多方案协同之路--开放式安全平台(OPSEC)
(季飞 2001年09月04日 11:00)
网络安全是一个综合的解决方案,木桶原理形象地说明了这一点。单靠任何一种安全产品,都不可能做到安全,OPSEC(Open Platform for Security)是由Check Point公司倡导和发起的,它的目的就是解决目前各种安全产品间的互操作性问题。
OPSEC解决了当前多厂商解决方案面临的最大难题——互操作性和管理的复杂性,避免了选择多个厂商的产品带来的产品集成和灵活性的限制。OPSEC提供的开放平台,扩展了Check Point SVN (Secure Virtual Network)的体系结构,对OPSEC合作伙伴来说,与SVN的集成无疑为参与市场竞争提供了较好的解决方案;对客户来说,用OPSEC集成意味着选择最好的产品和服务,而不用去担心它们之间的互操作性。
OPSEC简介
OPSEC联盟成立于1997年,当时的Check Point的想法是,向用户提供完整的、能够在多厂商之间进行紧密集成的网络安全解决方案,今天,它已经有了超过270个合作伙伴。OPSEC是以 Check Point作为核心,力争向用户提供在网络安全方面最好的集成应用,力争向用户提供最好的安全性以及中央的、企业级的安全策略管理。
OPSEC联盟分为两大部分:一部分提供集成的应用程序,它由许多IT厂商组成,这些厂商提供了被Check Point OPSEC认可的、并且与OPSEC构架兼容的产品;另一部分提供基于Check Point平台的安全服务,这部分厂商向用户提供基于Check Point解决方案的市场领先的硬盒子产品(Appliance)以及互联网设备和服务器。
OPSEC的认证
电子商务应用中,OPSEC扩展了Check Point SVN的功能,它通过中央策略管理架构来实施集成的访问控制、入侵检测和QoS解决方案。通过OPSEC,Check Point同业界领先的应用厂商和客户建立了良好的合作关系,并向最终用户提供在复杂网络环境中的开放式安全体系架构,实现用户端到端的安全。
通过公开的API、工业标准的协议和高级编程语言,可以轻松实现OPSEC集成。OPSEC向第三方产品提供了一个单一的结构集成到Check Point SVN的方方面面。第三方厂商可以通过以下途径来获得OPSEC的认证。
● OPSEC Software Development Kit(SDK),它允许与Check Point业界领先的SVN体系集成在一起。SDK提供非常清楚的接口定义,帮助其他厂商轻松地实现同VPN-1/Firewall-1,FloodGate-1和Meta IP的集成。
● 工业标准接口和协议,它提供详细的规范,保证多厂商产品之间的互操作性和认证标准
● Check Point INSPECT语言,它利用VPN-1/Firewall-1和FloodGate-1,增加应用来支持从通信到应用层的所有信息的截取、分析和控制。
● 嵌入的Check Point INSPECT虚拟机或完整的VPN-1/Firewall-1代码集,它允许第三方厂商将Check Point技术嵌入到其系统或硬盒子中(Appliance)。
由于API隐藏了协议和网络中的复杂技术,使得编程工作变得较为简单。为了提供额外的安全性,使用OPSEC SDK创建的应用还能够利用SSL对客户和服务器之间的所有OPSEC通信实施加密。
OPSEC与多项功能联动
与内容安全联动
内容安全允许用户扫描经过网络的所有数据包内容。例如:病毒、恶意Java或AcitveX程序等。Check Point提供的CVP (Content Vectoring Protocol)API定义了异步接口将数据包转发到服务器应用程序,去执行内容验证,用户可以根据多种标准来验证内容的安全。
集成多种安全技术所需的框架
与Web资源联动
UFP(URL Filtering Protocol)定义了Client/Server异步接口来分类和控制基于特定URL地址的通信,防火墙上的UFP客户端将URL传送到UFP服务器上,UFP服务器使用动态分类技术将URL进行分类,防火墙则根据安全规则的定义对分类进行处理。对客户来说,通过中央的安全策略管理即可实现高效的Web资源管理。
与入侵检测联动
SAMP (Suspicious Activity Monitorng Protocol)API定义了入侵检测应用同VPN-1/Firewall-1通信的接口。入侵检测引擎使用SAMP来识别网络中的可疑行为,并通知防火墙处理。另外SAMP应用可以使用其他OPSEC接口和API来发送日志、告警和状态信息到VPN-1/Firewall-1管理服务器。
与认证联动
Check Point提供了一个开放式集成环境,第三方的PKI能紧密地与Check Point集成在一起(VPN-1 Gateway、VPN-1 SecureClient)。开放的PKI使得管理员能够选择最大限度满足要求的PKI解决方案。
目前Check Point北京代表处正在大力推广和发展这一先进的体系结构和标准,它将与国内许多厂商密切合作,帮助他们了解OPSEC,向他们转让相关技术,帮助他们改进其产品,并通过OPSEC认证。
如何加盟OPSEC
如果您想加盟OPSEC,需要这样做:
1.在提交认证的产品之前,您需要确认在集成中使用的每一个OPSEC接口是否已经满足认证的标准。
2.将您的产品的整体架构交给OPSEC工程师并与OPSEC联盟经理协商安排一次研讨会。会议中,您将有机会向OPSEC工程师陈述您的产品是如何设计的,并且是如何与Check Point产品进行协作的。OPSEC工程师将为您的产品准备相应的测试实验环境。
3.与联盟经理联系,并获得一套详细的OPSEC认证流程文档。文档中有关于如何提交您的产品和所有产品文档以及如何向联盟经理提交认证需要的文档。
4.一旦您已经将产品提交到OPSEC进行认证,联盟经理将通知您,在什么时候开始测试您的产品。
5.如果OPSEC工程师在测试产品过程中发现一些问题,他们将向您的技术代表出示产品问题报告。我们建议您在提交进行认证前,先全面地测试一下您的产品。
6.在OPSEC解决方案中心站点中,更新所有您产品和公司情况的描述。
(责任编辑 胜喜 chensx@staff.ccidnet.com)
|
