安全攻擊會給企業帶來諸多的負面影響，例如：業務中斷、遭受法律訴訟及罰金、使企業形象受損、導致知識產權被竊取等，所有這些負面影響最終會使企業遭受較大的財務損失。近兩年，包括娛樂、零售以及金融在內的多家企業遭到黑客攻擊，大量私密信息被竊取，其嚴重后果不言而喻。

IT服務公司Unisys近日表示，“微分割”將作為一種新興的安全技術，成為信息安全新方法的重要組成部分。

Unisys公司歐洲安全部門主管David Matthews表示，傳統信息安全保護方式之所以失敗，主要原因在于，將重點放在外圍防守，注重“護城河”模型的建立和防護，從某種程度上而言，該方式具有較大局限性。

根據VMware數據中心微分割白皮書的描述，現代攻擊通常采用用戶授權方法突破外圍的防御，而對于數據中心邊界內的工作負載橫向遷移，卻很少或根本沒有管制，以阻止它們的傳播。上述現象導致惡意軟件入侵后，找到漏洞實施攻擊、指揮和控制，直到攻擊者找到他們要找的數據。

Matthews在倫敦召開的全球網絡安全峰會上表示，目前，很多機構仍將八成預算都放在外圍防御方面，殊不知，大部分惡意攻擊已轉至網絡系統內部。而外圍防御僅起到保證網絡攻擊的既得利益者維持現狀的作用。

為應對該轉變，Unisys公司開發了一種新技術，旨在幫助各機構或組織保護敏感數據，保障重要信息僅特定社區人員具備訪問權限。

該技術的核心就是授權微分段技術將網絡進行分割，或將物理網絡劃分為數以千計的邏輯微段來進一步細化網絡分段。即便攻擊者能夠穿透其中一個微段，受用戶權限的制約，也將無法訪問整個網絡，將大大提高網絡系統的安全性。

思科公司近期發布的報告上指出，微分割將數據中心的網絡劃分成較小的保護區。而不是一個單一的整個網絡，通過強化外圍，加強流量的防御，微數據中心可以在應用層之間和設備之間提供安全服務。數據中心的微型分割可增強數據中心流量的安全性。其理論是，即使一臺機器被攻破，其危害將會限制在一個較小的故障域。

無論是正在運轉還是暫停作業，無論是云環境還是移動設備，無論儲存還是傳輸，實時啟動數據加密是確保安全的必要條件。

Matthews還指出，相較于傳統網絡安全技術，微分割將帶來超30%的成本效益。由于該技術基于門戶進行，還可減少80%的部署時間。從風險和合規（GRC）性及治理角度分析，該技術的優點還在于，可減少表面攻擊，從而降低審計復雜性。

通過在臺式機、公共和私有云或移動設備上啟用該加密、隔離工作流，該技術為網絡安全提供更加嚴密的隱形保護。

另一方面，由于符合合規性需求，微分割還可將CIO（首席信息官）從不得不權衡安全防范成本、貿易合規及敏捷性的“牢籠”中解放出來。

Unisys公司歐洲著名安全架構師Fraser Ross表示，該項技術的安全和敏捷性以提升至軍用級別，基于軟件的加密和終端分離將會使整個社會獲益。

換言之，諸如服務器之類有價值的IT資產將拒攻擊者于門外，原因在于，攻擊者無法ping通他們，并得到有效響應。可見，微分割技術對網絡的保護不局限于系統內部。

Ross還稱，新技術為增量實現行為，對用戶影響相對較小。微分割無須改變原有應用程序代碼，開啟身份認證后，網絡工作也將更易于管理。因為，對服務器管理員來說，部署新系統或服務器時所面臨的最大的挑戰之一并非技術，而是程序、政策，該技術將很好解決上述問題，為操作帶來更高級別的可擴展性。

此外，相較于傳統基礎設施的保護，微分割技術成本更低、操作更靈活，且適用于包括無線和衛星在內的所有公共和私有IP網絡及各種混合媒體的任意組合。

譯自：2016年6月24日美國www.computerweekly.com

編譯：工業和信息化部國際經濟技術合作中心 李肖