让网络“可信、可控、可举证”.doc

让网络“可信、可控、可举证”.doc让网络“可信、可控、可举证”“绝对没有打不开的保险箱,也绝对不存在无法破解的商业技术保护”(黑客宣言) “不能确保保险箱100%安全,但可以确定谁动了保险箱”(神州数码3D-SMP网络安全解决方案) 这个时代是网络的时代,网络的应用无所不在。今天,离开了网络,人们可能就无法办事了。职员无法办公,交通陷于瘫痪,经济出现混乱,企业生产停顿。人们越来越倚重网络,而倚重一种工具的生活也越发脆弱。麦子成熟了,总是要有稻草人去守护,而网络的成熟发展,也需要有很多守护神为其保驾护航。安全需“与狼共舞”今天基于IP架构的网络在根本上是一个开放和自由的网络,因而网络必然是脆弱的。事实上,今天网络上疯狂流行的病毒,以及越来越简单的黑客工具,使得网络安全形势日益严重。近年来,针对网络安全的研究也就如火如荼,诸如防火墙、IDS等等的网络安全设备不断出现,甚至出现了全球范围内网络厂商和病毒厂商的广泛合作,大家都渴望构建一个“让病毒根本上不了网”的网络。然而,网络的终端不是机器,而是一个个活生生的人,因而人与人之间的对抗和斗争长存,永远不会因为一个技术的出现而一劳永逸地解决安全问题。单纯的以杜绝非法行为存在的思路来解决网络安全问题,虽然是最佳境界,但是就如“永动机”一样不切实际。所以,除了杜绝模式,网络安全还要学会“与狼共舞”。即在非法行为和病毒滋扰的环境中,保证整个网络的稳定运行,使这些危害所造成的损失能在可控的范围内。安全要实现“三可”什么是“可信、可控、可举证”?网络管理员又如何做到这一点呢? 无数的经验证明,匿名用户访问办公网会对网络安全带来巨大隐患。只允许通过身份认证的用户进入,拒绝非法的、未经授权的用户进入网络,才能做到“可信”;即网管员始终知道到底是谁在网络上活动,一旦使用非授权的方式访问网络资源,那么能够确切地知道网络的后面是谁在操纵。只有做到了这点,才可以称之为安全控制的“可信”。对于网络管理者来说,任何时候都可以有效地管理网络,网络系统能够自动地屏蔽非法访问,并能够在适当的时候强制非法用户下线,以便保证整个网络运行的安全和稳定;并且对用户不同应用业务的带宽、流量和上网时间进行控制,与此同时设立对用户的实时网络短消息通知机制等措施,是之谓“可控”。而对于用户上网之后的行为能够自动准确的记录,并在发生非法事件时,对网络事件进行历史回放,在安全管理上做到有据可查,是谓“可举证”。只有做到了这样几点,整个网络的安全性才可以有效的保证,至少网络管理员知道是谁在什么时候,做了哪些非法的事情,并且可以采用明确的证据来证明历史事件的准确性。构建完善的“三可”机制安全是动态扩展、随时更新的,因而要实现“可信、可控、可举证”也必须采取动态的解决思路。神州数码3D-SMP解决方案能够很好地帮助用户实现这一点。3D-SMP的含义为分布式动态防御安全管理策略(DynamicDistributedDefenseSecurityManagementPolicy)。分布式的概念是在整个网络中的接入层建立入网许可机制,从而从源头上确保接入用户的身份可控;动态的含义是根据用户的行为来判断其意图是否合法,无论是主观的恶意行为,还是非主观的病毒行为,并根据用户的行为来采取相应的措施。在这个3D-SMP的系统中,三个典型的产品扮演着主要的角色,他们是DCBI-3000(认证计费系统)、Log(网络行