但方案中多种终端设备的可用性、基于Web的无客户端软件访问、会话保持等技术都不是局限于“保密性”的。VPN工作的质量、对线路稳定的支持力度都是不可缺少的环节,VPN产品的优劣足以影响信息安全这两个方面。
天融信的方案里也在“完整性”、“有效性”方面做了很多文章。比如,旁路接入的方式,旨在保证对现有网络结构的影响减到最小,有效保障网络结构的稳定性。
厂家们的方案从不同角度强化了广域网的安全性,信息安全保障强调木桶原理,并不是要你面面俱到,有时从一两个角度控制住足矣,用户关键是要找出适合自己的角度。
