随着企业的业务发展,企业对信息系统和网络的依赖程度越来越高: 销售部门需要通过电子邮件等手段和客户联络及进行交易、售后服务部门需要用VoIP和IM对客户进行售后服务支持、研发部门需要通过HTTP和FTP等手段收集信息、企业在外地的分支机构和出差人员需要VPN安全接入以使用企业内部的信息资源。
同时,由于企业的信息系统及网络大多数时候需要和外界进行信息交换,垃圾邮件、恶意软件、钓鱼攻击、DDoS等种种安全威胁也时刻威胁着企业的信息系统和网络,企图削弱甚至摧毁企业的业务信息处理能力。企业如何应对上述威胁?许多意识到信息安全重要性的企业急于寻找一个适合自己业务需求的安全方案,但对于数量占大部分的中小企业来说,安全方案的采购/维护成本、技术复杂性等都是中小企业所不能承受的,因此,统一威胁管理(UTM)方案应运而生。
统一威胁管理的原理、优点、缺点
统一威胁管理(UTM,Unified Threat Management)是2004年由IDC的Charles Kolodgy提出的概念,UTM把基本的防火墙、反垃圾邮件、反病毒、入侵检查功能和扩展的VPN、Web内容过滤、 入侵拦截、AAA等集成在一个硬件平台上。
UTM的优点在于整合化,它以较低的成本满足了中小企业对信息处理安全的大部分需求,避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作,并提供简单易用的界面给非专业的用户进行常规的维护工作。但UTM的缺点也同样来自于它的整合性,由于UTM在一个设备上整合了多个安全功能模块,受处理能力及成本的限制,UTM设备所实现的反垃圾邮件、反病毒等功能离单一安全设备的水平尚有不小的差距,达不到单一安全设备的安全级别;也由于处理能力的限制,UTM设备在启用基本防火墙功能的情况下,开启反病毒、入侵检测等耗费系统资源的应用模块时,性能会显著下降,某些产品甚至会有70%多的性能下降。
因此,目前市场上的UTM产品,更适用于网络带宽要求不高、安全防护等级不太高的场合。换句话说,UTM在中小企业才能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。
企业如何选择UTM
虽然UTM设备有诸多优点,但企业对UTM设备的选择应该有一个原则: UTM设备的选择应该满足企业安全策略所要求的安全目标,还应该和企业现有的业务处理环境、管理制度、信息技术环境做到最大程度的兼容。
企业可以根据以下步骤来确定自身的安全需求以及要采购的UTM要满足的技术要求:
企业的业务处理需求:指企业对正常业务处理流程中可能存在的安全薄弱环节的加固,或对可能存在的入侵路径进行控制的需求。对一个主要使用电子邮件与外界联络的企业,就需要考虑UTM设备的反垃圾邮件功能是否满足日常使用需求;对另一个通过NAT发布企业网站的企业来说,抗DDoS功能和入侵检测功能又应该成为选购UTM设备首要考虑的因素;对于有安全远程接入需求的企业, UTM设备的VPN支持也应该进行考虑。由于无线网络成本的降低,许多企业也开始部署无线网络,在这些企业中,UTM设备是否支持无线网络也要纳入考虑的范围。总之,企业应该根据自己的业务特点,结合信息的输入输出来确定待采购的UTM设备应该具有的基本功能。
企业的管理要求:企业需要用安全策略来指导内部用户使用信息系统的行为,同时也需要通过技术手段来限制用户实施某些行为的能力,因此,企业选择UTM设备的时候也应该考虑UTM设备是否满足企业管理要求。比如,企业禁止用户在工作时间使用某些IM软件,允许使用VoIP软件,选择的UTM设备就应该包含IM控制功能;企业不禁止用户使用P2P软件,但需要限制用户的使用带宽,那选择的UTM设备就应该有P2P带宽限制功能;企业禁止用户在工作时间浏览某些类型的网站,那选择的UTM设备应该带有Web内容过滤的功能。同时,根据企业的管理需要,UTM设备可能还需要能提供分级认证、授权、审计功能(AAA)—— 企业的安全策略和管理需求也是企业选择UTM设备重要的考虑因素。
企业的信息技术需求:企业的IT需求包括很多方面,其中最常见的莫过于采购UTM设备对企业之前的设备投资的保护和部署UTM设备之后对网络操作环境的影响。比如,如果企业原来已经部署有网络版的反病毒方案,UTM设备的反病毒可以就可以不作为采购的参照因素之一;企业和用户是否能忍受功能全部启用的UTM设备带来的网络带宽的下降?如果企业原来已经部署有防火墙和反垃圾邮件网关,用户也统一安装有反病毒软件,那么UTM设备就不一定是企业的最好选择,企业考虑增加一个IDS或许会有更高的效费比。另外,企业采购UTM设备也要考虑UTM设备的维护成本及日后IT环境扩展的需要。
