统一安全管理呼之欲出 市场普及尚待时日

network

面对日益猖獗的网络威胁，安全防御已变成了“道高一尺，魔高一丈”的攻防拉锯战。更多的IT主管被拖入无休止补齐短板的竞赛，安全防护的木桶越垒越高，然而，事与愿违的是，企业的IT系统却变得更为脆弱，更加容易受到攻击。

　　显然，传统的防护策略已不再能够有效对付目前企业IT基础设施所面临的综合威胁，具备中央管控功能的统一安全管理平台呼之欲出。面对扑面而来的“管理”风潮，厂商、用户、渠道，都准备好了吗？

单点防御力不从心

　　作为信息中心的网络主管，大李对其所在科技局的IT安全运维越来越感到不知所措，困惑万分。

　　2002年年初，为了应对安全问题，大李为本局添置了防火墙设备。很快地，大李发现在对付某些恶意病毒时，防火墙经常会显得力不从心，于是，又跟着上了入侵检测与入侵防御系统。后来听说统一威胁管理（UTM）功能不错，又上了一套UTM设备，然而，无论设备怎么更新与升级，安全威胁始终如影相随。

　　为什么上了这么多安全设备，我们的网络还是不安全呢？面对上司的一再责问，大李一头雾水：我们的安全部署从防病毒、防火墙、VPN、入侵防御（IPS）、内网安全到UTM等一应俱全，按照著名的木桶理论，我们应该没有短板了呀，为什么系统安全还是得不到保障呢？

　　其实，大李的困惑决不单是一个个案，信息安全问题的日益复杂化是导致企业防御系统屡屡不能凑效的根本原因。一项调查显示，国内有将近半数的商业科技企业认为信息安全问题的复杂性是其目前面对的最大挑战。

　　“2007年信息安全问题呈现多样化的趋势，而对企业信息资产的进攻正在成为突出的威胁，这就要求企业从运营角度衡量信息安全和风险，并基于风险管理的理念制定适合自身需要的统一安全管理架构进行有效应对。” IBM全球信息科技服务部大中华区企业IT安全服务产品线经理徐欢表示。

　　建立统一安全管理架构，就好比给一只没有短板的木桶再加上一道箍，使组成木桶的各块木板间充分黏合，防御单点进行有效协同，这正是统一安全管理要解决的问题。

　　对于大李，给自己的安全木桶加道箍，可能是目前最需要去做的一件事情。

UTM不等于安全管理

　　之所以特别强调UTM，是因为此前由于安全厂商的过度宣传，用户对UTM寄予过高的期望值，认为该产品真的能够达到如它的名字--统一威胁管理一样的万能防护，甚至会误以为UTM就是统一安全管理。事实上，在当前一些应用环境中，UTM的许多功能颇显力不从心。

　　安全厂商对UTM的一般描述是，兼备防火墙、VPN、防病毒、入侵检测与阻断、流量分析、内容过滤、P2P协议过滤、3A认证等众多功能，然而，事实是企业用户尤其是大中型用户在实际应用中会发现该产品的诸多软肋。

　　“UTM不可能打开全部功能，众多功能只是摆设，最多也就当防火墙用用；而且，这种设备绝不可能在所有功能开启的情况下跑过100Mbps，不能满足大多数中型企业的需求。” 群柏数码科技公司产品市场经理王铭杰表示。

　　以启用防病毒功能为例，绝大多数UTM产品性能都会下降到该功能启用前的十分之一甚至更低，显然，这个速度几乎是所有用户不能接受的。

　　对此，王铭杰认为，UTM主要适合于分支办公室与小型企业使用。虽然大型UTM可以解决部署上的复杂度，但是不足以满足大型用户对于性能（多重功能的共同性能，不单指只开一种功能的情况），各种功能产品的精细度（单独功能如IPS、AV等，专门的厂商和设备所提供的功能强大并且先进）等方面的需求。“所以，大中型企业更需要策略性地进行统一安全管理架构部署。”

　　“未来网络安全威胁只会有增无减，企业管理者不能再将信息安全看作一个孤立的或是纯技术的问题，而要从企业运营的全局角度整体看待，制定与企业特点和成长潜力相适应的统一安全管理架构。” 联想网御副总裁于海波表示。

安全厂商各自为政 管理平台亟待标准

　　事实上，统一安全管理并不是一个新生事物。早在三、四年前，主流安全厂商大多已在传统防火墙的基础上，拓宽了更多的产品类别，如IPS、VPN、终端安全，无论对于厂商还是用户，都需要有一个管理平台把这些设备控管起来。对于厂商，给用户提供了二次采购的机会；对于用户，在扩展其安全应用时，可以最大限度降低总体拥有成本。

　　另外一个因素来自当时市场的变化情况。就全球来看，尤其是大型行业用户，已走过最基础的安全系统的单一建设，如防火墙、防病毒、IPS、漏洞扫描等，但零散的系统与独立管理工作大量增加，使得他们对安全事件处理的速度和效率变得越来越慢。对于这些用户，需要有一个安全运营管理平台来帮助他们解决这些问题。统一安全管理平台由此应运而生。

　　国内安全管理市场发展情况基本与此大同小异。单台防火墙日志收集可以被称为安全管理的最早雏形，再到后来的多台防火墙、VPN、IDS及其他安全设备的日志收集及集中监控，基于安全信息管理体系的统一安全管理平台功能日臻强大。　　

　　尽管统一安全管理已被市场越来越多的认知与追捧，然而，统一安全管理却至今没有统一的概念与标准，甚至各家安全厂商都有各自不同的定义与理解。

　　“统一安全管理对于每一个厂商都可分为两个层次。第一是同本公司的产品实现统一控制，这也是一个最基本的层次；第二是对来自不同安全厂商的不同系统的异构安全产品实现统一控管。” Check Point高级技术顾问程智力表示。

　　他介绍道，Check Point的产品目前首先能够满足第一个层次，即对其公司旗下所有产品，从边界防火墙、边界VPN网关、IPS、终端安全管理等，都可以实现在同一平台上的控制和管理；对于第二个层次，CheckPoint已支持到超过180多种异构产品，如思科路由器、交换机、防火墙、Juniper防火墙以及Windows、Linux、Unix操作系统等。

　　对于国内安全厂商，包括联想网御、东软、网御神州、天融信等，关于对统一安全管理提到最多的就是全网安全管理。

　　在联想网御“业务导向的安全管理”理念中，其全网统一安全管理体系包括面向企业网络基础安全、终端系统安全以及业务应用系统安全等三个层面。基于这三个层面，公司推出的五大系列安全产品分别为：安全设备管理系统、异常流量管理系统、内网安全管理系统、应用安全管理系统及安全审计系统等。

　　“用户对安全管理的认识及需求会有一个过程，目前国内用户对此类产品的需求主要集中在基础网络管理和终端管理两个层面，这些基本保障实现后，未来可能会在应用管理层面形成新的需求热点。” 联想网御副总裁于海波接着说：“所以我们会特别强调以业务导向为安全管理产品的设计理念，在对企业的网络平台和终端系统进行统一的安全管理的基础上，进一步对企业的业务系统进行安全管理，有效保障企业业务系统的稳定运行，促进企业信息化的健康发展。”

　　“网御神州一直认为安全源于管理，管理驱动安全。安全管理就像是安全系统的中枢神经，是不可或缺的安全核心。”网御神州SOC业务部高级产品经理叶蓬表示。

　　结合客户需求及市场现状，网御神州通过其网神SecFox安全管理平台对企业计算环境的各类网络节点进行统一安全管理和监控并实现安全策略最终实施。

　　同样地，无论是天融信的TSM安全管理平台或启明星辰的泰合管理平台，都着重强调在统一的综合管理平台上，有机整合各种安全技术、产品，同时使技术因素、策略因素以及人员因素能够更加紧密地结合在一起，从而充分地发挥用户网络中各种安全资源的作用，提高用户的网络安全防御体系的整体的综合效能，获得尽可能大的投入产出比。

　　而东软则将统一安全管理融入其NetEye安全运维平台（SOC）中。“NetEye安全运维平台可以帮助用户实现由零散安全产品到信息保障体系的转变。不仅能够帮助用户快速提升技术能力，同时更能协助用户高效改进安全管理体系。” 东软网络安全产品营销中心总经理贾彦生表示。

　　“之所以对统一安全管理平台有不同的定义与理解，最大的问题在于安全厂商各自为政。比如在设备管理层面，目前仍没有任何配置标准可循。在安全领域，还没有任何一家厂商具有绝对强大的领导力，能够像微软一样成为事实上的工业标准。”一业内资深人士指出。

　　“不过，这也是任何产业发展必须要经历的一个过程，相信随着用户成熟度的进一步提升，安全产业同样会从无序走向有序，从各自为政走向融合统一。”该人士接着说。

应用水平参差不齐 行业需求热点各异

　　在对行业用户的采访中，记者发现，由于个体信息化基础建设的巨大差异，导致其对于统一安全管理的需求与认识也存在天壤之别。

　　河南国税局是较早引入统一安全管理平台的政府用户之一。作为河南省主管国家税收工作的职能部门，河南省国家税务局全省下辖18个省辖市局，183个县（市、区）局，742个税务分局、53个基层税务所。其全省报税终端节点超过1000多个，交换机200台左右，路由器50台左右，再加上几十台重要数据库服务器，其网管运维的工作量可想而知。

　　“以前我们直属分支报税终端出现表单提交不了的情况时，我们先查看该地交换机，顺着这条线捋到核心交换机；如果没问题的话，再查看防火墙，看看策略是不是被修改了；再去查该地服务器，如此反反复复，耗时耗力，搞得用户对我们意见都很大。”河南国税信息中心一位网络主管表示。

　　去年，网御神州统一安全管理平台顺利部署于河南国税IT运维系统。对于该网络主管，目前的工作内容发生了实质性的变化：“现在，所有的网络及安全设备运营情况都可以在同一个可视化拓朴上清晰体现，大大提高了我们的响应时间。用户对我们的抱怨少了，满意度也提升了，同时，我们现在的报表也比以前好看了，大家都评价我们网络部门工作比以前上了一个水平。”

　　而一些大型企业用户在部署信息安全管理平台时，已经开始从企业运营全局角度出发，搭建与企业自展发展相匹配的统一安全管理架构。

　　中国太平洋保险是一个比较典型的案例。由于企业IT安全体系的建立和实施涉及公司的各个层面，需要企业各部门建立相应的IT管理机制。为此，太平洋保险建立了由集团信息技术工作委员会组成的决策层、IT管理和专家组成的监控层以及项目团队为实施层的管理框架。

　　通过安全需求分析，太平洋保险从管理体系和技术架构两方面设计了IT安全总体解决方案，确定IT安全管理体系框架。“太平洋保险进行企业IT安全体系建设，目的在于通过科学、灵活地规划信息安全管理体系，真正达到规避风险，保障业务发展的目标。” 太平洋保险IT安全项目负责人表示。据了解，目前类似的统一安全架构建设已经在更多金融、电信等行业用户中推广开来。

　　业内人士指出，目前统一安全管理平台的主要用户主还是金融、电信等大型企业客户及政府、税务等行业用户。其中，大型企业用户安全管理偏重于应用层面，政府等行业则偏向于基础设备及终端管理。

　　相较之下，中小企业对这部分产品的需求则没有前者明显与迫切。对于一些信息化程度较高的中小企业，他们已意识到了统一管理的必要，但大多不了解什么样的产品可以帮他们解决这些问题；而对于一些信息化建设尚未步入正轨的中小企业，现在谈安全管理显然还为时过早。

渠道推广尚无定式 增值代理大有作为

　　“安全管理产品多为软件产品，看不见摸不着的，不怎么太好卖。它不像防火墙等硬件产品，一上电立马就能跑起来。而且，用户现在对统一安全管理的认知度也不够，推起来也特别费劲。”一位安全产品渠道商抱怨道。

　　这位渠道商的看法也得到了多家安全厂商的认同。据了解，目前国内主流安全厂商包括东软、网御神州、天融信、联想网御、启明星辰等，虽然有此前的传统渠道可以复用，但对于统一安全管理产品，各厂商还主要是靠其自身销售队伍进行推广。

　　不同于其他IT产品，安全产品尤其是高端市场前几年一直被国外厂商占据，国内厂商要打入此前自己并不占先的大型商用企业领域，尤其对于统一安全管理这样一个市场认知度及销量远远不够成熟的产品，国内厂商要做的工作还有很多。

　　而国外安全厂商的渠道推广则主要通过其总代进行推广，不同于海量型分销，这些总代大多为增值型分销商VAD（Value-added Distributor），如神州数码、佳杰科技、群柏数码、长虹佳华等。

　　其实，统一安全管理产品在给渠道带来新的市场机会和销售机遇的同时，还给更多的SI、VAR能够提供二次开发的机会。“我们会有一些专门的工具集成在产品里面，使它能够和新的未知的产品进行集成。无论对销售商或SI、VAR，都会在新的市场中找到一些相应的新的商业价值。”程智力表示。

　　作为一家百分之百做渠道的公司，Check Point通过培训认证CCSP （认证服务提供商）的形式为用户提供服务支持。同时，公司于7月1日启动了全新的渠道政策。“我们会给予渠道更大的支持力度，会有更多的产品组合及不同的行业解决方案打包给合作伙伴。”

　　对于大多安全厂商，除了签约渠道外，还有一部分“隐形渠道”，这种渠道也被部分安全厂商称为“策略合作伙伴。”

　　一方面是不愿受制于上游厂商相关义务约束（签约代理在拥有上游给予的相关权利的同时，还得承担一定的义务，比如物流、资金流、发展一定数量的代理商等），另方面又在某领域拥有较深的行业背景且具有较强的系统集成与解决方案能力，这样比较“牛”的SI被很多安全厂商看好，尤其在攻克某些大型客户的时候，双方往往会以“策略联盟”的方式合作，各取所需，皆大欢喜。

　　事实上，无论从供应链某个环节还是产品本身来看，统一安全管理平台目前还远远没有成熟。

　　“按照著名的生命周期理论，统一安全管理产品目前正处在高速上升的青春期阶段。所以，我们应该正确地引导这个市场，引导好了，这个产品就能发展成一个成熟产品；如果引导不好或竞争过度，也可能会导致其青春期夭折。”叶蓬表示。

　　显然，统一安全管理平台要真正实现普及，还有相当长的一段路要走。