安全攻击会给企业带来诸多的负面影响，例如：业务中断、遭受法律诉讼及罚金、使企业形象受损、导致知识产权被窃取等，所有这些负面影响最终会使企业遭受较大的财务损失。近两年，包括娱乐、零售以及金融在内的多家企业遭到黑客攻击，大量私密信息被窃取，其严重后果不言而喻。

IT服务公司Unisys近日表示，“微分割”将作为一种新兴的安全技术，成为信息安全新方法的重要组成部分。

Unisys公司欧洲安全部门主管David Matthews表示，传统信息安全保护方式之所以失败，主要原因在于，将重点放在外围防守，注重“护城河”模型的建立和防护，从某种程度上而言，该方式具有较大局限性。

根据VMware数据中心微分割白皮书的描述，现代攻击通常采用用户授权方法突破外围的防御，而对于数据中心边界内的工作负载横向迁移，却很少或根本没有管制，以阻止它们的传播。上述现象导致恶意软件入侵后，找到漏洞实施攻击、指挥和控制，直到攻击者找到他们要找的数据。

Matthews在伦敦召开的全球网络安全峰会上表示，目前，很多机构仍将八成预算都放在外围防御方面，殊不知，大部分恶意攻击已转至网络系统内部。而外围防御仅起到保证网络攻击的既得利益者维持现状的作用。

为应对该转变，Unisys公司开发了一种新技术，旨在帮助各机构或组织保护敏感数据，保障重要信息仅特定社区人员具备访问权限。

该技术的核心就是授权微分段技术将网络进行分割，或将物理网络划分为数以千计的逻辑微段来进一步细化网络分段。即便攻击者能够穿透其中一个微段，受用户权限的制约，也将无法访问整个网络，将大大提高网络系统的安全性。

思科公司近期发布的报告上指出，微分割将数据中心的网络划分成较小的保护区。而不是一个单一的整个网络，通过强化外围，加强流量的防御，微数据中心可以在应用层之间和设备之间提供安全服务。数据中心的微型分割可增强数据中心流量的安全性。其理论是，即使一台机器被攻破，其危害将会限制在一个较小的故障域。

无论是正在运转还是暂停作业，无论是云环境还是移动设备，无论储存还是传输，实时启动数据加密是确保安全的必要条件。

Matthews还指出，相较于传统网络安全技术，微分割将带来超30%的成本效益。由于该技术基于门户进行，还可减少80%的部署时间。从风险和合规（GRC）性及治理角度分析，该技术的优点还在于，可减少表面攻击，从而降低审计复杂性。

通过在台式机、公共和私有云或移动设备上启用该加密、隔离工作流，该技术为网络安全提供更加严密的隐形保护。

另一方面，由于符合合规性需求，微分割还可将CIO（首席信息官）从不得不权衡安全防范成本、贸易合规及敏捷性的“牢笼”中解放出来。

Unisys公司欧洲著名安全架构师Fraser Ross表示，该项技术的安全和敏捷性以提升至军用级别，基于软件的加密和终端分离将会使整个社会获益。

换言之，诸如服务器之类有价值的IT资产将拒攻击者于门外，原因在于，攻击者无法ping通他们，并得到有效响应。可见，微分割技术对网络的保护不局限于系统内部。

Ross还称，新技术为增量实现行为，对用户影响相对较小。微分割无须改变原有应用程序代码，开启身份认证后，网络工作也将更易于管理。因为，对服务器管理员来说，部署新系统或服务器时所面临的最大的挑战之一并非技术，而是程序、政策，该技术将很好解决上述问题，为操作带来更高级别的可扩展性。

此外，相较于传统基础设施的保护，微分割技术成本更低、操作更灵活，且适用于包括无线和卫星在内的所有公共和私有IP网络及各种混合媒体的任意组合。

译自：2016年6月24日美国www.computerweekly.com

编译：工业和信息化部国际经济技术合作中心 李肖