网络治理技术就是监督、组织和控制网络通信服务以及信息处理所必需的各种技术手段和措施的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
在当今这个信息化社会中,一方面,硬件平台,操作系统平台,应用软件等IT系统已变得越来越复杂和难以统一治理;另一方面,现代社会生活对网络的高度依靠,使保障网络的通畅、可靠就显得尤其重要。这些都使得网络治理技术成为网络技术中人们公认的要害技术。
网络治理从功能上讲一般包括配置治理、性能治理、安全治理、故障治理等。由于网络安全对网络信息系统的性能、治理的关联及影响趋于更复杂、更严重,网络安全治理还逐渐成为网络治理技术中的一个重要分支,正受到业界及用户的日益深切的广泛关注。
可能也正是由于网络安全治理技术要解决的问题的突出性和非凡性,使得网络安全治理系统呈现出了从通常网管系统中分离出来的趋势。
网络安全治理现状与需求
目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和治理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用,但是这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一治理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥。
从网络安全治理员的角度来说,最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态,对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。
但是,一方面,由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂,异构性、差异性非常大,而且各自都具有自己的控制治理平台、网络治理员需要学习、了解不同平台的使用及治理方法,并应用这些治理控制平台去治理网络中的对象(设备、系统、用户等),工作复杂度非常之大。
另一方面,应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位,其对应用系统的使用权限也不尽相同,网络治理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。
另外,对大型网络而言,治理与安全相关的事件变得越来越复杂;网络治理员必须将各个设备、系统产生的事件、信息关联起来进行分析,才能发现新的或更深层次的安全问题。
因此,用户的网络治理需要建立一种新型的整体网络安全治理解决方案——统一安全治理平台,来总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、统一策略治理、智能审计及多种安全功能模块之间的互动,从而有效简化网络安全治理工作,提升网络的安全水平和可控制性、可治理性,降低用户的整体安全治理开销。
网络安全治理技术及功能简介
安全治理(SM,Security Management),是企业治理(Enterprise Management)的一个重要组成部分。从信息治理的角度看,安全治理涉及到策略与规程,安全缺陷以及保护所需的资源,防火墙,密码加密问题,鉴别与授权,客户机/服务器认证系统,报文传输安全以及对病毒攻击的保护等。
实际上,安全治理不是一个简单的软件系统,它包括的内容非常多,主要涵盖了安全设备的治理、安全策略治理、安全风险控制、安全审计等几个方面。
安全设备治理:指对网络中所有的安全产品,如防火墙、VPN、防病毒、入侵检测(网络、主机)、漏洞扫描等产品实现统一治理、统一监控。
安全策略治理:指治理、保护及自动分发全局性的安全策略,包括对安全设备、操作系统及应用系统的安全策略的治理。
安全分析控制:确定、控制并消除或缩减系统资源的不定事件的总过程,包括风险分析、选择、实现与测试、安全评估及所有的安全检查(含系统补丁程序检查)。
安全审计:对网络中的安全设备、操作系统及应用系统的日志信息收集汇总,实现对这些信息的查询和统计;并通过对这些集中的信息的进一步分析,可以得出更深层次的安全分析结果。
安全治理主要解决以下问题:
◆ 集中化的安全策略治理(CSPM,Centralized Security Policy Management)
企业的安全保障需要自上而下的制定安全策略,这些安全策略会被传送并装配到不同的执行点(Enforcement Point)中。
◆ 实时安全监视(RTSA,Real-Time Security Awareness)
企业用户实时了解企业网络内的安全状况;
◆ 安全联动机制(CM,Contain Mechanism)
安全设备之间需要具备有中心控制或无中心控制的安全联动机制,即当IDS发现在某网段有入侵动作时,它需要通知防火墙阻断此攻击。
◆ 配置与补丁治理(Configuration and Patching Management)
企业用户可以通过对已发现的安全缺陷快速反应,大大提高自己反抗风险的能力。
◆ 统一的权限治理(Privilege Management across the Enterprise)
通过完善的权限治理和身份认证实现对网络资源使用的有效控制和审计。
◆ 设备治理(Device Management)
属于传统的网络治理功能的继续,实现对安全设备的重点治理。
安全治理的发展现状
在20世纪90年代中后期,随着互联网的发展以及社会信息化程度越来越高,各种安全设备在网络中的应用也越来越多,市场上开始出现了独立的安全治理产品。
相对而言,国外计算机网络安全治理的需求多样,起步较早,已经形成了较大规模的市场。有一部分产品逐渐在市场上获得了用户的认可。近年来,国内厂商也开始推出网络安全治理产品,但一般受技术实力限制,大多是针对自己的安全设备开发的集中治理软件,安全审计系统等。
由于各种网络安全产品的作用体现在网络中的不同方面,统一的网络安全治理平台必然要求对网络中部署的安全设备进行协同治理,这是统一安全治理平台的最高追求目标。但这并非是一个单纯而简单的技术问题,它涉及到行业标准和联盟。目前,已有部分厂商开始操作一些相关工作。防火墙厂商CheckPoint公司有自己的OpenSec协议,天融信有TopSec协议,这些安全设备治理产品和网络治理软件类似,对安全设备的信息采集主要建立在SNMP基础上,而特定的信息还需要其他网络协议的支持。CA公司的eTrust产品对安全策略治理支持比较成功;而IBM的Tivoli套件中的Risk Manager软件是目前比较优秀的风险治理软件。另外,联想的LeadSec Manager在安全设备的治理、安全策略治理、安全风险控制及集中安全审计方面都做了十分有效的工作;绿盟的ESP也对其自主的入侵检测产品实现统一的安全治理、策略治理及审计分析工作。
统一安全治理产品,近两年已经成为众目所瞩。虽然此类技术和产品的应用还远没有达到成熟的地步,然而可以断言,统一安全治理技术发展的春天已经来临。