開源安全技術的四大好處

為使IT架構正常運作，企業往往要將信息安全作為一個關鍵因素引入到技術和管理體系中。在某些特定領域，與商業安全產品相比，開源安全技術有相當大的優勢。

　　k開源安全產品的開發、測試和發布過程完全是透明的，同時提供產品的源代碼及完善的文檔。企業可以清楚地了解開源安全技術的工作原理和實現方法，在選擇開源安全技術時更有把握，也更容易得到質量更好的安全方案。開源安全方案的開發者大多是經驗豐富的安全廠商或技術人員，這就保證了開源安全技術除功能上不遜于封閉源代碼的商業安全方案外，同時還具有更高的可靠性、靈活性以及更低的采購和使用成本。

　　案例一：Snort入侵檢測系統

　　Snort是開源安全技術領域中最有名的入侵檢測系統，截至目前，Snort各版本的下載次數已達數百萬次，Snort已成為世界上使用最廣泛的入侵檢測系統。Snort使用針對攻擊行為標志(Signature-Based)和 網絡通訊協議(Protocols)的檢測方式實現以下功能：實時通訊分析和數據包記錄，數據包有效載荷檢查，協議分析和內容查詢匹配，探測緩沖區溢出、秘密端口掃描、CGI攻擊、SMB探測、操作系統侵入嘗試，使用系統日志、指定文件、Unix socket或通過Samba的WinPopus 四種入侵行為的實時報警和日志記錄。

　　有三種工作模式：數據包嗅探、數據包記錄和成熟的侵入探測系統。與大部分開源軟件相類似，Snort支持各種形式的插件、擴充和定制，包括數據庫或XML記錄、小幀探測和異常探測統計等。數據包有效載荷探測是Snort最有用的一個特點，這就意味著可以探測到很多額外種類的敵對行為。近年來，隨著描述入侵行為的入侵規則語言(Rules language)及檢測技術的發展，Snort已經成為最富彈性而且最精確的入侵檢測系統之一。

　　帶來的好處：

　　Snort在企業安全市場的成功應用，代表了市場對開源安全技術的“比封閉源代碼的商業安全產品更好的質量”這一宗旨的廣泛接受。Snort成為世界上使用最廣泛的入侵檢測系統的原因也在于此。它不完全依靠安全廠商進行產品的升級和支持，廣大的開源社區用戶及安全研究組織也在為改進Snort本身所用技術、Snort檢測威脅數量和Snort部署方法而努力，因此Snort才能成為最富彈性及最精確的入侵檢測系統之一。

　　開源安全產品的開發、測試和發布過程完全是透明的，同時產品的源代碼及完善的文檔也會在開源社區公布。企業可以清楚地了解開源安全技術的工作原理和實現方法，在選擇開源安全技術時更有把握，也更容易得到質量更好的安全方案。尤其對于一些很重視企業內部信息保密的特定行業企業來說，開源安全技術的源代碼開放性還是一個關鍵的選擇因素。因為這些特殊的企業用戶需要掌握自己所部署的所有IT(包括安全)方案的內部運作原理，并要求對IT產品的源代碼進行審計。這對封閉源代碼的商業安全產品來說是不可逾越的鴻溝，而使用開源安全技術則完全沒有這方面的問題。

　　案例二：SNARE日志管理和事件報告方案

　　RSNARE是一個開放源代碼的跨平臺系統日志審計和入侵檢測產品，它的開發廠商InterSect Alliance 有非常豐富的多種操作系統——Solaris、Windows 2000/NT/XP/2003、Novell Netware、AIX、even MVS (ACF2/RACF);

　　日志審計和入侵檢測經驗，并為*部門、商業組織等提供專業服務。這些經驗都反映在SNARE上，使SNARE成為一個功能強大的日志管理和事件報告方案。

　　SNARE在邏輯上分成三個部分：1.內核動態加載模塊，該模塊封裝了系統內的危險調用，并收集用戶和程序所執行的可疑系統調用信息;2.用戶空間審核程序，該程序負責收集內核動態加載模塊所收集的審計信息，并按照一定的格式進行整理和保存;3.SNARE日志分析前端，由于SNARE審計程序所產生的審計信息對用戶來說仍然是難于閱讀和理解的，因此SNARE還提供了一個圖形化的日志分析前端，用戶可以通過日志分析前端，得到可自定義的、規范的系統日志管理和事件報告。

　　帶來的好處：

　　企業用戶可以把SNARE部署成客戶/服務器結構的中央日志管理和報告系統。這樣不單可以簡化系統部署的復雜性和減輕管理員的工作強度，企業還可以享受SNARE的跨平臺特性。這對內部網絡結構復雜、同時使用多種操作系統平臺的企業來說尤其重要。企業整體部署SNARE日志管理和事件報告方案，除了可以在信息安全方面獲得更高的保障和更快的事件響應速度之外，還可以因此而滿足企業外部環境對企業合規性(Compliance)的強制要求，如SOX法案、HIPPA、PCIDSS、ISO 27001等對企業系統日志審計的需求。

　　開源安全方案的開發者大多是經驗豐富的安全廠商或技術人員。這除了能保證開源安全技術從功能上不輸于封閉源代碼的商業安全方案，同時還能保證它具有更高的可靠性。此外，由于開源安全技術的實現是完全透明的，眾多第三方機構和技術人員還能夠對開源安全產品進行完善的二次測試工作，進一步保證開源安全產品的穩定和可靠性。企業在選擇開源安全產品時，在產品和部署的可靠性上要比選擇封閉源代碼的、只經過生產廠商測試的商業安全產品有更多保證。如果用戶在開源安全技術的部署和管理過程中遇到問題的話，還能在互聯網上得到相關開源社區及廣大熱心用戶的免費幫助和支持。而企業選擇商業安全技術的話，往往要付費才能獲得安全廠商的支持。

　　案例三：Untangle 安全網關

　　Untangle Network Gateway是一款使用開源安全技術的、功能完備、高集成度、高靈活性的安全網關，在2007年榮獲LinuxWorld Best Security Solution等多項由有影響的開源雜志所頒發的獎項。Untangle還被認為是商用級安全網關的優秀替代產品，可以很好地滿足從作為大型企業的部門級/分公司級的安全網關，到中小型企業的內部網絡出口網關的不同需求。

　　Untangle安全網關包含14個不同的功能模塊：

　　1.提高生產效率的3個模塊，垃圾郵件攔截(Spam blocker)、Web內容過濾(Web filtering)和協議控制(Protocol Control)。

　　2.用于安全用途的6個模塊，病毒攔截(Virus blocker)、間諜軟件攔截(Spyware blocker)、網絡釣魚攔截(Phish blocker)、入侵攔截(Intrusion Prevention)、攻擊攔截(Attack blocker)和防火墻(Firewall)。

　　3.用于提供遠程訪問的2個模塊，遠程訪問Portal (Remote Aclearcase/" target="_blank" >ccess Portal)和OpenVPN (SSL VPN功能)。

　　4.用于發送報告的功能模塊和Untangle報告(Untangle Reports)模塊。

　　5.用于網絡連接的路由器 (Router)模塊。

原文轉自：http://www.kjueaiud.com