| 出版日期:2002-10-21 总期号:1161 本年期号:78 |
|
 |
清华得实构筑“动态”防御体系
林浩 日前,清华得实独立研究的“网络安全动态防御体系”荣获2002北京市科学技术奖。该系统利用状态检测与防火墙技术、内容过滤与网络访问控制技术、授权认证与加密等安全技术,将独有的具有内容过滤功能、高保密VPN功能和入侵检测功能的防火墙和独有的URL访问控制的过滤系统与智能安全审计系统等结合在一起,形成具有自主产权的分布式动态防御系统。 网络安全的四个子系统 清华得实把网络安全系统划分为网络安全子系统、主机安全子系统、应用安全子系统和安全管理四个方面,针对每个安全子系统的安全需求和安全服务特性,提出了有针对性的安全措施。在3D安全框架指引下,各个安全子系统的安全产品和技术相辅相成,构成了一个有机、全面、安全、可靠、可行、可扩展的整体安全解决方案。 
3D安全框架 同时,针对网络管理的具体情况,可以从本方案中各取所需,选择部分产品和技术,解决网络中最迫切的安全问题。如有特殊需求,可以提供更详细、更有针对性的安全解决方案。 整体动态防御体系 清华得实“网络安全动态防御体系”是在对客户安全需求分析的基础上,提出的一个针对相关客户的多层次、全方位的整体安全解决方案。方案采用了“紫荆盾”防火墙、NetDT入侵检测系统,“绿色通道”因特网内容过滤系统、NetAT网络计费系统、WebST应用安全平台,NetSC安全管理中心等全线清华得实自有产品。 防火墙网关是安全解决方案的基本配置。本方案利用清华得实“紫荆盾”防火墙产品为网络提供了两层保护:一是在整个网络与外网接口进行控制,重点保护对外的外部服务器子网;二是把网内办公网络与非办公网络隔离,重点保护网络中的信息中心内部服务器子网、办公、科研等网段。 “绿色通道”因特网访问控制管理系统(清华得实WebCM产品)用来加强防火墙的内容安全管理功能,通过30个大类、50个子类、百万条记录以及专人维护、定期升级的URL数据库,可以切实加强对内部用户上网的管理,防止用户访问不健康的网站和网页。WebCM可以与NetST防火墙配合使用,实现了由外到内,再由内到外的双向访问控制。 通用计费产品(清华得实NetAT产品)可以引导企业单位加强上网效率,避免工作人员在网上无节制地聊天、游戏、看新闻、下载。NetAT可以对网络内用户通过网关、代理、拨入、邮件等方式统一计费,并且可以通过计费服务器集中管理。 应用安全服务平台(清华得实WebST产品)为网络的各种应用系统提供了一个统一的安全服务和安全管理平台。WebST可以与应用系统无缝集成,为各种应用系统建立一个统一的用户空间、资源目录空间和授权空间,加强应用系统的安全性(身份认证、访问控制、传输加密、审计日志等),防范系统中可能存在的安全漏洞,堵截系统设计、开发中可能遗留的后门、陷阱、隐通道等。对外部Web服务器,WebST可以加强其防范黑客攻击的能力。 NetDT网络入侵检测系统(IDS)作为“紫荆盾”防火墙的有效补充,可堵住来自网络内部的各种窥探攻击和漏洞,并且与“紫荆盾”防火墙实现高耦合度的联动防御,进一步提升网络安全管理的效率。 NetSC安全管理中心是清华得实构架起同源联动产品体系的关键器件,通过安全管理中心,清华得实的各项安全产品能够有机结合在一起,通过清华得实开发的接口实现联动管理。此外,本方案还集成了其他安全技术,如实时、网站监控与恢复系统、网络防病毒系统等,形成一个完整的网络安全解决方案。同时,清华得实的同源联动产品体系具有开放特性,完全可结合第三方技术与产品。 |
||||||||||||||||||||||||
