|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源��、數(shù)據(jù)資源��、信息資源�����、知識(shí)資源��、專家資源���、大型數(shù)據(jù)庫、網(wǎng)絡(luò)��、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 當(dāng)前�,網(wǎng)絡(luò)用戶和病毒之間不停地進(jìn)行著警察抓小偷的游戲���。動(dòng)態(tài)分布式防御安全管理策略能夠通過聯(lián)動(dòng)技術(shù)���,實(shí)現(xiàn)智能化安全管理,由安全系統(tǒng)代替管理人員與病毒展開警察與小偷的較量��。
據(jù)據(jù)公安部對(duì)七千多家重要信息網(wǎng)絡(luò)��、信息系統(tǒng)使用單位的統(tǒng)計(jì)顯示���,2004年發(fā)生網(wǎng)絡(luò)安全事件的比例為58%���,而2004年5月份����,病毒總數(shù)就超過了2003年全年總和。面對(duì)網(wǎng)絡(luò)安全事件的不斷飚升����,在安全防范技術(shù)方面�����,整體網(wǎng)絡(luò)安全解決之道也逐漸取代局部安全解決方式成為主流�。
提出聯(lián)動(dòng)的安全策略
當(dāng)前全球安全事件不斷發(fā)生,蠕蟲病毒肆虐���、隱性黑客攻擊,越來越多的網(wǎng)絡(luò)面對(duì)內(nèi)外夾擊的尷尬處境��,用戶為不斷發(fā)生的安全事故,疲于奔波��,剛修復(fù)好崩潰的網(wǎng)絡(luò)�,病毒又開始在網(wǎng)絡(luò)的某個(gè)角落密謀下一次的罪行。
“聯(lián)動(dòng)”思想的聲音在業(yè)界響徹已久��,聯(lián)動(dòng)是讓網(wǎng)絡(luò)系統(tǒng)中的元素都具備安全解決能力�����,雖然各自分工不同,但元素之間的協(xié)同工作�,勢(shì)必能構(gòu)成團(tuán)體的優(yōu)勢(shì)。而聯(lián)動(dòng)中不可忽視的核心點(diǎn)是讓網(wǎng)絡(luò)全民皆兵�,要讓交換機(jī)、路由器���、IDS、_blank">防火墻�����、用戶管理系統(tǒng)�、網(wǎng)元管理系統(tǒng)等擁有統(tǒng)一的溝通機(jī)制���。
但是,讓五花八門的設(shè)備實(shí)現(xiàn)聯(lián)動(dòng)談何容易�。一直以來����,多設(shè)備之間的管理聯(lián)動(dòng)問題始終沒有一個(gè)成型的方案出臺(tái)����。聯(lián)動(dòng)問題的關(guān)鍵就在于不同設(shè)備之間需要建立一個(gè)通信接口協(xié)議標(biāo)準(zhǔn),而且它們之間的通信數(shù)據(jù)必須加密����,以避免被偵聽識(shí)別�,引發(fā)不安全動(dòng)作。如今神州數(shù)碼網(wǎng)絡(luò)開發(fā)了SAOP(Security association operation protocol)協(xié)議���,并通過它實(shí)現(xiàn)了IDS系統(tǒng)、DCBI服務(wù)器����、交換機(jī)���、_blank">防火墻、LinkManager網(wǎng)管等設(shè)備之間的聯(lián)動(dòng)��,將理念變成了真實(shí)的應(yīng)用��。有了這樣的聯(lián)動(dòng)管理機(jī)制��,無論是來自于網(wǎng)絡(luò)外部還是內(nèi)部的影響穩(wěn)定應(yīng)用的干擾因素����,網(wǎng)絡(luò)都能夠識(shí)別�,并自動(dòng)監(jiān)控���,如果問題嚴(yán)重�,網(wǎng)絡(luò)將自動(dòng)強(qiáng)迫干擾源下線或者屏蔽這一干擾源��。
3D-SMP(Dynamic Distributed Defense - Security Management Policy)���,又稱“動(dòng)態(tài)分布式防御安全管理策略”。3D-SMP保留了神州數(shù)碼網(wǎng)絡(luò)的D2SMP解決方案的特點(diǎn)�����,同時(shí)又加入了更新的安全元素�����,使網(wǎng)絡(luò)的安全管理比以往更加周密�����,反應(yīng)的速度比以往更加迅速�。
3D-SMP能夠解決設(shè)備協(xié)同工作的難題,憑借特有的通用接口協(xié)議��,加強(qiáng)了網(wǎng)絡(luò)中各個(gè)設(shè)備之間的安全聯(lián)動(dòng)性能���,使網(wǎng)絡(luò)中各自為政的信息安全孤島形成統(tǒng)一的安全平臺(tái)。為用戶提供一個(gè)高度自動(dòng)化響應(yīng)的智能網(wǎng)絡(luò)安全管理系統(tǒng)�����。最重要的是��,當(dāng)網(wǎng)絡(luò)出現(xiàn)病毒或惡意攻擊時(shí)��,無論是來自于企業(yè)網(wǎng)絡(luò)的外部還是企業(yè)網(wǎng)絡(luò)的內(nèi)部��,無需人為干預(yù)��,系統(tǒng)自動(dòng)響應(yīng)處理���,保證用戶的數(shù)據(jù)、語音����、視頻等多種應(yīng)用依然能正常地運(yùn)行。
3D-SMP有兩個(gè)核心的思想�,“動(dòng)態(tài)”和“聯(lián)動(dòng)”�����。網(wǎng)絡(luò)所面臨的安全問題并不是一成不變��,威脅可能來自于任何一個(gè)地方�����,病毒具有強(qiáng)大的自我復(fù)制和變種的能力���,系統(tǒng)隨時(shí)受到未知病毒的攻擊�����,因此3D-SMP被賦予了動(dòng)態(tài)的防護(hù)能力�,建立靈活多變的應(yīng)對(duì)機(jī)制���,無論病毒什么時(shí)候�、從什么網(wǎng)絡(luò)中那個(gè)環(huán)節(jié)��,以什么面目出現(xiàn)��,系統(tǒng)都能及時(shí)地捕捉到異常的信息����,調(diào)用安全策略體系當(dāng)中的相應(yīng)解決手段���,保障網(wǎng)絡(luò)的安全運(yùn)行。
“病毒總是不斷地在翻新變樣�����,讓用戶疲于應(yīng)付,在網(wǎng)絡(luò)如此發(fā)達(dá)的今天���,為了安全����,用戶注定需要和病毒之間不停地進(jìn)行著警察抓小偷的游戲!”神州數(shù)碼網(wǎng)絡(luò)公司企業(yè)網(wǎng)事業(yè)部總經(jīng)理黃堅(jiān)認(rèn)為���,“只要有網(wǎng)絡(luò)就會(huì)有安全問題存在。3D-SMP能夠減輕用戶的負(fù)擔(dān)�,通過聯(lián)動(dòng)技術(shù),實(shí)現(xiàn)智能化安全管理��,由安全系統(tǒng)婀芾砣嗽庇氬《菊箍煊胄⊥檔慕狹俊!?BR>
“聯(lián)動(dòng)”是3D-SMP的特色�����,為解決信息安全孤島的問題����,為網(wǎng)絡(luò)設(shè)備開發(fā)通用的SOAP安全協(xié)議��,使用戶安全平臺(tái)、交換機(jī)、路由器��、IDS和客戶端等網(wǎng)絡(luò)元素之間實(shí)現(xiàn)聯(lián)動(dòng)�,牽一發(fā)而動(dòng)全身。黃堅(jiān)表示�,病毒是無法徹底杜絕的,但是可以通過良好的聯(lián)動(dòng)管理方式�����,將風(fēng)險(xiǎn)降低到最小���。
從D2SMP到3D-SMP的演進(jìn)
D2SMP的重點(diǎn)在于內(nèi)網(wǎng)的安全防護(hù)�,使用802.1X認(rèn)證�,實(shí)現(xiàn)用戶接入的6元素綁定策略,變對(duì)設(shè)備的管理為對(duì)人的管理�����,對(duì)于規(guī)范網(wǎng)絡(luò)使用者的行為�,抑制非法行為的產(chǎn)生起到了非常好的效果��,通過安全客戶端和ACL訪問控制分發(fā)執(zhí)行預(yù)先制定的安全管理策略,當(dāng)接入的設(shè)備無法達(dá)到網(wǎng)絡(luò)安全的要求時(shí)��,安全客戶端自動(dòng)聯(lián)接策略服務(wù)器���,強(qiáng)制接入終端進(jìn)行軟件的更新和升級(jí),在達(dá)到要求后�,通知DCBI-3000用戶接入認(rèn)證系統(tǒng),允許用戶合法接入�,根據(jù)用戶類別,劃分到不同的安全域當(dāng)中�����,從源頭上制止非法行為的發(fā)生�����。
3D-SMP在D2SMP的用戶安全管理上的基礎(chǔ)上�,在方案中增加了DCFW-1800_blank">防火墻�、DCNIDS-1800入侵檢測(cè)設(shè)備,網(wǎng)絡(luò)的安全將由智能交換機(jī)�����、路由器、_blank">防火墻、IDS����、客戶端和用戶安全平臺(tái)六個(gè)組成部分之間的聯(lián)動(dòng)來完成,不僅內(nèi)網(wǎng)的安全防護(hù)性能上升到一個(gè)新的階段�,外網(wǎng)的安全也得到了有力的保證(如圖1)。
遵循動(dòng)態(tài)安全模型
3D-SMP遵循了PPDR動(dòng)態(tài)安全模型����。PPDR是由Policy(安全策略)、Protection(保護(hù))�、Detection(檢測(cè))和Response(響應(yīng))組成��。
Policy:是3D-SMP的中樞��,所有的防護(hù)���、檢測(cè)�、響應(yīng)都是依據(jù)安全策略實(shí)施的���,安全策略為安全的管理提供指導(dǎo)方向和支持手段���。安全策略體系的建立包括策略的制訂、評(píng)估和執(zhí)行等�����。
Protection:通過身份認(rèn)證����、_blank">防火墻����、客戶端軟件、加密等傳統(tǒng)的靜態(tài)的安全技術(shù)來實(shí)現(xiàn)�����。
Detection:是3D-SMP中非常重要的一個(gè)環(huán)節(jié)�����,檢測(cè)是進(jìn)行動(dòng)態(tài)響應(yīng)和動(dòng)態(tài)保護(hù)的依據(jù)����,同時(shí)強(qiáng)制網(wǎng)絡(luò)落實(shí)安全策略,檢測(cè)設(shè)備不間斷地檢測(cè)�、監(jiān)控網(wǎng)絡(luò)和系統(tǒng),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中新的威脅和存在的弱點(diǎn)��,通過循環(huán)的反饋來及時(shí)做出有效的響應(yīng)��。
Response:緊急響應(yīng)在安全系統(tǒng)中占有最重要的位置���,是解決潛在安全問題最有效的方法�����,從某種意義上來講��,安全問題就是要解決緊急響應(yīng)問題和異常問題處理��。
以外網(wǎng)攻擊為例(如圖2)�����,當(dāng)黑客試圖從外部對(duì)內(nèi)網(wǎng)進(jìn)行攻擊���,DCNIDS從網(wǎng)絡(luò)中檢測(cè)到網(wǎng)絡(luò)流量的異常現(xiàn)象��,經(jīng)過報(bào)文驗(yàn)證確認(rèn)其為黑客攻擊����,立即通知DCBI-3000用戶管理平臺(tái)有來自外網(wǎng)的攻擊行為(Detection),用戶管理平臺(tái)根據(jù)DCNIDS提供的信息進(jìn)行分析(Policy)���,選擇報(bào)警或通知DCFW-1800W_blank">防火墻阻斷連接(Response)��,_blank">防火墻接到通知,將黑客拒之門外����,達(dá)到保護(hù)網(wǎng)絡(luò)的目的,有效防止來自外部的非法攻擊(Protection)�。
以內(nèi)網(wǎng)攻擊為例,當(dāng)內(nèi)網(wǎng)用戶發(fā)起攻擊時(shí)��,DCNIDS檢測(cè)到網(wǎng)絡(luò)流量的異常�����,分析后確定為來自于內(nèi)網(wǎng)的攻擊行為(Detection),DCIDS通知DCBI-3000用戶管理平臺(tái)��,DCBI-3000記錄本次攻擊行為并進(jìn)行分析(Policy)���,通知交換機(jī)向用戶提出警告(Response),交換機(jī)各用戶終端彈出警告窗口�����,警告無效,通知交換機(jī)強(qiáng)制用戶下線����,交換機(jī)關(guān)閉相應(yīng)端口,用戶審被強(qiáng)制下線����,來自內(nèi)網(wǎng)的攻擊行為被制止(Protection)。
發(fā)揮聯(lián)動(dòng)優(yōu)勢(shì)
3D-SMP充分發(fā)揮了聯(lián)動(dòng)優(yōu)勢(shì)�,在交換機(jī)�����、路由器等傳統(tǒng)交換設(shè)備中添加了安全模塊,在保證穩(wěn)定高效的數(shù)據(jù)交換前提下����,具備更加完善的安全防護(hù)特性;安全客戶端實(shí)現(xiàn)策略自動(dòng)更新�、自動(dòng)處理和自動(dòng)報(bào)警,強(qiáng)制接入終端符合安全管理要求;_blank">防火墻具備強(qiáng)大的安全過濾功能;神州數(shù)碼網(wǎng)絡(luò)DCNIDS入侵檢測(cè)是能夠24小時(shí)不間斷巡視網(wǎng)絡(luò)�����,第一時(shí)間發(fā)現(xiàn)異常情況����,安全策略的制訂、分發(fā)與執(zhí)行由用戶安全平臺(tái)統(tǒng)籌管理�����。
記者在3D-SMP的現(xiàn)場(chǎng)的演示看到����,當(dāng)網(wǎng)絡(luò)受到蠕蟲等病毒攻擊的時(shí)候�,正在進(jìn)行的視頻會(huì)議受到明顯的干擾,但經(jīng)過短短的幾十秒后���,3D-SMP自動(dòng)檢測(cè)到網(wǎng)絡(luò)的異���,F(xiàn)象�,并準(zhǔn)確地找到病毒的來源���,將攜帶病毒源的計(jì)算機(jī)阻斷��,使之與網(wǎng)絡(luò)脫離�,隨即視頻會(huì)議恢復(fù)正常�。整個(gè)過程迅速及時(shí)�,而且不需要網(wǎng)絡(luò)管理員的任何作為,同時(shí)用戶的管理平臺(tái)將整個(gè)事件記錄在案���,進(jìn)行自我學(xué)習(xí),自我完善����。由于有了認(rèn)證進(jìn)入網(wǎng)絡(luò)的前提�����,因此在整個(gè)網(wǎng)絡(luò)中���,管理員可以通過“網(wǎng)絡(luò)日志”了解到具體哪臺(tái)機(jī)器���,哪個(gè)用戶有不良行為,從而杜絕了網(wǎng)絡(luò)假冒地址����、假冒用戶攻擊從而錯(cuò)誤的阻斷真正用戶的問題。
3D-SMP將內(nèi)網(wǎng)安全和外網(wǎng)安全集中到用戶安全平臺(tái)的管理之下�,統(tǒng)一的安全策略加強(qiáng)了反應(yīng)時(shí)間,降低了風(fēng)險(xiǎn)����,用戶安全平臺(tái)將記錄所有內(nèi)外網(wǎng)的安全事件,具備自我學(xué)習(xí)的基因���,使3D-SMP能夠自我完善����,從容應(yīng)付花樣不斷翻新的病毒���、黑客攻擊手段��。
從D2SMP到3D-SMP�,用聯(lián)動(dòng)實(shí)現(xiàn)了從內(nèi)網(wǎng)的安全到內(nèi)外兼“固”的變化(如圖3),保障了用戶網(wǎng)絡(luò)的多種應(yīng)用的可靠運(yùn)行�����,整個(gè)網(wǎng)絡(luò)的安全防護(hù)都是在不中斷用戶數(shù)據(jù)�、語音或者視頻等運(yùn)用的情況下��,不需要人為的干預(yù)�,而由3D-SMP自動(dòng)完成。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中����,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上��、軟件上����、所用標(biāo)準(zhǔn)上......�,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)�,對(duì)應(yīng)發(fā)展�����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑��。
|
溫馨提示:喜歡本站的話���,請(qǐng)收藏一下本站�����!
