神碼３Ｄ－ＳＭＰ：與網絡安全共舞

文　斌

這個時代是網絡的時代，網絡的應用無所不在，因而網絡的安全性也就成為網絡應用最關鍵的課題。麥子成熟了，總要有稻草人去守護。網絡的成熟發展，也需要有很多網絡安全的守護神。于是，神州數碼的3D-SMP（動態分布式防御安全管理策略，Dynamic Distributed Defense Security Management Policy）的網絡架構應運而生。

今天，離開了網絡，人們可能就無所事事了。職員無法辦公，交通陷入癱瘓，經濟出現混亂，企業生產停頓。人們越來越倚重網絡，人們也越發脆弱。

然而，基于IP架構的網絡，卻在根本上是一個開放和自由的網絡，因而，網絡必然是脆弱的。事實上，今天網絡上瘋狂流行的病毒，以及越來越簡單的黑客工具，使得網絡安全形勢日益嚴重。

近年來，針對網絡安全的研究也如火如荼，網絡安全設備不斷出現，比如防火墻、IDS等等。甚至出現了全球范圍內網絡廠商和病毒廠商的廣泛合作，渴望構建一個“讓病毒根本上不了網”的網絡。

然而，網絡的終端不是機器，而是一個個活生生的人，因此，人與人之間的對抗和斗爭，永遠不會因為一個技術的出現而一勞永逸的解決安全問題。單純的以杜絕非法行為存在的思路來解決網絡安全問題，雖然是最佳境界，但是就如“永動機”一樣不切實際。所以，除了杜絕模式，網絡安全還要學會“與狼共舞”。即在非法行為和病毒滋擾的環境中，保證整個網絡的穩定運行，使這些危害所造成的損失能在可控的范圍內。

多業務運行

網絡安全更重要

隨著帶寬的增加，傳統的IP網絡加載的應用越來越復雜，從過去單純的數據業務，逐步擴展到目前流行的語音和視頻業務。傳統電信網絡與越來越強大的數據網絡逐漸融合，VoIP、IPTV等業務逐步開始投入商用。在這樣的基礎上，企業網的應用也呈現了多樣化的明顯趨勢。目前，VoIP業務以其廉價的通話成本和部署成本，成為跨地域企業降低通訊成本的首選業務。神州數碼網絡為北京市海淀區政府部署的VoIP業務一年就可以節省300萬以上的電話費用，充分顯示出了VoIP業務的優越性。

但是隨著數據網絡所承載的業務多元化，網絡運行的安全問題更加凸現起來。正如前文所述，目前的網絡運行環境十分險惡，一旦因為病毒爆發而引發全網癱瘓，那么造成的損失遠比純數據網絡大的多，甚至，由于電話系統等業務都遷移到了數據網絡之后，更有可能造成電話無法撥打的尷尬局面。即便病毒爆發未造成全網癱瘓而是如蠕蟲病毒那樣占據大量網絡帶寬資源，將造成語音業務因話音停頓而無法接受。因此，在“與狼共舞”的過程中，全網安全的保證顯得十分迫切。

眾所周知，解決網絡信息安全問題，主要有五大技術手段：防火墻技術、加解密技術、漏洞掃描技術、身份認證技術和防病毒技術。據業界權威數據分析，網絡系統不安全因素僅有40%來自外部網絡，而60%的網絡不安全因素是來自內部網絡。由此，采用傳統的防火墻和IDS對用戶來講是必需的，他們可以基本完成對于外部網絡干擾因素的識別和阻斷任務。但僅僅采用防火墻技術并不能解決發生在內部網絡的安全問題。因此，還需要在整個網絡內部構建完善的防范機制。

正是基于這樣的考慮，3D-SMP（動態分布式防御安全管理策略，Dynamic Distributed Defense Security Management Policy）的網絡架構應運而生。而3D-SMP的解決思路就是要保障整個網絡應用“可信、可控、可舉證”。

安全管理策略是一個由服務器或者系統管理軟件分派給接入端交換機的管理策略，比如用戶的VPN屬性、用戶的帶寬限制范圍、用戶對于網絡資源的訪問權限等內容。

無數的經驗證明，匿名用戶訪問辦公網會對網絡安全帶來巨大隱患。因此，拒絕非法的、未經授權的用戶進入網絡，只允許通過身份認證的用戶進入，才能做到“可信”。即我始終知道到底是誰在網絡上活動，一旦他使用非授權的方式訪問網絡資源，那么能夠確切的知道在網絡的后面是誰在活動。只有做到了這點，才“可信”。

同時，對于網絡管理者來說，任何時候都可以有效的管理網絡，網絡系統能夠自動的屏蔽非法訪問，并能夠在適當的時候強制非法用戶下線，以便保證整個網絡運行的安全和穩定，并且對用戶不同應用業務的帶寬、流量和上網時間進行控制，與此同時設立對用戶的實時網絡短消息通知機制等措施，是謂“可控”。

而對于用戶上網之后的行為能夠自動準確的記錄，并在發生非法事件時，對網絡事件進行歷史回放，在安全管理上做到有據可查，是謂“可舉證”。

只有做到了這樣幾點，整個網絡的安全性才可以得到有效的保證，至少，我知道是誰在什么時候，做了那些非法的事情，我可以用明確的證據來證明歷史事件的準確性。

3D-SMP構建

完善的“三可”機制

在這個3D-SMP的系統中，三個典型的產品扮演著主要的角色，他們是DCBI-3000（認證計費系統）、DCBI-NetLog（網絡行為日志）、DCBA-3000W（安全接入管理器），并通過特有的聯動協議（神州數碼的聯動協議是SOAP），使得整個網絡管理層的安全設備，如防火墻、IDS，以及接入交換機等網絡設備能夠自動實現相互之間的聯動，從而實現識別用戶、判斷用戶行為、強制管理用戶的能力。

DCBI是基于Radius標準協議而發展出來的產品，這套系統需要與支持IEEE801.1X標準協議的接入交換機相關聯。當用戶提出入網需求之時，DCBI系統確認用戶的真實身份，確認他是否有權進入這個網絡，當用戶的帳號、密碼、IP地址、接入交換機IP、端口地址、Vlan ID、MAC地址、DHCP Server等，多種根據用戶情況而設定的綁定要素都完全準確的情況下，DCBI打開接入交換機的端口，許可用戶上網，同時分配相應的管理策略給接入交換機，使該用戶在相應的權限范圍內訪問網絡資源。在這樣的認證下，DCBI準確的記錄了上網用戶的真實身份，能準確到具體的人，從而實現了“可信”。

要想自由在互聯網中翱翔，必須有安全的網絡環境。在技術上就需要有一款能夠安全接入的管理產品，神州數碼DCBA-3000W作為一款專用的安全接入管理產品，可以實現用戶上網的安全身份認證，保證合法用戶進入網絡，同時對用戶的帶寬、不同業務的流量進行控制，包括對BT的流量進行限制等。而且可以更加方便的實現用戶舊網絡的升級，僅僅把設備串聯到現在網絡中就可實現安全控制，原網絡設備不必更換，是為了保護用戶的原有投資。甚至原有網絡的IP配置都不用改變，這些都是相對于802.1x解決方案的明顯優勢。有了這個設備，用戶的網上工作就可以實現自動控制，從而避免諸如病毒爆發產生對網絡的重大影響。IDS、防火墻可以自動識別用戶的非法行為，比如病毒掃描、病毒廣播等等非人為惡意的行為，并通過SOAP聯動協議，通知DCBI-3000、DCBA-300W警告用戶或者嚴重時，由DCBI-3000關閉交換機端口，強制用戶下線，從而保證網絡“可控”。

在整個網絡中，網管軟件、網絡操作系統都有事件日志這樣的功能，但是目前這些日志還比較簡單，實現的是對網絡運行中的事件作出的記錄。但是對于人的行為并沒有很好的記錄功能，特別是在需要跟DCBI結合方面還是空白。因此，為了實現“可舉證”，必須增加新的記錄設備，從而保證記錄的準確性和可靠性。此外，海量記錄能力才可以保證在一定的時期內，都可以有原始數據作為證據，因此目前的現有記錄設備是無法實現的。

神州數碼的DCBI-NetLog則是在這樣的需求之下開發出來的專用記錄設備。作為高性能、海量存儲設備，可記錄用戶所有上網行為，記錄上網者訪問過的網站、訪問的URL、源/目的IP、源/目的端口、上網時間及流量等數據，很容易查詢用戶在網上任意時刻的行為。并且，DCBI-NetLog與DCBA-3000W聯動，可將用戶的上網行為記錄直接映射到用戶名，而不是源IP地址，針對網絡安全事件可以更容易地確定具體肇事用戶。

由此，基于DCBA-3000W + DCBI-NetLog + DCBI-3000的網絡充分實現了“可信、可控、可取證”的網絡安全理念。