下一代防火墙和智能是如今信息安全领域的两个热门词汇。日前,山石网科正式对外发布了被其命名为“下一代智能防火墙”的新产品系列,并同时推出了系列中的首款产品SG-6000-T5060。这一产品目前可以交付给用户进行试用。山石网科认为,这一新产品不是简单地将下一代防火墙和智能融合,而是会带来理念的变革。
信息安全需要“先知”
自古以来,人们就希望拥有能够提前预知未来的能力,并借此躲避灾祸。在信息社会,这种先知的能力成为了对信息安全防护的技术手段。
“在刚刚过去的一分钟,百度进行了350万条搜索;在QQ空间上,有14万张图片被下载;在新浪微博,有9.54万条文字被发出;在淘宝网上,发生了8300次交易????这其中的危机无处不在。”山石网科市场副总裁张凌龄认为,信息技术应用的普及使得对数据的防护变得非常重要。
越来越多的IT从业者将信息安全的未来寄托在将安全事件预警与数据防护技术结合的层面。通过这种整合,人们可以在安全事件发生前得到预警,从而提前对数据进行防护。相比传统的特征库识别方式,这种预警使得信息安全从被动迈入了主动防御的时代,特别是在APT(高级持续性威胁)、针对性攻击频发的今天,这种防护手段的附加价值更高。
2005年,Gartner的两名分析师MarkNicolett和AmritWilliams提出了名为SIEM(安全信息事件管理)的理念。这一理念描述了一种将多方来源的信息进行收集、分析和安全事件定位并告警、管理的能力。这种能力我们也可以看做是对可能发生的安全事件的一种先知先觉。
安全网关引入指数概念
山石网科认为,下一代智能防火墙是基于主动检测技术并结合数据分析,配合下一代防火墙功能,实现对安全威胁防护和安全风险管控的产品。其在下一代智能防火墙上提出了全网健康指数和行为信誉指数的概念。全网健康指数利用了主动检测的技术,实时监测网络的连通性、设备资源的利用情况、业务服务器响应情况等信息,可以通过算法形成网络整体的健康指数供管理员参考。行为信誉指数则以用户终端为单位,对其历史行为进行打分,进行非法操作用户的信誉分数会受到影响,并成为管理员的重点关注对象。
除此之外,山石网科还在下一代智能防火墙中引入了智能分析诊断解决方案。这一方案建立在其智能多维处理架构基础上,通过数据包路径检测功能、全局故障点搜索以及日志审计功能,帮助用户提前发现故障点、快速定位和解决问题。
通过对用户身份、服务器和应用的辨识,下一代智能防火墙会对其进行长期监控并分别以全网健康指数和行为信誉指数进行打分,并实行相应的预警或者控制。比如说,内网某用户长期以来网络流量一直持续在一个稳定的水平,下一代智能防火墙会据此对该用户设定一个评级,一旦某一天用户流量突然升高,下一代智能防火墙就会提醒管理员注意该用户的流量。
山石网科将下一代智能防火墙的技术愿景分为三个阶段完成:第一阶段以实现全网的健康状态检测和监控为核心;第二阶段则会实现对用户、服务器及服务的行为信誉监控,并且通过关联分析对僵尸网络、异常行为及APT攻击做预警和报告;第三阶段,将在监控和报告的基础上,实现动态的策略调整和控制。本次发布的SG-6000-T5060属于第一阶段,其主要为政府、高校、金融和大中型企业设计,适用于互联网出口和服务器前端。
山石网科总裁兼CEO罗东平表示,下一代智能防火墙关注的是用户价值,而非产品本身,“我们强调的是智能,而不是下一代防火墙。”