论文部分内容阅读
这个时代是网络的时代,网络的应用无所不在,因而网络的安全性也就成为网络应用最关键的课题。麦子成熟了,总要有稻草人去守护。网络的成熟发展,也需要有很多网络安全的守护神。于是,神州数码的3D-SMP(动态分布式防御安全管理策略,Dynamic Distributed Defense Security Management Policy)的网络架构应运而生。
今天,离开了网络,人们可能就无所事事了。职员无法办公,交通陷入瘫痪,经济出现混乱,企业生产停顿。人们越来越倚重网络,人们也越发脆弱。
然而,基于IP架构的网络,却在根本上是一个开放和自由的网络,因而,网络必然是脆弱的。事实上,今天网络上疯狂流行的病毒,以及越来越简单的黑客工具,使得网络安全形势日益严重。
近年来,针对网络安全的研究也如火如荼,网络安全设备不断出现,比如防火墙、IDS等等。甚至出现了全球范围内网络厂商和病毒厂商的广泛合作,渴望构建一个“让病毒根本上不了网”的网络。
然而,网络的终端不是机器,而是一个个活生生的人,因此,人与人之间的对抗和斗争,永远不会因为一个技术的出现而一劳永逸的解决安全问题。单纯的以杜绝非法行为存在的思路来解决网络安全问题,虽然是最佳境界,但是就如“永动机”一样不切实际。所以,除了杜绝模式,网络安全还要学会“与狼共舞”。即在非法行为和病毒滋扰的环境中,保证整个网络的稳定运行,使这些危害所造成的损失能在可控的范围内。
多业务运行
网络安全更重要
随着带宽的增加,传统的IP网络加载的应用越来越复杂,从过去单纯的数据业务,逐步扩展到目前流行的语音和视频业务。传统电信网络与越来越强大的数据网络逐渐融合,VoIP、IPTV等业务逐步开始投入商用。在这样的基础上,企业网的应用也呈现了多样化的明显趋势。目前,VoIP业务以其廉价的通话成本和部署成本,成为跨地域企业降低通讯成本的首选业务。神州数码网络为北京市海淀区政府部署的VoIP业务一年就可以节省300万以上的电话费用,充分显示出了VoIP业务的优越性。
但是随着数据网络所承载的业务多元化,网络运行的安全问题更加凸现起来。正如前文所述,目前的网络运行环境十分险恶,一旦因为病毒爆发而引发全网瘫痪,那么造成的损失远比纯数据网络大的多,甚至,由于电话系统等业务都迁移到了数据网络之后,更有可能造成电话无法拨打的尴尬局面。即便病毒爆发未造成全网瘫痪而是如蠕虫病毒那样占据大量网络带宽资源,将造成语音业务因话音停顿而无法接受。因此,在“与狼共舞”的过程中,全网安全的保证显得十分迫切。
众所周知,解决网络信息安全问题,主要有五大技术手段:防火墙技术、加解密技术、漏洞扫描技术、身份认证技术和防病毒技术。据业界权威数据分析,网络系统不安全因素仅有40%来自外部网络,而60%的网络不安全因素是来自内部网络。由此,采用传统的防火墙和IDS对用户来讲是必需的,他们可以基本完成对于外部网络干扰因素的识别和阻断任务。但仅仅采用防火墙技术并不能解决发生在内部网络的安全问题。因此,还需要在整个网络内部构建完善的防范机制。
正是基于这样的考虑,3D-SMP(动态分布式防御安全管理策略,Dynamic Distributed Defense Security Management Policy)的网络架构应运而生。而3D-SMP的解决思路就是要保障整个网络应用“可信、可控、可举证”。
安全管理策略是一个由服务器或者系统管理软件分派给接入端交换机的管理策略,比如用户的VPN属性、用户的带宽限制范围、用户对于网络资源的访问权限等内容。
无数的经验证明,匿名用户访问办公网会对网络安全带来巨大隐患。因此,拒绝非法的、未经授权的用户进入网络,只允许通过身份认证的用户进入,才能做到“可信”。即我始终知道到底是谁在网络上活动,一旦他使用非授权的方式访问网络资源,那么能够确切的知道在网络的后面是谁在活动。只有做到了这点,才“可信”。
同时,对于网络管理者来说,任何时候都可以有效的管理网络,网络系统能够自动的屏蔽非法访问,并能够在适当的时候强制非法用户下线,以便保证整个网络运行的安全和稳定,并且对用户不同应用业务的带宽、流量和上网时间进行控制,与此同时设立对用户的实时网络短消息通知机制等措施,是谓“可控”。
而对于用户上网之后的行为能够自动准确的记录,并在发生非法事件时,对网络事件进行历史回放,在安全管理上做到有据可查,是谓“可举证”。
只有做到了这样几点,整个网络的安全性才可以得到有效的保证,至少,我知道是谁在什么时候,做了那些非法的事情,我可以用明确的证据来证明历史事件的准确性。
3D-SMP构建
完善的“三可”机制
在这个3D-SMP的系统中,三个典型的产品扮演着主要的角色,他们是DCBI-3000(认证计费系统)、DCBI-NetLog(网络行为日志)、DCBA-3000W(安全接入管理器),并通过特有的联动协议(神州数码的联动协议是SOAP),使得整个网络管理层的安全设备,如防火墙、IDS,以及接入交换机等网络设备能够自动实现相互之间的联动,从而实现识别用户、判断用户行为、强制管理用户的能力。
DCBI是基于Radius标准协议而发展出来的产品,这套系统需要与支持IEEE801.1X标准协议的接入交换机相关联。当用户提出入网需求之时,DCBI系统确认用户的真实身份,确认他是否有权进入这个网络,当用户的帐号、密码、IP地址、接入交换机IP、端口地址、Vlan ID、MAC地址、DHCP Server等,多种根据用户情况而设定的绑定要素都完全准确的情况下,DCBI打开接入交换机的端口,许可用户上网,同时分配相应的管理策略给接入交换机,使该用户在相应的权限范围内访问网络资源。在这样的认证下,DCBI准确的记录了上网用户的真实身份,能准确到具体的人,从而实现了“可信”。
要想自由在互联网中翱翔,必须有安全的网络环境。在技术上就需要有一款能够安全接入的管理产品,神州数码DCBA-3000W作为一款专用的安全接入管理产品,可以实现用户上网的安全身份认证,保证合法用户进入网络,同时对用户的带宽、不同业务的流量进行控制,包括对BT的流量进行限制等。而且可以更加方便的实现用户旧网络的升级,仅仅把设备串联到现在网络中就可实现安全控制,原网络设备不必更换,是为了保护用户的原有投资。甚至原有网络的IP配置都不用改变,这些都是相对于802.1x解决方案的明显优势。有了这个设备,用户的网上工作就可以实现自动控制,从而避免诸如病毒爆发产生对网络的重大影响。IDS、防火墙可以自动识别用户的非法行为,比如病毒扫描、病毒广播等等非人为恶意的行为,并通过SOAP联动协议,通知DCBI-3000、DCBA-300W警告用户或者严重时,由DCBI-3000关闭交换机端口,强制用户下线,从而保证网络“可控”。
在整个网络中,网管软件、网络操作系统都有事件日志这样的功能,但是目前这些日志还比较简单,实现的是对网络运行中的事件作出的记录。但是对于人的行为并没有很好的记录功能,特别是在需要跟DCBI结合方面还是空白。因此,为了实现“可举证”,必须增加新的记录设备,从而保证记录的准确性和可靠性。此外,海量记录能力才可以保证在一定的时期内,都可以有原始数据作为证据,因此目前的现有记录设备是无法实现的。
神州数码的DCBI-NetLog则是在这样的需求之下开发出来的专用记录设备。作为高性能、海量存储设备,可记录用户所有上网行为,记录上网者访问过的网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,很容易查询用户在网上任意时刻的行为。并且,DCBI-NetLog与DCBA-3000W联动,可将用户的上网行为记录直接映射到用户名,而不是源IP地址,针对网络安全事件可以更容易地确定具体肇事用户。
由此,基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络充分实现了“可信、可控、可取证”的网络安全理念。
今天,离开了网络,人们可能就无所事事了。职员无法办公,交通陷入瘫痪,经济出现混乱,企业生产停顿。人们越来越倚重网络,人们也越发脆弱。
然而,基于IP架构的网络,却在根本上是一个开放和自由的网络,因而,网络必然是脆弱的。事实上,今天网络上疯狂流行的病毒,以及越来越简单的黑客工具,使得网络安全形势日益严重。
近年来,针对网络安全的研究也如火如荼,网络安全设备不断出现,比如防火墙、IDS等等。甚至出现了全球范围内网络厂商和病毒厂商的广泛合作,渴望构建一个“让病毒根本上不了网”的网络。
然而,网络的终端不是机器,而是一个个活生生的人,因此,人与人之间的对抗和斗争,永远不会因为一个技术的出现而一劳永逸的解决安全问题。单纯的以杜绝非法行为存在的思路来解决网络安全问题,虽然是最佳境界,但是就如“永动机”一样不切实际。所以,除了杜绝模式,网络安全还要学会“与狼共舞”。即在非法行为和病毒滋扰的环境中,保证整个网络的稳定运行,使这些危害所造成的损失能在可控的范围内。
多业务运行
网络安全更重要
随着带宽的增加,传统的IP网络加载的应用越来越复杂,从过去单纯的数据业务,逐步扩展到目前流行的语音和视频业务。传统电信网络与越来越强大的数据网络逐渐融合,VoIP、IPTV等业务逐步开始投入商用。在这样的基础上,企业网的应用也呈现了多样化的明显趋势。目前,VoIP业务以其廉价的通话成本和部署成本,成为跨地域企业降低通讯成本的首选业务。神州数码网络为北京市海淀区政府部署的VoIP业务一年就可以节省300万以上的电话费用,充分显示出了VoIP业务的优越性。
但是随着数据网络所承载的业务多元化,网络运行的安全问题更加凸现起来。正如前文所述,目前的网络运行环境十分险恶,一旦因为病毒爆发而引发全网瘫痪,那么造成的损失远比纯数据网络大的多,甚至,由于电话系统等业务都迁移到了数据网络之后,更有可能造成电话无法拨打的尴尬局面。即便病毒爆发未造成全网瘫痪而是如蠕虫病毒那样占据大量网络带宽资源,将造成语音业务因话音停顿而无法接受。因此,在“与狼共舞”的过程中,全网安全的保证显得十分迫切。
众所周知,解决网络信息安全问题,主要有五大技术手段:防火墙技术、加解密技术、漏洞扫描技术、身份认证技术和防病毒技术。据业界权威数据分析,网络系统不安全因素仅有40%来自外部网络,而60%的网络不安全因素是来自内部网络。由此,采用传统的防火墙和IDS对用户来讲是必需的,他们可以基本完成对于外部网络干扰因素的识别和阻断任务。但仅仅采用防火墙技术并不能解决发生在内部网络的安全问题。因此,还需要在整个网络内部构建完善的防范机制。
正是基于这样的考虑,3D-SMP(动态分布式防御安全管理策略,Dynamic Distributed Defense Security Management Policy)的网络架构应运而生。而3D-SMP的解决思路就是要保障整个网络应用“可信、可控、可举证”。
安全管理策略是一个由服务器或者系统管理软件分派给接入端交换机的管理策略,比如用户的VPN属性、用户的带宽限制范围、用户对于网络资源的访问权限等内容。
无数的经验证明,匿名用户访问办公网会对网络安全带来巨大隐患。因此,拒绝非法的、未经授权的用户进入网络,只允许通过身份认证的用户进入,才能做到“可信”。即我始终知道到底是谁在网络上活动,一旦他使用非授权的方式访问网络资源,那么能够确切的知道在网络的后面是谁在活动。只有做到了这点,才“可信”。
同时,对于网络管理者来说,任何时候都可以有效的管理网络,网络系统能够自动的屏蔽非法访问,并能够在适当的时候强制非法用户下线,以便保证整个网络运行的安全和稳定,并且对用户不同应用业务的带宽、流量和上网时间进行控制,与此同时设立对用户的实时网络短消息通知机制等措施,是谓“可控”。
而对于用户上网之后的行为能够自动准确的记录,并在发生非法事件时,对网络事件进行历史回放,在安全管理上做到有据可查,是谓“可举证”。
只有做到了这样几点,整个网络的安全性才可以得到有效的保证,至少,我知道是谁在什么时候,做了那些非法的事情,我可以用明确的证据来证明历史事件的准确性。
3D-SMP构建
完善的“三可”机制
在这个3D-SMP的系统中,三个典型的产品扮演着主要的角色,他们是DCBI-3000(认证计费系统)、DCBI-NetLog(网络行为日志)、DCBA-3000W(安全接入管理器),并通过特有的联动协议(神州数码的联动协议是SOAP),使得整个网络管理层的安全设备,如防火墙、IDS,以及接入交换机等网络设备能够自动实现相互之间的联动,从而实现识别用户、判断用户行为、强制管理用户的能力。
DCBI是基于Radius标准协议而发展出来的产品,这套系统需要与支持IEEE801.1X标准协议的接入交换机相关联。当用户提出入网需求之时,DCBI系统确认用户的真实身份,确认他是否有权进入这个网络,当用户的帐号、密码、IP地址、接入交换机IP、端口地址、Vlan ID、MAC地址、DHCP Server等,多种根据用户情况而设定的绑定要素都完全准确的情况下,DCBI打开接入交换机的端口,许可用户上网,同时分配相应的管理策略给接入交换机,使该用户在相应的权限范围内访问网络资源。在这样的认证下,DCBI准确的记录了上网用户的真实身份,能准确到具体的人,从而实现了“可信”。
要想自由在互联网中翱翔,必须有安全的网络环境。在技术上就需要有一款能够安全接入的管理产品,神州数码DCBA-3000W作为一款专用的安全接入管理产品,可以实现用户上网的安全身份认证,保证合法用户进入网络,同时对用户的带宽、不同业务的流量进行控制,包括对BT的流量进行限制等。而且可以更加方便的实现用户旧网络的升级,仅仅把设备串联到现在网络中就可实现安全控制,原网络设备不必更换,是为了保护用户的原有投资。甚至原有网络的IP配置都不用改变,这些都是相对于802.1x解决方案的明显优势。有了这个设备,用户的网上工作就可以实现自动控制,从而避免诸如病毒爆发产生对网络的重大影响。IDS、防火墙可以自动识别用户的非法行为,比如病毒扫描、病毒广播等等非人为恶意的行为,并通过SOAP联动协议,通知DCBI-3000、DCBA-300W警告用户或者严重时,由DCBI-3000关闭交换机端口,强制用户下线,从而保证网络“可控”。
在整个网络中,网管软件、网络操作系统都有事件日志这样的功能,但是目前这些日志还比较简单,实现的是对网络运行中的事件作出的记录。但是对于人的行为并没有很好的记录功能,特别是在需要跟DCBI结合方面还是空白。因此,为了实现“可举证”,必须增加新的记录设备,从而保证记录的准确性和可靠性。此外,海量记录能力才可以保证在一定的时期内,都可以有原始数据作为证据,因此目前的现有记录设备是无法实现的。
神州数码的DCBI-NetLog则是在这样的需求之下开发出来的专用记录设备。作为高性能、海量存储设备,可记录用户所有上网行为,记录上网者访问过的网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,很容易查询用户在网上任意时刻的行为。并且,DCBI-NetLog与DCBA-3000W联动,可将用户的上网行为记录直接映射到用户名,而不是源IP地址,针对网络安全事件可以更容易地确定具体肇事用户。
由此,基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络充分实现了“可信、可控、可取证”的网络安全理念。