吳紅成

[摘 要]簡述了在信息安全中發(fā)展的技術(shù)，并介紹了UTM，說明了身份管理將成為安全技術(shù)的主流。

[關(guān)鍵詞]信息安全 UTM 身份管理

據(jù)報道，2006年12月初，我國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)了“熊貓燒香”病毒及其變種，這一病毒通過多種方式進行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。短短兩個月內(nèi)，已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞。

隨著網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)客戶急劇膨脹，針對互聯(lián)網(wǎng)內(nèi)容的攻擊也在持續(xù)不斷地發(fā)展，且手段多樣，網(wǎng)絡(luò)信息安全越來越重要，已經(jīng)引起社會各界的高度關(guān)注。

從早期的計算機病毒，到今天的垃圾郵件，間諜軟件等惡意軟件，釣魚網(wǎng)站，攻擊的矛越來越多樣化，鋒利化。而對應(yīng)的盾，在與矛的斗爭中，也隨之品種繁多，功能日益強大，成熟。

信息安全的工具從單機版的反病毒程序，發(fā)展到今天的防火墻、統(tǒng)一威脅管理（UTM）、內(nèi)容安全、身份認證等技術(shù)和產(chǎn)品。

網(wǎng)絡(luò)信息安全領(lǐng)域主要是：防火墻、反病毒和入侵檢測產(chǎn)品。隨著攻擊技術(shù)的不斷發(fā)展，單一功能的安全防護越來越力不從心了。2004年9月，IDC首度提出了“統(tǒng)一威脅管理”的概念，將防病毒、入侵檢測和防火墻等安全設(shè)備劃歸為統(tǒng)一威脅管理（Unified Threat Management，簡稱UTM）這一新類別。該概念一經(jīng)提出便引起了業(yè)界的廣泛關(guān)注。UTM采用的技術(shù)，實現(xiàn)UTM需要無縫集成多項安全技術(shù)，達到在不降低網(wǎng)絡(luò)應(yīng)用性能的情況下，提供集成的網(wǎng)絡(luò)層和內(nèi)容層的安全保護。

然而國內(nèi)早期的UTM產(chǎn)品并沒有發(fā)生技術(shù)上實質(zhì)性的飛躍，在一個目前還在追求不斷提升硬件技術(shù)或提高硬件平臺處理能力的時代，要做一個“集大成”的UTM還需時日。這也就出現(xiàn)了兩種發(fā)展UTM的策略:以防火墻為核心基礎(chǔ)，發(fā)展UTM，這是目前UTM廠商或防火墻廠商的大多數(shù)做法。再一個就是以IPS為核心發(fā)展UTM產(chǎn)品，這是TippingPoint的做法。它在IPS而不是傳統(tǒng)的防火墻基礎(chǔ)上，發(fā)展未來的一體化安全設(shè)備。換句話說，安全虛擬專用網(wǎng)絡(luò)(IPSec VPN)、帶寬管理、網(wǎng)頁內(nèi)容過濾等安全模塊，甚至包括防火墻本身，都會被安放到IPS的平臺之上。很多早期的UTM產(chǎn)品更像是防火墻或IDS/IPS產(chǎn)品的改進版。UTM設(shè)備往往是大量安全功能簡單堆砌而成的產(chǎn)物，并沒有在底層做好集成優(yōu)化設(shè)計工作。隨著UTM技術(shù)的不斷發(fā)展與成熟，大多數(shù)的UTM產(chǎn)品具備了網(wǎng)絡(luò)防火墻、網(wǎng)關(guān)防病毒，網(wǎng)絡(luò)入侵檢測/防御等功能。同時，很多UTM產(chǎn)品還集成了常用的反垃圾郵件、Web內(nèi)容過濾等模塊。

可是，目前的UTM產(chǎn)品還存在著一些缺點，如UTM作為網(wǎng)關(guān)型設(shè)備，數(shù)據(jù)處理能力還不夠高，對網(wǎng)絡(luò)帶寬要求高的用戶，目前的UTM并不太適合。而且UTM產(chǎn)品還不具備功能單一的專業(yè)安全產(chǎn)品所能達到的安全級別，所以也不適合那些對安全防護極其敏感的用戶。作為UTM產(chǎn)品，它既要實現(xiàn)常規(guī)的網(wǎng)絡(luò)層安全（例如防火墻功能），又要求高速地處理應(yīng)用層安全防御，在技術(shù)上比一般的單項產(chǎn)品要求要高。UTM產(chǎn)品面臨著在提升硬件速度的同時，還面臨著系統(tǒng)優(yōu)化方面的問題

信息安全管理主要包括三個部分：對風險進行有效管理、對設(shè)備進行有效管理和對身份進行有效管理。

理念的變化將帶來安全防護方式的巨大變化。隨著互聯(lián)網(wǎng)的大量普及，網(wǎng)絡(luò)和信息系統(tǒng)不可避免地要對外開放，要開放給客戶，要越來越多地共享應(yīng)用系統(tǒng)和數(shù)據(jù)庫給合作伙伴，在這種情況下，保護數(shù)據(jù)本身比建一堵圍墻重要得多也有效得多。通過防火墻/VPN、網(wǎng)關(guān)安全技術(shù)，這些網(wǎng)絡(luò)訪問控制技術(shù)來實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護，同時對用戶的限制也大大加深了。

傳統(tǒng)的安全防護越來越顯示了它的弊端。身份管理將成為安全技術(shù)的主流。身份認證管理所解決的問題決不僅僅限于“哪個用戶具有哪些數(shù)據(jù)的訪問權(quán)限”，而是充分考慮到在當今數(shù)字時代中實現(xiàn)數(shù)據(jù)使用、共享和訪問的所有方式，并且為整個數(shù)據(jù)生命周期提供訪問控制的藍圖。隨著數(shù)據(jù)量的快速增長、為了有效地保護數(shù)據(jù)資源、簡化數(shù)據(jù)資源管理，身份認證管理越發(fā)的重要了。比爾·蓋茨與微軟首席研究與策略官Craig Mundie最近提出了一種新的計劃，確保安全的數(shù)據(jù)訪問在IPv6網(wǎng)絡(luò)中采用聯(lián)合身份認證方式、采用數(shù)據(jù)權(quán)限管理保護文件和數(shù)據(jù)、在線身份確認采用智能卡的方式而不是口令的方式。 Mundie認為，基于IPv6的IPsec技術(shù)是一項未來非常具有前景的技術(shù)，采用IPsec技術(shù)，在連接的兩端可以實現(xiàn)重要的身份認證，不管網(wǎng)絡(luò)邊界或者網(wǎng)絡(luò)拓撲是怎樣的，你都能定義策略，從邏輯上控制訪問而不是從物理上控制訪問。EMC公司正在研究基于密碼技術(shù)的身份管理技術(shù)，未來將與存儲、無線通信等技術(shù)更加緊密結(jié)合，保證數(shù)據(jù)無論是在存儲中還是在流通中都是安全可信的。

微軟今年推出了兩個新產(chǎn)品：身份管理生命周期管理軟件ILM（Information Lifetime Management,信息生命周期管理） 2007和智能應(yīng)用網(wǎng)關(guān)2007。

ILM 2007 提供了一個集成的和復(fù)雜的軟件系統(tǒng)，通過將Windows系統(tǒng)和其他系統(tǒng)中的身份識別同步化、認證管理、口令管理集成在一起，管理用戶身份識別的整個生命周期。在信息時代，整個社會的所有活動無一不是以數(shù)據(jù)為基礎(chǔ)，數(shù)據(jù)應(yīng)該根據(jù)其在生命周期中所處的階段來采用不同的手段進行管理。ILM需要考慮數(shù)據(jù)在業(yè)務(wù)中的流動，它必須是一個既包含業(yè)務(wù)、又包含數(shù)據(jù)流的整體觀念。微軟智能應(yīng)用網(wǎng)關(guān)2007將SSL VPN產(chǎn)品與微軟的互聯(lián)網(wǎng)安全與加速服務(wù)器（ISA）整合在一起，為網(wǎng)絡(luò)邊界提供防御、遠程訪問、端點安全和應(yīng)用級別的保護。

據(jù)報告，2006年，全球網(wǎng)絡(luò)安全專用設(shè)備和軟件銷售收入比2005年增長15%，達45億美元，據(jù)預(yù)測2007年這個市場將首次突破50億美元大關(guān)。隨著全球信息化產(chǎn)業(yè)的發(fā)展，不僅安全技術(shù)會有很大的發(fā)展，而且作為一個產(chǎn)業(yè)，信息安全產(chǎn)業(yè)可以預(yù)見會在未來不斷的壯大與成熟。

總之，隨著安全威脅的日益加劇以及伴隨著商業(yè)利益的黑客行為的日益猖獗，攻擊與防護這一對矛與盾仍將長期斗爭，演繹下去。

參考文獻

[1]費宗蓮,《UTM引領(lǐng)安全潮流》,《計算機世界報》 第07期 B27