人们有没有思考过,为什么目前越来越多的组织关注信息安全?为什么一旦重大病毒或安全事件发生,几乎没有 几个组织能逃脱厄运?为什么安装了各种信息安全设备,比如防火墙、IDS、VPN、UTM(统一威胁管理)、反病毒软件、信息安全管理软件等,依然无法保证系统的安全?
厂商们提出这些问题是为了更好地推销信息安全设备,而用户思考这些问题,则是为了解决问题,因为最终用户是这些网络攻击的直接受害者。
新结构:不要设计内外网
近日,国际上一个专业的信息安全用户论坛――Jericho论坛的发起人之一表示,论坛已经研究出一种新的网络结构,可以有效地降低组织的信息安全风险。这种新的网络结构就是,拆除网络边界,打破内、外网界限,细致地保护网络上的应用而不是笼统地禁止或允许对网络的访问,这样可以更有效地管理安全风险。
Jericho论坛是国际上一些大型跨国集团用户自发组织的一个专业的信息安全论坛,发起单位包括美国波音公司、健牌香烟、汇丰银行、ICI等跨国公司的信息安全主管(CSO),主要目标是探讨新的保护网络安全的方式,并形成白皮书,在网络上免费共享。
Jericho论坛的发起人之一、目前任Jericho论坛董事会主席同时任世界排名第二的大型化工企业ICI集团的信息安全主管的Paul Simmonds先生说:“过去搭建IT系统,都是以内网和外网来区隔,几乎所有的信息安全厂商的努力,都集中在保护内、外网的安全上。内网中,往往有成百上千的终端计算机。”
刚开始,几乎所有的信息网络安全设备,都是架设在网关处,保护进出内外网的流量。后来,随着内部网络犯罪的增加,厂商们和用户又开始研究防止内部攻击的设备和技术。“这种治标不治本的方式,结果是网络中的信息安全设备越来越多,而网络依然无法抵御各种新型的攻击。”他说。
“归根结底,是网络的结构有问题,不应该设计成为内网、外网的方式,而应该打破网络的边界。”他说。
无边界网络好处多
以ICI集团为例,它在全球有339个站点,过去,设计成为一个内部网络,只有4个连接到互联网(外网)的接口,在这4个网关处,安装了大量的信息安全设备。后来,为了防止内网攻击,又在每个站点处安装了防火墙,投资急剧增加,但这样依然无法抵御各种攻击。
后来,根据Jericho论坛的“拆掉网络边界”的白皮书方案,ICI拆除了网络边界,将站点分成A、B两类,A类站点有20个,彼此之间用MPLS技术相连,每个站点用xDSL等技术直接连入互联网;B类站点则每个都可以直接用xDSL技术联入互联网,彼此之间的连接也是依靠互联网。
“这样做的好处是,我们抛弃了网关安全设备,所有的站点都直接联入互联网,当其中一台设备感染上病毒或遭受攻击时,不会影响到其他的设备。保护网络的安全简单到只需要保护某些关键的应用和确保终端设备的安全。”他说。
当然,这种网络结构将安全的风险完全分散到每个终端上,目前,终端上的安全技术比较多,只要确保了终端的安全,就可以保证整个网络的安全。不仅节省了大量的资金和运维成本,也使管理更加简单。
“也许,未来网络结构不需要大型的防火墙,但需要那种保护特定应用,比如电子邮件等的微型防火墙。”他说。
Jericho论坛的这一网络结构正在成员之间推广。IBM、HP、Sun、Resilience等IT和信息安全厂商后来也加入了这一论坛,帮助推广这一模式。
“无论如何,来自用户的需求总是驱动技术发展的最直接的原动力。”Resilience全球总裁兼CEO Theodore J.Marr博士说。“这一模式如果流行起来,作为厂商,也就确定了技术和产品的研发方向,也许,未来的信息安全厂商将极力开发在这种网络架构下的信息安全技术。”
Paul Simmonds呼吁全球的用户都组织这样的用户论坛,以研究出更好的抵御网络攻击的方法,让全球用户共享。
