慧聪网首页 > 通信行业 > 传输网
神州数码3D-SMP网络安全解决方案
 
慧聪网   2005年10月10日9时37分   信息来源:中国计算机报    

  【导读】基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络充分实现了“可信、可控、可取证”的网络安全理念。

  网络需要守护神

  这个时代是网络的时代,网络的应用无所不在,因而网络的安全性也就成为网络应用最关键的课题。麦子成熟了,总是要有稻草人去守护。网络的成熟发展,也需要有很多网络安全的守护神。

  今天,离开了网络,人们可能就无所事事了。职员无法办公,交通陷于瘫痪,经济出现混乱,企业生产停顿。人们越来越倚重网络,人们也越发脆弱。

  然而,基于IP架构的网络,却在根本上是一个开放和自由的网络,因而,网络必然是脆弱的。事实上,今天网络上疯狂流行的病毒,以及越来越简单的黑客工具,使得网络安全形势日益严峻。

  近年来,针对网络安全的研究也就如火如荼,网络安全设备不断出现,比如防火墙、IDS等等,甚至出现了全球范围内网络厂商和病毒厂商的广泛合作。渴望构建一个“让病毒根本上不了网”的网络。

  然而,网络的终端不是机器,而是一个个活生生的人,因此,人与人之间的对抗和斗争,永远不会因为一个技术的出现而一劳永逸地解决安全问题。因此,作为国内网络设备的主要厂商,神州数码网络加强防范和确认身份的网络保护思路,给网络安全指出了另外一条解决道路。

  网络必须“可信、可控、可举证”

  那么,什么是“可信、可控、可举证”呢?

  众所周知,解决网络信息安全问题,主要有五大技术手段:防火墙技术、加解密技术、漏洞扫描技术、身份认证技术和防病毒技术。据业界权威数据分析,网络系统不安全因素仅有40%来自外部网络,而60%的网络不安全因素是来自内部网络。由此,采用传统的防火墙和IDS对用户来讲是必需的,但仅仅采用防火墙技术并不能解决发生在内部网络的安全问题。而采用IDS也只能对网络的数据包进行分析,只能解决部分问题、并且还存在可能误判的现象。

  无数经验证明,匿名用户访问办公网会对网络安全带来巨大隐患。因此,拒绝非法的、未经授权的用户进入网络,只允许通过身份认证的用户进入,才能做到“可信”。即我始终知道到底是谁在网络上活动,一旦他使用非授权的方式访问网络资源,那么能够确切知道在网络的后面是谁在活动。只有做到了这点,才“可信”。

  同时,对于网络管理者来说,任何时候都可以有效地管理网络,网络系统能够自动地屏蔽非法访问,并能够在适当的时候强制非法用户下线,以便保证整个网络运行的安全和稳定,并且对用户不同应用业务的带宽、流量和上网时间进行控制,与此同时设立对用户的实时网络短消息通知机制等措施,是谓“可控”。

  而对于用户上网之后的行为能够自动准确地记录,并在发生非法事件时,对网络事件进行历史回放,在安全管理上做到有据可查,是谓“可举证”。

  只有做到了这样几点,整个网络的安全性才可以有效保证,至少,知道是谁在什么时候,做了哪些非法的事情,可以用明确的证据来证明历史事件的准确性。

  3D-SMP管理层构建了完善的“三可”机制

  神州数码网络依据这样的网络安全思路,开发了三个典型的产品DCBI-3000(认证计费系统)、DCBI-NetLog(网络行为日志)、DCBA-3000W(安全接入管理器),并通过自己独有的SOAP联动协议,使得整个网络管理层的安全设备,如防火墙、IDS、接入交换机等网络设备能够自动实现相互之间的联动,从而实现识别用户、判断用户行为、强制管理用户的能力。

  DCBI-3000是一个已经十分成熟的产品,这已经是神州数码网络公司第三代的认证计费系统了。这套系统需要与神州数码网络的接入交换机相关联,当用户提出入网需求之时,DCBI系统确认用户的真实身份,确认他是否有权进入这个网络,当用户的账号、密码、IP地址、接入交换机IP、端口地址、Vlan ID、MAC地址、DHCP Server等,多种根据用户情况而设定的绑定要素都完全准确的情况下,DCBI-3000才打开接入交换机的端口(接入交换机必须支持801.1X标准协议)。同时分配相应的管理策略给接入交换机,使该用户在相应的权限范围内访问网络资源。在这样的认证下,可以有效地识别用户身份的合法性,并能准确到具体的人。从而做到了“可信”。

  要想自由在互联网中翱翔,必须有安全的网络环境。在技术上就需要有一款能够安全接入的管理产品,神州数码DCBA-3000W作为一款专用的安全接入管理产品,可以实现用户上网的安全身份认证,保证合法用户进入网络,同时对用户的带宽、不同业务的流量进行控制,包括对BT的流量进行限制等。而且可以更加方便地实现用户旧网络的升级,仅仅把设备串联到现在的网络中就可实现安全控制,原网络设备不必更换,是为了保护用户的原有投资。甚至原有网络的IP配置都不用改变,这些都是相对于802.1x解决方案的明显优势。有了这个设备,用户的网上工作就可以实现自动控制,从而避免诸如病毒暴发产生对网络的重大影响。IDS、防火墙可以自动识别用户的非法行为,比如病毒扫描、病毒广播等等非人为恶意的行为,并通过SOAP联动协议,通知DCBI-3000、DCBA-300W警告用户或者严重时,由DCBI-3000关闭交换机端口,强制用户下线,从而保证网络“可控”。

  在整个用户从登录网络到离开网络的过程中,神州数码的DCBI-NetLog作为高性能、海量存储设备,可记录用户所有上网行为,记录上网者访问过的网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,很容易查询用户在网上任意时刻的行为。并且,DCBI-NetLog与DCBA-3000W联动,可将用户的上网行为记录直接映射到用户名,而不是源IP地址,针对网络安全事件可以更容易地确定具体肇事用户。

  由此,基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络充分实现了“可信、可控、可取证”的网络安全理念。

 
 
评论    【推荐】 【打印】 【论坛
 
 
[热门关键词]:神州数码 3D-SMP 网络 
特别推荐: 
· [专题]拍照手机将蚕食数码相机市场?
· [专题]科健爆特大财务丑闻9月1日被迫退市
更多精彩:
· [专题]熊猫马志平被捕 10亿黑洞三大悬疑
· [专题]中移动海外扩张 收购路线图初现
 相关文章 更多 
·FTTH提升国家信息网络基础设施安全  (9.30 11:25)
·NGN承载网的QoS和安全建设方案探讨  (8.16 10:45)
·VoIP中的安全性挑战  (3.10 15:0)
·IP网络安全与设备测试  (2.18 15:58)
·在交换机上实现存储安全  (2.2 14:25)
·防火墙和安全审计是基础  (2.2 14:22)
·IEEE 802.16安全传输机制  (1.31 13:42)
·IP网QoS与安全性分析  (1.28 10:25)
·刍议IPv6的安全问题  (1.28 10:12)
·如何消除网络安全隐患  (1.17 9:51)
 我来评两句〖查看最新评论〗 
请您注意:
·遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而导致的法律责任
·本网留言板管理人员有权删除其管辖留言内容
·您在本网的留言,本网有权在网站内转载或引用
·参与本留言即表明您已经阅读并接受上述条款
昵称:匿名
 
分类广告  
产品交易市场
[求购] 大量短信卡
[求购] 网络分析仪
[求购] 电话限时器
[求购] 来电显示电话机
[求购] 中文P/TD电话机
[招标] 交警队通信系统
[招标] 社保触摸屏等设备
热点专题
“简单”线缆复杂应用
你家楼顶的基站安全吗?
高通反诉讼诺基亚侵权
光通信技术与市场研讨会
手机配件:一个都不能少
第四届电信增值业务论坛
首部短信法规近日将出台
行业书店