神州数码3D-SMP网络安全解决方案

　　网络需要守护神

　　这个时代是网络的时代，网络的应用无所不在，因而网络的安全性也就成为网络应用最关键的课题。麦子成熟了，总是要有稻草人去守护。网络的成熟发展，也需要有很多网络安全的守护神。

　　今天，离开了网络，人们可能就无所事事了。职员无法办公，交通陷于瘫痪，经济出现混乱，企业生产停顿。人们越来越倚重网络，人们也越发脆弱。

　　然而，基于IP架构的网络，却在根本上是一个开放和自由的网络，因而，网络必然是脆弱的。事实上，今天网络上疯狂流行的病毒，以及越来越简单的黑客工具，使得网络安全形势日益严峻。

　　近年来，针对网络安全的研究也就如火如荼，网络安全设备不断出现，比如防火墙、IDS等等，甚至出现了全球范围内网络厂商和病毒厂商的广泛合作。渴望构建一个“让病毒根本上不了网”的网络。

　　然而，网络的终端不是机器，而是一个个活生生的人，因此，人与人之间的对抗和斗争，永远不会因为一个技术的出现而一劳永逸地解决安全问题。因此，作为国内网络设备的主要厂商，神州数码网络加强防范和确认身份的网络保护思路，给网络安全指出了另外一条解决道路。

　　网络必须“可信、可控、可举证”

　　那么，什么是“可信、可控、可举证”呢？

　　众所周知，解决网络信息安全问题，主要有五大技术手段：防火墙技术、加解密技术、漏洞扫描技术、身份认证技术和防病毒技术。据业界权威数据分析，网络系统不安全因素仅有40%来自外部网络，而60%的网络不安全因素是来自内部网络。由此，采用传统的防火墙和IDS对用户来讲是必需的，但仅仅采用防火墙技术并不能解决发生在内部网络的安全问题。而采用IDS也只能对网络的数据包进行分析，只能解决部分问题、并且还存在可能误判的现象。

　　无数经验证明，匿名用户访问办公网会对网络安全带来巨大隐患。因此，拒绝非法的、未经授权的用户进入网络，只允许通过身份认证的用户进入，才能做到“可信”。即我始终知道到底是谁在网络上活动，一旦他使用非授权的方式访问网络资源，那么能够确切知道在网络的后面是谁在活动。只有做到了这点，才“可信”。

　　同时，对于网络管理者来说，任何时候都可以有效地管理网络，网络系统能够自动地屏蔽非法访问，并能够在适当的时候强制非法用户下线，以便保证整个网络运行的安全和稳定，并且对用户不同应用业务的带宽、流量和上网时间进行控制，与此同时设立对用户的实时网络短消息通知机制等措施，是谓“可控”。

　　而对于用户上网之后的行为能够自动准确地记录，并在发生非法事件时，对网络事件进行历史回放，在安全管理上做到有据可查，是谓“可举证”。

　　只有做到了这样几点，整个网络的安全性才可以有效保证，至少，知道是谁在什么时候，做了哪些非法的事情，可以用明确的证据来证明历史事件的准确性。

　　3D-SMP管理层构建了完善的“三可”机制

　　神州数码网络依据这样的网络安全思路，开发了三个典型的产品DCBI-3000（认证计费系统）、DCBI-NetLog（网络行为日志）、DCBA-3000W（安全接入管理器），并通过自己独有的SOAP联动协议，使得整个网络管理层的安全设备，如防火墙、IDS、接入交换机等网络设备能够自动实现相互之间的联动，从而实现识别用户、判断用户行为、强制管理用户的能力。

　　DCBI-3000是一个已经十分成熟的产品，这已经是神州数码网络公司第三代的认证计费系统了。这套系统需要与神州数码网络的接入交换机相关联，当用户提出入网需求之时，DCBI系统确认用户的真实身份，确认他是否有权进入这个网络，当用户的账号、密码、IP地址、接入交换机IP、端口地址、VlanID、MAC地址、DHCP Server等，多种根据用户情况而设定的绑定要素都完全准确的情况下，DCBI-3000才打开接入交换机的端口（接入交换机必须支持801.1X标准协议）。同时分配相应的管理策略给接入交换机，使该用户在相应的权限范围内访问网络资源。在这样的认证下，可以有效地识别用户身份的合法性，并能准确到具体的人。从而做到了“可信”。

　　要想自由在互联网中翱翔，必须有安全的网络环境。在技术上就需要有一款能够安全接入的管理产品，神州数码DCBA-3000W作为一款专用的安全接入管理产品，可以实现用户上网的安全身份认证，保证合法用户进入网络，同时对用户的带宽、不同业务的流量进行控制，包括对BT的流量进行限制等。而且可以更加方便地实现用户旧网络的升级，仅仅把设备串联到现在的网络中就可实现安全控制，原网络设备不必更换，是为了保护用户的原有投资。甚至原有网络的IP配置都不用改变，这些都是相对于802.1x解决方案的明显优势。有了这个设备，用户的网上工作就可以实现自动控制，从而避免诸如病毒暴发产生对网络的重大影响。IDS、防火墙可以自动识别用户的非法行为，比如病毒扫描、病毒广播等等非人为恶意的行为，并通过SOAP联动协议，通知DCBI-3000、DCBA-300W警告用户或者严重时，由DCBI-3000关闭交换机端口，强制用户下线，从而保证网络“可控”。

　　在整个用户从登录网络到离开网络的过程中，神州数码的DCBI-NetLog作为高性能、海量存储设备，可记录用户所有上网行为，记录上网者访问过的网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据，很容易查询用户在网上任意时刻的行为。并且，DCBI-NetLog与DCBA-3000W联动，可将用户的上网行为记录直接映射到用户名，而不是源IP地址，针对网络安全事件可以更容易地确定具体肇事用户。

　　由此，基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络充分实现了“可信、可控、可取证”的网络安全理念。

　　网络结构示意图