统一威胁管理（UTM：UnifiedThreatManagement）概念符合安全防护技术一体化、集成化的发展趋势。但目前多数国内UTM厂商是在一种核心技术的基础上加入其他技术，或只是将各种安全功能堆积到一起，没有从底层做集成优化设计，尤其是同时开启各功能时，性能会急剧下降，加上国际、国内都没有UTM产品的统一标准和规范，更是导致了许多问题的出现。提出中国UTM产品在互操作、硬件支持、基础平台和用户定制等技术上创新发展的一些设想和建议。

    随着IT技术的不断发展，网络攻击行为日益呈现出新的特点：一是混合型攻击，如病毒、蠕虫、木马和后门攻击，通过E-mail和被感染的网站发出，并很快地传递散播产生攻击的变种，使得安全设备必须对付已知或未知攻击；二是新漏洞的攻击产生速度快，安全设施需要防范各种被称为“零小时”（zero-hour）或“零日”（zero-day）的新的未知攻击；三是伴随着社会工程陷阱元素的攻击层出不穷，间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等防不胜防，攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。此外，越来越多的企业发现，安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等，同样会带来安全问题。据美国著名的市场研究机构IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。

    面对这些新形式下的安全威胁，传统的防火墙、入侵检测系统/入侵防护系统（IDS/IPS）或防病毒等单一功能安全产品已经显得无能为力，因此安全防护技术一体化和集成化需求应运而生。中国信息化技术和信息化程度不断提高，面临的安全问题也日益突出，必须在一体化安全管理方面有所创新，研究和发展新技术，并开辟广阔的国内外市场。

    一、UTM概念的起源及研究意义

    2002年，统一威胁管理（UTM：UnifiedThreatManagement）首先由FortiNet公司提出。当时由于混合威胁频繁出现，为了满足中小型企业对防火墙、IDS、VPN、反病毒等安全产品和功能的集中管理需求，FortiNet试图将这些技术整合到统一的设备里来实现统一的威胁管理，UTM概念也因此诞生。但在UTM发展的初期，安全厂商对UTM的解释不尽相同。直到2004年9月，IDC才对UTM进行了明确定义：是由硬件、软件和网络技术组成的专用设备，组合防火墙、VPN、IDS/IPS、防病毒、防垃圾邮件、网址过滤、内容过滤、流量监控等功能，构成一个标准的统一管理平台。鉴于此，国际权威的网络与安全测试机构——NSSGroup制定了测试UTM产品的依据，即在单一的UTM设备上应该具有防火墙、IDS/IPS、防病毒、防垃圾邮件、VPN、内容过滤、网址过滤等多种安全功能（如图1所示）。

 

    图1  UTM设备功能

    UTM概念符合安全防护技术一体化、集成化的发展趋势。UTM产品已经成为防御混合型攻击的利剑，能够提供综合的功能和安全的性能；能够降低复杂度和成本；能够为用户定制安全策略，提供灵活性；能够提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性；此外，UTM要求可扩展性好，能够对已知和未知威胁、以及来自外部和内部的威胁增加检测和防御能力。

    目前，中小型企业由于缺乏安全技术人员、资金有限，安全问题一直困扰着他们的发展，UTM自诞生之日起就备受中小企业用户的青睐。随着信息安全威胁多样性和混合性的发展趋势越来越明显，大型企业甚至服务提供商也开始部署UTM设备，尤其是教育、金融、能源和电信等行业的需求十分明确。

    在快速发展的中国IT安全市场中，2005年UTM市场成为一个重要的新兴市场，2006年UTM市场规模达到了2700万美元，相对于2005年增长了84.3%。据IDC预计，到2011年，中国UTM市场规模将达到1.89亿美元。

    二、国内外UTM技术/产品的现状及存在的问题

    目前UTM设备的领先厂商均是美国公司。但声称支持UTM的诸厂家的技术实现有很大的区别。大多数UTM产品和UTM解决方案更多的是在已有产品或已有解决方案的基础上进行整合，比如：CiscoASA系列，仅仅是防火墙/VPN设备加上防病毒、防间谍软件和入侵防御功能，网关防病毒/防间谍软件和IPS则需要不同的硬件模块，因此不能同时使用；Juniper的Netscreen5GT则只在个别产品型号上支持防病毒功能。还有些厂家的全线产品支持防火墙、VPN、网关防病毒、入侵防御、反间谍软件功能、反垃圾邮件功能等，如SonicWALL。而在UTM市场领先的Fortinet公司，则利用自主产权的ASIC芯片技术，创新推出FortiGateUTM系列，大幅度提升开启防病毒功能下的安全性能，实现七种重要的UTM特性，包括防病毒、VPN、防火墙、IDP、内容过滤、反垃圾邮件和流量控制。

    自2005年以来，以UTM为代表的安全方案受到越来越多国内用户的关注，特别是在一些中型企业和政府部门。市场的变化在促使科研机构和传统的安全厂商转型，包括安氏、华为、联想网御、天融信、启明星辰、神州泰岳、中科安胜、北信源、绿盟等在内的多家国内安全厂商，近期纷纷宣布或者打算挺进国内UTM市场。这些安全厂商已经在防火墙、IDS/IPS和安全管理领域拥有各自的研究成果和系列产品，并开始在UTM相关领域探索产品的研究和开发。

    但国内的UTM厂商往往在一种核心技术的基础上加入其他技术，从而衍生出一种现象——单边产品，所谓单边产品就是其中某一项功能强，而其他功能相对较弱。这是由UTM厂家的技术背景决定的。目前来看，UTM设备主要有三种出身：一种是从防火墙技术衍生而来，一种是从防病毒技术衍生而来，还有一种是从入侵检测/保护技术衍生而来。这就使得用户在使用中发现，自己所购买的产品并未能有效发挥其预期的效用，尤其是同时开启各功能时，性能会急剧下降，因此感受不到UTM和单一安全产品的差别。并且，各厂商之间的UTM产品同质化趋向明显，用户的选择性不大，极大地影响了UTM在客户群中的置信度。而目前国际、国内都没有UTM产品的统一标准和规范，各UTM设备的功能、性能等指标，以及各厂商的实现方法、包含的功能等均不尽相同。

    三、推进中国UTM技术发展的自主创新技术

    随着网络技术的发展，各种入侵的行为层出不穷，UTM概念也会不断延伸，UTM设备会集成越来越多的功能，用户的需求也会出现更大的差异，因此未来的UTM设备在互操作性、可扩展性和支持用户定制方面应该取得大的突破。从性能上来讲，随着网络处理器（NPU）技术的不断进步，性能越来越强大的多内核网络处理器不断出现，高性能、功能更加丰富的UTM设备将会很快出现在市场。从基础平台上看，随着可信计算技术在未来发展中的基础作用，基于可信计算平台的安全操作系统对于解决UTM基础平台的安全保障会有很大的吸引力。因此，中国在UTM技术和产品上的创新研究应该从以下几个方面开展。

    1.多安全功能互操作技术

    目前，UTM平台中各安全部件不仅需要自身具有整合性，更需要与不同规范表示的其他安全部件进行整合，以最终形成在全球范围内统一的可以进行协同安全防御的防范体系。

    XML（eXtensibleMarkupLanguage）因其易于理解而被人们普遍接受，并且采用XSL（eXtensibleStyle Language）能够方便地把XML表示的数据转化为HTML（Hyper-text Markup Language）格式浏览。因此，通过对UTM平台各安全部件公共特性的分析，研究基于XML和CISL（Common Intrusion Specification Language）的公共入侵和检测描述语言，可以方便地实现各种安全属性、安全功能和安全管理数据的有效融合，是一种有效的解决方案。此外，国内外在安全Web Service技术上逐步成熟，其基本安全规范中用于整合的Web Service描述语言、用于认证和授权的安全性声明标记语言、用于通信信道保密的SSL、用于高度机密的XML加密标准和用于高级授权的XML数字签名等，以及WS-Security WS-Policy、WS-Trust和WS-Privacy等协议体系描述，对于解决UTM部件间的互操作规范，应该是一个很有应用前景的课题。

    2.性能优化的硬件支持技术

    UTM需要强劲的处理能力和更大容量的内存来支持，消耗的资源必然是很大的，仅利用通用服务器和网络系统要实现应用层处理往往在性能上达不到要求。只有解决功能与性能的矛盾，UTM才能既实现常规的网络级安全（例如防火墙功能），又能在网络界面高速地处理应用级安全功能（例如病毒与蠕虫扫描）。

    要提高UTM的性能，硬件体系结构起着十分关键的作用。目前硬件体系结构正经历从Intelx86架构到ASIC架构再到NPU架构的发展过程。国际市场上多数UTM设备主要采用专用ASIC芯片或依靠软件在一般x86微处理器上完成。专用ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能，但由于它的开发周期长、成本高，在需要功能扩充时又缺乏灵活性。依靠软件在一般x86微处理器上完成，虽然解决了前者的弊端，但却以牺牲速度性能为代价。NPU具有出色的可编程能力、编程模型简单、系统灵活性好、处理能力强、功能集成度高、编程接口开放、支持第三方开发环境等特点，因此NPU开始被引入到网络设备处理层面，它结合了RISC处理器的低成本、灵活性以及专用硬件（ASIC芯片）的速度等特性，正成为构建网络设备的基本组件。由NPU取代快速通道上的ASIC，慢速通道上仍可采用通用CPU，是一种行之有效的解决性能优化的UTM硬件支持技术方案。

    3.安全可信的专用基础平台技术

    专用的基础平台——安全操作系统，能够为系统提供精简的、高性能的在线检测与分析平台。基于硬件加速，加上智能排队和管道管理技术，使各种类型流量的处理时间达到最小，从而给用户提供最好的实时系统，有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDS/IPS等功能。

    目前国内外多数UTM安全产品的基础平台是通用非安全操作系统。信息安全领域的一个基本共识是：高可靠性和高可信度安全操作系统是构建信息安全基础架构、防范各类安全威胁、保障关键信息系统安全的关键与核心。可见UTM基础平台的可信度至关重要。因此，UTM设备应该建立在专用安全操作系统平台上，结合可信计算机系统等级保护标准和可信计算等新技术进行自主创新。

    4.动态多策略和用户定制支持技术

    选择可弹性制定安全策略的UTM产品是一种趋势，因为对用户而言，并非一定得在同一时间开启UTM所有的功能，可根据不同的时间需求弹性制定UTM的功能需求，同时又不影响其网络流量和有效地运用其网络资源。

    因此，要对用户需求实现差异化策略部署，并支持定制等新技术研究。比如：针对用户在实际中经常遇到的问题，把用户需求划分为效率保障优先、精细化全面防护、灵活应用控制等三个重点方向，对防火墙、VPN等用户对效率要求高的功能，采用硬件、软件加速方式予以保障，而对反垃圾邮件等功能，用户则更看重提供全面防护和精细化的检测。对灰色流量，则采用深度应用协议检测，加上灵活流量控制，实现按照流量带宽、使用者、使用时间等控制方式。

    四、结语

    从整体上看，中国网络安全产品及服务市场的用户迫切需要整合更多功能的网络安全整体解决方案，以全面保障正常的网络运行与维护，中国网络安全厂商也正在努力实现从产品提供商到整体解决方案提供商的转变，未来中国安全产品市场上网络安全综合管理系统将是一个亮点，而且也是软件行业新经济增长的一大热点。因此，在国家的大力资助下，中国安全企业应迅速在已有成果和技术基础上拓展UTM系统的研发，不失时机地占领国内外市场，产生良好的社会作用和效益。