新时代、新安全 解读安全技术发展趋势

    随着网络安全威胁的日益严重，用户也开始关注安全的建设。而现阶段的安全威胁在种类上越来越丰富，攻击形势也开始多样化。从早期的病毒蠕虫到现在非常普遍的恶意代码，盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，无一不给用户的正常应用带来了严重的安全威胁。受到攻击的用户轻则黑屏死机，重则造成个人经济利益上的损失。同时，针对服务器的Web应用层攻击(包括SQL注入及跨站脚本攻击等)成为目前的流行方式，造成大量对外提供业务的服务器的网页篡改或者服务器瘫痪拒绝服务等。

　　安全威胁的演变直接推动了安全技术的发展，回顾安全产品和解决方案的发展历程，我们可以看到，新形势下安全技术的发展有以下显著特点：

　　1) 从技术发展的角度看，深度的内容安全是目前热点的技术研究方向

　　在安全建设的初级阶段，安全防护主要依靠的是传统的防火墙包过滤技术，入侵检测技术以及防病毒技术等“老三样”产品，这些产品在安全防护的初期阶段发挥了积极的作用，但是在新的安全威胁形势下，这些产品已经不能完全代表安全技术的形象。面对新的不同种类的安全威胁，我们必须要有新的技术手段进行识别和防护，而基于内容的深度安全分析已经成为目前的热点方向，包括基于特征匹配的深度分析以及基于行为识别的内容分析技术等。基于特征库签名的深度报文特征匹配是目前比较通用的一种方式，通过对报文的深度内容分析，获取安全攻击的典型特征，通过特征库匹配实现对网络攻击的入侵检测和防御;或者通过跟踪协议的状态交互，并通过和学习到的协议状态机模型来比对协议是否发生异常，从而检测出当前网络是否存在攻击发生。此外基于行为的模型学习和智能分析也成为目前最为有效的一种手段，通过对大量攻击行为的模拟和行为特征分析可以提前预知攻击行为的发生并及时告警和响应，从而规避风险。同时需要考虑的是安全不是一个静态的过程，因此及时跟踪最新的安全漏洞，研究新的安全威胁的行为就显得尤为重要。

　　2) 从产品演变的趋势看，多功能的UTM已经成为新一代中低端防火墙的发展方向

　　为了实现对各种安全威胁的防护，在Internet出口，企业往往需要考虑多种安全产品的集合部署，这种串葫芦式的部署方式，更多的是各种安全设备简单的堆砌，不仅增加了设备的采购成本，而且加大了后续安装维护的难度，这对于大部分企业来说绝非一个理想的选择。而集成多功能的UTM安全网关的出现，由于其all in one的优势，代表了新一代防火墙的发展趋势，受到了众多用户的青睐。优秀的安全网关可以从以下几个方面来衡量：

　　1、性能是否够高：这是安全网关的根本要求，没有性能作为支撑，再好的功能也没有用武之地，这也是早期部分厂商推出的UTM网关的致命弱点，全功能开启的性能参数比纯粹防火墙的性能参数下降很大，甚至降为十分之一，这是用户无法接受的。新一代的UTM网关产品得益于硬件平台的发展，在这个方面已经不是瓶颈。

　　2、特性是否完整：为了应对各种新型的安全威胁，多功能的安全网关除了对传统的交换路由支持外，对于FW/VPN，防病毒，防垃圾邮件以及基于Web的内容过滤等功能的支持也是必然的要求。需要强调的是：多功能集成并不代表是功能的简单堆砌串行处理，而是要在各功能的处理流程上进行整合，通过并行处理和内部信息交互等技术来实现效率和功能的平衡。

　　3、功能是否专业：由于安全技术点多而且相对分散，仅仅依靠单厂商的力量无法兼顾到各项技术的完美实现。通过开放合作，与业界知名厂商建立广泛合作，为用户提供业界最顶级的解决方案是最为合理的选择，在这个方面，具有可持续性发展能力的厂商更容易获得业界专业厂商的支持。