访思科产品专家
　　
　　作为全球领先的网络专家，思科在短短的20年中确立了自己在信息行业中不可撼动的领导地位。2002年7月，思科发布了针对中国安全市场的战略，人们蓦然发现，原来思科早已在全球和中国的安全市场上悄悄占据了市场份额第一的位置。
　　安全问题，仿佛是在一夜之间成为IT业界的热点——企业关心它，媒体爆炒它，厂商畅谈它。但是在这你来我往的言语之中，笔者在寻找一种冷静的声音，网络安全是什么？为什么企业不断增加投入却得不到有限的安全感？
　　带着这样的问题和思考，本报记者与思科的安全专家进行了深入的交流……
　　安全问题，仿佛是在一夜之间成为IT业界的热点——企业关心它，媒体爆炒它、厂商畅谈它。但是在这你来我往的言语中，笔者在寻找一种冷静的声音，网络安全是什么？为什么企业不断增加投入而得不到有限的安全感？思科安全产品专家认为，在目前安全热的背后，用户对安全的认识其实还处于初级阶段，并不成熟。
　　用户认识的三大误区
　　目前，广大网络用户所面临的安全挑战是比较严峻的，这可以从以下几个方面窥见一斑：首先，随着语音、视频、多媒体等各类集成数据应用的不断升级和迅速增多，用户网络系统的拓扑结构正变得越来越复杂，安全隐患/漏洞自然水涨船高，用户网络需要防御的地方也越来越多；其次，正变得日益开放和普及，网络应用与信息通信十分频繁，用户网络系统存在的安全隐患和安全漏洞涉及的范围与暴露的几率直线上升；再次，黑客攻击手段正变得越来越复杂，但是这些工具却越来越容易得到，并且它对于攻击者的专业知识要求也在明显降低; 第四，面对眼下用户网络系统遭到的猖獗复合式攻击，传统意义上单点防护设备形同虚设、防不胜防; 最后，由于安全专业知识的匮乏和认识上的偏差，在网络用户中抱有“投资一次、享受终身”的安全防护思想的不在少数，它们大多把网络安全产品和方案理解成一道坚固的静态防线，而不能根据用户网络应用及其拓扑结构的发展变化调整或者重新部署网络系统的安全策略，从而埋下了系统安全的隐患。
　　事实上，用户的网络系统存在安全漏洞或暴露安全隐患的因素是多方面的，也是错综复杂的，没有任何一家厂商能够保证用户网络系统，特别是银行、证券、电信等特殊行业运行着的关键电子商务应用的、非常庞大的网络系统永远处于绝对的安全状态，这是不现实的。关键是建立一套机制，能够主动、尽早地发现安全漏洞并制订相应的防护措施，从而防止这些漏洞成为网络安全危机的隐患。一般来说，具备这种安全机制并部署了这样安全策略的网络系统就是安全的——这可算是对网络系统安全的一种本质认识和经典阐述。可见，网络系统安全维护的根本在于动态的防御，即不断地发现网络系统出现和存在的安全漏洞并不断地加以修补。
　　但是令人遗憾的是，相当比例的网络用户对于网络安全维护“基本法”缺乏起码的认识，迷信于构筑一劳永逸的坚固防御工事，企图以“阵地战”和“堡垒战”御敌于“国门”之外。要知道以坚固著称的“马其诺防线”也有被攻破的时候，何况用户的网络并非坚不可摧。
　　归纳起来，国内网络用户在选购网络安全产品和部署网络安全系统的实践中还存在着如下一些认识上的误区：
　　1． 认为没有必要制订符合企业长远发展的安全策略。这导致了：① 只重视产品的性能，而忽视了安全产品适当部署的重要性; ② 在网络系统需要进行物理扩张或结构变化时，不得不对原有的安全防护体系大动干戈，甚至推倒重来，从而造成严重的重复投资和资源浪费; ③ 由于没有意识到安全系统的部署和网络系统的发展是相辅相成的，当加载了新的网络应用后，由于没有及时部署相应的安全措施，从而造成了安全漏洞。
　　2． 面对不法分子日益猖獗的复合式攻击，不少网络用户试图通过单点产品的简单堆砌来加以应对，而对产品之间的协调工作考虑较少，导致了安全防护体系的整体防御能力低下。
　　3． 对复杂多变的网络环境和层出不穷的安全漏洞认识不足。许多用户把已经部署了的安全防御体系看成是“完美工事”，或者认为“它足可以应付相当一段时间”，从而对安全系统少管理、不监控，成为企业网络有效安全防护的隐患。
　　
　　不难想像，网络用户迷失在自身认识的误区中，这正给不法分子以可乘之机，它们顺藤摸瓜地对用户的网络系统发起密集攻击，于是一道道安全屏障被穿破，一座座防御工事被摧毁，当然遭受损失的一定是拥有和使用网络的用户。
　　用户网络需要整体防护
　　网络用户安全产品选购与安全系统部署上存在的这些认识误区，突出地反映了用户首先需要的是网络整体安全防御的思想。
　　整体安全思想要求用户对自身的网络系统进行通盘考虑、全面分析和整体部署，它包含了如下一些核心思想: 安全防护是一个过程，用户需要根据自身网络系统拓扑结构的变化随时调整安全策略的部署；要求采取综合的防御手段对用户的网络系统实行立体的安全防护，这些安全防御手段浑然一体，它们之间具有良好的“互操作性”，具备良好的沟通能力和有效的互动机制; 安全防御体系不是一劳永逸的静态屏障，而是一个不断延续、循环提升的过程，安全产品及其服务提供商需要根据企业网络系统内外的变化，持续跟踪、测试、管理和调整整个安全防护体系，以达成企业网络系统的动态安全平衡和严密防御体系。
　　随着企业业务的快速发展，构建于企业网络平台上的基础与应用不断增多并且功能日益复杂，用户网络的基础架构也不断地进行物理扩张和结构变化。为了适应这些变化，用户网络系统的安全策略也需要灵活调整甚至重新部署。这就需要网络安全体系具有相当的灵活性和可扩展性，使其安全策略能够根据企业业务的发展和网络拓扑结构的变化随时进行调整和重新部署，以实现企业网络的动态防护和整体安全。
　　面对不法分子猖獗的复合式攻击，单点安全产品的单一防御手段已经没有意义，整合安全解决方案应运而生。在整合安全方案中，多种不同类型和性质的单点安全产品（如、入侵检测系统、VPN等）被无缝集成在一块儿，联合应对来自用户网络系统外部的安全攻击和内部的安全隐患。它的本质在于产品之间的互动，也就是联合行动、一体防御，这就需要联动方案中的所有单点安全产品之间具备良好的互操作性，能够实现有效的“沟通”和及时的“互动”。
　　要使安全防护体系具备相当的灵活性和可扩展性以满足安全策略频繁调整的需要，企业选择的安全厂商首先应该是一个网络行家，它需要具备相当丰富的网络专业知识和网络建设实施经验，从而保证全面、深入地了解和分析用户的整个网络，避免顾此失彼、以点代面地部署安全。另外，要用结构化的框架来简化网络分析，以使得网络及其安全部署相辅相成，并具有良好的可扩展性。
　　思科安全的三件利器
　　作为网络与安全的双重专家，思科又是如何帮助安全用户实现对其网络系统的整体安全防护呢？
　　1．思科SAFE安全蓝图全面采用了模块化的体系结构和分层防御的先进思想，它建议企业首先将复杂的网络环境模块化，然后分析各个模块内部及相互联结的薄弱环节和关键部分，并有针对性地采用深度防御战略。分层防御的思想使得黑客要想击破用户网络的安全体系，必须跨越SAFE体系设置的层层关隘，当某些层被击破时，用户的信息仍然是安全的，而用户则赢得足够的时间来重新强化对信息的防护。
　　
　　2．为了解决异构产品之间的“互操作”问题，思科推出了安全厂商深度合作的AVVID合作伙伴计划。参与到该合作计划中的厂商们分别贡献出自己的产品，在专门的试验室里进行互操作试验，必要时还要互相公开源代码，并且最终由思科向社会公开这些厂商产品互操作试验的参数手册和各种技术报告，从而从根本上避免了“传统整体安全方案”中各种产品简单堆砌和各自为政的局面，充分实现了这些产品之间的优势互补和交相策应，有效执行了全面的安全策略。
　　3．为了给遍布全国的企业用户提供真正专业化的服务，思科通过专业化的渠道合作伙伴资格认证，在中国建立了庞大的专业化服务体系和完善的管理系统。
　　SAFE蓝图、AVVID合作伙伴计划及专业化渠道体系是思科成功服务海内外客户的三大利器。
　　
　　
　　
--------------------next---------------------