科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道神州数码3D-SMP网络安全解决方案

神州数码3D-SMP网络安全解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这个时代是网络的时代,网络的应用无所不在,因而网络的安全性也就成为网络应用最关键的课题。麦子成熟了,总是要有稻草人去守护。网络的成熟发展,也需要有很多网络安全的守护神。

作者:中国计算机报 来源:中国计算机报 2008年5月21日

关键字: 网络安全 安全策略 网络安全解决方案

  • 评论
  • 分享微博
  • 分享邮件

  网络需要守护神

  这个时代是网络的时代,网络的应用无所不在,因而网络的安全性也就成为网络应用最关键的课题。麦子成熟了,总是要有稻草人去守护。网络的成熟发展,也需要有很多网络安全的守护神。

  今天,离开了网络,人们可能就无所事事了。职员无法办公,交通陷于瘫痪,经济出现混乱,企业生产停顿。人们越来越倚重网络,人们也越发脆弱。

  然而,基于IP架构的网络,却在根本上是一个开放和自由的网络,因而,网络必然是脆弱的。事实上,今天网络上疯狂流行的病毒,以及越来越简单的黑客工具,使得网络安全形势日益严峻。

  近年来,针对网络安全的研究也就如火如荼,网络安全设备不断出现,比如防火墙、IDS等等,甚至出现了全球范围内网络厂商和病毒厂商的广泛合作。渴望构建一个“让病毒根本上不了网”的网络。

  然而,网络的终端不是机器,而是一个个活生生的人,因此,人与人之间的对抗和斗争,永远不会因为一个技术的出现而一劳永逸地解决安全问题。因此,作为国内网络设备的主要厂商,神州数码网络加强防范和确认身份的网络保护思路,给网络安全指出了另外一条解决道路。

  网络必须“可信、可控、可举证”

  那么,什么是“可信、可控、可举证”呢?

  众所周知,解决网络信息安全问题,主要有五大技术手段:防火墙技术、加解密技术、漏洞扫描技术、身份认证技术和防病毒技术。据业界权威数据分析,网络系统不安全因素仅有40%来自外部网络,而60%的网络不安全因素是来自内部网络。由此,采用传统的防火墙和IDS对用户来讲是必需的,但仅仅采用防火墙技术并不能解决发生在内部网络的安全问题。而采用IDS也只能对网络的数据包进行分析,只能解决部分问题、并且还存在可能误判的现象。

  无数经验证明,匿名用户访问办公网会对网络安全带来巨大隐患。因此,拒绝非法的、未经授权的用户进入网络,只允许通过身份认证的用户进入,才能做到“可信”。即我始终知道到底是谁在网络上活动,一旦他使用非授权的方式访问网络资源,那么能够确切知道在网络的后面是谁在活动。只有做到了这点,才“可信”。

  同时,对于网络管理者来说,任何时候都可以有效地管理网络,网络系统能够自动地屏蔽非法访问,并能够在适当的时候强制非法用户下线,以便保证整个网络运行的安全和稳定,并且对用户不同应用业务的带宽、流量和上网时间进行控制,与此同时设立对用户的实时网络短消息通知机制等措施,是谓“可控”。

  而对于用户上网之后的行为能够自动准确地记录,并在发生非法事件时,对网络事件进行历史回放,在安全管理上做到有据可查,是谓“可举证”。

  只有做到了这样几点,整个网络的安全性才可以有效保证,至少,知道是谁在什么时候,做了哪些非法的事情,可以用明确的证据来证明历史事件的准确性。

  3D-SMP管理层构建了完善的“三可”机制

  神州数码网络依据这样的网络安全思路,开发了三个典型的产品DCBI-3000(认证计费系统)、DCBI-NetLog(网络行为日志)、DCBA-3000W(安全接入管理器),并通过自己独有的SOAP联动协议,使得整个网络管理层的安全设备,如防火墙、IDS、接入交换机等网络设备能够自动实现相互之间的联动,从而实现识别用户、判断用户行为、强制管理用户的能力。

  DCBI-3000是一个已经十分成熟的产品,这已经是神州数码网络公司第三代的认证计费系统了。这套系统需要与神州数码网络的接入交换机相关联,当用户提出入网需求之时,DCBI系统确认用户的真实身份,确认他是否有权进入这个网络,当用户的账号、密码、IP地址、接入交换机IP、端口地址、VlanID、MAC地址、DHCP Server等,多种根据用户情况而设定的绑定要素都完全准确的情况下,DCBI-3000才打开接入交换机的端口(接入交换机必须支持801.1X标准协议)。同时分配相应的管理策略给接入交换机,使该用户在相应的权限范围内访问网络资源。在这样的认证下,可以有效地识别用户身份的合法性,并能准确到具体的人。从而做到了“可信”。

  要想自由在互联网中翱翔,必须有安全的网络环境。在技术上就需要有一款能够安全接入的管理产品,神州数码DCBA-3000W作为一款专用的安全接入管理产品,可以实现用户上网的安全身份认证,保证合法用户进入网络,同时对用户的带宽、不同业务的流量进行控制,包括对BT的流量进行限制等。而且可以更加方便地实现用户旧网络的升级,仅仅把设备串联到现在的网络中就可实现安全控制,原网络设备不必更换,是为了保护用户的原有投资。甚至原有网络的IP配置都不用改变,这些都是相对于802.1x解决方案的明显优势。有了这个设备,用户的网上工作就可以实现自动控制,从而避免诸如病毒暴发产生对网络的重大影响。IDS、防火墙可以自动识别用户的非法行为,比如病毒扫描、病毒广播等等非人为恶意的行为,并通过SOAP联动协议,通知DCBI-3000、DCBA-300W警告用户或者严重时,由DCBI-3000关闭交换机端口,强制用户下线,从而保证网络“可控”。

  在整个用户从登录网络到离开网络的过程中,神州数码的DCBI-NetLog作为高性能、海量存储设备,可记录用户所有上网行为,记录上网者访问过的网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,很容易查询用户在网上任意时刻的行为。并且,DCBI-NetLog与DCBA-3000W联动,可将用户的上网行为记录直接映射到用户名,而不是源IP地址,针对网络安全事件可以更容易地确定具体肇事用户。

  由此,基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络充分实现了“可信、可控、可取证”的网络安全理念。

  

  

  网络结构示意图

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章