| 出版日期:2005-06-06 总期号:1417 本年期号:40 |
|
 |
网络需要“内外兼固”
陈思 当网络从建设转向应用,能够抵挡安全威胁的坚固网络就成为用户关注的焦点。如何解决安全问题不再是传统安全厂商的专业分工,蠕虫病毒肆虐、隐性黑客攻击、混合式威胁袭击,越来越多的网络虽然部署了安全产品,但仍然面对内外夹击的尴尬处境,用户需要的是“内外兼固”的网络。 联动思想的出现如同雪中送炭,通过一种联动协议,可以让网络系统中的元素都具备安全解决能力,虽然各自分工不同,但元素之间的协同工作,势必能构成团体的优势。而联动中不可忽视的核心点是让网络“全民皆兵”,要让交换机、路由器、IDS、防火墙、用户管理系统、接入认证系统等拥有统一的沟通机制与安全策略。 5月底,神州数码网络正式发布了其最新的联动安全解决方案3D-SMP(Dynamic Distributed Defense Security Management Policy),又称“动态分布式安全管理策略”。3D-SMP保留了神州数码网络原有的D2SMP解决方案的特点,同时又加入了更新的安全元素,使网络的安全管理比以往更为周密。 两个核心动力 神州数码网络技术总监、研发中心总经理向阳朝博士表示,3D-SMP将是神州数码网络未来几年的发展框架与理念,它有两个核心的思想:动态和联动。网络所面临的安全问题并不是一成不变,威胁可能来自于任何一个地方,系统随时受到未知病毒的攻击,因此神州数码网络赋于3D-SMP动态的防护能力,建立灵活多变的应对机制,无论病毒什么时候、从什么网络中那个环节,以什么面目出现,系统都能及时的捕捉到异常的信息,调用安全策略体系当中的相应解决手段。联动是3D-SMP的精华,为了解决信息安全孤岛的问题,神州数码网络为网络设备开发了安全协议SAOP,使得用户安全平台、交换机、路由器、IDS和客户端等网络元素之间实现联动,牵一发而动全身。确实,网络安全问题无法彻底杜绝,但是可以通过良好的联动管理方式,将风险降低到最小,并保证网络应用业务的连续性。 从D2SMP到3D-SMP D2SMP的重点在于内网的安全认证,使用802.1X认证,实现用户接入的6元素绑定策略,变对设备的管理为对人的管理,对于规范网络使用者的行为,抑制非法行为的产生起到了非常好的效果,通过安全客户端和ACL访问控制分发执行预先制定的安全管理策略,当接入的设备无法达到网络安全的要求时,安全客户端自动联接策略服务器,强制接入终端进行软件的更新和升级,在达到要求后,通知DCBI-3000用户接入认证系统,允许用户合法接入,根据用户类别,划分到不同的安全域当中,从源头上制止非法行为的发生。向阳朝解释说,3D-SMP保留了D2SMP在用户安全管理上的优势,在方案中增加了DCFW-1800防火墙、DCNIDS-1800入侵检测设备,网络的安全将由神州数码网络智能交换机、路由器、防火墙、IDS、客户端和用户安全平台六个组成部分之间的联动来完成,不仅内网的安全防护性能上升到一个新的阶段,外网的安全也得到了有力的保证。 PPDR构建动态的安全 3D-SMP遵循经典的PPDR动态安全模型。Policy(安全策略)是3D-SMP的中枢,所有的防护、检测、响应都是依据安全策略实施的。Protection(保护)通过身份认证、防火墙、客户端软件、加密等传统的静态的安全技术来实现。Detection(检测)是3D-SMP中非常重要的一个环节,检测是进行动态响应和动态保护的依据,同时强制网络落实安全策略,检测设备不间断地检测、监控网络和系统,及时发现网络中新的威胁和存在的弱点。Response(响应)在安全系统中占有最重要的位置,从某种意义上来讲,安全问题就是要解决紧急响应问题和异常问题处理。 这样的安全模型如何保证网络的“内外兼固”呢?在3D-SMP安全网络展演会上,神州数码网络分别以内网和外网的攻击为例,进行了现场的演示。以外网为例,当黑客试图从外部对内网进行攻击,DCNIDS-1800M入侵检测设备从网络中检测到网络流量的异常现象,经过报文验证确认其为黑客攻击,立即通知DCBI-3000接入认证服务器有来自外网的攻击行为(Detection),接入认证服务器根据DCNIDS-1800M入侵检测设备提供的信息进行分析(Policy),选择报警或通知DCFW-1800W防火墙阻断连接(Response),防火墙接到通知,将黑客拒之门外,达到保护网络的目的,有效防止来自外部的非法攻击(Protection)。 以内网攻击为例,当内网用户发起攻击时,DCNIDS-1800M入侵检测设备检测到网络流量的异常,分析后确定为来自于内网的攻击行为(Detection),它通知DCBI-3000接入认证服务器,该服务器记录本次攻击行为并进行分析(Policy),通知交换机向用户提出警告(Response),交换机各用户终端弹出警告窗口,警告无效,通知交换机强制用户下线,交换机关闭相应端口,用户审被强制下线,来自内网的攻击行为被制止(Protection)。 全民皆兵 “内外兼固” 3D-SMP充分发挥了联动优势,在交换机、路由器等传统交换设备中添加了安全模块,安全客户端实现策略自动更新、自动处理和自动报警,强制接入终端符合安全管理要求,防火墙具备强大的安全过滤功能,入侵检测设备则是不知疲惫的网络安全巡警,24小时不间断巡视网络,第一时间发现异常情况,安全策略的制订、分发与执行由用户安全平台统筹管理。3D-SMP将内网安全和外网安全集中到用户安全平台的管理之下,统一的安全策略加强了反应时间,降低了风险,同时也为用户节约了投资,DC-GSM用户安全平台将记录所有内外网的安全事件,具备自我学习的基因,使3D-SMP能够自我完善。 
3D-SMP安全联动外网安全模型示例 移动存储可能危害企业安全 Websense 最近进行了一项以IT主管为对象的调查,结果显示65%受访者表示,其企业员工曾使用U盘等便携式存储设备,以直接移动或复制企业网络内的档案。若员工在受感染的家庭计算机上使用U盘,或把受恶意程序感染的档案存至移动设备并带回公司,便会让恶意程序有机会在企业网络内散播,危及网络的安全。 Websense最近推出了最新版本的Client Policy Manager (CPM)可为企业员工提供的安全技术,能够辨认及阻截未获授权的应用程序,藉此限制员工使用应用软件的权利,遵守桌面计算机、笔记簿型计算机和服务器的政策。CPM配合Websense独特而全面的应用程序分类数据库,可分辨各种生产型和恶意程序,从而拦截间谍软件、按键记录程序、端对端(P2P)档案共享和黑客工具等具潜在危险性的应用程序。 (谢斌鑫) |
||||||||||||||||||||
