雲計算時代，邊界隔離交換產品還需要嗎？

點擊藍字關註我們

近年來隨著雲計算、大數據等新技術的快速發展，業務和數據向省一級、區域行政中心、企業集團的雲平臺集中。原本使用業務系統的中小型主體，轉為使用上級統一部署的系統平臺。

底層業務系統的取消直接導致了大量底層業務系統網路邊界的消失，外部業務邊界收縮到了頂層。隨著底層業務系統網路邊界的消失，伴隨業務應用的邊界隔離交換產品沒有了用武之地。

一時間業界紛紛感嘆雲時代到來後，傳統邊界隔離交換產品客戶不需要了，事實真是這樣的嗎？

對此，安全牛有幸邀請到多年來堅持在邊界隔離交換產品創新的安盟資訊公司聯合創始人&總經理張大偉來和我們分享他在邊界隔離交換產品與市場方面的理解。

張大偉，高級工程師，安盟資訊聯合創始人，現任安盟資訊總經理。負責公司日常運營、戰略合作以及產品規劃等工作。研發出身，資訊安全從業20年，曾參與多個大型央企的集團網路安全標準設計工作。

安全牛

張總，您能先簡單幫我們介紹一下您是怎麼看待邊界隔離交換產品的嗎？

張大偉：好的，邊界隔離交換產品在我國發展快20年了，我本人也從事這類產品技術研究十五年以上。在我看來，邊界隔離交換產品從誕生起，就是為了滿足客戶高安全業務需求場景下的特定數據交換的產品，它解決的是「資訊孤島」問題。從開始在軍隊、政府、電力調度等場景的應用到現在各行各業全面開花的過程，我們見證了它的快速發展歷程。

安全牛

您認為邊界隔離交換產品是從什麼時間開始快速發展的？

張大偉：是2007年，受益於等級保護制度的全面推行。我們都知道，網路安全屬於資訊化建設中的基礎工程，但是由於過去用戶重視程度不夠，我國的安全建設嚴重落後於業務資訊化建設，使得大量的業務長期暴露於各種風險當中。等級保護制度是我國網路安全建設的主要抓手。現在，隨著《網路安全法》的頒布以及等級保護2.0制度的正式實施，加之震網病毒、勒索病毒等新型危害業務安全的威脅態勢，各類政、企、事業單位越來越重視網路安全的建設。在對業務網路的安全加固建設需求中，各類邊界隔離交換產品市場需求強勁。因為邊界隔離交換產品屬於網路安全工程中的基礎設施，是不可或缺的組成部分。

安全牛

為什麼您認為邊界隔離交換是不可或缺的呢？

張大偉：首先，沒有一個組織願意將自己的內網完全暴露於外部，否則相當於將自己的所有數據廣而告之，而數據是組織的核心機密。

其次，不同的組織間，由於天然的安全距離，其必然存在著網路邊界，不會混為一體。當組織間存在數據交換需求時面臨著安全問題。

此外，網路邊界通常形成於建設之初，其不會自行消失。即使由於新的組織變更等原因規劃特定網路邊界取消或融合的情況出現，也面臨著新的邊界建設問題。

安全牛

照您的說法，是否可以這麼理解：無網路時無邊界，網路越精細化面臨的邊界會越來越多？

張大偉：您說的對，網路邊界不是一條線，而是與其他網路的接觸點。事實上，網路邊界不僅不會消失，由於應用與技術理念的不斷發展，為了保證業務的安全、有序運行，在組織內部網路會劃分出更多的微小單元，會產生更多的內部邊界，比如同在內網中的研發內網、財務內網與辦公網路的安全邊界。內部的不同單元之間會通過內部邊界做指定應用的數據交互。內部邊界的劃分就好比航空母艦的底倉設計。航母在吃水線以下會設計很多隔倉，被魚類擊穿幾個隔倉也不會導致沉沒，其作用是將風險隔離，只有在維護（特定的交互）時才會打開聯通。

安全牛

現在很多人都持邊界安全無用論，您是怎麼看的？

張大偉：邊界永遠是守護網路安全的第一道大門，如果這道大門失守或不存在，那就相當於邊境撤掉了邊防軍。由於隔離交換產品的特點，其默默承擔了安全職責（默認拒絕），但不善於表現自己（安全不可視），再加上新問題、新技術的不斷湧現，很多人認為邊界安全無價值，這是典型的一葉障目。

網路安全是一個體系，其中涉及物理安全、邊界安全、通訊安全、數據安全、應用安全、管理安全等方方面面。邊界安全是其中重要的組成部分，我們既不能誇大其安全作用，也不應忽視其安全價值。

安全牛

說到邊界隔離交換產品，大家首先想到的是隔離網閘，但是很多人經常搞不清楚隔離網閘與防火牆之間的區別。

張大偉：是的，而且很多人都認為隔離網閘是用來隔離網路的，這屬於典型的理解偏差。隔離網路最好的辦法就是斷開網路，且物理環境相隔一定距離。但是，隨著業務應用的蓬勃發展，形成了大量的業務數據沉淀。為了讓數據產生更大的價值，通過數據交換清除「資訊孤島」，從而誕生了安全隔離與資訊交換系統（簡稱網閘）這類產品。從產品類型定義可以得知其作用是安全隔離和資訊交換，既保持網路隔離，又可做指定的資訊交換，這才是隔離網閘產品的正確理解。隔離不是目的，安全數據交換才是其核心價值。而防火牆採取的主要是深度數據包過濾技術。包過濾技術是基於保持會話的同時，採取多種過濾手段從數據包中檢查內容的安全性、保密性。但是無論檢查粒度多細都無法回避一個問題，那就是客戶端與服務端之間建立了穿透性的會話，客戶發請求，服務端給予回應。服務端對外提供了服務端口，在服務端口中提供了應用服務，客戶端可以不斷的進行嘗試各種突破的可能性。這是請求—服務通訊模式無法規避的風險。而隔離網閘產品在處理數據交換時與包過濾有著本質的區別。隔離交換產品兩端均可以作為客戶端，依據設定的任務主動發起數據交換請求，此時自身兩端均不提供任何應用端口。不提供應用端口，就不會有應用協議漏洞，因此隔離交換的主動交換模式可有效的保證數據交換的同時客戶業務系統不被從邊界入侵，這是其他安全產品無法替代的優勢。

安全牛

您這麼一解釋就明了多了，邊界隔離交換產品從原理上就可以屏蔽掉應用層協議漏洞了，因為它可以不提供任何應用服務，全部通過主動方式進行數據交換，就像光盤擺渡機的機械臂。

張大偉：您的比喻也很形象，其實在很多敏感網路地帶，單向光閘就是用來替代光盤擺渡機的。其實隔離交換產品不僅僅可以防護應用協議漏洞風險，TCP/IP協議棧的漏洞雖然較少，但風險依然存在，而隔離交換產品是從原理上就可以防范。

最近，美國國土安全局、CISA ICS-CERT發布了關於新發現的數十個安全漏洞的告示，稱漏洞影響全球500餘個廠商生產的數十億聯網設備。這些漏洞是以色列網路安全公司JSOF 研究人員發現的，研究人員在Treck 開發的底層TCP/IP 軟體庫中發現了19個零日漏洞，研究人員將這些漏洞稱之為——Ripple20。攻擊者利用這些漏洞可以無需用戶交互就實現對目標設備的完全控制。

受影響的設備包括家用和企業級商用設備，遍及不同行業，包括醫療健康、數據中心、電信、石油天然氣、原子能、交通和其他關鍵基礎設施領域。其中涉及部分財富500企業，比如HP、施耐德電氣、Intel、羅克韋爾自動化、卡特彼勒、巴克斯特等。

傳統包過濾類型的安全產品是無法解決此類協議棧安全問題的，而隔離交換技術卻可以讓用戶避免損失。邊界隔離交換技術由於是採用雙主機加私有協議擺渡的隔離晶片，即便是攻擊者控制了一端主機，但是由於私有協議與擺渡機制，其無法穿透至另外一端主機，從而保證了網路的隔離性和安全性。

安全牛

這麼看其實邊界隔離交換產品的安全特點很明顯，從原理上就可以屏蔽掉很多未知風險了。

張大偉：是啊，其實每種安全技術都有它的適用場景，一旦脫離了它的適用場景，那安全作用就會大打折扣。不過隨著「讓數據多跑路，讓大眾少跑腿」、「最多跑一次」等為民、務實的施政理念的落地執行，也意味著政務數據大集中時代的到來。不同部門間如何通過網路，安全的將數據共享、集中、交換考驗的不僅是施政者的治理水平，也同樣考驗著相幹機構的網路安全、數據安全的技術能力。邊界隔離交換產品的適用場景也會越來越多，並且隨著技術的不斷演進，邊界隔離交換產品已經衍生出網閘、單向光閘、數據交換平臺等多種類型的邊界隔離交換產品，其基本工作原理一致。

安全牛

那您是怎麼看待邊界隔離交換類產品未來的市場前景呢？

張大偉：未來是萬物互聯的時代，但是互聯不代表邊界的消失，互聯不代表任意的互訪。萬物互聯時代，恰恰會產生更多的邊界、更多的邊界交互，隨之而來的是更多的邊界安全需求。比如，近年來國家層面推行的行業雲加端的新監管方案：重點用能單位能耗在線監測、重大危險源在線監測、環保在線監測等新監管方案。將原本依靠人工統計、填報的數據通過自動化采集上報，避免了數據造假、數據延遲等情況。新監管技術方案設計中均採用了邊界隔離交換產品或技術，並將其應用至保護企業生產網與互聯網邊界處。監管方通過邊界隔離交換產品采集企業生產網數據或視訊，邊界隔離交換產品用來保護企業生產網安全。這從側面證明了邊界隔離交換產品不僅不會消亡，還會在更多、更新的應用領域開花結果。

國際著名科技咨詢公司國際數據公司（IDC）今年首次發布了《中國安全隔離與資訊交換市場份額，2019：各方需求驅動，市場發展長期向好》的研究報告。報告中客觀、詳實的對隔離交換市場發展情況進行了分析。該報告顯示，2019年，中國安全隔離與資訊交換市場規模達到1.05億美元，較2018年同比增長20.5%，市場呈現高速發展態勢。除傳統業務應用場景外，在工控安全行業、物聯網安全、智慧城市等應用場景中均在大力推進最終客戶對於邊界隔離交換產品的需求。同時，報告中也指出，未來，私有雲、行業雲、混合雲的安全建設又將成為邊界隔離交換產品市場發展的又一強大推進力。

回歸安全本質，客戶本身並不關心八門五花的安全技術，客戶需要的是一個動態的安全效果。同樣的，作為安全企業、安全人更應當以客戶需求為目標，靈活運用各種安全技術，來為客戶的目標進行服務。無論是實體網路還是雲時代，無論資訊技術如何發展，作為基礎設施的邊界隔離交換產品不僅不會消失，反而會繼續蓬勃發展。不同的是，邊界隔離交換類產品會隨著客戶業務需求的變化而不斷的進行創新，真正從業務安全角度幫助用戶實現安全目標。