文　斌

這個時代是網(wǎng)絡的時代，網(wǎng)絡的應用無所不在，因而網(wǎng)絡的安全性也就成為網(wǎng)絡應用最關鍵的課題。麥子成熟了，總要有稻草人去守護。網(wǎng)絡的成熟發(fā)展，也需要有很多網(wǎng)絡安全的守護神。于是，神州數(shù)碼的3D-SMP（動態(tài)分布式防御安全管理策略，Dynamic Distributed Defense Security Management Policy）的網(wǎng)絡架構應運而生。

今天，離開了網(wǎng)絡，人們可能就無所事事了。職員無法辦公，交通陷入癱瘓，經(jīng)濟出現(xiàn)混亂，企業(yè)生產(chǎn)停頓。人們越來越倚重網(wǎng)絡，人們也越發(fā)脆弱。

然而，基于IP架構的網(wǎng)絡，卻在根本上是一個開放和自由的網(wǎng)絡，因而，網(wǎng)絡必然是脆弱的。事實上，今天網(wǎng)絡上瘋狂流行的病毒，以及越來越簡單的黑客工具，使得網(wǎng)絡安全形勢日益嚴重。

近年來，針對網(wǎng)絡安全的研究也如火如荼，網(wǎng)絡安全設備不斷出現(xiàn)，比如防火墻、IDS等等。甚至出現(xiàn)了全球范圍內(nèi)網(wǎng)絡廠商和病毒廠商的廣泛合作，渴望構建一個“讓病毒根本上不了網(wǎng)”的網(wǎng)絡。

然而，網(wǎng)絡的終端不是機器，而是一個個活生生的人，因此，人與人之間的對抗和斗爭，永遠不會因為一個技術的出現(xiàn)而一勞永逸的解決安全問題。單純的以杜絕非法行為存在的思路來解決網(wǎng)絡安全問題，雖然是最佳境界，但是就如“永動機”一樣不切實際。所以，除了杜絕模式，網(wǎng)絡安全還要學會“與狼共舞”。即在非法行為和病毒滋擾的環(huán)境中，保證整個網(wǎng)絡的穩(wěn)定運行，使這些危害所造成的損失能在可控的范圍內(nèi)。

多業(yè)務運行

網(wǎng)絡安全更重要

隨著帶寬的增加，傳統(tǒng)的IP網(wǎng)絡加載的應用越來越復雜，從過去單純的數(shù)據(jù)業(yè)務，逐步擴展到目前流行的語音和視頻業(yè)務。傳統(tǒng)電信網(wǎng)絡與越來越強大的數(shù)據(jù)網(wǎng)絡逐漸融合，VoIP、IPTV等業(yè)務逐步開始投入商用。在這樣的基礎上，企業(yè)網(wǎng)的應用也呈現(xiàn)了多樣化的明顯趨勢。目前，VoIP業(yè)務以其廉價的通話成本和部署成本，成為跨地域企業(yè)降低通訊成本的首選業(yè)務。神州數(shù)碼網(wǎng)絡為北京市海淀區(qū)政府部署的VoIP業(yè)務一年就可以節(jié)省300萬以上的電話費用，充分顯示出了VoIP業(yè)務的優(yōu)越性。

但是隨著數(shù)據(jù)網(wǎng)絡所承載的業(yè)務多元化，網(wǎng)絡運行的安全問題更加凸現(xiàn)起來。正如前文所述，目前的網(wǎng)絡運行環(huán)境十分險惡，一旦因為病毒爆發(fā)而引發(fā)全網(wǎng)癱瘓，那么造成的損失遠比純數(shù)據(jù)網(wǎng)絡大的多，甚至，由于電話系統(tǒng)等業(yè)務都遷移到了數(shù)據(jù)網(wǎng)絡之后，更有可能造成電話無法撥打的尷尬局面。即便病毒爆發(fā)未造成全網(wǎng)癱瘓而是如蠕蟲病毒那樣占據(jù)大量網(wǎng)絡帶寬資源，將造成語音業(yè)務因話音停頓而無法接受。因此，在“與狼共舞”的過程中，全網(wǎng)安全的保證顯得十分迫切。

眾所周知，解決網(wǎng)絡信息安全問題，主要有五大技術手段：防火墻技術、加解密技術、漏洞掃描技術、身份認證技術和防病毒技術。據(jù)業(yè)界權威數(shù)據(jù)分析，網(wǎng)絡系統(tǒng)不安全因素僅有40%來自外部網(wǎng)絡，而60%的網(wǎng)絡不安全因素是來自內(nèi)部網(wǎng)絡。由此，采用傳統(tǒng)的防火墻和IDS對用戶來講是必需的，他們可以基本完成對于外部網(wǎng)絡干擾因素的識別和阻斷任務。但僅僅采用防火墻技術并不能解決發(fā)生在內(nèi)部網(wǎng)絡的安全問題。因此，還需要在整個網(wǎng)絡內(nèi)部構建完善的防范機制。

正是基于這樣的考慮，3D-SMP（動態(tài)分布式防御安全管理策略，Dynamic Distributed Defense Security Management Policy）的網(wǎng)絡架構應運而生。而3D-SMP的解決思路就是要保障整個網(wǎng)絡應用“可信、可控、可舉證”。

安全管理策略是一個由服務器或者系統(tǒng)管理軟件分派給接入端交換機的管理策略，比如用戶的VPN屬性、用戶的帶寬限制范圍、用戶對于網(wǎng)絡資源的訪問權限等內(nèi)容。

無數(shù)的經(jīng)驗證明，匿名用戶訪問辦公網(wǎng)會對網(wǎng)絡安全帶來巨大隱患。因此，拒絕非法的、未經(jīng)授權的用戶進入網(wǎng)絡，只允許通過身份認證的用戶進入，才能做到“可信”。即我始終知道到底是誰在網(wǎng)絡上活動，一旦他使用非授權的方式訪問網(wǎng)絡資源，那么能夠確切的知道在網(wǎng)絡的后面是誰在活動。只有做到了這點，才“可信”。

同時，對于網(wǎng)絡管理者來說，任何時候都可以有效的管理網(wǎng)絡，網(wǎng)絡系統(tǒng)能夠自動的屏蔽非法訪問，并能夠在適當?shù)臅r候強制非法用戶下線，以便保證整個網(wǎng)絡運行的安全和穩(wěn)定，并且對用戶不同應用業(yè)務的帶寬、流量和上網(wǎng)時間進行控制，與此同時設立對用戶的實時網(wǎng)絡短消息通知機制等措施，是謂“可控”。

而對于用戶上網(wǎng)之后的行為能夠自動準確的記錄，并在發(fā)生非法事件時，對網(wǎng)絡事件進行歷史回放，在安全管理上做到有據(jù)可查，是謂“可舉證”。

只有做到了這樣幾點，整個網(wǎng)絡的安全性才可以得到有效的保證，至少，我知道是誰在什么時候，做了那些非法的事情，我可以用明確的證據(jù)來證明歷史事件的準確性。

3D-SMP構建

完善的“三可”機制

在這個3D-SMP的系統(tǒng)中，三個典型的產(chǎn)品扮演著主要的角色，他們是DCBI-3000（認證計費系統(tǒng)）、DCBI-NetLog（網(wǎng)絡行為日志）、DCBA-3000W（安全接入管理器），并通過特有的聯(lián)動協(xié)議（神州數(shù)碼的聯(lián)動協(xié)議是SOAP），使得整個網(wǎng)絡管理層的安全設備，如防火墻、IDS，以及接入交換機等網(wǎng)絡設備能夠自動實現(xiàn)相互之間的聯(lián)動，從而實現(xiàn)識別用戶、判斷用戶行為、強制管理用戶的能力。

DCBI是基于Radius標準協(xié)議而發(fā)展出來的產(chǎn)品，這套系統(tǒng)需要與支持IEEE801.1X標準協(xié)議的接入交換機相關聯(lián)。當用戶提出入網(wǎng)需求之時，DCBI系統(tǒng)確認用戶的真實身份，確認他是否有權進入這個網(wǎng)絡，當用戶的帳號、密碼、IP地址、接入交換機IP、端口地址、Vlan ID、MAC地址、DHCP Server等，多種根據(jù)用戶情況而設定的綁定要素都完全準確的情況下，DCBI打開接入交換機的端口，許可用戶上網(wǎng)，同時分配相應的管理策略給接入交換機，使該用戶在相應的權限范圍內(nèi)訪問網(wǎng)絡資源。在這樣的認證下，DCBI準確的記錄了上網(wǎng)用戶的真實身份，能準確到具體的人，從而實現(xiàn)了“可信”。

要想自由在互聯(lián)網(wǎng)中翱翔，必須有安全的網(wǎng)絡環(huán)境。在技術上就需要有一款能夠安全接入的管理產(chǎn)品，神州數(shù)碼DCBA-3000W作為一款專用的安全接入管理產(chǎn)品，可以實現(xiàn)用戶上網(wǎng)的安全身份認證，保證合法用戶進入網(wǎng)絡，同時對用戶的帶寬、不同業(yè)務的流量進行控制，包括對BT的流量進行限制等。而且可以更加方便的實現(xiàn)用戶舊網(wǎng)絡的升級，僅僅把設備串聯(lián)到現(xiàn)在網(wǎng)絡中就可實現(xiàn)安全控制，原網(wǎng)絡設備不必更換，是為了保護用戶的原有投資。甚至原有網(wǎng)絡的IP配置都不用改變，這些都是相對于802.1x解決方案的明顯優(yōu)勢。有了這個設備，用戶的網(wǎng)上工作就可以實現(xiàn)自動控制，從而避免諸如病毒爆發(fā)產(chǎn)生對網(wǎng)絡的重大影響。IDS、防火墻可以自動識別用戶的非法行為，比如病毒掃描、病毒廣播等等非人為惡意的行為，并通過SOAP聯(lián)動協(xié)議，通知DCBI-3000、DCBA-300W警告用戶或者嚴重時，由DCBI-3000關閉交換機端口，強制用戶下線，從而保證網(wǎng)絡“可控”。

在整個網(wǎng)絡中，網(wǎng)管軟件、網(wǎng)絡操作系統(tǒng)都有事件日志這樣的功能，但是目前這些日志還比較簡單，實現(xiàn)的是對網(wǎng)絡運行中的事件作出的記錄。但是對于人的行為并沒有很好的記錄功能，特別是在需要跟DCBI結合方面還是空白。因此，為了實現(xiàn)“可舉證”，必須增加新的記錄設備，從而保證記錄的準確性和可靠性。此外，海量記錄能力才可以保證在一定的時期內(nèi)，都可以有原始數(shù)據(jù)作為證據(jù)，因此目前的現(xiàn)有記錄設備是無法實現(xiàn)的。

神州數(shù)碼的DCBI-NetLog則是在這樣的需求之下開發(fā)出來的專用記錄設備。作為高性能、海量存儲設備，可記錄用戶所有上網(wǎng)行為，記錄上網(wǎng)者訪問過的網(wǎng)站、訪問的URL、源/目的IP、源/目的端口、上網(wǎng)時間及流量等數(shù)據(jù)，很容易查詢用戶在網(wǎng)上任意時刻的行為。并且，DCBI-NetLog與DCBA-3000W聯(lián)動，可將用戶的上網(wǎng)行為記錄直接映射到用戶名，而不是源IP地址，針對網(wǎng)絡安全事件可以更容易地確定具體肇事用戶。

由此，基于DCBA-3000W + DCBI-NetLog + DCBI-3000的網(wǎng)絡充分實現(xiàn)了“可信、可控、可取證”的網(wǎng)絡安全理念。