文　斌

這個(gè)時(shí)代是網(wǎng)絡(luò)的時(shí)代，網(wǎng)絡(luò)的應(yīng)用無(wú)所不在，因而網(wǎng)絡(luò)的安全性也就成為網(wǎng)絡(luò)應(yīng)用最關(guān)鍵的課題。麥子成熟了，總要有稻草人去守護(hù)。網(wǎng)絡(luò)的成熟發(fā)展，也需要有很多網(wǎng)絡(luò)安全的守護(hù)神。于是，神州數(shù)碼的3D-SMP（動(dòng)態(tài)分布式防御安全管理策略，Dynamic Distributed Defense Security Management Policy）的網(wǎng)絡(luò)架構(gòu)應(yīng)運(yùn)而生。

今天，離開(kāi)了網(wǎng)絡(luò)，人們可能就無(wú)所事事了。職員無(wú)法辦公，交通陷入癱瘓，經(jīng)濟(jì)出現(xiàn)混亂，企業(yè)生產(chǎn)停頓。人們?cè)絹?lái)越倚重網(wǎng)絡(luò)，人們也越發(fā)脆弱。

然而，基于IP架構(gòu)的網(wǎng)絡(luò)，卻在根本上是一個(gè)開(kāi)放和自由的網(wǎng)絡(luò)，因而，網(wǎng)絡(luò)必然是脆弱的。事實(shí)上，今天網(wǎng)絡(luò)上瘋狂流行的病毒，以及越來(lái)越簡(jiǎn)單的黑客工具，使得網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)重。

近年來(lái)，針對(duì)網(wǎng)絡(luò)安全的研究也如火如荼，網(wǎng)絡(luò)安全設(shè)備不斷出現(xiàn)，比如防火墻、IDS等等。甚至出現(xiàn)了全球范圍內(nèi)網(wǎng)絡(luò)廠商和病毒廠商的廣泛合作，渴望構(gòu)建一個(gè)“讓病毒根本上不了網(wǎng)”的網(wǎng)絡(luò)。

然而，網(wǎng)絡(luò)的終端不是機(jī)器，而是一個(gè)個(gè)活生生的人，因此，人與人之間的對(duì)抗和斗爭(zhēng)，永遠(yuǎn)不會(huì)因?yàn)橐粋€(gè)技術(shù)的出現(xiàn)而一勞永逸的解決安全問(wèn)題。單純的以杜絕非法行為存在的思路來(lái)解決網(wǎng)絡(luò)安全問(wèn)題，雖然是最佳境界，但是就如“永動(dòng)機(jī)”一樣不切實(shí)際。所以，除了杜絕模式，網(wǎng)絡(luò)安全還要學(xué)會(huì)“與狼共舞”。即在非法行為和病毒滋擾的環(huán)境中，保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，使這些危害所造成的損失能在可控的范圍內(nèi)。

多業(yè)務(wù)運(yùn)行

網(wǎng)絡(luò)安全更重要

隨著帶寬的增加，傳統(tǒng)的IP網(wǎng)絡(luò)加載的應(yīng)用越來(lái)越復(fù)雜，從過(guò)去單純的數(shù)據(jù)業(yè)務(wù)，逐步擴(kuò)展到目前流行的語(yǔ)音和視頻業(yè)務(wù)。傳統(tǒng)電信網(wǎng)絡(luò)與越來(lái)越強(qiáng)大的數(shù)據(jù)網(wǎng)絡(luò)逐漸融合，VoIP、IPTV等業(yè)務(wù)逐步開(kāi)始投入商用。在這樣的基礎(chǔ)上，企業(yè)網(wǎng)的應(yīng)用也呈現(xiàn)了多樣化的明顯趨勢(shì)。目前，VoIP業(yè)務(wù)以其廉價(jià)的通話(huà)成本和部署成本，成為跨地域企業(yè)降低通訊成本的首選業(yè)務(wù)。神州數(shù)碼網(wǎng)絡(luò)為北京市海淀區(qū)政府部署的VoIP業(yè)務(wù)一年就可以節(jié)省300萬(wàn)以上的電話(huà)費(fèi)用，充分顯示出了VoIP業(yè)務(wù)的優(yōu)越性。

但是隨著數(shù)據(jù)網(wǎng)絡(luò)所承載的業(yè)務(wù)多元化，網(wǎng)絡(luò)運(yùn)行的安全問(wèn)題更加凸現(xiàn)起來(lái)。正如前文所述，目前的網(wǎng)絡(luò)運(yùn)行環(huán)境十分險(xiǎn)惡，一旦因?yàn)椴《颈l(fā)而引發(fā)全網(wǎng)癱瘓，那么造成的損失遠(yuǎn)比純數(shù)據(jù)網(wǎng)絡(luò)大的多，甚至，由于電話(huà)系統(tǒng)等業(yè)務(wù)都遷移到了數(shù)據(jù)網(wǎng)絡(luò)之后，更有可能造成電話(huà)無(wú)法撥打的尷尬局面。即便病毒爆發(fā)未造成全網(wǎng)癱瘓而是如蠕蟲(chóng)病毒那樣占據(jù)大量網(wǎng)絡(luò)帶寬資源，將造成語(yǔ)音業(yè)務(wù)因話(huà)音停頓而無(wú)法接受。因此，在“與狼共舞”的過(guò)程中，全網(wǎng)安全的保證顯得十分迫切。

眾所周知，解決網(wǎng)絡(luò)信息安全問(wèn)題，主要有五大技術(shù)手段：防火墻技術(shù)、加解密技術(shù)、漏洞掃描技術(shù)、身份認(rèn)證技術(shù)和防病毒技術(shù)。據(jù)業(yè)界權(quán)威數(shù)據(jù)分析，網(wǎng)絡(luò)系統(tǒng)不安全因素僅有40%來(lái)自外部網(wǎng)絡(luò)，而60%的網(wǎng)絡(luò)不安全因素是來(lái)自?xún)?nèi)部網(wǎng)絡(luò)。由此，采用傳統(tǒng)的防火墻和IDS對(duì)用戶(hù)來(lái)講是必需的，他們可以基本完成對(duì)于外部網(wǎng)絡(luò)干擾因素的識(shí)別和阻斷任務(wù)。但僅僅采用防火墻技術(shù)并不能解決發(fā)生在內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題。因此，還需要在整個(gè)網(wǎng)絡(luò)內(nèi)部構(gòu)建完善的防范機(jī)制。

正是基于這樣的考慮，3D-SMP（動(dòng)態(tài)分布式防御安全管理策略，Dynamic Distributed Defense Security Management Policy）的網(wǎng)絡(luò)架構(gòu)應(yīng)運(yùn)而生。而3D-SMP的解決思路就是要保障整個(gè)網(wǎng)絡(luò)應(yīng)用“可信、可控、可舉證”。

安全管理策略是一個(gè)由服務(wù)器或者系統(tǒng)管理軟件分派給接入端交換機(jī)的管理策略，比如用戶(hù)的VPN屬性、用戶(hù)的帶寬限制范圍、用戶(hù)對(duì)于網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限等內(nèi)容。

無(wú)數(shù)的經(jīng)驗(yàn)證明，匿名用戶(hù)訪問(wèn)辦公網(wǎng)會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)巨大隱患。因此，拒絕非法的、未經(jīng)授權(quán)的用戶(hù)進(jìn)入網(wǎng)絡(luò)，只允許通過(guò)身份認(rèn)證的用戶(hù)進(jìn)入，才能做到“可信”。即我始終知道到底是誰(shuí)在網(wǎng)絡(luò)上活動(dòng)，一旦他使用非授權(quán)的方式訪問(wèn)網(wǎng)絡(luò)資源，那么能夠確切的知道在網(wǎng)絡(luò)的后面是誰(shuí)在活動(dòng)。只有做到了這點(diǎn)，才“可信”。

同時(shí)，對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)，任何時(shí)候都可以有效的管理網(wǎng)絡(luò)，網(wǎng)絡(luò)系統(tǒng)能夠自動(dòng)的屏蔽非法訪問(wèn)，并能夠在適當(dāng)?shù)臅r(shí)候強(qiáng)制非法用戶(hù)下線(xiàn)，以便保證整個(gè)網(wǎng)絡(luò)運(yùn)行的安全和穩(wěn)定，并且對(duì)用戶(hù)不同應(yīng)用業(yè)務(wù)的帶寬、流量和上網(wǎng)時(shí)間進(jìn)行控制，與此同時(shí)設(shè)立對(duì)用戶(hù)的實(shí)時(shí)網(wǎng)絡(luò)短消息通知機(jī)制等措施，是謂“可控”。

而對(duì)于用戶(hù)上網(wǎng)之后的行為能夠自動(dòng)準(zhǔn)確的記錄，并在發(fā)生非法事件時(shí)，對(duì)網(wǎng)絡(luò)事件進(jìn)行歷史回放，在安全管理上做到有據(jù)可查，是謂“可舉證”。

只有做到了這樣幾點(diǎn)，整個(gè)網(wǎng)絡(luò)的安全性才可以得到有效的保證，至少，我知道是誰(shuí)在什么時(shí)候，做了那些非法的事情，我可以用明確的證據(jù)來(lái)證明歷史事件的準(zhǔn)確性。

3D-SMP構(gòu)建

完善的“三可”機(jī)制

在這個(gè)3D-SMP的系統(tǒng)中，三個(gè)典型的產(chǎn)品扮演著主要的角色，他們是DCBI-3000（認(rèn)證計(jì)費(fèi)系統(tǒng)）、DCBI-NetLog（網(wǎng)絡(luò)行為日志）、DCBA-3000W（安全接入管理器），并通過(guò)特有的聯(lián)動(dòng)協(xié)議（神州數(shù)碼的聯(lián)動(dòng)協(xié)議是SOAP），使得整個(gè)網(wǎng)絡(luò)管理層的安全設(shè)備，如防火墻、IDS，以及接入交換機(jī)等網(wǎng)絡(luò)設(shè)備能夠自動(dòng)實(shí)現(xiàn)相互之間的聯(lián)動(dòng)，從而實(shí)現(xiàn)識(shí)別用戶(hù)、判斷用戶(hù)行為、強(qiáng)制管理用戶(hù)的能力。

DCBI是基于Radius標(biāo)準(zhǔn)協(xié)議而發(fā)展出來(lái)的產(chǎn)品，這套系統(tǒng)需要與支持IEEE801.1X標(biāo)準(zhǔn)協(xié)議的接入交換機(jī)相關(guān)聯(lián)。當(dāng)用戶(hù)提出入網(wǎng)需求之時(shí)，DCBI系統(tǒng)確認(rèn)用戶(hù)的真實(shí)身份，確認(rèn)他是否有權(quán)進(jìn)入這個(gè)網(wǎng)絡(luò)，當(dāng)用戶(hù)的帳號(hào)、密碼、IP地址、接入交換機(jī)IP、端口地址、Vlan ID、MAC地址、DHCP Server等，多種根據(jù)用戶(hù)情況而設(shè)定的綁定要素都完全準(zhǔn)確的情況下，DCBI打開(kāi)接入交換機(jī)的端口，許可用戶(hù)上網(wǎng)，同時(shí)分配相應(yīng)的管理策略給接入交換機(jī)，使該用戶(hù)在相應(yīng)的權(quán)限范圍內(nèi)訪問(wèn)網(wǎng)絡(luò)資源。在這樣的認(rèn)證下，DCBI準(zhǔn)確的記錄了上網(wǎng)用戶(hù)的真實(shí)身份，能準(zhǔn)確到具體的人，從而實(shí)現(xiàn)了“可信”。

要想自由在互聯(lián)網(wǎng)中翱翔，必須有安全的網(wǎng)絡(luò)環(huán)境。在技術(shù)上就需要有一款能夠安全接入的管理產(chǎn)品，神州數(shù)碼DCBA-3000W作為一款專(zhuān)用的安全接入管理產(chǎn)品，可以實(shí)現(xiàn)用戶(hù)上網(wǎng)的安全身份認(rèn)證，保證合法用戶(hù)進(jìn)入網(wǎng)絡(luò)，同時(shí)對(duì)用戶(hù)的帶寬、不同業(yè)務(wù)的流量進(jìn)行控制，包括對(duì)BT的流量進(jìn)行限制等。而且可以更加方便的實(shí)現(xiàn)用戶(hù)舊網(wǎng)絡(luò)的升級(jí)，僅僅把設(shè)備串聯(lián)到現(xiàn)在網(wǎng)絡(luò)中就可實(shí)現(xiàn)安全控制，原網(wǎng)絡(luò)設(shè)備不必更換，是為了保護(hù)用戶(hù)的原有投資。甚至原有網(wǎng)絡(luò)的IP配置都不用改變，這些都是相對(duì)于802.1x解決方案的明顯優(yōu)勢(shì)。有了這個(gè)設(shè)備，用戶(hù)的網(wǎng)上工作就可以實(shí)現(xiàn)自動(dòng)控制，從而避免諸如病毒爆發(fā)產(chǎn)生對(duì)網(wǎng)絡(luò)的重大影響。IDS、防火墻可以自動(dòng)識(shí)別用戶(hù)的非法行為，比如病毒掃描、病毒廣播等等非人為惡意的行為，并通過(guò)SOAP聯(lián)動(dòng)協(xié)議，通知DCBI-3000、DCBA-300W警告用戶(hù)或者嚴(yán)重時(shí)，由DCBI-3000關(guān)閉交換機(jī)端口，強(qiáng)制用戶(hù)下線(xiàn)，從而保證網(wǎng)絡(luò)“可控”。

在整個(gè)網(wǎng)絡(luò)中，網(wǎng)管軟件、網(wǎng)絡(luò)操作系統(tǒng)都有事件日志這樣的功能，但是目前這些日志還比較簡(jiǎn)單，實(shí)現(xiàn)的是對(duì)網(wǎng)絡(luò)運(yùn)行中的事件作出的記錄。但是對(duì)于人的行為并沒(méi)有很好的記錄功能，特別是在需要跟DCBI結(jié)合方面還是空白。因此，為了實(shí)現(xiàn)“可舉證”，必須增加新的記錄設(shè)備，從而保證記錄的準(zhǔn)確性和可靠性。此外，海量記錄能力才可以保證在一定的時(shí)期內(nèi)，都可以有原始數(shù)據(jù)作為證據(jù)，因此目前的現(xiàn)有記錄設(shè)備是無(wú)法實(shí)現(xiàn)的。

神州數(shù)碼的DCBI-NetLog則是在這樣的需求之下開(kāi)發(fā)出來(lái)的專(zhuān)用記錄設(shè)備。作為高性能、海量存儲(chǔ)設(shè)備，可記錄用戶(hù)所有上網(wǎng)行為，記錄上網(wǎng)者訪問(wèn)過(guò)的網(wǎng)站、訪問(wèn)的URL、源/目的IP、源/目的端口、上網(wǎng)時(shí)間及流量等數(shù)據(jù)，很容易查詢(xún)用戶(hù)在網(wǎng)上任意時(shí)刻的行為。并且，DCBI-NetLog與DCBA-3000W聯(lián)動(dòng)，可將用戶(hù)的上網(wǎng)行為記錄直接映射到用戶(hù)名，而不是源IP地址，針對(duì)網(wǎng)絡(luò)安全事件可以更容易地確定具體肇事用戶(hù)。

由此，基于DCBA-3000W + DCBI-NetLog + DCBI-3000的網(wǎng)絡(luò)充分實(shí)現(xiàn)了“可信、可控、可取證”的網(wǎng)絡(luò)安全理念。