防火墙、UTM产品OEM第三方产品或嵌入第三方反病毒引擎的利弊分析

network

防火墙、UTM产品OEM第三方产品或嵌入第三方反病毒引擎的利弊分析

      反病毒是信息安全体系中非常特殊的领域，由于其对抗的密度和强度，对资源、对基础依赖的程度远高于其他多数安全领域，因此是多数安全厂商不愿意半路杀入的原因。就连Cisco这样的巨无霸企业在推出自防御网络中也是与trendmacro(趋势)携手，而微软则采用直接购买其他反病毒企业的方法。
     正因如此，无论是国内的传统防火墙厂商，抑或是新兴的UTM（统一威胁管理厂商）为了既扩展反病毒能力，又不承担庞大的病毒引擎研发分析成本，都在其安全产品中不约而同的嵌入了来自于第三方反病毒厂商的引擎；前者多以新型防火墙为主营业务，后者则以新兴UTM架构为主打，市场上一时间风生水起，一片叫好之声；甚至就连长久以来被人所指责的"网络病毒检测过滤性能瓶颈"也随着ASIC专用芯片、多核NP等硬件技术的应用而号称"已经解决"。
根据比较可靠的资料分析，国内比较有代表性的安全厂商为了迅速扩展产品线，或者提升产品能力，分别采用过OEM国外反病毒厂商成型产品（贴牌），或选择在自身现有产品拟上嵌入第三方反病毒引擎的方法，也有的厂商产品线较长，采用OEM+自身产品嵌入引擎，两条路并举的方式大力扩张产品线。
        如下表所列：
国内代表性信息安全厂商    OEM合作伙伴       引擎合作伙伴
天融信                               Fortinet（飞塔）    Kaspersky（卡巴斯基）
启明星辰                                                          Antiy Labs(安天)
联想网御                            Fortinet（飞塔）
网御神州                            Fortinet（飞塔）   
方正                                                                Panda（熊猫）
中兴通信                            Fortinet（飞塔）   
华赛                                                                Symantec（赛门铁克）
东方华盾                                                         Kaspersky（卡巴斯基）
深信服                                                             F-Prot
网新易尚                            Fortinet（飞塔）   
交大捷普                            Fortinet（飞塔）   
金山卓尔                                                         Sophos、kingsoft(金山)

     由统计可以看出，基本上第一阵营、第二阵营传统信息安全厂商中的一半以上OEM飞塔的防毒墙，而采用嵌入引擎的方式则种类繁多，包括国外的卡巴斯基、赛门铁克、Sophos、F-Prot以及国内的金山、安天等在内，而三线厂商则更有采用廉价但粗糙的开源的反病毒引擎ClamAV的解决方案。
      诚然，媒体乃至业界、第三方调研机构对于此类安全产品的推崇有其自身的考虑，但无论何种安全产品形态，最终必须要满足至少两个方面的诉求：一方面使最终客户的安全运维成本进一步下降、投资回报率提升，这是源自于最终客户的安全诉求；另一方面，对于厂商而言，其无形声誉、营销利润等需要稳步上升，走入良性发展道路，这是源自厂商对未来的发展诉求。
        那么，是否在一片"歌舞升平"中，上述诉求就得以满足呢？

        本文将从三个方面来分析防火墙、UTM产品中嵌入第三方反病毒引擎的利弊之处：
       1.    嵌入第三方反病毒引擎的不足之处
       2.    新型防火墙、UTM产品的设计及服务流程缺陷
       3.    硬件架构的喜忧参半

        第一，    嵌入第三方反病毒引擎的不足之处
        首先，从反病毒引擎自身来看，其自身一定存在安全漏洞，从来自Securityfocus安全组织的不完全统计来看，其漏洞主要类别包括但不限于以下所列：
    反病毒引擎在处理特殊文件格式（如：畸形ZIP、ARJ、CHM等）时被欺骗；
    基于代理方式的反病毒引擎（如：FTP代理、SMTP代理等）可被精心绕过；
    反病毒引擎在处理特殊报头时（如：MIME、PE等）被拒绝服务攻击DoS；
    反病毒引擎自身存在缓冲区溢出漏洞（如：Sophos中的veex.dll等）。
      那么，引擎自身存在漏洞，对于反病毒厂商而言，其响应、修复往往需要一个周期，短则数日，长则以月来计算；而对于嵌入第三方反病毒引擎的安全产品，其修复补丁的发布与安装势必滞后一段时间；尤其是对于部署在生产环境中的安全设备而言，其所遵循的配置管理、变更管理策略更对升级需要进行多次审核。
        因此，对OEM其他产品或者嵌入第三方反病毒引擎自身漏洞的响应不力、无法及时修复，将为该客户以及厂商本身带来一定的风险。
        以下为反病毒引擎部分安全漏洞附表：
Fortinet（飞塔）   
Fortinet Fortigate绕过CRLF字符串URL过滤漏洞
2008-01-15
http://www.securityfocus.com/bid/27276

Fortinet FortiGate绕过URL过滤漏洞
2008-01-04
http://www.securityfocus.com/bid/16599

Fortinet FortiGate绕过FTP代理反病毒引擎漏洞
2006-06-21
http://www.securityfocus.com/bid/18570

Fortinet FortiGate绕过反病毒引擎漏洞
2006-03-02
http://www.securityfocus.com/bid/16597

反病毒引擎魔法字节检测欺骗漏洞
2005-10-25
http://www.securityfocus.com/bid/15189

构造畸形压缩文件包欺骗漏洞
2005-10-08
http://www.securityfocus.com/bid/15046
--------
Kaspersky（卡巴斯基）
卡巴斯基反病毒引擎CHM文件解析远程缓冲区溢出漏洞
2005-10-10

多个卡巴斯基产品中的kl1.sys文件本地栈缓冲区溢出漏洞
2008-06-04
http://www.securityfocus.com/bid/29544

卡巴斯基反病毒引擎ARJ格式远程堆溢出漏洞
2007-04-09
http://www.securityfocus.com/bid/23346

卡巴斯基反病毒扫描引擎PE文件拒绝服务漏洞
2007-01-08
http://www.securityfocus.com/bid/21901
-----------
Sophos
Spophos MIME附件拒绝服务漏洞
2008-07-10
http://www.securityfocus.com/bid/30110

Sophos CAB、LZH、RAR文件扫描欺骗漏洞
2007-09-06
http://www.securityfocus.com/bid/25574

Sophos多个拒绝服务与内存消耗漏洞
2007-07-27
http://www.securityfocus.com/bid/20816

恶意构造畸形ZIP文件扫描欺骗漏洞2007-02-20
http://www.securityfocus.com/bid/12793

Sophos反病毒引擎中Veex.dll存在多个缓冲区溢出漏洞
2006-12-15
http://www.securityfocus.com/bid/21563

Sophos库Visio扫描远程堆溢出漏洞
2005-07-25
http://www.securityfocus.com/bid/14362

        这实际上给所谓的信息安全国产化带来了非常微妙的影响，试想如果在国家保密部门所采用的国货，只是一个国产品牌，而里面的技术内核，有关厂商并不掌握。就算只是在自有防火墙/UTM嵌入国外反病毒引擎，也等于引入了一个安全未知量。
      其次，从反病毒引擎的应用环境来看，传统反病毒引擎+防火墙的方法，并非是网络反病毒的有效解决方案。单机版的反病毒产品与网关反病毒产品理应有所不同，单机上以文件的静态特征码匹配+动态的启发式检测为主要诉求，而在网关处，往往病毒行为不再仅仅是以传输病毒实体文件为目标；而且还伴随着病毒体远程升级自身、下达控制指令、植入新的变种等，那么仅仅依赖单纯的静态文件检测就无法识别此类恶意行为。而这一领域反而是传统防火墙、IDS和新兴UTM厂商的优势。
        现有的网关防病毒引擎（以"飞塔"为例）其所采用的是将静态文件匹配引擎直接移植到网关上去，并且大量样本的识别其实是采用全哈希简单检测方式，因此性能方面自然在同等硬件环境下弱于专门为网关而设计的反病毒引擎。
        此外，这一方式大多仅支持少数几种可还原协议的检测，如：HTTP、SMTP、POP3、FTP等，对于采用不可还原的UDP协议等就无法检测，而后者恰恰已经成为网络蠕虫、木马传输的重要通道之一。
      最后，从反病毒引擎的查杀率、误报率来看，没有任何一种引擎是能够实现零漏报、零误报等指标的，以下是来自AV-Comparatives的一份8月份的报告（Anti-Virus comparative August 2008），其中关于漏报率、误报率的评测结果如下图所示：
         由图可知，Sophos的误报率最高，达到了117次，Kaspersky也达到了28次，一贯稳定的Symantec也有12次误报，因此反病毒引擎自身在查杀上的缺陷也不可避免的会影响到网关产品供应商的良好声誉。

第二，    新型防火墙、UTM产品的设计及服务流程缺陷
        对于网关防病毒产品来说，无论是由传统的硬件防火墙衍生而来，抑或是在新的UTM框架下增加反病毒功能，都从理论上具备了统一威胁管理的能力。
        从设计角度而言仍然有一些问题需要指出，部分如下：
  位置和策略的合理性：网关位置对抗恶意代码不是一劳永逸的，一方面恶意代码的最终目标并不是网关，而是在网关之后内网内的各类终端节点，而单纯的依赖网关防毒，则会造成"单点突破，全局沦陷"的现象出现；另一方面，恶意代码无法单独存在，势必要通过各类行为（如：扫描、攻击、窃取等）扩散其影响，而这些行为对于现有直路带基于文件代理方式静态匹配的病毒功能的防火墙以及UTM设备来说，是根本无法检测的；

  升级频率的差异化：传统的防火墙理论上是一个稳定的面向策略的高性能安全功能组件，通过策略的配置、变更来起到安全控制；其最坏的情况下即使不能够确保预定义的安全策略有效执行，也可以通过全部阻断方式切断网络出口连接。换句话说，即使无法对内网内的威胁作出响应，也可以使之不通过网络出口进一步扩散。对于反病毒来说，其是一个可变的面向恶意代码对象的易扩展安全功能组件，特征库的升级、程序模块的升级频率远高于防火墙类安全产品的升级。对于UTM产品来说，其统一化的功能架构为新功能的扩充打下了基础，但这并不是一个简单的堆叠、加法过程，相反，当可变的功能组件与稳定的功能组件发生同处于一个硬件及部署位置时，就会导致每个功能都会大打折扣，而反病毒引擎的不稳定概率是最高的。

    运维管理的特殊性：对于IT管理者来说，其最根本的目标是保障业务的连续性不受破坏，那么在网络出口直连的带防病毒功能的防火墙、新型UTM设备如果频繁的升级、变更安全策略，势必会引入一定的风险，而致使业务的可用性受到很大的损害，那么是得不偿失的。

        对于新型防火墙厂商以及UTM厂商来说，因其自身往往缺乏足够的针对非自主研发功能模块的支持能力，势必会将客户的需求、反馈，产品中的不足、售后的疑难问题通过一定渠道传递给合作伙伴。这种方式是非常普遍的。
然而，防病毒产品与其它安全产品的支持有所不同，其它安全产品多以策略、规则的配置、变更等为主，而防病毒产品最主要的面对恶意代码本身，恶意代码的衍生、传播又具有时间复杂度、空间复杂度、本体复杂度等特性，形成了一个三维复杂度空间：

时间上：恶意代码（如："震荡波"、"红色代码"等）在骨干网上数小时之内就传播至全球各大主要网络以及企业网络；
空间上：恶意代码（如："熊猫烧香"）传播至中国大陆数千万台终端电脑之上，其中不乏大型企业内的网络终端；
本体上：恶意代码（如："机器狗"、"磁碟机"等）多重交叉驱动保护、加密传输，自我升级，难于被快速分析并清除。

        这些都为新型防火墙及UTM产品提出了更为严峻的挑战：
     实际的恶意代码响应能力是否能够从OEM合作伙伴中通过某种方式获得？支持与沟通流程最快能缩短到多久？是否能满足同时支持至少100个企业级客户的响应请求？……甚至当具有新特性的引擎被应用至实际产品的周期有多长？是否能与市场周期同步发展等都成为需要考虑的问题。
        当然，不仅仅存在以上问题，如下述案例：
     当新型防火墙、UTM设备，采用基于代理方式进行文件匹配时检测到内网内某一网段正在通过其出口向外扩散木马下载器Trojan-Downloader.Win32.Small.gkm时，其能做到的就是去临时封堵该网段IP，但事实上可能该木马下载器已经将多个可绕过终端杀毒软件的恶意代码实体文件感染至内网内上百台终端机器之上时，其如何进行追踪？如何进行定位？如何评估其对业务网络所造成的严重影响？……
        那么客户求助于该安全厂商，该安全厂商又进一步寻求第三方反病毒厂商进行支持，形成一个链式传递过程，响应周期就会随之增加；但对于问题本身而言，如何复现问题、如何短时间内处理上百台已感染终端使其不进一步扩散的困难又会进一步延长响应处理过程。
     显而易见，这并非一日之功，产品自身设计的复杂性与响应流程的不确定性都会影响到整个响应过程，而对于选择国外的反病毒厂商作为合作伙伴的安全厂商来说，沟通上的困难势必会使得整个响应流程变得更加冗长，而使得恶意代码的破坏进一步升级至更大范围，从而破坏业务的完整性、保密性及可用性。
        第三，    硬件架构的带来的压力：
        从硬件性能上来看，目前UTM产品不仅限于X86架构， ASIC架构、NP架构、也八仙过海，各显神通。
但由于x86+windows结构是病毒的乐园，现有多数主流反病毒引擎中都包含大量x86汇编模块，难以向其他非x86体系防火墙移植也就在情理当中。
     同时由于非x86架构的诉求就在于降低批量成本，因此还会给反病毒技术带来其他挑战，ASIC架构研发初始投入较高，性能有显著提升，但其局限性在于其存储空间有限，这意味着当病毒匹配规则数或检测规则长度之和达到上限时，就会出现无法新增匹配规则的现象，只有通过剪裁（优化）检测规则或者升级整个产品至更高一个型号系列，但这势必带来查杀能力的不稳定以及成本上的明显增加。多核NP架构的优势在于报文交换能力的显著增加，但是否现有的反病毒引擎能够很好的利用这一优势，例如在64位MIPS的16核架构上充分发挥引擎的能力，这也不是非常容易就能实现的。这些都不是传统反病毒厂商熟悉的领域。如果过多地迁就第三方引擎的支持能力，也缩小了防火墙和UTM厂商自身的选择空间。


        综合诸多因素，都说明，在OEM第三方产品和嵌入第三方反病毒引擎之外，传统网络安全厂商不能放弃自己动手，丰衣足食。
     值得欣慰的是，国内一些安全企业已经开始通过提升IPS的能力来弥补传统反病毒引擎的不足，而反病毒厂商也在做设备化的重要尝试，2008年6月19日，作为民族软件产业的旗帜，同时也是传统防病毒厂商中的佼佼者之一的金山软件用1452万元收购深圳招商卓尔（二线UTM厂商），成立深圳金山信息安全公司，这一合作的初衷金山是希望将其"软"（反病毒引擎、团队、技术、经验、积累）与招商卓尔之"硬"（硬件架构、设计经验、稳定性、可用性等）形成优势互补，而在传统防病毒厂商与传统安全厂商之间形成一个整合的典范。
        让我们用这一事件作为对未来防病毒产品趋利避害之展望……
        路，就在脚下

network

看完皓月所写的“防火墙、UTM产品OEM第三方产品或嵌入第三方反病毒引擎的利弊分析”，掩卷而思，这些观点印证了前些天和朋友们探讨的若干观点。近几年，防火墙和入侵检测系统IDS演变到防火墙FW、入侵防御系统IPS和统一威胁管理UTM系统的三国争霸，UTM将会代替防火墙的声音获得了不少关注。从皓月的这篇文章中，你能发现很多更深层次的思索。

皓月认为：基本上第一阵营、第二阵营传统信息安全厂商中的一半以上OEM飞塔的防毒墙，而采用嵌入引擎的方式则种类繁多，包括国外的卡巴斯基、赛门铁克、 Sophos、F-Prot以及国内的金山、安天等在内，而三线厂商则更有采用廉价但粗糙的开源的反病毒引擎ClamAV的解决方案。

与这几年的安全运营经验匹配，下面三点可能会对FW/IPS和UTM之争产生相当大的影响：
    位置和策略的合理性：网关位置对抗恶意代码不是一劳永逸的，一方面恶意代码的最终目标并不是网关，而是在网关之后内网内的各类终端节点，而单纯的依赖网关防毒，则会造成“单点突破，全局沦陷”的现象出现；另一方面，恶意代码无法单独存在，势必要通过各类行为（如：扫描、攻击、窃取等）扩散其影响，而这些行为对于现有直路带基于文件代理方式静态匹配的病毒功能的防火墙以及UTM设备来说，是根本无法检测的；
    升级频率的差异化：传统的防火墙理论上是一个稳定的面向策略的高性能安全功能组件，通过策略的配置、变更来起到安全控制；其最坏的情况下即使不能够确保预定义的安全策略有效执行，也可以通过全部阻断方式切断网络出口连接。换句话说，即使无法对内网内的威胁作出响应，也可以使之不通过网络出口进一步扩散。对于反病毒来说，其是一个可变的面向恶意代码对象的易扩展安全功能组件，特征库的升级、程序模块的升级频率远高于防火墙类安全产品的升级。对于UTM产品来说，其统一化的功能架构为新功能的扩充打下了基础，但这并不是一个简单的堆叠、加法过程，相反，当可变的功能组件与稳定的功能组件发生同处于一个硬件及部署位置时，就会导致每个功能都会大打折扣，而反病毒引擎的不稳定概率是最高的。
    运维管理的特殊性：对于IT管理者来说，其最根本的目标是保障业务的连续性不受破坏，那么在网络出口直连的带防病毒功能的防火墙、新型UTM设备如果频繁的升级、变更安全策略，势必会引入一定的风险，而致使业务的可用性受到很大的损害，那么是得不偿失的。
- 点击下载原文(pdf) -。
以下是一些精彩观点：
反病毒是信息安全体系中非常特殊的领域，由于其对抗的密度和强度，对资源、对基础依赖的程度远高于其他多数安全领域，因此是多数安全厂商不愿意半路杀入的原因。就连Cisco这样的巨无霸企业在推出自防御网络中也是与trendmacro(趋势)携手，而微软则采用直接购买其他反病毒企业的方法。
正因如此，无论是国内的传统防火墙厂商（，抑或是新兴的UTM（统一威胁管理厂商）为了即扩展反病毒能力，又不承担庞大的病毒引擎研发分析成本，都在其安全产品中不约而同的嵌入了来自于第三方反病毒厂商的引擎；前者多以新型防火墙为主营业务，后者则以新兴UTM架构为主打，市场上一时间风生水起，一片叫好之声；甚至就连长久以来被人所指责的“网络病毒检测过滤性能瓶颈”也随着ASIC专用芯片、多核NP等硬件技术的应用而号称“已经解决”据比较可靠的资料分析，国内比较有代表性的安全厂商为了迅速扩展产品线，或者提升产品能力，分别采用过OEM国外反病毒厂商成型产品（贴牌），或选择在自身现有产品拟上嵌入第三方反病毒引擎的方法，也有的厂商产品线较长，采用OEM+自身产品嵌入引擎，两条路并举的方式大力扩张产品线。
从反病毒引擎自身来看，其自身一定存在安全漏洞，从来自Securityfocus安全组织的不完全统计来看，其漏洞主要类别包括但不限于以下所列：
    反病毒引擎在处理特殊文件格式（如：畸形ZIP、ARJ、CHM等）时被欺骗；
    基于代理方式的反病毒引擎（如：FTP代理、SMTP代理等）可被精心绕过；
    反病毒引擎在处理特殊报头时（如：MIME、PE等）被拒绝服务攻击DoS；
    反病毒引擎自身存在缓冲区溢出漏洞（如：Sophos中的veex.dll等）。
那么，引擎自身存在漏洞，对于反病毒厂商而言，其响应、修复往往需要一个周期，短则数日，长则以月来计算；而对于嵌入第三方反病毒引擎的安全产品，其修复补丁的发布与安装势必滞后一段时间；尤其是对于部署在生产环境中的安全设备而言，其所遵循的配置管理、变更管理策略更对升级需要进行多次审核。
因此，对OEM其他产品或者嵌入第三方反病毒引擎自身漏洞的响应不力、无法及时修复，将为该客户以及厂商本身带来一定的风险。

network

UTM也是最近安全界的一个非常热的话题，国内很多企业都推出了自己的相关产品，国家层面的科研基金也是作为重要的项目积极立项，总的来说，UTM已成了信息安全界的当红明星，不过它仅仅是集成多种安全功能的一个单点安全系统，仅靠它难以构建体系化的安全防御体系，因此作为用户在接受其概念炒作的同时，不要对它的整体安全防御能力寄予过高的期望。下面将从技术与市场的层面谈谈自己对UTM的看法（仅代表个人观点）。
　　

[separator]

从技术的角度——多安全功能的融合体现安全厂商的实力
　　UTM是在一个系统中考虑实现FW、IDS、AV、VPN等单一安全功的融合与集成，但UTM不能简单地把各种涉及到的安全功能放到一个盒子中，需要把相关的安全功能进行关联整合（注意是相关的安全功能，不能把不相关的安全功能进行“拉郎配”的组合），这需要厂商具有多种安全功能的技术与研发经验的深厚积累。
　　从技术融合的角度，UTM首先需要从系统体系架构和系统建模的角度，理清UTM中各种安全功能的关联关系；其次，需要考虑各功能的融合对整体系统性能的影响，这是因为UTM将串接在用户网络系统的边界处就决定了“FW模块是UTM最重要的部分，其他诸如IDS、AV、VPN等其他安全功能模块则处于从属的地位”。这就是说，UTM必须优先考虑其FW功能模块的处理性能，其次才是通过其他功能与FW功能的配合，在满足用户对FW处理性能要求的前提下，尽可能增强UTM系统各功能模块之间的整体防御能力。此外，IDS、AV、内容过滤级的功能对攻击签名的搜索将可能迅速降低系统的整体性能（比如，在考虑IDS与FW的联动时，IDS的高误报率也使得UTM中的IDS难以有很大的作为，只有能够精确判定的攻击，才能够与FW联动实现对攻击链接的阻断，否则就有可能破坏用户的业务可持续性），这对于用户来说，可能是不允许的。再次，出于维护用户业务可持续性的考虑，系统的稳定性与可用性也是UTM必须重点考虑的地方，这是因为，多种安全功能的融合使得系统更为复杂，系统复杂性的提高也同时意味着系统可靠性的降低，这就有可能造成串接到用户网络边界处的UTM系统宕机，进而造成用户业务的中断。
　　因此，从UTM实现的角度，它不是多种安全功能的简单集成，要想真正通过多安全功能的有机融合，实现系统整体防御能力的提升，是需要生产厂商有一定的技术实力和复杂系统设计开发经验的，这对于国内靠单一安全产品起家的很多厂商来说，并不是一件简单的事情；因此，各家最好根据自己的技术积累，有选择地整合自己熟悉的安全功能模块，并不一定把想到的所有主要安全功能都集成进来，一是给自己找麻烦，二是有些功能用户并不需要。因此要结合自己的技术长处，推出有特色的、做精做深的产品（比如：IPS、内容过滤网关、防病毒网关等也应是UTM的实际产品形态）才能够在市场上有竞争力。
　　从市场的角度——体系化的安全防御体系需求使其难以进入高端市场
　　当前信息化程度最高的电信、金融等行业以及规模较大的公司，面对大规模的客户群，业务的可持续性、高速服务能力和信息的安全问题都是这些行业用户非常关注的问题。这就要求相应的安全产品具有较高的功能与性能，也就是说，信息安全产品的高端产品多集中在这些行业。
　　UTM作为一种当前比较热门的安全系统，是否也能打入电信、金融等高端应用市场呢？
　　个人认为很难，首先，从UTM部署位置及在其中融合多种安全功能的限制，个人认为UTM需要以FW为主，其他安全功能为辅。显然作为辅助的IDS、AV等功能模块，难以发挥当前同类专用系统的最高技术水平，而且IDS、AV等涉及内容过滤、分析的功能必然会显著降低UTM处理网络数据的性能，这就不利于把它应用到电信、金融等这些对网络服务能力要求很高的领域。其次，体系化的安全防御体系为这些重要领域的信息网络提供了更为完善的安全防御能力。比如电信领域的SOC方案，通过安全管理系统来实现网络中的各种安全机制的有效融合的理念，可能更是能够为用户接受。在这种方案中，FW、IDS、AV等都是功能强大的专用系统，通过安全管理平台对其进行融合、关联分析、配置管理等，从而实现高层次融合。最后，电信、金融等市场对安全的重视程度以及其充足的资金投入，也使得其采用功能强大、性能高的专用安全产品采用纵深配置的安全防御体系成为首选。
　　因此，个人认为UTM无论从技术还是市场的角度，它都无法达到FW、IDS、AV在信息安全发展史上的划时代地位，把它定位成面向中小型企业用户的FW的细分市场的中、低端安全产品可能更为现实。

network

国内企业争相OEM国外信息安全产品的反思


看了ZhaoL的文章“给UTM泼点冷水——防火墙-UTM-IPS之三国争霸”，对其中的观点很是赞同。
但本文关心是文中引用的关于‘国内代表性安全厂商OEM第三方产品’的分析结果：“皓月认为：基本上第一阵营、第二阵营传统信息安全厂商中一半以上OEM飞塔（Fortinet）的产品，而采用嵌入引擎的方式则种类繁多，包括国外的卡巴斯基、赛门铁克、 Sophos、F-Prot以及……”。由此不难看出：国内的信息安全厂商们就是在争着替Fortinet打市场，令人费解的是国内防火墙的主流厂商们竟然是OEM Fortinet UTM产品的主力，而UTM主要冲击的则是国内企业占据市场优势的防火墙市场……。这才是真正令圈内许多朋友担忧的地方。

[separator]

这种争相OEM同一家外商产品的怪异现象充分反映了国内信息安全产业发展的现状：因核心技术竞争力上的缺失，使得国内企业为了取得国内市场竞争中的些微的优势，不惜以自己多年打拼的品牌进行贴牌，期望借助‘雇佣军’来打击国内的竞争对手。然而这种内斗策略将必然造成了国内企业在技术上的不思进取、急功近利和缺乏长远的企业发展规划；就是‘国家安全’这一最好的政策性保护伞也自动地丢弃了。令人忧心的是长久这样下去，这些公司虽然仍都打着民族产业的旗号，但都将逐步演化成没有技术实力的“洋买办”了，进而彻底失去国内信息安全产业对国家安全保障的服务能力。
个人认为，国内信息安全产业与其他产业相比，具有得天独厚的发展优势：就是具有国家安全保护伞下，具有合法排外性的“根据地”。因此，国内信息安全市场相对于国内信息安全产业，做好了就是一个“我的地盘我做主”的局面。国内的信息安全产业能够不惧国外信息安全巨头竞争而发展到今天的原因就是因为：这不是国外强大的同行们能够随便进入的空间。这本应该是国内企业好好利用来发展自己核心竞争力的地方———进行技术的储备、理论体系的完善、人员的培养以及市场竞争能力的培育。

可惜的是目前国内信息安全行业缺乏真正的领袖式企业、也缺乏对技术的高度重视，不能够从理论体系或战略意义上对行业内资源进行有效的整合、形成产业内分工合作或产业链，进而引导大家走向共赢。这样一来国内的企业，为了突破行业内同质化产品的恶性竞争态势、以求获得对国内竞争对手的市场优势，就只能争相向国外的信息安全厂商求助，期望通过引进产品从市场上快速击败国内的竞争对手。然而实际结果就只能是替国外的厂商卖出了产品、免费验证了技术（技术产权是人家的、要挣钱用的，怎么会给你核心的东西？），并取得了大量的实用性试验数据，为进一步改进技术奠定了基础。这必然会进一步加大双方在核心技术竞争力上的差距，进而需要不停地引进技术……陷入恶心循环。而自己获得的只不过是为国际厂商销售产品而挣一些辛苦费罢了。
但成规模地采用OEM的国外产品对国家的信息安全保障体系的建设却是致命的——因所采用的信息安全产品，虽然名义上是国内厂商的产品（品牌），但实际部署的却是国外的产品。对这些OEM的产品，我们从技术实现上了解多少？有多少核心技术是能够掌握与控制的？我们如何来控制这些产品对国家安全造成的风险？前段时间的“微软黑屏事件”已经为我们敲响了警钟，并引起业内的强烈反响……如果我们对目前这种OEM国外产品的方式不加以反思和调整，加大技术与理论的突破研究与产品的自主研发，那么当国外企业通过OEM的网络安全产品获得我们网络世界的监管与控制权，到时我们就不会有“微软黑屏”事件了，我们的信息将对他们完全开放，他们也许就根本不需要通知你了。
说这个问题，不是为了指责国内的安全企业：大家要生存、要解决用户的问题、要满足用户的需求（国内的用户、专家、领导也有被老外忽悠的可能，进而对国内的企业提出要求，这不算错！关键是行业内必须组织专家团队，认真评估这些概念、理论以及产品的适用性评估，有能力给用户、领导以正确的信息——要敢于说服用户，并提供合适的替代方案，这才是重要的）。从企业生存的角度来看，通过OEM完善产品线、快速抢占市场、占据先发优势应是正确的思路。但在涉及国家安全的信息安全领域，内部竞争的时候“引狼入室”就不对了。本来信息网络的基础设施已经基本上全是国外的产品了，就是安全这块再用国外产品，那么我们还有什么？又会有什么样的能力来保证我们的信息世界安全？
不反对通过引进技术、甚至OEM产品来取得企业的发展，关键是要有选择地OEM产品，注意引进创新，能够通过引进发展自己的技术，提升自己的核心技术研发及服务的能力。中国近代“师夷长技以制夷”思想以及改革开放初期的“以市场换技术”思路的经验和教训很值得大家借鉴：如果没有一个统一的引进机制，好几个人同时去求一个老外，老外想不牛就不行，想不发财都不行！往往是最后技术没学到，市场也丢了。
当然有人会说：‘我不去OEM，别人也会去OEM的，到时吃亏丢市场的就是自己了’。确实有这样的可能，但这并不能做为“可以滥用国家政策保护、以国家授予自己的‘行业准入权’做与老外交换资本”的理由。因为信息安全产业涉及的是国家网络信息空间的安全保障能力的建设问题；对于这个行业国家是可以进行强制保护的，可以通过国家管理部门限制OEM产品的应用、加强对自助品牌产品及其核心技术研发的基金资助和优惠政策支持以及相关法规的要求等措施，来促进国内企业的自主创新，逐步提高国内企业的技术竞争力和业内产品的国产化。
只有在坚持自主技术研发的同时兼顾适当的对外合作，才能够培养一批真正的技术高手，来适应信息安全领域的对抗性安全服务的能力。否则，过度依赖OEM国外的产品，除了学会怎么使用国外产品之外，对于国内信息安全产业安全服务能力的提升没有任何的益处。就UTM这个概念来说，需要从用户的应用需求、市场反应以及技术实现等多方面，来评估我们是否需要这个产品。而不是国外忽悠一个概念，我们就必须跟上，还是那句话：在自己的地盘上，为什么不能自己做主，非要听别人的呢？“不怕落后，就怕不做，更怕的是不动脑筋、被别人牵着鼻子走！” 这也许就是目前国内信息安全企业难以长大的主要原因。

network

文中提出的问题，目的也是为了强调自主研发的重要性，提醒大家注意仅依靠OEM产品发展的危害。也许国家、行业、甚至业内企业已经或正在进行这方面的思考或调整，毕竟对业内企业来说，谁不愿意通过拥有核心技术去获得高额利润，而去挣OEM那点辛苦费呢？

前文提出了意见，这里针对问题给出一些自己的建议（希望能够对业内企业的核心技术及产品研发的环境改善尽点力），供讨论：

[separator]

1、观念改变

     首先是主管领导、专家、用户以及企业在观念上要突破“先看老外做什么？然后依葫芦画瓢”的思维定势。

     这种想法是典型缺乏自信的表现，也是国内技术竞争力落后的本质原因——不相信自己有探索与原创的能力，认为能仿制好就不错了。大家都明白：跟在别人后面是永远没有出路的。不要总是谈别人的，要知道别人的技术、理论以及所谓的最佳实践都是用来参考的，真正有价值的是要有自己对问题的理解与看法：参考别人的知识、实践经验，结合要解决问题的实际情况做出最适合自己的技术方案与产品，总结出自己的最佳实践经验。

      其次成立专业化的行业性研究咨询组织，做为业内相关人员观念改变的技术与理论支撑。

      当新的概念、技术、理论以及产品出现时，该咨询组织能够及时公正地对它们进行实用性评估并提出行业的应对策略与建议。并有责任帮助业内的领导、用户、专家以及企业建立对新技术、新理论及其应用前景建立正确的认识；有能力指导行业内企业来解决新技术（产品）的预研、技术（产品）引进以及国产化计划制定等问题。从而帮助业内相关人员逐步建立起在技术理论方面的自信心并逐步消除对国外技术的盲目崇拜心理，进而避免业内出现“国外厂家一忽悠，国内企业一窝蜂”的问题。

2、公正评估

     加强对国内自主创新技术与产品的评估（要保证公正性），对于真正具有创新性突破的技术与产品予以国家创新基金的资助以及其他国家优惠政策的扶持。

3、立足自研

     在产品与技术研发方面，要立足于自研。对于确需引进创新的产品，也应参考国内其他行业的经验，确定逐步国产化的产品替代计划和时间表、强调国产化率。

4、严格评测

     国家相关管理部门应加强对OEM产品的管理、评测与控制，界定OEM产品的使用范围，严格国内企业的行业“准入管理”，避免国内信息安全行业成为国外产品与技术的实验场，加强对拥有自主创新企业的资助力度。

     能否实施对OEM产品的有效管理与控制，关键在测评。