Uguard內(nèi)網(wǎng)安全

管理系統(tǒng)1.0研發(fā)思想

如今的安全部署有個誤區(qū)，一旦遇到網(wǎng)絡(luò)安全問題，人們總是習(xí)慣于傾向局域網(wǎng)外部入侵的防御，強(qiáng)化出口處安全設(shè)備的優(yōu)化，卻往往忽視來自內(nèi)部網(wǎng)絡(luò)安全的威脅，從目前的情況看，網(wǎng)絡(luò)威脅絕大部分是來自內(nèi)網(wǎng)，如蠕蟲病毒攻擊、網(wǎng)絡(luò)泄密等。很多嚴(yán)重網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄密事件也均來自內(nèi)網(wǎng)，據(jù)美國2003年度CSI/FBI計算機(jī)安全調(diào)查的數(shù)據(jù)，雖然外部攻擊占總攻擊次數(shù)的22％，但是破壞力卻是外網(wǎng)攻擊的10倍以上。

IT產(chǎn)業(yè)在摩爾定律的支持下高速發(fā)展了十幾年，新概念、新技術(shù)、新產(chǎn)品層出不窮，而今天，在這些新事物的推動下，產(chǎn)生了新型的服務(wù)模式——創(chuàng)新服務(wù)。在IT業(yè)界，產(chǎn)品即服務(wù)、軟件即服務(wù)的口號已被人們所認(rèn)識，但是這種服務(wù)也是基于產(chǎn)品，產(chǎn)品廠商也只是在自身安全產(chǎn)品基礎(chǔ)上推出一系列服務(wù)，前提是用戶必須購買產(chǎn)品，這種情況造成了服務(wù)成為產(chǎn)品的附屬品，一旦產(chǎn)品出現(xiàn)了缺陷，服務(wù)效果也隨之下降。而真正以用戶安全需求為出發(fā)點(diǎn)，以產(chǎn)品做基礎(chǔ)輔件，而向用戶全面提供服務(wù)的創(chuàng)新型服務(wù)的思想。這種理念在信息安全行業(yè)并沒有出現(xiàn)，顯然許多跨國企業(yè)已經(jīng)意識到了這一點(diǎn)，為了瞄準(zhǔn)國際先進(jìn)水平，發(fā)揚(yáng)自主創(chuàng)新精神，北京和源沐澤科技發(fā)展有限公司經(jīng)過3年苦研，在2006年率先推出了真正以用戶需求為驅(qū)動的創(chuàng)新服務(wù)模式——U—guard內(nèi)網(wǎng)安全管理系統(tǒng)1.0。

U—guard內(nèi)網(wǎng)安全

管理系統(tǒng)1.0研發(fā)過程

U—guard內(nèi)網(wǎng)安全管理系統(tǒng)1.0研發(fā)過程分以下兩個階段：

第一階段，項(xiàng)目調(diào)研和分析

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的開放性、互連性、共享性程度的擴(kuò)大，隨之而來的威脅越來越多，如黑客攻擊、惡意代碼、蠕蟲病毒、網(wǎng)絡(luò)泄密等威脅不斷增多，可以說，網(wǎng)絡(luò)從沒有像今天這樣脆弱不堪，危機(jī)四伏。

造成今天這個局面的一個重要原因是：在網(wǎng)絡(luò)建設(shè)初期，網(wǎng)絡(luò)安全并沒有很好規(guī)劃。人們總是習(xí)慣于先追求互連互通，然后再考慮安全，隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品不斷疊加，安全產(chǎn)品如掛燈籠式地疊加在網(wǎng)絡(luò)產(chǎn)品之上，整體缺乏統(tǒng)一管理和配合，彼此之間沒有溝通和交互，從而造成網(wǎng)絡(luò)安全脆弱的狀況。日益嚴(yán)重的安全威脅使得用戶對安全的需求日益迫切，用戶需求推動網(wǎng)絡(luò)產(chǎn)業(yè)界和安全產(chǎn)業(yè)界分別重新審視安全的網(wǎng)絡(luò)和網(wǎng)絡(luò)的安全?？梢灶A(yù)見將來，網(wǎng)絡(luò)與安全的融合才是解決目前尷尬現(xiàn)狀的出路。

目前市場中所部署的多數(shù)安全解決方案都要求客戶將安全功能與聯(lián)網(wǎng)戰(zhàn)略分離開來，各種各樣的安全威脅讓單一的防護(hù)體系不堪一擊。當(dāng)今的網(wǎng)絡(luò)環(huán)境要求采用比傳統(tǒng)單一產(chǎn)品(即防火墻)更加強(qiáng)大的解決方案保證語音、視頻和數(shù)據(jù)網(wǎng)絡(luò)的安全，一套完整的網(wǎng)絡(luò)安全解決方案以及先進(jìn)的防護(hù)理念成為改變當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀的重要手段。

今天的安全產(chǎn)品和技術(shù)，既成熟又不成熟，成熟的是相對獨(dú)立的幾個方面，比如防病毒和防火墻；不成熟表現(xiàn)在缺乏整體安全解決方案。這種整體的不成熟給用戶造成困擾，盡管部署了防火墻、防病毒和IDS等安全產(chǎn)品，但面臨嚴(yán)重的網(wǎng)絡(luò)攻擊時依然損失慘重。因?yàn)槊恳环N安全產(chǎn)品和技術(shù)看到的只是一個相對獨(dú)立安全信息，缺乏安全管理和集中調(diào)度，就像盲人摸象，永遠(yuǎn)只是看到了問題的一個方面，而沒有看到問題的全部。

在響應(yīng)安全威脅方面，獨(dú)立于網(wǎng)絡(luò)部署的安全產(chǎn)品是比較單薄的，比如防火墻只能在網(wǎng)絡(luò)的邊緣起作用，對內(nèi)網(wǎng)的攻擊無能為力；防病毒軟件需依賴終端用戶的有效使用，而這種依賴缺乏有效的控制，用戶可以隨意安裝或不安裝，安裝正版或盜版的防病毒軟件；入侵檢測只能報告非法入侵，并不能立即阻止正在發(fā)生的侵害。在復(fù)雜的網(wǎng)絡(luò)上部署獨(dú)立的安全設(shè)備有時比較困難，把它們嵌入現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋾r顯得非常突兀，輕則影響連通性和性能，重則引發(fā)新的故障，經(jīng)常使用戶陷入效率和安全的兩難選擇。

第二階段，系統(tǒng)設(shè)計

系統(tǒng)結(jié)構(gòu)

2003年初，北京和源沐澤科技發(fā)展有限公司針對調(diào)研匯總、分析的結(jié)果。首次明確提出Uguard的概念。具有結(jié)構(gòu)開放性、軟件的可編程性、硬件可重構(gòu)性以及功能和頻段的多樣性等特點(diǎn)，無論在政府、軍事、行業(yè)管理和教育系統(tǒng)，還是在商用數(shù)據(jù)通信中，都有著巨大的應(yīng)用潛力，它具有良好的靈活性及可擴(kuò)展性。為使《Uguard內(nèi)網(wǎng)安全管理系統(tǒng)》中實(shí)現(xiàn)高速處理偵測數(shù)據(jù)技術(shù)，其中軟硬件有效、合理的結(jié)合是關(guān)鍵部分。利用嵌入式處理器ASIC對整體硬件處理，提高其他硬件的配置和數(shù)據(jù)接收。提出一種軟核與硬件邏輯相結(jié)合的高速數(shù)據(jù)交換偵測技術(shù)?？纱蟠筇岣邔?shù)據(jù)處理，接收的靈活性和完整性。

ASIC克服了軟件防火墻和NP防火墻的不足之處，以專業(yè)防火墻芯片的優(yōu)秀性能、獨(dú)特的抗攻擊能力、專業(yè)的防火墻功能為亮點(diǎn)，正在快速取代前兩種防火墻。目前安全產(chǎn)品種類很多，從網(wǎng)絡(luò)的結(jié)構(gòu)來看安全產(chǎn)品，四層大多是防火墻設(shè)備，四層以上是對應(yīng)用和內(nèi)容的安全處理，例如IDS系統(tǒng)、網(wǎng)關(guān)反病毒、內(nèi)容檢測等安全系統(tǒng)。由于對應(yīng)用和內(nèi)容進(jìn)行處理需要對數(shù)據(jù)流進(jìn)行重組和還原，然后進(jìn)行相關(guān)規(guī)則和關(guān)鍵字的查找，這些動作對傳統(tǒng)安全產(chǎn)品來說是非常消耗CPU資源的，因此傳統(tǒng)架構(gòu)的安全產(chǎn)品只能以犧牲性能為代價，同時對應(yīng)用的支持也缺乏廣泛性和統(tǒng)一性。另外廣大用戶也已經(jīng)不再滿足于使用某幾個種類的安全產(chǎn)品實(shí)現(xiàn)某幾個安全功能了，整合式安全成了業(yè)內(nèi)人士口中的高頻詞匯，而統(tǒng)一安全管理也被越來越多的人認(rèn)為是未來的必然發(fā)展趨勢。

硬件設(shè)計

智能融合系統(tǒng)由兩部分組成：嵌入式安全接入硬件平臺和軟件安全平臺。

嵌入式安全硬件平臺，主要是嵌入式安全接入設(shè)備，實(shí)現(xiàn)數(shù)據(jù)流的重定向和開關(guān)控制等功能，同時具有數(shù)據(jù)交換或路由功能。該設(shè)備實(shí)際上可以在現(xiàn)有的網(wǎng)絡(luò)接入設(shè)備上（如路由交換機(jī)或二層交換機(jī)）進(jìn)行定制開發(fā)，使其不但具有數(shù)據(jù)的交換功能，同時嵌入安全控制模塊，與其他安全系統(tǒng)實(shí)現(xiàn)掛接。設(shè)計的掛接接口有：與安全策略服務(wù)器的接口，與認(rèn)證授權(quán)服務(wù)器的接口，與監(jiān)控服務(wù)器的接口，與防火墻的接口。

該硬件平臺在公司現(xiàn)有成熟的路由交換機(jī)的基礎(chǔ)上進(jìn)行升級開發(fā)。分高端系列交換機(jī)和低端系列交換機(jī)。路由交換機(jī)作為匯接的網(wǎng)絡(luò)接入設(shè)備，有自己CPU系統(tǒng)，由于路由交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)和路由功能主要通過ASIC芯片完成，CPU大部分時間處在空閑狀態(tài)，無論在技術(shù)上還是在成本上非常適合進(jìn)行這種融合。通過升級處理能力更強(qiáng)的CPU，完全可以滿足這種安全控制的擴(kuò)展。

軟件安全平臺主要實(shí)現(xiàn)安全策略的制定、用戶授權(quán)、監(jiān)控數(shù)據(jù)存儲等，主要有以下軟件平臺：安全策略服務(wù)軟件系統(tǒng)，用戶授權(quán)服務(wù)軟件系統(tǒng)，網(wǎng)絡(luò)監(jiān)控服務(wù)軟件系統(tǒng)，客戶端。

軟件設(shè)計

在U—guard軟件的設(shè)計上采用業(yè)界已經(jīng)成熟的C/S結(jié)構(gòu)：客戶端軟件負(fù)責(zé)認(rèn)證、收集數(shù)據(jù)、執(zhí)行策略、執(zhí)行分布式計算任務(wù)；服務(wù)端程序負(fù)責(zé)下發(fā)策略，存儲數(shù)據(jù)，下發(fā)、協(xié)調(diào)分布式計算任務(wù)，控制臺程序配制策略，以及審計用戶的電腦操作數(shù)據(jù)。

整個U—guard按功能分有：認(rèn)證模塊、屏幕監(jiān)控模塊、網(wǎng)絡(luò)行為審計模塊、應(yīng)用程序?qū)徲嬆K、資產(chǎn)管理模塊、網(wǎng)絡(luò)安全模塊。

運(yùn)行設(shè)計

系統(tǒng)基本原理如上圖所示，將普通接入設(shè)備升級成安全接入設(shè)備后，某一用戶通過認(rèn)證授權(quán)服務(wù)器準(zhǔn)入驗(yàn)證后，進(jìn)入網(wǎng)絡(luò)，這時假如該用戶的機(jī)器染有沖擊波病毒，防火墻或安全接入設(shè)備根據(jù)策略中心下發(fā)的安全策略檢測到有病毒攻擊，則自動將該用戶數(shù)據(jù)流阻斷，同時引導(dǎo)到安全策略服務(wù)器上，強(qiáng)制或詢問用戶下載正版殺病毒軟件或在線殺毒。只有用戶完成這些程序后，用戶才被允許繼續(xù)上網(wǎng)。

另一方面，對于某些上網(wǎng)行為安全要求較高的領(lǐng)域，還可以開啟行為監(jiān)控功能，實(shí)行在線上網(wǎng)監(jiān)控。真正實(shí)現(xiàn)對人和網(wǎng)絡(luò)立體化防御。

Uguard內(nèi)網(wǎng)安全管理系統(tǒng)1.0創(chuàng)新點(diǎn)

（1).U—guard系統(tǒng)1.0推出了SPN網(wǎng)絡(luò)自保戶的安全概念，其專業(yè)的網(wǎng)絡(luò)威脅評估系統(tǒng)，能夠根據(jù)流量異常，特征包以及常見攻擊特征發(fā)現(xiàn)并定位安全隱患，將終端隔離，防止其在網(wǎng)絡(luò)中蔓延。同時系統(tǒng)可自動調(diào)用病毒及木馬查殺工具徹底根除終端中的安全隱患，然后將其恢復(fù)到網(wǎng)絡(luò)中。U—guard系統(tǒng)1.0的“發(fā)現(xiàn)-隔離-治愈-恢復(fù)”智能處理機(jī)制，確保整個網(wǎng)絡(luò)暢通。

(2).U—guard系統(tǒng)1.0采用ASIC加速芯片硬件產(chǎn)品架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品，大部分采用軟件與服務(wù)器或者工控機(jī)結(jié)合的模式，存在處理速度慢、穩(wěn)定性差和軟件自身安全難以保證等問題，形成了網(wǎng)絡(luò)瓶頸和更多的安全問題。而采用ASIC加速芯片，具備高速數(shù)據(jù)交換能力，并且穩(wěn)定安全可靠。

(3).U—guard系統(tǒng)1.0將網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理有效融合為一體。使得網(wǎng)絡(luò)安全問題管理更加便捷，更加安全。在安全維護(hù)管理方面，提供一條由內(nèi)而外，從挨打被動的防御戰(zhàn)，變?yōu)橹鲃映鰮舻墓詰?zhàn)內(nèi)網(wǎng)安全制御之道，不僅能夠有效的保護(hù)企業(yè)的信息網(wǎng)絡(luò)安全，還能極大地降低管理者的工作量和難度，為用戶節(jié)省70%以上網(wǎng)絡(luò)管理成本。

(4).U—guard系統(tǒng)1.0采用開放式設(shè)計架構(gòu)，提供了豐富的外部擴(kuò)展接口。能夠和防火墻、入侵檢測、反垃圾郵件系統(tǒng)、殺毒軟件、加密系統(tǒng)進(jìn)行聯(lián)動，構(gòu)建一個內(nèi)外互動的全方位安全保護(hù)體系。