据据公安部对七千多家重要信息网络、信息系统使用单位的统计显示,2004年发生网络安全事件的比例为58%,而2004年5月份,病毒总数就超过了2003年全年总和。面对网络安全事件的不断飚升,在安全防范技术方面,整体网络安全解决之道也逐渐取代局部安全解决方式成为主流。
提出联动的安全策略
当前全球安全事件不断发生,蠕虫病毒肆虐、隐性黑客攻击,越来越多的网络面对内外夹击的尴尬处境,用户为不断发生的安全事故,疲于奔波,刚修复好崩溃的网络,病毒又开始在网络的某个角落密谋下一次的罪行。
“联动”思想的声音在业界响彻已久,联动是让网络系统中的元素都具备安全解决能力,虽然各自分工不同,但元素之间的协同工作,势必能构成团体的优势。而联动中不可忽视的核心点是让网络全民皆兵,要让交换机、路由器、IDS、防火墙、用户管理系统、网元管理系统等拥有统一的沟通机制。
但是,让五花八门的设备实现联动谈何容易。一直以来,多设备之间的管理联动问题始终没有一个成型的方案出台。联动问题的关键就在于不同设备之间需要建立一个通信接口协议标准,而且它们之间的通信数据必须加密,以避免被侦听识别,引发不安全动作。如今神州数码网络开发了SAOP(Security association operation protocol)协议,并通过它实现了IDS系统、DCBI服务器、交换机、防火墙、LinkManager网管等设备之间的联动,将理念变成了真实的应用。有了这样的联动管理机制,无论是来自于网络外部还是内部的影响稳定应用的干扰因素,网络都能够识别,并自动监控,如果问题严重,网络将自动强迫干扰源下线或者屏蔽这一干扰源。
3D-SMP(Dynamic Distributed Defense - Security Management Policy),又称“动态分布式防御安全管理策略”。3D-SMP保留了神州数码网络的D2SMP解决方案的特点,同时又加入了更新的安全元素,使网络的安全管理比以往更加周密,反应的速度比以往更加迅速。
3D-SMP能够解决设备协同工作的难题,凭借特有的通用接口协议,加强了网络中各个设备之间的安全联动性能,使网络中各自为政的信息安全孤岛形成统一的安全平台。为用户提供一个高度自动化响应的智能网络安全管理系统。最重要的是,当网络出现病毒或恶意攻击时,无论是来自于企业网络的外部还是企业网络的内部,无需人为干预,系统自动响应处理,保证用户的数据、语音、视频等多种应用依然能正常地运行。
3D-SMP有两个核心的思想,“动态”和“联动”。网络所面临的安全问题并不是一成不变,威胁可能来自于任何一个地方,病毒具有强大的自我复制和变种的能力,系统随时受到未知病毒的攻击,因此3D-SMP被赋予了动态的防护能力,建立灵活多变的应对机制,无论病毒什么时候、从什么网络中那个环节,以什么面目出现,系统都能及时地捕捉到异常的信息,调用安全策略体系当中的相应解决手段,保障网络的安全运行。
“病毒总是不断地在翻新变样,让用户疲于应付,在网络如此发达的今天,为了安全,用户注定需要和病毒之间不停地进行着警察抓小偷的游戏!”神州数码网络公司企业网事业部总经理黄坚认为,“只要有网络就会有安全问题存在。3D-SMP能够减轻用户的负担,通过联动技术,实现智能化安全管理,由安全系统婀芾砣嗽庇氩《菊箍煊胄⊥档慕狭俊!?BR>
“联动”是3D-SMP的特色,为解决信息安全孤岛的问题,为网络设备开发通用的SOAP安全协议,使用户安全平台、交换机、路由器、IDS和客户端等网络元素之间实现联动,牵一发而动全身。黄坚表示,病毒是无法彻底杜绝的,但是可以通过良好的联动管理方式,将风险降低到最小。
从D2SMP到3D-SMP的演进
D2SMP的重点在于内网的安全防护,使用802.1X认证,实现用户接入的6元素绑定策略,变对设备的管理为对人的管理,对于规范网络使用者的行为,抑制非法行为的产生起到了非常好的效果,通过安全客户端和ACL访问控制分发执行预先制定的安全管理策略,当接入的设备无法达到网络安全的要求时,安全客户端自动联接策略服务器,强制接入终端进行软件的更新和升级,在达到要求后,通知DCBI-3000用户接入认证系统,允许用户合法接入,根据用户类别,划分到不同的安全域当中,从源头上制止非法行为的发生。
3D-SMP在D2SMP的用户安全管理上的基础上,在方案中增加了DCFW-1800防火墙、DCNIDS-1800入侵检测设备,网络的安全将由智能交换机、路由器、防火墙、IDS、客户端和用户安全平台六个组成部分之间的联动来完成,不仅内网的安全防护性能上升到一个新的阶段,外网的安全也得到了有力的保证(如图1)。
遵循动态安全模型
3D-SMP遵循了PPDR动态安全模型。PPDR是由Policy(安全策略)、Protection(保护)、Detection(检测)和Response(响应)组成。
Policy:是3D-SMP的中枢,所有的防护、检测、响应都是依据安全策略实施的,安全策略为安全的管理提供指导方向和支持手段。安全策略体系的建立包括策略的制订、评估和执行等。
Protection:通过身份认证、防火墙、客户端软件、加密等传统的静态的安全技术来实现。
Detection:是3D-SMP中非常重要的一个环节,检测是进行动态响应和动态保护的依据,同时强制网络落实安全策略,检测设备不间断地检测、监控网络和系统,及时发现网络中新的威胁和存在的弱点,通过循环的反馈来及时做出有效的响应。
Response:紧急响应在安全系统中占有最重要的位置,是解决潜在安全问题最有效的方法,从某种意义上来讲,安全问题就是要解决紧急响应问题和异常问题处理。
以外网攻击为例(如图2),当黑客试图从外部对内网进行攻击,DCNIDS从网络中检测到网络流量的异常现象,经过报文验证确认其为黑客攻击,立即通知DCBI-3000用户管理平台有来自外网的攻击行为(Detection),用户管理平台根据DCNIDS提供的信息进行分析(Policy),选择报警或通知DCFW-1800W防火墙阻断连接(Response),防火墙接到通知,将黑客拒之门外,达到保护网络的目的,有效防止来自外部的非法攻击(Protection)。
以内网攻击为例,当内网用户发起攻击时,DCNIDS检测到网络流量的异常,分析后确定为来自于内网的攻击行为(Detection),DCIDS通知DCBI-3000用户管理平台,DCBI-3000记录本次攻击行为并进行分析(Policy),通知交换机向用户提出警告(Response),交换机各用户终端弹出警告窗口,警告无效,通知交换机强制用户下线,交换机关闭相应端口,用户审被强制下线,来自内网的攻击行为被制止(Protection)。
