網路分流器－個人關於網安產品類分感想

眾所周知，戎騰 網路分流器是網路安全領域網路監控前端重要的基礎裝備！對整個網路安全起到了至關重要的不可替代的作用！然而像網路分流器TAP這類的裝置到底是屬於網路安全什麼類別的產品呢？ 業界存在著一定的認知差異，今天我們淺談一下網路安全產品的類分！

高密度核心網採集裝置，盒式48個10GATCA14槽480個10G和76個100G移動信令採集裝置160個10G和48個100G

第一部分 概述

我們先來看看IDC沿用多年的分類。

將安全分為了產品和服務，產品又分為了軟體和硬體。IDC的市場研究也是基於這個框架來做的。這些年，網路安全產業高速發展。當前網路安全細分領域非常多，產品特性也存在交集，且產品形態也會隨著技術發展和應用場景動態演變，因此對網路安全產品分類還是挺有挑戰的工作。本文關注網路安全產品分類，暫不考慮服務。將網路安全產品分為“端點安全”、“網路安全”、“應用安全”、“資料安全”、“身份與訪問管理”和“安全管理”六個一級分類。每個一級分類下面還定義若干個二級分類，二級分類從屬於一級分類。近些年“雲大物移”對網路安全產品形態、特性和應用場景產生一定影響，戎騰網路認為未來多年這種影響會更加持續和深入。據此定義了“雲”、“大資料”、“物聯網”和“移動”四個一級場景。每個場景下均有若干個二級場景，二級場景從屬於一級場景。

第二部分 分類介紹

我們先來看看一級分類。

“端點安全”包括三個二級分類，分別為“惡意軟體防護”、“終端安全管理”和“其他”。每個二級分類下面包含若干個三級分類，三級分類從屬於二級分類，下同。這部分三級分類需要說明的就是終端檢測與響應（Endpoint detection and response），這個在國外市場比較火，大有代替防病毒產品的趨勢。目前在國內看到此類方案較少，當然也可能是我的認知有限。

端點安全包括三個二級分類，分別為“惡意軟體防護”、“終端安全管理”和“其他”。每個二級分類下面包含若干個三級分類，三級分類從屬於二級分類，下同。“網路安全”包括四個二級分類，分別為“安全閘道器”、“入侵檢測與防禦”、“網路監控與審計”和“其他”。這是個大類別，這部分所佔市場份額也是最大的。這部分的三級分類需要說明的有三點：1.VPN暫被歸類到安全閘道器中是因為類防火牆產品幾乎都具備VPN功能。雖然獨立VPN產品也發展出一些專有特性，如認證與許可權管理，應用虛擬化等。2.高階威脅檢測（APT）產品主要針對“0 day”漏洞利用問題，雖然結合了行為分析、威脅情報和沙箱等特性，本質上還是檢測入侵行為，因此被歸類到入侵檢測與防禦類別中。3.在國內上網行為管理也是一個大類別，被歸類到行為管理與審計中是因為申請銷售許可證一般是按照網路通訊審計標準進行檢測。

“應用安全”包括三個二級分類，分別為“WEB安全”、“資料庫安全”和“郵件安全”。這部分比較清晰，三級分類大家看圖即可，就不一一贅述了。

“資料安全”包括三個二級分類，分別為“資料治理”、“檔案管理與加密”和“資料備份與恢復”。大資料時代，對於國家、企業和個人來說資料都是核心資產，資料安全尤為重要。資料治理主要包括：資料發現、資料分級和資料控制，DLP類產品能夠解決資料控制部分的問題。仙兒認為資料安全的難點在於資料價值評估，安全防護級別應與資料價值匹配。哪位對資料價值評估有研究，我要拜師學藝。

“身份與訪問管理”包括兩個二級分類，分別為“認證與許可權管理”和“高階認證”。這部分是安全的重要組成部分，基本上圍繞三個問題展開。“你是誰？”是認證問題，“你能幹什麼？”是許可權問題，“你幹了什麼？”是審計問題。

“安全管理”包括三個二級分類，分別為“安全運營和事件響應”、“脆弱性評估與管理”和“治理、風險與合規”。先來說說日誌審計LA、安全資訊和事件管理SIEM和安全運營中心SOC的區別。LA的資料來源是log，主要過程是收集與處理、分析和展示。SIEM的資料來源除了log，應該還有flow、dpi、full packet、registry、process等，資料量更大，在收集與處理和分析能力要求更強，展示內容也比LA更豐富完整。SOC就是在SIEM基礎上增加工作流，當然最新特性還有安全自動化與協同（Security automation and orchestration）。國內的此類產品資料收集維度較為單一（主要是log），資料處理和分析能力、安全自動化及協同還有進一步提升空間。再來說說漏洞掃描和補丁管理。前段時間的wannacry就是一個N day漏洞利用，只要及時打了補丁就不會出事。對於一般使用者來說，及時進行安全更新，安全風險就會大大降低。如果值得用一個0 day漏洞來攻擊你，你就要考慮更高等級得安全防護措施了。

帶DPI和五元組過濾功能，內外層剝離的核心網採集裝置！

第三部分 其他場景 ｜ 網路分流器

先來看一下“雲”。

“雲”場景包括兩個二級場景，分別為“雲安全”和“安全雲”。不是玩文字遊戲，這兩個確實有區別。先來說說雲安全。無論是私有云還是公有云，雲安全指的都是IaaS的問題。一般來說資料中心上雲後，原來盒子形態的網路安全產品無法部署，雲安全產品應運而生。可以理解為原來應用到資料中心的安全產品軟體化，在適配雲平臺基礎上解決了一些雲上的安全問題，如：主機安全、租戶隔離、東西流量、應用防護等。再來說說安全雲，這個可以理解為SaaS服務。原來你購買一臺抗DDoS裝置部署在本地（On-premise），保護伺服器免受拒絕服務攻擊。SaaS服務提供商那裡購買一個賬號，將流量牽引到服務提供商那裡，由他們負責檢測並清洗流量，讓合法流量能夠訪問你的伺服器。目前常見的安全雲服務有云抗D、雲WAF、雲身份認證IDaaS、網站雲監控和掃描等。

“大資料”場景包括兩個二級場景，分別為“大資料安全”和“大資料技術在安全領域的應用”。大資料是未來最重要的資源，面臨的問題也比較明確，一是資源擁有者如何保障資源的安全性；二是合法收集和合理利用大資料資源。大資料技術在安全領域的應用，目前能夠看到的有態勢感知、威脅情報、反欺詐、風控和反洗錢等。

“物聯網”場景包括兩個二級場景，分別為“工控安全”和“智慧裝置”。應用到工業控制領域的安全產品對硬體有一定要求，寬溫、寬溼和寬壓等。軟體能夠對工控系統（Scada、DCS、PLC）進行安全防護。智慧裝置普及，我們面臨的安全問題也會逐漸增多，這是未來安全的大市場。

最後一個場景“移動”。我們現在幾乎離不開手機，移動安全也是一個大問題。對於移動裝置來說，個人隱私保護由為重要。很多app請求訪問位置、通訊錄、資訊、通話記錄、照片等隱私資料，一旦允許後app訪問了哪些資料？有無收集個人隱私行為？使用者並不知情。對於移動應用來說，客戶端App的安全問題主要是篡改問題，如果安裝了經篡改的App等同於在手機上裝了木馬。服務端的安全問題與應用安全類似，更確切點說是Web安全，因為客戶端與服務端通訊大量使用HTTP/HTTPS協議。

透過以上大家可以對網路安全產品分類有個清淅的認識！網路分流器

移動網際網路信令採集裝置，支援IPV4和IPV6，使用者關聯成功率達99%支援10G和100G介面，網路分流器