神州数码3D-SMP巧解病毒顽疾

　　“绝对没有打不开的保险箱，也绝对不存在无法破解的商业技术保护”(黑客宣言)

　　“不能确保保险箱100%安全，但可以确定谁动了保险箱”(神州数码3D-SMP网络安全解决方案)

　　这个时代是网络的时代，网络的应用无所不在。今天，离开了网络，人们可能就无法办事了。职员无法办公，交通陷于瘫痪，经济出现混乱，企业生产停顿。人们越来越倚重网络，而倚重一种工具的生活也越发脆弱。麦子成熟了，总是要有稻草人去守护，而网络的成熟发展，也需要有很多守护神为其保驾护航。

　　安全需“与狼共舞”

　　今天基于IP架构的网络在根本上是一个开放和自由的网络，因而网络必然是脆弱的。事实上，今天网络上疯狂流行的病毒，以及越来越简单的黑客工具，使得网络安全形势日益严重。

　　近年来，针对网络安全的研究也就如火如荼，诸如防火墙、IDS等等的网络安全设备不断出现，甚至出现了全球范围内网络厂商和病毒厂商的广泛合作，大家都渴望构建一个“让病毒根本上不了网”的网络。

　　然而，网络的终端不是机器，而是一个个活生生的人，因而人与人之间的对抗和斗争长存，永远不会因为一个技术的出现而一劳永逸地解决安全问题。单纯的以杜绝非法行为存在的思路来解决网络安全问题，虽然是最佳境界，但是就如“永动机”一样不切实际。所以，除了杜绝模式，网络安全还要学会“与狼共舞”。即在非法行为和病毒滋扰的环境中，保证整个网络的稳定运行，使这些危害所造成的损失能在可控的范围内。

　　安全要实现“三可”

　　什么是“可信、可控、可举证”？网络管理员又如何做到这一点呢？

　　无数的经验证明，匿名用户访问办公网会对网络安全带来巨大隐患。只允许通过身份认证的用户进入，拒绝非法的、未经授权的用户进入网络，才能做到“可信”；即网管员始终知道到底是谁在网络上活动，一旦使用非授权的方式访问网络资源，那么能够确切地知道网络的后面是谁在操纵。只有做到了这点，才可以称之为安全控制的“可信”。

　　对于网络管理者来说，任何时候都可以有效地管理网络，网络系统能够自动地屏蔽非法访问，并能够在适当的时候强制非法用户下线，以便保证整个网络运行的安全和稳定；并且对用户不同应用业务的带宽、流量和上网时间进行控制，与此同时设立对用户的实时网络短消息通知机制等措施，是之谓“可控”。

　　而对于用户上网之后的行为能够自动准确的记录，并在发生非法事件时，对网络事件进行历史回放，在安全管理上做到有据可查，是谓“可举证”。

　　只有做到了这样几点，整个网络的安全性才可以有效的保证，至少网络管理员知道是谁在什么时候，做了哪些非法的事情，并且可以采用明确的证据来证明历史事件的准确性。

　　构建完善的“三可”机制

　　安全是动态扩展、随时更新的，因而要实现“可信、可控、可举证”也必须采取动态的解决思路。神州数码3D-SMP解决方案能够很好地帮助用户实现这一点。3D-SMP的含义为分布式动态防御安全管理策略(Dynamic Distributed Defense Security Management Policy)。分布式的概念是在整个网络中的接入层建立入网许可机制，从而从源头上确保接入用户的身份可控；动态的含义是根据用户的行为来判断其意图是否合法，无论是主观的恶意行为，还是非主观的病毒行为，并根据用户的行为来采取相应的措施。

　　在这个3D-SMP的系统中，三个典型的产品扮演着主要的角色，他们是DCBI-3000(认证计费系统)、DCBI-NetLog(网络行为日志)、DCBA-3000W(安全接入管理器)，并通过特有的联动协议(神州数码的联动协议是SOAP)，使得整个网络管理层的安全设备，如防火墙、IDS以及接入交换机等网络设备能够能够自动实现相互之间的联动，从而实现识别用户、判断用户行为、强制管理用户的能力，从而充分实现“可信、可控、可取证”的网络安全理念。

　　解决人大附中病毒难题

　　人大附中是一所全国著名的重点中学，1998年开始探索网络教学的新方式，随后开通了远程教学，以使人大附中的师资优势能够借助网络这个武器发挥更大的价值。2001年人大附中建设了百兆校园网，其中一级节点达400多个，接入10台专业服务器和600多台电脑，构成了一个规模不小的数字化校园网。校园网的建成为人大附中提供了新鲜的教学方式，同时远程教育、“网上人大附中”逐步发展成型。

　　但是在随后的网络应用中，人大附中逐渐开始为病毒的滋扰感到烦恼。频繁的网络病毒爆发很容易让整个网络瘫痪，而对于远程教育来说，一旦是收费的远程教育，就必须保证质量和服务，而频繁的网络问题使得远程教育和网络分校的建设困难重重，大量的网络管理工作也让网络维护人员苦不堪言。网络管理员同时使用着好几种不同的杀毒软件，每日更新病毒库成为网管工作的必修课，但即便如此，也不能很好地保障网络运行的顺畅。而随着网络规模和访问量的不断增加，交换带宽和网络运行的稳定性成为一个致命的瓶颈，特别是安全性如果无法保证，对整个远程教育来说就是一颗“炸弹”。

　　为了解决日益严峻的安全问题，人大附中根据实际情况，最终采用了神州数码网络的3D-SMP解决方案。在网络接入层，全面更换神州数码网络支持IEEE801.1X标准的接入交换机设备，并将2001年购置的进口产品全部淘汰，核心层采用DCRS75系列万兆路由交换机，构建了一个三层交换的网络架构。并由神州数码IDS、DCBI-3000、防火墙、LinkManager构成管理层，构建了完整的基于3D-SMP技术的安全网络，从而一方面使得整个网络的交换带宽增加到了万兆；另一方面，采用认证、分配网络策略的方式，使得即便病毒爆发，也能控制在小范围内，同时能够明确确定病毒感染的机器，采取通知阻断等方式保证网络运行的安全。

　　改造完成后的人大附中校园网，在几个月的时间内再也没有因为病毒原因造成网络管理的忙乱，从而为远程教育计划的实现奠定了坚实的基础。人大附中网络中心王玢主任对此的评价是：“我们终于摆脱了病毒滋扰的头痛，3D-SMP解决方案帮我们去除了病根。”

　　老总题词

　　把握应用脉搏,打造和谐网络

　　神州数码网络总经理 解云航

　　观点解析

　　网络升级要内外兼固

　　对于网络行业和网络升级，神州数码认为：

　　网络升级，硬件重要，软环境建设更重要！

　　安全防护，不仅要防范外来侵犯，修炼内部功力同样关键！

　　用户在网络规划、部署以及升级过程中，需要立足全局，并具备“前瞻性”发展思维，确保有效控制TCO(网络整体拥有成本)，最大限度延长产品的生命周期。要做到这一点，除了需要充分考虑网络硬件的采购成本外，网络的后期运营、人员培训、管理维护同样不容忽视。事实上，后者的投入往往会高于前者。目前网络应用环境十分恶劣，使得网络管理、维护成本在不断上升。所以，安全就意味着降低TCO和高投资回报。如果一个网络频频出问题，那么网络管理成本就必然大幅上升。

　　众所周知，病毒、黑客问题的解决从来不可能一劳永逸，因此，减少网络遭受病毒、黑客攻击几率，保证网络运营的安全永续，成为用户降低网络使用、维护成本的可行之举。为此，神州数码网络提出了自己的解决之道：3D-SMP(分布式动态防御安全管理策略)。3D-SMP基于SAOP安全联动协议设计，通过GSM全局安全管理平台，将安全策略布置到网络中各个角落，接入认证服务器、入侵检测系统、安全日志系统、网络防火墙以及全局安全管理系统密切配合，牵一发而动全身，为用户构筑了一个内外兼“固”的安全环境。此外，网络未来的扩容空间、网络的互操作性以及人员培训、增值服务等都将是用户必须考虑的问题。