OPSEC，英文为 Open Platform for Security，顾名思义，它代表了在网络安全方面的一种开放式平台。OPSEC（Open Platform for Security）则是基于这样一个想法由 Check Point 倡导和发起的。它是当今全球网络安全方面最权威、代表最广泛的组织。目前为止，OPSEC 有包括300多家经过严格授权的、致力于网络安全各方面研究的软件和硬件合作厂商。它以成为网络安全开放式平台事实上的标准。下面我们将和您一起进入 OPSEC 的世界去了解以下今天的网络安全究竟需要构架在什么样的一个开放式平台上的。

综述

一、 OPSEC简介(1）集成的应用程序 2）基于 Check Point 平台的安全服务)

二、 OPSEC 体系结构简介(1）OPSEC：集成的 Internet 安全 2）OPSEC 集成点 3）OPSEC SDK：开放的协议和应用编程接口 4）内容安全使用 CVP 5）Web 资源管理使用 UFP 6）入侵检测采用 SAMP 7）事件集成 8）管理和分析采用 OMI 9）认证采用 OPSEC PKI 集成 10）带负载平衡的高可用性和双机热备份 11）用户到地址的映射采用 UAM 12）电子商务应用采用 UserAuthority API 13）工业标准协议 14）针对电子商务安全的应用集成)

四、OPSEC 未来的发展计划

综述

那么 OPSEC 究竟是什么样的一种技术或是一种什么样的组织呢？ 提及 OPSEC，得从“开放”二字说起。开放的平台，开放的技术，是 IT 厂商成功的非常关键的因素之一。同样，网络安全性方面也是如此。网络安全是一个牵扯方方面面的，不是一两个厂商就能解决的问题，它需要我们共同来维护和创造。网络安全技术也在飞速地革新和发展。用户当前的选择，是否能代表网络安全技术的发展，是否能很容易地进行扩展以满足将来对新的应用程序的支持，是否能集成更先进的网络安全方面的技术产品，是否能支持更多更广泛的操作系统平台……这些都是用户在选择厂商时越来越多考虑的因素。开放的 IT 技术和产品，决不仅仅是为用户当前带来更多的选择，而且将来的用户能随着 IT 飞速发展一起成长，一起进步。

一、 OPSEC简介

OPSEC 联盟成立于1997年。当时的 Check Point 构思于向用户提供完整的、能够在多厂商之间进行紧密集成的网络安全解决方案而倡导和发起这样一个组织。我们的目标是同合作伙伴们一起努力为 Internet 安全保驾护航。在过去的4年中，许许多多的合作伙伴正是基于这样一个工业上事实的标准和 OPSEC 软件开发工具，与 Check Point 一道向用户提供了无数优秀的安全解决方案。今天 OPSEC 可以这样自豪地说，我们支持最广泛的操作系统和网络构架，我们有比任何其他安全平台多得多的第三放合作伙伴采纳这样一个 Internet 安全集成的接口。超过300个合作伙伴，OPSEC 能够向用户保证提供在网络安全方面最好的集成的应用。当然 Check Point 作为核心，向用户提供了最好的安全性和中央的、企业级的安全策略管理。

Check Point 与 OPSEC 合作伙伴之间的互操作性和集成性是通过严格的认证过程来保证的。因此，当前的用户在选择安全产品时，大都以该产品是否具有“OPSEC Certified”和“Secured by Check Point”做为标准，因为他们能够去依靠这样的保证。代理商们同样寻找着这样的产品，因为，他们能为客户提供更完整的解决方案。通过这样的方法，用户能够选择到满足他们需求的的安全产品，并能够在产品互操作性和基于中央管理方面得到保证。反之，经过 OPSEC 认证的产品有着更多的优势向用户来提供并共同创建一个更好、更全面的安全企业网络。

OPSEC 联盟分为两大部分：一部分提供集成的应用程序，另一部分提供基于 Check Point 平台的安全服务。

1）集成的应用程序

它由许多 IT 厂商组成，这些厂商提供了被 Check Point OPSEC 认可的并且与 OPSEC 构架兼容的产品，这些产品根据功能不同分为四大类：

·实施安全的产品：这些 Internet 安全产品是 Check Point 安全解决方案的补充。包括了授权、内容安全管理、URL 资源管理、PKI 和入侵检测等解决方案。

· 管理和报表：它们通过与 Check Point 产生的事件和报警发生关联，向用户提供全面的报表功能和管理功能。包括了企业级目录服务、企业级管理、事件监视和分析、及报表工具。

· 性能和可用性：这些产品增强了 Check Point 解决方案中的性能和可靠性。它们可以保证在网关切换中所有用户连接不会丢失。包括了加速设备、双机热备份和双机群集系统负载平衡的解决方案。

· eBusiness 的应用安全：在 B2B 电子商务运营环境中，通过 Check Point 安全技术和这些应用的集成来保证用户访问数据内容和网络资源的安全性。

2）基于 Check Point 平台的安全服务

这部分厂商向用户提供基于 Check Point 解决方案的市场领先的硬盒子产品（Appliance），互联网设备和服务器。

· Appliance（硬盒子）：即插即用的安全平台，集成了预装的、配置好的 Check Point 安全软件。

· 互联网设备：嵌入了 Check Point 安全技术的路由器和交换机产品

· 服务器：提供 Check Point 技术和支持的市场领先的服务器平台厂商

二、 OPSEC 体系结构简介

今天的电子商务世界要求客户、商业合作伙伴、服务提供商之间更多的信息交流。任何基于 Internet 的商业运作需要很高的安全措施来保护其顺利进行，否则企业面临的是由于安全隐患带来的巨大损失。保护信息和网络安全的关键在于建立一个完整的 Internet 安全架构。我们需要的是集成不同安全厂商的最优秀的产品来满足用户对多层次安全性的需求。集成和管理性是架构这样一个平台的关键。集成和互操作性是 OPSEC 的基本，而管理则是 OPSEC 实施和将安全变为现实的重要因素。安全管理不仅要求我们能够提供网络整体的安全策略，并且能够将这些安全策略应用到多种安全技术中去，例如：防火墙、VPN、QoS 服务、报表管理甚至合理的系统配置。Check Point 的虚拟安全网络（Secure Virtual Network）体系和 OPSEC 提供了业界领先的 Internet 安全解决方案。真正地实现了客户网络安全需求，解决了客户网络安全中面临的各种挑战。

1）OPSEC：集成的 Internet 安全

OPSEC 提供的独一无二的开放平台扩展了 Check Point SVN（Secure Virtual Network）体系结构。对 OPSEC 合作伙伴来说，与 SVN 的集成无疑为市场提供了最具竞争力的解决方案；对客户来说，OPSEC 集成意味着选择最好的产和服务（Best-of-Breed），而不用去考虑它们之间的互操作性。 OPSEC 回答了当前多厂商解决方案面临的最大难题——互操作性和管理的复杂性，避免了选择单个厂商带来的最大问题——集成和灵活性的限制。

2）OPSEC 集成点

通过公开的 API、工业标准的协议和高级编程语言，可以实现轻松的 OPSEC 集成。

OPSEC 向第三方产品提供了一个单一的结构集成到 Check Point SVN 的方方面面。在过去的几年里，业界领先的安全厂商利用强大的 OPSEC SDK 工具已经创造出了许多安全应用，这些应用能够无缝的同 Check Point Secure Virtual Network 进行集成。

第三方厂商可以通过以下途径来获得 OPSEC 的认证：

· OPSEC Software Development Kit（SDK）：允许与 Check Point 业界领先的 SVN 体系集成在一起。SDK 提供非常清楚的接口定义帮助您轻松地实现同 VPN-1/FireWall-1，FloodGate-1 和 Meta IP 的集成。

· 工业标准接口和协议：提供详细的规范保证多厂商产品之间的互操作性和认证标准

· Check Point INSPECT 语言：利用 VPN-1/FireWall-1 和 FloodGate-1，增加应用来支持从通信到应用层的所有信息的截取、分析和控制。

· 嵌入的 Check Point INSPECT 虚拟机或完整的 VPN-1/FireWall-1 代码集：允许第三方厂商将 Check Point 技术嵌入到其系统或硬盒子中（Appliance）。

3）OPSEC SDK：开放的协议和应用编程接口

Check Point 很早就意识到产品创新和紧密的集成取决于一套具有完善 API 的软件开发工具。OPSEC SDK 早在1997年就已发布，并允许第三方厂商和最终用户将他们开发的产品集成到 VPN-1/FireWall-1、FloodGate-1 和 Meta IP 中。由于 API 隐藏了协议和网络中的复杂技术，使得编程工作变得较为简单。为了提供额外的安全性，使用 OPSEC SDK 创建的应用能够利用 SSL 对客户和服务器之间的所有 OPSEC 通信实施加密。至今，Check Point 仍是在自由使用 SDK 方面最重要的 Internet 安全提供商。

4）内容安全使用 CVP

内容安全使用 CVP(Content Vectoring Protocol)内容安全允许用户扫描经过网络的所有数据包内容。例如：病毒、恶意 Java 或 AcitveX 程序等。Check Point 提供的 CVP API 定义了异步接口将数据包转发到服务器应用程序去执行内容验证。用户可以根据多种标准来验证内容的安全。

5）Web 资源管理使用 UFP

Web 资源管理使用 UFP（URL Filtering Protocol）UFP 定义了 Client/Server 异步接口来分类和控制基于特定 URL 地址的通信。防火墙上的 UFP 客户端将 URL 传送到 UFP 服务器上，UFP 服务器使用动态分类技术将 URL 进行分类，防火墙则根据安全规则的定义对分类进行处理。对客户来说，通过中央的安全策略管理即可实现高效的 Web 资源管理。

6）入侵检测采用 SAMP

入侵检测采用 SAMP（Suspicious Activity Monitorng Protocol）

SAMP API 定义了入侵检测应用同 VPN-1/FireWall-1 通信的接口。入侵检测引擎使用 SAMP 来识别网络中的可疑行为，并通知防火墙处理。另外 SAMP 应用可以使用其他 OPSEC 接口和 API 来发送日志、告警和状态信息到 VPN-1/FireWall-1 管理服务器。

7）事件集成

Check Point 提供两个 API：LEA（Log Export API）和 ELA（Event Logging API）允许第三方来访问日志数据。报表和事件分析采用 LEA API，而安全与事件整合采用 ELA API。

8）管理和分析采用 OMI

管理和分析采用 OMI（OPSEC Management Interface）

OMI 提供到 Check Point 中央策略数据库的接口，允许第三方应用安全地访问存储在管理服务器上的安全策略。OMI 能够访问以下资源：

· 存储在管理服务器上的安全策略

· 管理服务器上定义的网络、服务、资源和服务器对象

· 用户、摸板和用户组

· 允许登录到管理服务器的管理员列表

9）认证采用 OPSEC PKI 集成

Check Point 提供了一个开放式集成环境，第三方的 Public Key Infrastructure（PKI）能紧密的与 Check Point 集成在一起（VPN-1 Gateway、VPN-1 SecureClient）。VPN-1 Gateway 能同时多个不同的 CA。开放的 PKI 使得管理员能够选择最大限度满足要求的 PKI 解决方案。

10）带负载平衡的高可用性和双机热备份

带负载平衡的高可用性（HA/LB）和双机热备份（HA-HS），Check Point 的 OPSEC HA/LB 允许第三方利用 VPN-1/FireWall-1 状态表同步的特性来实现群集系统。状态表同步保证了 HA/LB 中每个 VPN-1/Firewall-1 上所有连接的通信状态的一致性，并且允许 OPSEC 认证的 HA/LB 产品能够在群集系统中无缝地切换 VPN-1/FireWall-1。

11）用户到地址的映射采用 UAM

用户到地址的映射采用 UAM（User Address Mapping）

UAM API 是 Check Point Meta IP（企业级 IP 地址管理软件）中的技术，它提供了用户与 IP 地址之间的关联。通过第三方产品与 UAM 的合作，可以轻松地实现基于网络操作系统登录用户的认证，使得基于用户的安全策略管理得以真正实现

12）电子商务应用采用 UserAuthority API

安全的电子商务应用采用 UserAuthority API（UAA）电子商务环境需要更多的应用来保证所有通信的安全、可靠和可管理性。UAA 是一种 Client/Server 的异步接口，它能够同多种应用、多种 Check Point 产品来共享网络授权信息，包括所有连接信息和 VPN-1/FireWall-1 管理信息。例如：当电子商务应用接受到来自 VPN-1 用户的授权访问请求时，该应用需要从网关那里获得该用户的认证信息来作出智能的授权决定。UserAuthority 能帮您来实现。

13）工业标准协议

Radius/Tacacs+ （认证协议）

SNMP （简单网络管理协议）

LDAP （轻量目录访问协议）

14）针对电子商务安全的应用集成

电子商务应用中，OPSEC 扩展了 Check Point SVN 的功能，它通过中央策略管理架构来实施集成的访问控制、入侵检测和 QoS 解决方案。通过 OPSEC，Check Point 同业界领先的应用厂商和客户建立了良好的合作关系，并向最终用户提供在复杂网络环境中的开放式安全体系架构，实现用户端到端的安全。

所有 Check Point 解决方案都构建在由 Check Point 开发并获得专利的 Stateful Inspection 网络安全事实标准上的。Stateful Inspection 可提供从链路层到应用层地查看，INSPEC 引擎动态地驻留在网络操作系统中，提供无与伦比的性能和升级能力。Stateful Inspection 的扩展性允许它支持通过使用 INSPECT 高级编程语言创建的新的应用程序。Check Point 提供了业界对应用程序和网络服务最广泛地支持。

三、 欢迎您加入到 OPSEC 联盟

OPSEC 联盟面向所有致力于网络安全的厂商。无论 Internet/Intranet 软硬件、Client/Server 应用和企业安全产品等厂商均欢迎加入 OPSEC 联盟。要想成为 OPSEC 联盟认证的合作伙伴，厂商必须能够开发出与 Check Point OPSEC 架构兼容的产品或服务。下面我们谈一谈如何才能加入到 OPSEC 联盟。

1）在提交认证的产品之前，您需要确认在集成中使用的每一个 OPSEC 接口是否已经满足认证的标准。

2）将您的产品的整体架构交给 OPSEC 工程师并与 OPSEC 联盟经理协商安排一次研讨会。会议中，您将有机会向 OPSEC 工程师陈述您的产品是如何设计的，并且是如何与 Check Point 产品进行协作的。OPSEC 工程师将为您的产品准备相应的实验环境进行测试。

3）与联盟经理联系并获得一套详细的 OPSEC 认证流程文档。文档中解释有如何提交您的产品和所有产品文档以及如何向联盟经理提交认证需要的文档。

4）一旦您已经将产品提交到 OPSEC 进行认证，联盟经理将通知您在什么时候开始测试您的产品。

5）如果 OPSEC 工程师在测试产品过程中发现一些问题，他们将向贵方技术代表出示产品问题报告。我们建议您在提交进行认证前先全面地测试一下您的产品。认证失败意味着不必要的时间耽误，因为您必须重新加入到认证队列中来等待重新提交您的产品。

6）在 OPSEC 解决方案中心站点中更新所有有关您产品和公司情况的描述。

成为 OPSEC 联盟合作伙伴获益良多：

· 与 Check Point 共享广泛的客户资源

· 与 Check Point 共享其享有盛誉的渠道资源

· 获得销售和渠道资源的指导

· 获得在线的开发资源和支持

· 获得培训计划的特殊折扣

· 获得广告等市场活动的特殊折扣

· 获得市场开发和市场协作项目

· 更多……

四、OPSEC 未来的发展计划

OPSEC 提供给人们的最大好处就是保护投资。如前所述，在 OPSEC 安全体系的每个类别中都有许多可选产品，用户可根据需要随时更换某个产品，新换上来的产品能与原有其他安全产品继续协同工作。

显然，OPSEC 能给用户带来许多便利和保护。在发达国家，用户选择安全产品时，提出的第一个问题不是你的产品功能和性能如何，而是你的产品是否符合 OPSEC 标准？是否通过 OPSEC 认证？因为选择不符合 OPSEC 标准的产品，将失去选择权，将不得不接受厂商先低后高的价格，将永远被“套牢”。

为保护用户利益，Check Point 北京代表处将大力推广和发展这一先进的体系结构和标准，将与国内许多厂商密切合作，帮助他们了解 OPSEC，向他们转让相关技术，帮助他们改进其产品并通过 OPSEC 认证。通过认证的产品不仅可在国内扩大销售，而且 Check Point 还可帮助他们走向国际市场，因为 OPSEC 是全球公认的安全产品标准，是安全产品的全球通行证。