網絡分流器－關于網安產品類分感想

眾所周知，戎騰網絡分流器是網絡安全領域網絡監控前端重要的基礎裝備！對整個網絡安全起到了至關重要的不可替代的作用！然而像網絡分流器TAP這類的設備到底是屬于網絡安全什么類別的產品呢？ 業界存在著一定的認知差異，今天我們淺談一下網絡安全產品的類分！


盒式48個10GATCA14槽480個10G和76個100G移動信令采集設備160個10G和48個100G

第一部分 概述

我們先來看看IDC沿用多年的分類。

將安全分為了產品和服務，產品又分為了軟件和硬件。IDC的市場研究也是基于這個框架來做的。這些年，網絡安全產業高速發展。當前網絡安全細分領域非常多，產品特性也存在交集，且產品形態也會隨著技術發展和應用場景動態演變，因此對網絡安全產品分類還是挺有挑戰的工作。本文關注網絡安全產品分類，暫不考慮服務。將網絡安全產品分為“端點安全”、“網絡安全”、“應用安全”、“數據安全”、“身份與訪問管理”和“安全管理”六個一級分類。每個一級分類下面還定義若干個二級分類，二級分類從屬于一級分類。近些年“云大物移”對網絡安全產品形態、特性和應用場景產生一定影響，戎騰網絡認為未來多年這種影響會更加持續和深入。據此定義了“云”、“大數據”、“物聯網”和“移動”四個一級場景。每個場景下均有若干個二級場景，二級場景從屬于一級場景。

第二部分 分類介紹

我們先來看看一級分類。

“端點安全”包括三個二級分類，分別為“惡意軟件防護”、“終端安全管理”和“其他”。每個二級分類下面包含若干個三級分類，三級分類從屬于二級分類，下同。這部分三級分類需要說明的就是終端檢測與響應（Endpoint detection and response），這個在國外市場比較火，大有代替防病毒產品的趨勢。目前在國內看到此類方案較少，當然也可能是我的認知有限。

端點安全包括三個二級分類，分別為“惡意軟件防護”、“終端安全管理”和“其他”。每個二級分類下面包含若干個三級分類，三級分類從屬于二級分類，下同。“網絡安全”包括四個二級分類，分別為“安全網關”、“檢測與防御”、“網絡監控與審計”和“其他”。這是個大類別，這部分所占市場份額也是最大的。這部分的三級分類需要說明的有三點：1.×××暫被歸類到安全網關中是因為類防火墻產品幾乎都具備×××功能。雖然獨立×××產品也發展出一些專有特性，如認證與權限管理，應用虛擬化等。2.高級威脅檢測（APT）產品主要針對“0 day”漏洞利用問題，雖然結合了行為分析、威脅情報和沙箱等特性，本質上還是檢測行為，因此被歸類到***檢測與防御類別中。3.在國內上網行為管理也是一個大類別，被歸類到行為管理與審計中是因為申請銷售許可證一般是按照網絡通訊審計標準進行檢測。

“應用安全”包括三個二級分類，分別為“WEB安全”、“數據庫安全”和“郵件安全”。這部分比較清晰，三級分類大家看圖即可，就不一一贅述了。

“數據安全”包括三個二級分類，分別為“數據治理”、“文件管理與加密”和“數據備份與恢復”。大數據時代，對于國家、企業和個人來說數據都是核心資產，數據安全尤為重要。數據治理主要包括：數據發現、數據分級和數據控制，DLP類產品能夠解決數據控制部分的問題。仙兒認為數據安全的難點在于數據價值評估，安全防護級別應與數據價值匹配。哪位對數據價值評估有研究，我要拜師學藝。

“身份與訪問管理”包括兩個二級分類，分別為“認證與權限管理”和“高級認證”。這部分是安全的重要組成部分，基本上圍繞三個問題展開。“你是誰？”是認證問題，“你能干什么？”是權限問題，“你干了什么？”是審計問題。

“安全管理”包括三個二級分類，分別為“安全運營和事件響應”、“脆弱性評估與管理”和“治理、風險與合規”。先來說說日志審計LA、安全信息和事件管理SIEM和安全運營中心SOC的區別。LA的數據源是log，主要過程是收集與處理、分析和展示。SIEM的數據源除了log，應該還有flow、dpi、full packet、registry、process等，數據量更大，在收集與處理和分析能力要求更強，展示內容也比LA更豐富完整。SOC就是在SIEM基礎上增加工作流，當然最新特性還有安全自動化與協同（Security automation and orchestration）。國內的此類產品數據收集維度較為單一（主要是log），數據處理和分析能力、安全自動化及協同還有進一步提升空間。再來說說漏洞掃描和補丁管理。前段時間的wannacry就是一個N day漏洞利用，只要及時打了補丁就不會出事。對于一般用戶來說，及時進行安全更新，安全風險就會大大降低。如果值得用一個0 day漏洞來***你，你就要考慮更高等級得安全防護措施了。

帶DPI和五元組過濾功能，內外層剝離

第三部分 其他場景 ｜ 網絡分流器

先來看一下“云”。

“云”場景包括兩個二級場景，分別為“云安全”和“安全云”。不是玩文字游戲，這兩個確實有區別。先來說說云安全。無論是私有云還是公有云，云安全指的都是IaaS的問題。一般來說數據中心上云后，原來盒子形態的網絡安全產品無法部署，云安全產品應運而生。可以理解為原來應用到數據中心的安全產品軟件化，在適配云平臺基礎上解決了一些云上的安全問題，如：主機安全、租戶隔離、東西流量、應用防護等。再來說說安全云，這個可以理解為SaaS服務。原來你購買一臺抗DDoS設備部署在本地（On-premise），保護服務器免受拒絕服務***。SaaS服務提供商那里購買一個賬號，將流量牽引到服務提供商那里，由他們負責檢測并清洗流量，讓合法流量能夠訪問你的服務器。目前常見的安全云服務有云抗D、云WAF、云身份認證IDaaS、網站云監控和掃描等。

“大數據”場景包括兩個二級場景，分別為“大數據安全”和“大數據技術在安全領域的應用”。大數據是未來最重要的資源，面臨的問題也比較明確，一是資源擁有者如何保障資源的安全性；二是合法收集和合理利用大數據資源。大數據技術在安全領域的應用，目前能夠看到的有態勢感知、威脅情報、反欺詐、風控和反洗錢等。

“物聯網”場景包括兩個二級場景，分別為“工控安全”和“智能設備”。應用到工業控制領域的安全產品對硬件有一定要求，寬溫、寬濕和寬壓等。軟件能夠對工控系統（Scada、DCS、PLC）進行安全防護。智能設備普及，我們面臨的安全問題也會逐漸增多，這是未來安全的大市場。

最后一個場景“移動”。我們現在幾乎離不開手機，移動安全也是一個大問題。對于移動設備來說，個人隱私保護由為重要。很多app請求訪問位置、通訊錄、信息、通話記錄、照片等隱私數據，一旦允許后app訪問了哪些數據？有無收集個人隱私行為？用戶并不知情。對于移動應用來說，客戶端App的安全問題主要是篡改問題，如果安裝了經篡改的App等同于在手機上裝了***。服務端的安全問題與應用安全類似，更確切點說是Web安全，因為客戶端與服務端通信大量使用HTTP/HTTPS協議。

信令采集設備支持IPV4和IPV6，用戶關聯成功率達99%支持10G和100G接口！
通過以上大家可以對網絡安全產品分類有個清淅的認識！