綜述
那么 OPSEC 究竟是什麼樣的一種技術或是一種什麼樣的組織呢? 提及 OPSEC,得從“開放”二字說起。開放的平台,開放的技術,是 IT 廠商成功的非常關鍵的因素之一。同樣,網路安全性方面也是如此。網路安全是一個牽扯方方面面的,不是一兩個廠商就能解決的問題,它需要我們共同來維護和創造。網路安全技術也在飛速地革新和發展。用戶當前的選擇,是否能代表網路安全技術的發展,是否能很容易地進行擴展以滿足將來對新的應用程式的支持,是否能集成更先進的網路安全方面的技術產品,是否能支持更多更廣泛的作業系統平台……這些都是用戶在選擇廠商時越來越多考慮的因素。開放的 IT 技術和產品,決不僅僅是為用戶當前帶來更多的選擇,而且將來的用戶能隨著 IT 飛速發展一起成長,一起進步。
一、 OPSEC簡介
OPSEC 聯盟成立於1997年。當時的 Check Point 構思於向用戶提供完整的、能夠在多廠商之間進行緊密集成的網路安全解決方案而倡導和發起這樣一個組織。我們的目標是同合作夥伴們一起努力為 Internet 安全保駕護航。在過去的4年中,許許多多的合作夥伴正是基於這樣一個工業上事實的標準和 OPSEC 軟體開發工具,與 Check Point 一道向用戶提供了無數優秀的安全解決方案。今天 OPSEC 可以這樣自豪地說,我們支持最廣泛的作業系統和網路構架,我們有比任何其他安全平台多得多的第三放合作夥伴採納這樣一個 Internet 安全集成的接口。超過300個合作夥伴,OPSEC 能夠向用戶保證提供在網路安全方面最好的集成的套用。當然 Check Point 作為核心,向用戶提供了最好的安全性和中央的、企業級的安全策略管理。
Check Point 與 OPSEC 合作夥伴之間的互操作性和集成性是通過嚴格的認證過程來保證的。因此,當前的用戶在選擇安全產品時,大都以該產品是否具有“OPSEC Certified”和“Secured by Check Point”做為標準,因為他們能夠去依靠這樣的保證。代理商們同樣尋找著這樣的產品,因為,他們能為客戶提供更完整的解決方案。通過這樣的方法,用戶能夠選擇到滿足他們需求的的安全產品,並能夠在產品互操作性和基於中央管理方面得到保證。反之,經過 OPSEC 認證的產品有著更多的優勢向用戶來提供並共同創建一個更好、更全面的安全企業網路。
OPSEC 聯盟分為兩大部分:一部分提供集成的應用程式,另一部分提供基於 Check Point 平台的安全服務。
它由許多 IT 廠商組成,這些廠商提供了被 Check Point OPSEC 認可的並且與 OPSEC 構架兼容的產品,這些產品根據功能不同分為四大類:
·實施安全的產品:這些 Internet 安全產品是 Check Point 安全解決方案的補充。包括了授權、內容安全管理、URL 資源管理、PKI 和入侵檢測等解決方案。
· 管理和報表:它們通過與 Check Point 產生的事件和報警發生關聯,向用戶提供全面的報表功能和管理功能。包括了企業級目錄服務、企業級管理、事件監視和分析、及報表工具。
· 性能和可用性:這些產品增強了 Check Point 解決方案中的性能和可靠性。它們可以保證在網關切換中所有用戶連線不會丟失。包括了加速設備、雙機熱備份和雙機群集系統負載平衡的解決方案。
· eBusiness 的套用安全:在 B2B 電子商務運營環境中,通過 Check Point 安全技術和這些套用的集成來保證用戶訪問數據內容和網路資源的安全性。
這部分廠商向用戶提供基於 Check Point 解決方案的市場領先的硬盒子產品(Appliance),網際網路設備和伺服器。
· Appliance(硬盒子):即插即用的安全平台,集成了預裝的、配置好的 Check Point 安全軟體。
· 網際網路設備:嵌入了 Check Point 安全技術的路由器和交換機產品
· 伺服器:提供 Check Point 技術和支持的市場領先的伺服器平台廠商
二、 OPSEC 體系結構簡介
今天的電子商務世界要求客戶、商業合作夥伴、服務提供商之間更多的信息交流。任何基於 Internet 的商業運作需要很高的安全措施來保護其順利進行,否則企業面臨的是由於安全隱患帶來的巨大損失。保護信息和網路安全的關鍵在於建立一個完整的 Internet 安全架構。我們需要的是集成不同安全廠商的最優秀的產品來滿足用戶對多層次安全性的需求。集成和管理性是架構這樣一個平台的關鍵。集成和互操作性是 OPSEC 的基本,而管理則是 OPSEC 實施和將安全變為現實的重要因素。安全管理不僅要求我們能夠提供網路整體的安全策略,並且能夠將這些安全策略套用到多種安全技術中去,例如:防火牆、VPN、QoS 服務、報表管理甚至合理的系統配置。Check Point 的虛擬安全網路(Secure Virtual Network)體系和 OPSEC 提供了業界領先的 Internet 安全解決方案。真正地實現了客戶網路安全需求,解決了客戶網路安全中面臨的各種挑戰。
1)OPSEC:集成的 Internet 安全OPSEC 提供的獨一無二的開放平台擴展了 Check Point SVN(Secure Virtual Network)體系結構。對 OPSEC 合作夥伴來說,與 SVN 的集成無疑為市場提供了最具競爭力的解決方案;對客戶來說,OPSEC 集成意味著選擇最好的產和服務(Best-of-Breed),而不用去考慮它們之間的互操作性。 OPSEC 回答了當前多廠商解決方案面臨的最大難題——互操作性和管理的複雜性,避免了選擇單個廠商帶來的最大問題——集成和靈活性的限制。
2)OPSEC 集成點通過公開的 API、工業標準的協定和高級程式語言,可以實現輕鬆的 OPSEC 集成。
OPSEC 向第三方產品提供了一個單一的結構集成到 Check Point SVN 的方方面面。在過去的幾年裡,業界領先的安全廠商利用強大的 OPSEC SDK 工具已經創造出了許多安全套用,這些套用能夠無縫的同 Check Point Secure Virtual Network 進行集成。
第三方廠商可以通過以下途徑來獲得 OPSEC 的認證:
· OPSEC Software Development Kit(SDK):允許與 Check Point 業界領先的 SVN 體系集成在一起。SDK 提供非常清楚的接口定義幫助您輕鬆地實現同 VPN-1/Firewall-1,FloodGate-1 和 Meta IP 的集成。
· 工業標準接口和協定:提供詳細的規範保證多廠商產品之間的互操作性和認證標準
· Check Point inspect 語言:利用 VPN-1/FireWall-1 和 FloodGate-1,增加套用來支持從通信到套用層的所有信息的截取、分析和控制。
· 嵌入的 Check Point INSPECT 虛擬機或完整的 VPN-1/FireWall-1 代碼集:允許第三方廠商將 Check Point 技術嵌入到其系統或硬盒子中(Appliance)。
Check Point 很早就意識到產品創新和緊密的集成取決於一套具有完善 API 的軟體開發工具。OPSEC SDK 早在1997年就已發布,並允許第三方廠商和最終用戶將他們開發的產品集成到 VPN-1/FireWall-1、FloodGate-1 和 Meta IP 中。由於 API 隱藏了協定和網路中的複雜技術,使得編程工作變得較為簡單。為了提供額外的安全性,使用 OPSEC SDK 創建的套用能夠利用 SSL 對客戶和伺服器之間的所有 OPSEC 通信實施加密。至今,Check Point 仍是在自由使用 SDK 方面最重要的 Internet 安全提供商。
4)內容安全使用 CVP內容安全使用 CVP(Content Vectoring Protocol)內容安全允許用戶掃描經過網路的所有數據包內容。例如:病毒、惡意 Java 或 AcitveX 程式等。Check Point 提供的 CVP API 定義了異步接口將數據包轉發到伺服器應用程式去執行內容驗證。用戶可以根據多種標準來驗證內容的安全。
5)Web 資源管理使用 UFPWeb 資源管理使用 UFP(URL Filtering Protocol)UFP 定義了 Client/Server 異步接口來分類和控制基於特定 URL 地址的通信。防火牆上的 UFP 客戶端將 URL 傳送到 UFP 伺服器上,UFP 伺服器使用動態分類技術將 URL 進行分類,防火牆則根據安全規則的定義對分類進行處理。對客戶來說,通過中央的安全策略管理即可實現高效的 Web 資源管理。
6)入侵檢測採用 SAMP入侵檢測採用 SAMP(Suspicious Activity Monitorng Protocol)
SAMP API 定義了入侵檢測套用同 VPN-1/FireWall-1 通信的接口。入侵檢測引擎使用 SAMP 來識別網路中的可疑行為,並通知防火牆處理。另外 SAMP 套用可以使用其他 OPSEC 接口和 API 來傳送日誌、告警和狀態信息到 VPN-1/FireWall-1 管理伺服器。
Check Point 提供兩個 API:LEA(Log Export API)和 ELA(Event Logging API)允許第三方來訪問日誌數據。報表和事件分析採用 LEA API,而安全與事件整合採用 ELA API。
8)管理和分析採用 OMI管理和分析採用 OMI(OPSEC Management Interface)
OMI 提供到 Check Point 中央策略資料庫的接口,允許第三方套用安全地訪問存儲在管理伺服器上的安全策略。OMI 能夠訪問以下資源:
· 存儲在管理伺服器上的安全策略
· 管理伺服器上定義的網路、服務、資源和伺服器對象
· 用戶、摸板和用戶組
· 允許登錄到管理伺服器的管理員列表
Check Point 提供了一個開放式集成環境,第三方的 Public Key Infrastructure(PKI)能緊密的與 Check Point 集成在一起(VPN-1 Gateway、VPN-1 SecureClient)。VPN-1 Gateway 能同時多個不同的 CA。開放的 PKI 使得管理員能夠選擇最大限度滿足要求的 PKI 解決方案。
10)帶負載平衡的高可用性和雙機熱備份帶負載平衡的高可用性(HA/LB)和雙機熱備份(HA-HS),Check Point 的 OPSEC HA/LB 允許第三方利用 VPN-1/FireWall-1 狀態表同步的特性來實現群集系統。狀態表同步保證了 HA/LB 中每個 VPN-1/Firewall-1 上所有連線的通信狀態的一致性,並且允許 OPSEC 認證的 HA/LB 產品能夠在群集系統中無縫地切換 VPN-1/FireWall-1。
11)用戶到地址的映射採用 UAM用戶到地址的映射採用 UAM(User Address Mapping)
UAM API 是 Check Point Meta IP(企業級 IP 地址管理軟體)中的技術,它提供了用戶與 IP 地址之間的關聯。通過第三方產品與 UAM 的合作,可以輕鬆地實現基於網路作業系統登錄用戶的認證,使得基於用戶的安全策略管理得以真正實現
安全的電子商務套用採用 UserAuthority API(UAA)電子商務環境需要更多的套用來保證所有通信的安全、可靠和可管理性。UAA 是一種 Client/Server 的異步接口,它能夠同多種套用、多種 Check Point 產品來共享網路授權信息,包括所有連線信息和 VPN-1/FireWall-1 管理信息。例如:當電子商務套用接受到來自 VPN-1 用戶的授權訪問請求時,該套用需要從網關那裡獲得該用戶的認證信息來作出智慧型的授權決定。UserAuthority 能幫您來實現。
13)工業標準協定Radius/Tacacs+ (認證協定)
SNMP (簡單網路管理協定)
LDAP (輕量目錄訪問協定)
電子商務套用中,OPSEC 擴展了 Check Point SVN 的功能,它通過中央策略管理架構來實施集成的訪問控制、入侵檢測和 QoS 解決方案。通過 OPSEC,Check Point 同業界領先的套用廠商和客戶建立了良好的合作關係,並向最終用戶提供在複雜網路環境中的開放式安全體系架構,實現用戶端到端的安全。
所有 Check Point 解決方案都構建在由 Check Point 開發並獲得專利的 Stateful Inspection 網路安全事實標準上的。Stateful Inspection 可提供從鏈路層到套用層地查看,INSPEC 引擎動態地駐留在網路作業系統中,提供無與倫比的性能和升級能力。Stateful Inspection 的擴展性允許它支持通過使用 INSPECT 高級程式語言創建的新的應用程式。Check Point 提供了業界對應用程式和網路服務最廣泛地支持。
三、 歡迎您加入到 OPSEC 聯盟
OPSEC 聯盟面向所有致力於網路安全的廠商。無論 Internet/Intranet 軟硬體、Client/Server 套用和企業安全產品等廠商均歡迎加入 OPSEC 聯盟。要想成為 OPSEC 聯盟認證的合作夥伴,廠商必須能夠開發出與 Check Point OPSEC 架構兼容的產品或服務。下面我們談一談如何才能加入到 OPSEC 聯盟。
1)在提交認證的產品之前,您需要確認在集成中使用的每一個 OPSEC 接口是否已經滿足認證的標準。
2)將您的產品的整體架構交給 OPSEC 工程師並與 OPSEC 聯盟經理協商安排一次研討會。會議中,您將有機會向 OPSEC 工程師陳述您的產品是如何設計的,並且是如何與 Check Point 產品進行協作的。OPSEC 工程師將為您的產品準備相應的實驗環境進行測試。
3)與聯盟經理聯繫並獲得一套詳細的 OPSEC 認證流程文檔。文檔中解釋有如何提交您的產品和所有產品文檔以及如何向聯盟經理提交認證需要的文檔。
4)一旦您已經將產品提交到 OPSEC 進行認證,聯盟經理將通知您在什麼時候開始測試您的產品。
5)如果 OPSEC 工程師在測試產品過程中發現一些問題,他們將向貴方技術代表出示產品問題報告。我們建議您在提交進行認證前先全面地測試一下您的產品。認證失敗意味著不必要的時間耽誤,因為您必須重新加入到認證佇列中來等待重新提交您的產品。
6)在 OPSEC 解決方案中心站點中更新所有有關您產品和公司情況的描述。
成為 OPSEC 聯盟合作夥伴獲益良多:
· 與 Check Point 共享廣泛的客戶資源
· 與 Check Point 共享其享有盛譽的渠道資源
· 獲得銷售和渠道資源的指導
· 獲得線上的開發資源和支持
· 獲得培訓計畫的特殊折扣
· 獲得廣告等市場活動的特殊折扣
· 獲得市場開發和市場協作項目
· 更多……
四、OPSEC 未來的發展計畫
OPSEC 提供給人們的最大好處就是保護投資。如前所述,在 OPSEC 安全體系的每個類別中都有許多可選產品,用戶可根據需要隨時更換某個產品,新換上來的產品能與原有其他安全產品繼續協同工作。
顯然,OPSEC 能給用戶帶來許多便利和保護。在已開發國家,用戶選擇安全產品時,提出的第一個問題不是你的產品功能和性能如何,而是你的產品是否符合 OPSEC 標準?是否通過 OPSEC 認證?因為選擇不符合 OPSEC 標準的產品,將失去選擇權,將不得不接受廠商先低後高的價格,將永遠被“套牢”。
為保護用戶利益,Check Point 北京代表處將大力推廣和發展這一先進的體系結構和標準,將與國內許多廠商密切合作,幫助他們了解 OPSEC,向他們轉讓相關技術,幫助他們改進其產品並通過 OPSEC 認證。通過認證的產品不僅可在國內擴大銷售,而且 Check Point 還可幫助他們走向國際市場,因為 OPSEC 是全球公認的安全產品標準,是安全產品的全球通行證。