近年来随着云计算、大数据等新技术的快速发展,业务和数据向省一级、区域行政中心、企业集团的云平台集中。原本使用业务系统的中小型主体,转为使用上级统一部署的系统平台。
底层业务系统的取消直接导致了大量底层业务系统网络边界的消失,外部业务边界收缩到了顶层。随着底层业务系统网络边界的消失,伴随业务应用的边界隔离交换产品没有了用武之地。
一时间业界纷纷感叹云时代到来后,传统边界隔离交换产品客户不需要了,事实真是这样的吗?
对此,安全牛有幸邀请到多年来坚持在边界隔离交换产品创新的安盟信息公司联合创始人&总经理张大伟来和我们分享他在边界隔离交换产品与市场方面的理解。
张大伟,高级工程师,安盟信息联合创始人,现任安盟信息总经理。负责公司日常运营、战略合作以及产品规划等工作。研发出身,信息安全从业20年,曾参与多个大型央企的集团网络安全标准设计工作。
安全牛:张总,您能先简单帮我们介绍一下您是怎么看待边界隔离交换产品的吗?
张大伟:好的,边界隔离交换产品在我国发展快20年了,我本人也从事这类产品技术研究十五年以上。在我看来,边界隔离交换产品从诞生起,就是为了满足客户高安全业务需求场景下的特定数据交换的产品,它解决的是“信息孤岛”问题。从开始在军队、政府、电力调度等场景的应用到现在各行各业全面开花的过程,我们见证了它的快速发展历程。
安全牛:您认为边界隔离交换产品是从什么时间开始快速发展的?
张大伟:是2007年,受益于等级保护制度的全面推行。我们都知道,网络安全属于信息化建设中的基础工程,但是由于过去用户重视程度不够,我国的安全建设严重落后于业务信息化建设,使得大量的业务长期暴露于各种风险当中。等级保护制度是我国网络安全建设的主要抓手。现在,随着《网络安全法》的颁布以及等级保护2.0制度的正式实施,加之震网病毒、勒索病毒等新型危害业务安全的威胁态势,各类政、企、事业单位越来越重视网络安全的建设。在对业务网络的安全加固建设需求中,各类边界隔离交换产品市场需求强劲。因为边界隔离交换产品属于网络安全工程中的基础设施,是不可或缺的组成部分。
安全牛:为什么您认为边界隔离交换是不可或缺的呢?
张大伟:首先,没有一个组织愿意将自己的内网完全暴露于外部,否则相当于将自己的所有数据广而告之,而数据是组织的核心机密。
其次,不同的组织间,由于天然的安全距离,其必然存在着网络边界,不会混为一体。当组织间存在数据交换需求时面临着安全问题。
此外,网络边界通常形成于建设之初,其不会自行消失。即使由于新的组织变更等原因规划特定网络边界取消或融合的情况出现,也面临着新的边界建设问题。
安全牛:照您的说法,是否可以这么理解:无网络时无边界,网络越精细化面临的边界会越来越多?
张大伟:您说的对,网络边界不是一条线,而是与其他网络的接触点。事实上,网络边界不仅不会消失,由于应用与技术理念的不断发展,为了保证业务的安全、有序运行,在组织内部网络会划分出更多的微小单元,会产生更多的内部边界,比如同在内网中的研发内网、财务内网与办公网络的安全边界。内部的不同单元之间会通过内部边界做指定应用的数据交互。内部边界的划分就好比航空母舰的底仓设计。航母在吃水线以下会设计很多隔仓,被鱼类击穿几个隔仓也不会导致沉没,其作用是将风险隔离,只有在维护(特定的交互)时才会打开联通。
安全牛:现在很多人都持边界安全无用论,您是怎么看的?
张大伟:边界永远是守护网络安全的第一道大门,如果这道大门失守或不存在,那就相当于边境撤掉了边防军。由于隔离交换产品的特点,其默默承担了安全职责(默认拒绝),但不善于表现自己(安全不可视),再加上新问题、新技术的不断涌现,很多人认为边界安全无价值,这是典型的一叶障目。
网络安全是一个体系,其中涉及物理安全、边界安全、通信安全、数据安全、应用安全、管理安全等方方面面。边界安全是其中重要的组成部分,我们既不能夸大其安全作用,也不应忽视其安全价值。
安全牛:说到边界隔离交换产品,大家首先想到的是隔离网闸,但是很多人经常搞不清楚隔离网闸与防火墙之间的区别。
张大伟:是的,而且很多人都认为隔离网闸是用来隔离网络的,这属于典型的理解偏差。隔离网络最好的办法就是断开网络,且物理环境相隔一定距离。但是,随着业务应用的蓬勃发展,形成了大量的业务数据沉淀。为了让数据产生更大的价值,通过数据交换消除“信息孤岛”,从而诞生了安全隔离与信息交换系统(简称网闸)这类产品。从产品类型定义可以得知其作用是安全隔离和信息交换,既保持网络隔离,又可做指定的信息交换,这才是隔离网闸产品的正确理解。隔离不是目的,安全数据交换才是其核心价值。而防火墙采取的主要是深度数据包过滤技术。包过滤技术是基于保持会话的同时,采取多种过滤手段从数据包中检查内容的安全性、保密性。但是无论检查粒度多细都无法回避一个问题,那就是客户端与服务端之间建立了穿透性的会话,客户发请求,服务端给予回应。服务端对外提供了服务端口,在服务端口中提供了应用服务,客户端可以不断的进行尝试各种突破的可能性。这是请求—服务通信模式无法规避的风险。而隔离网闸产品在处理数据交换时与包过滤有着本质的区别。隔离交换产品两端均可以作为客户端,依据设定的任务主动发起数据交换请求,此时自身两端均不提供任何应用端口。不提供应用端口,就不会有应用协议漏洞,因此隔离交换的主动交换模式可有效的保证数据交换的同时客户业务系统不被从边界入侵,这是其他安全产品无法替代的优势。
安全牛:您这么一解释就明了多了,边界隔离交换产品从原理上就可以屏蔽掉应用层协议漏洞了,因为它可以不提供任何应用服务,全部通过主动方式进行数据交换,就像光盘摆渡机的机械臂。
张大伟:您的比喻也很形象,其实在很多敏感网络地带,单向光闸就是用来替代光盘摆渡机的。其实隔离交换产品不仅仅可以防护应用协议漏洞风险,TCP/IP协议栈的漏洞虽然较少,但风险依然存在,而隔离交换产品是从原理上就可以防范。
近日,美国国土安全局、CISA ICS-CERT发布了关于新发现的数十个安全漏洞的通告,称漏洞影响全球500余个厂商生产的数十亿联网设备。这些漏洞是以色列网络安全公司JSOF 研究人员发现的,研究人员在Treck 开发的底层TCP/IP 软件库中发现了19个零日漏洞,研究人员将这些漏洞称之为——Ripple20。攻击者利用这些漏洞可以无需用户交互就实现对目标设备的完全控制。
受影响的设备包括家用和企业级商用设备,遍及不同行业,包括医疗健康、数据中心、电信、石油天然气、原子能、交通和其他关键基础设施领域。其中涉及部分财富500企业,比如HP、施耐德电气、Intel、罗克韦尔自动化、卡特彼勒、巴克斯特等。
传统包过滤类型的安全产品是无法解决此类协议栈安全问题的,而隔离交换技术却可以让用户避免损失。边界隔离交换技术由于是采用双主机加私有协议摆渡的隔离芯片,即便是攻击者控制了一端主机,但是由于私有协议与摆渡机制,其无法穿透至另外一端主机,从而保证了网络的隔离性和安全性。
安全牛:这么看其实边界隔离交换产品的安全特点很明显,从原理上就可以屏蔽掉很多未知风险了。
张大伟:是啊,其实每种安全技术都有它的适用场景,一旦脱离了它的适用场景,那安全作用就会大打折扣。不过随着“让数据多跑路,让群众少跑腿”、“最多跑一次”等为民、务实的施政理念的落地执行,也意味着政务数据大集中时代的到来。不同部门间如何通过网络,安全的将数据共享、集中、交换考验的不仅是施政者的治理水平,也同样考验着相关机构的网络安全、数据安全的技术能力。边界隔离交换产品的适用场景也会越来越多,并且随着技术的不断演进,边界隔离交换产品已经衍生出网闸、单向光闸、数据交换平台等多种类型的边界隔离交换产品,其基本工作原理一致。
安全牛:那您是怎么看待边界隔离交换类产品未来的市场前景呢?
张大伟:未来是万物互联的时代,但是互联不代表边界的消失,互联不代表任意的互访。万物互联时代,恰恰会产生更多的边界、更多的边界交互,随之而来的是更多的边界安全需求。比如,近年来国家层面推行的行业云加端的新监管方案:重点用能单位能耗在线监测、重大危险源在线监测、环保在线监测等新监管方案。将原本依靠人工统计、填报的数据通过自动化采集上报,避免了数据造假、数据延迟等情况。新监管技术方案设计中均采用了边界隔离交换产品或技术,并将其应用至保护企业生产网与互联网边界处。监管方通过边界隔离交换产品采集企业生产网数据或视频,边界隔离交换产品用来保护企业生产网安全。这从侧面证明了边界隔离交换产品不仅不会消亡,还会在更多、更新的应用领域开花结果。
国际著名科技咨询公司国际数据公司(IDC)今年首次发布了《中国安全隔离与信息交换市场份额,2019:各方需求驱动,市场发展长期向好》的研究报告。报告中客观、详实的对隔离交换市场发展情况进行了分析。该报告显示,2019年,中国安全隔离与信息交换市场规模达到1.05亿美元,较2018年同比增长20.5%,市场呈现高速发展态势。除传统业务应用场景外,在工控安全行业、物联网安全、智慧城市等应用场景中均在大力推动最终客户对于边界隔离交换产品的需求。同时,报告中也指出,未来,私有云、行业云、混合云的安全建设又将成为边界隔离交换产品市场发展的又一强大推动力。
回归安全本质,客户本身并不关心五花八门的安全技术,客户需要的是一个动态的安全效果。同样的,作为安全企业、安全人更应当以客户需求为目标,灵活运用各种安全技术,来为客户的目标进行服务。无论是实体网络还是云时代,无论信息技术如何发展,作为基础设施的边界隔离交换产品不仅不会消失,反而会继续蓬勃发展。不同的是,边界隔离交换类产品会随着客户业务需求的变化而不断的进行创新,真正从业务安全角度帮助用户实现安全目标。
相关阅读
