OPSEC,英文为 Open Platform for Security,顾名思义,它代表了在网路安全方面的一种开放式平台。OPSEC(Open Platform for Security)则是基于这样一个想法由 Check Point 倡导和发起的。它是当今全球网路安全方面最权威、代表最广泛的组织。目前为止,OPSEC 有包括300多家经过严格授权的、致力于网路安全各方面研究的软体和硬体合作厂商。它以成为网路安全开放式平台事实上的标準。下面我们将和您一起进入 OPSEC 的世界去了解以下今天的网路安全究竟需要构架在什幺样的一个开放式平台上的。
基本介绍
- 外文名 Open Platform for Security
- 缩写OPSEC
- 代表了在网路安全方面的一种开放式平台
- 性质开放式平台
综述
那幺 OPSEC 究竟是什幺样的一种技术或是一种什幺样的组织呢? 提及 OPSEC,得从“开放”二字说起。开放的平台,开放的技术,是 IT 厂商成功的非常关键的因素之一。同样,网路安全性方面也是如此。
网路安全是一个牵扯方方面面的,不是一两个厂商就能解决的问题,它需要我们共同来维护和创造。网路安全技术也在飞速地革新和发展。用户当前的选择,是否能代表网路安全技术的发展,是否能很容易地进行扩展以满足将来对新的应用程式的支持,是否能集成更先进的网路安全方面的技术产品,是否能支持更多更广泛的作业系统平台……这些都是用户在选择厂商时越来越多考虑的因素。
开放的 IT 技术和产品,决不仅仅是为用户当前带来更多的选择,而且将来的用户能随着 IT 飞速发展一起成长,一起进步。
OPSEC简介
OPSEC 联盟成立于1997年。当时的 Check Point 构思于向用户提供完整的、能够在多厂商之间进行紧密集成的网路安全解决方案而倡导和发起这样一个组织。我们的目标是同合作伙伴们一起努力为 Internet 安全保驾护航。
在过去的4年中,许许多多的合作伙伴正是基于这样一个工业上事实的标準和 OPSEC 软体开发工具,与 Check Point 一道向用户提供了无数优秀的安全解决方案。今天 OPSEC 可以这样自豪地说,我们支持最广泛的作业系统和网路构架,我们有比任何其他安全平台多得多的第三放合作伙伴採纳这样一个 Internet 安全集成的接口。超过300个合作伙伴,OPSEC 能够向用户保证提供在网路安全方面最好的集成的套用。 Check Point 作为核心,向用户提供了最好的安全性和中央的、企业级的安全策略管理。
Check Point 与 OPSEC 合作伙伴之间的互操作性和集成性是通过严格的认证过程来保证的。,当前的用户在选择安全产品时,大都以该产品是否具有“OPSEC Certified”和“Secured by Check Point”做为标準,因为他们能够去依靠这样的保证。代理商们同样寻找着这样的产品,因为,他们能为客户提供更完整的解决方案。通过这样的方法,用户能够选择到满足他们需求的的安全产品,并能够在产品互操作性和基于中央管理方面得到保证。反之,经过 OPSEC 认证的产品有着更多的优势向用户来提供并共同创建一个更好、更全面的安全企业网路。
OPSEC 联盟分为两大部分一部分提供集成的应用程式,另一部分提供基于 Check Point 平台的安全服务。
应用程式
它由许多 IT 厂商组成,这些厂商提供了被 Check Point OPSEC 认可的并且与 OPSEC 构架兼容的产品,这些产品根据功能不同分为四大类
·实施安全的产品这些 Internet 安全产品是 Check Point 安全解决方案的补充。包括了授权、内容安全管理、URL 资源管理、PKI 和入侵检测等解决方案。
· 管理和报表它们通过与 Check Point 产生的事件和报警发生关联,向用户提供全面的报表功能和管理功能。包括了企业级目录服务、企业级管理、事件监视和分析、及报表工具。
· 性能和可用性这些产品增强了 Check Point 解决方案中的性能和可靠性。它们可以保证在网关切换中所有用户连线不会丢失。包括了加速设备、双机热备份和双机群集系统负载平衡的解决方案。
· eBusiness 的套用安全在 B2B 电子商务运营环境中,通过 Check Point 安全技术和这些套用的集成来保证用户访问数据内容和网路资源的安全性。
安全服务
这部分厂商向用户提供基于 Check Point 解决方案的市场领先的硬盒子产品(Appliance),网际网路设备和伺服器。
· Appliance(硬盒子)即插即用的安全平台,集成了预装的、配置好的 Check Point 安全软体。
· 网际网路设备嵌入了 Check Point 安全技术的路由器和交换机产品
· 伺服器提供 Check Point 技术和支持的市场领先的伺服器平台厂商
体系结构
今天的电子商务世界要求客户、商业合作伙伴、服务提供商之间更多的信息交流。任何基于 Internet 的商业运作需要很高的安全措施来保护其顺利进行,否则企业面临的是由于安全隐患带来的巨大损失。保护信息和网路安全的关键在于建立一个完整的 Internet 安全架构。我们需要的是集成不同安全厂商的最优秀的产品来满足用户对多层次安全性的需求。集成和管理性是架构这样一个平台的关键。集成和互操作性是 OPSEC 的基本,而管理则是 OPSEC 实施和将安全变为现实的重要因素。安全管理不仅要求我们能够提供网路整体的安全策略,并且能够将这些安全策略套用到多种安全技术中去,例如防火墙、VPN、QoS 服务、报表管理甚至合理的系统配置。Check Point 的虚拟安全网路(Secure Virtual Network)体系和 OPSEC 提供了业界领先的 Internet 安全解决方案。真正地实现了客户网路安全需求,解决了客户网路安全中面临的各种挑战。
Internet 安全
OPSEC 提供的独一无二的开放平台扩展了 Check Point SVN(Secure Virtual Network)体系结构。对 OPSEC 合作伙伴来说,与 SVN 的集成无疑为市场提供了最具竞争力的解决方案;对客户来说,OPSEC 集成意味着选择最好的产和服务(Best-of-Breed),而不用去考虑它们之间的互操作性。 OPSEC 回答了当前多厂商解决方案面临的最大难题——互操作性和管理的複杂性,避免了选择单个厂商带来的最大问题——集成和灵活性的限制。
集成点
通过公开的 API、工业标準的协定和高级程式语言,可以实现轻鬆的 OPSEC 集成。
OPSEC 向第三方产品提供了一个单一的结构集成到 Check Point SVN 的方方面面。在过去的几年里,业界领先的安全厂商利用强大的 OPSEC SDK 工具已经创造出了许多安全套用,这些套用能够无缝的同 Check Point Secure Virtual Network 进行集成。
第三方厂商可以通过以下途径来获得 OPSEC 的认证
· OPSEC Software Development Kit(SDK)允许与 Check Point 业界领先的 SVN 体系集成在一起。SDK 提供非常清楚的接口定义帮助您轻鬆地实现同 VPN-1/FireWall-1,FloodGate-1 和 Meta IP 的集成。
· 工业标準接口和协定提供详细的规范保证多厂商产品之间的互操作性和认证标準
· Check Point INSPECT 语言利用 VPN-1/FireWall-1 和 FloodGate-1,增加套用来支持从通信到套用层的所有信息的截取、分析和控制。
· 嵌入的 Check Point INSPECT 虚拟机或完整的 VPN-1/FireWall-1 代码集允许第三方厂商将 Check Point 技术嵌入到其系统或硬盒子中(Appliance)。
OPSEC SDK
Check Point 很早就意识到产品创新和紧密的集成取决于一套具有完善 API 的软体开发工具。OPSEC SDK 早在1997年就已发布,并允许第三方厂商和最终用户将他们开发的产品集成到 VPN-1/FireWall-1、FloodGate-1 和 Meta IP 中。由于 API 隐藏了协定和网路中的複杂技术,使得编程工作变得较为简单。为了提供额外的安全性,使用 OPSEC SDK 创建的套用能够利用 SSL 对客户和伺服器之间的所有 OPSEC 通信实施加密。至今,Check Point 仍是在自由使用 SDK 方面最重要的 Internet 安全提供商。
CVP
内容安全使用 CVP(Content Vectoring Protocol)内容安全允许用户扫描经过网路的所有数据包内容。例如病毒、恶意 Java 或 AcitveX 程式等。Check Point 提供的 CVP API 定义了异步接口将数据包转发到伺服器应用程式去执行内容验证。用户可以根据多种标準来验证内容的安全。
UFP
Web 资源管理使用 UFP(URL Filtering Protocol)UFP 定义了 Client/Server 异步接口来分类和控制基于特定 URL 地址的通信。防火墙上的 UFP 客户端将 URL 传送到 UFP 伺服器上,UFP 伺服器使用动态分类技术将 URL 进行分类,防火墙则根据安全规则的定义对分类进行处理。对客户来说,通过中央的安全策略管理即可实现高效的 Web 资源管理。
SAMP
入侵检测採用 SAMP(Suspicious Activity Monitorng Protocol)
SAMP API 定义了入侵检测套用同 VPN-1/FireWall-1 通信的接口。入侵检测引擎使用 SAMP 来识别网路中的可疑行为,并通知防火墙处理。 SAMP 套用可以使用其他 OPSEC 接口和 API 来传送日誌、告警和状态信息到 VPN-1/FireWall-1 管理伺服器。
事件集成
Check Point 提供两个 APILEA(Log Export API)和 ELA(Event Logging API)允许第三方来访问日誌数据。报表和事件分析採用 LEA API,而安全与事件整合採用 ELA API。
OMI
管理和分析採用 OMI(OPSEC Management Interface)
OMI 提供到 Check Point 中央策略资料库的接口,允许第三方套用安全地访问存储在管理伺服器上的安全策略。OMI 能够访问以下资源
· 存储在管理伺服器上的安全策略
· 管理伺服器上定义的网路、服务、资源和伺服器对象
· 用户、摸板和用户组
· 允许登录到管理伺服器的管理员列表
OPSEC PKI 集成
Check Point 提供了一个开放式集成环境,第三方的 Public Key Infrastructure(PKI)能紧密的与 Check Point 集成在一起(VPN-1 Gateway、VPN-1 SecureClient)。VPN-1 Gateway 能多个不同的 CA。开放的 PKI 使得管理员能够选择最大限度满足要求的 PKI 解决方案。
双机热备份
带负载平衡的高可用性(HA/LB)和双机热备份(HA-HS),Check Point 的 OPSEC HA/LB 允许第三方利用 VPN-1/FireWall-1 状态表同步的特性来实现群集系统。状态表同步保证了 HA/LB 中每个 VPN-1/Firewall-1 上所有连线的通信状态的一致性,并且允许 OPSEC 认证的 HA/LB 产品能够在群集系统中无缝地切换 VPN-1/FireWall-1。
UAM
用户到地址的映射採用 UAM(User Address Mapping)
UAM API 是 Check Point Meta IP(企业级 IP 地址管理软体)中的技术,它提供了用户与 IP 地址之间的关联。通过第三方产品与 UAM 的合作,可以轻鬆地实现基于网路作业系统登录用户的认证,使得基于用户的安全策略管理得以真正实现
UserAuthority API
安全的电子商务套用採用 UserAuthority API(UAA)电子商务环境需要更多的套用来保证所有通信的安全、可靠和可管理性。UAA 是一种 Client/Server 的异步接口,它能够同多种套用、多种 Check Point 产品来共享网路授权信息,包括所有连线信息和 VPN-1/FireWall-1 管理信息。例如当电子商务套用接受到来自 VPN-1 用户的授权访问请求时,该套用需要从网关那里获得该用户的认证信息来作出智慧型的授权决定。UserAuthority 能帮您来实现。
工业标準协定
Radius/Tacacs+ (认证协定)
SNMP (简单网路管理协定)
LDAP (轻量目录访问协定)
套用集成
电子商务套用中,OPSEC 扩展了 Check Point SVN 的功能,它通过中央策略管理架构来实施集成的访问控制、入侵检测和 QoS 解决方案。通过 OPSEC,Check Point 同业界领先的套用厂商和客户建立了良好的合作关係,并向最终用户提供在複杂网路环境中的开放式安全体系架构,实现用户端到端的安全。
所有 Check Point 解决方案都构建在由 Check Point 开发并获得专利的 Stateful Inspection 网路安全事实标準上的。Stateful Inspection 可提供从链路层到套用层地查看,INSPEC 引擎动态地驻留在网路作业系统中,提供无与伦比的性能和升级能力。Stateful Inspection 的扩展性允许它支持通过使用 INSPECT 高级程式语言创建的新的应用程式。Check Point 提供了业界对应用程式和网路服务最广泛地支持。
三、 欢迎您加入到 OPSEC 联盟
OPSEC 联盟面向所有致力于网路安全的厂商。无论 Internet/Intranet 软硬体、Client/Server 套用和企业安全产品等厂商均欢迎加入 OPSEC 联盟。要想成为 OPSEC 联盟认证的合作伙伴,厂商必须能够开发出与 Check Point OPSEC 架构兼容的产品或服务。下面我们谈一谈如何才能加入到 OPSEC 联盟。
1)在提交认证的产品之前,您需要确认在集成中使用的每一个 OPSEC 接口是否已经满足认证的标準。
2)将您的产品的整体架构交给 OPSEC 工程师并与 OPSEC 联盟经理协商安排一次研讨会。会议中,您将有机会向 OPSEC 工程师陈述您的产品是如何设计的,并且是如何与 Check Point 产品进行协作的。OPSEC 工程师将为您的产品準备相应的实验环境进行测试。
3)与联盟经理联繫并获得一套详细的 OPSEC 认证流程文档。文档中解释有如何提交您的产品和所有产品文档以及如何向联盟经理提交认证需要的文档。
4)一旦您已经将产品提交到 OPSEC 进行认证,联盟经理将通知您在什幺时候开始测试您的产品。
5)如果 OPSEC 工程师在测试产品过程中发现一些问题,他们将向贵方技术代表出示产品问题报告。我们建议您在提交进行认证前先全面地测试一下您的产品。认证失败意味着不必要的时间耽误,因为您必须重新加入到认证伫列中来等待重新提交您的产品。
6)在 OPSEC 解决方案中心站点中更新所有有关您产品和公司情况的描述。
成为 OPSEC 联盟合作伙伴获益良多
· 与 Check Point 共享广泛的客户资源
· 与 Check Point 共享其享有盛誉的渠道资源
· 获得销售和渠道资源的指导
· 获得线上的开发资源和支持
· 获得培训计画的特殊折扣
· 获得广告等市场活动的特殊折扣
· 获得市场开发和市场协作项目
· 更多……
发展计画
OPSEC 提供给人们的最大好处就是保护投资。如前所述,在 OPSEC 安全体系的每个类别中都有许多可选产品,用户可根据需要随时更换某个产品,新换上来的产品能与原有其他安全产品继续协同工作。
显然,OPSEC 能给用户带来许多便利和保护。在已开发国家,用户选择安全产品时,提出的第一个问题不是你的产品功能和性能如何,而是你的产品是否符合 OPSEC 标準?是否通过 OPSEC 认证?因为选择不符合 OPSEC 标準的产品,将失去选择权,将不得不接受厂商先低后高的价格,将永远被“套牢”。
为保护用户利益,Check Point 北京代表处将大力推广和发展这一先进的体系结构和标準,将与国内许多厂商密切合作,帮助他们了解 OPSEC,向他们转让相关技术,帮助他们改进其产品并通过 OPSEC 认证。通过认证的产品不仅可在国内扩大销售,而且 Check Point 还可帮助他们走向国际市场,因为 OPSEC 是全球公认的安全产品标準,是安全产品的全球通行证。