2004年7月29日思科系统中国公司在南宁明园饭店召开了“思科网络专家神州行”全国巡回研讨会。
在会上思科系统中国公司华南区商业市场事业部技术销售经理徐海成就“建设自防御网络系统”议题进行了主旨演讲,阐述了思科的自防御网络战略。该项战略旨在大幅提高网络识别、防止和适应威胁的能力。
思科启动自防御网络计划:
具有自防御能力的网络如同具有免疫能力的人体,能够自动免受网络病毒、黑客的侵害。3月15日,思科在中国正式启动了“自防御网络”(Self-Defending Network,SDN)计划,向主动防御迈出了关键的一步。如今很多传统安全产品还仅仅停留在被动防御阶段,就是侵害产生时,才进行相关安全机制的更新,查杀病毒和封补漏洞,这是一种被动安全。
而思科公司并不局限于此,适时推出主动安全的划时代的转折点――自防御网络计划。在发布自防御网络计划的同时,思科还发布了这个计划的关键环节――“网络准入控制”(Network Admission Control,NAC),用来解决外部和内部计算机的信任问题。
什么是自防御网络?
自防御网络计划是思科致力于网络安全的一个长远规划。该计划的目标在于提高网络发现、防御和对抗安全威胁的能力,使网络对于病毒传播、黑客攻击具有自我防御能力。思科自防御网络计划是一个创新的的网络安全战略。
网络准入控制(Network Admission Control)是思科自防御网络计划的重要组成部分。其核心思想是,控制访问权限,有效阻止不符合安全
条件的设备及访问进入网络,并将其置于某个隔离区域之外,或者仅获得对计算资源的有限访问权限。网络接入控制与思科公司关于网络安全的其它技术,如入侵检测、防火墙、网络管理与流量分析、VPN等加在一起,就构成了自防御网络的全部内涵。
思科安全战略演进的步骤:最初,思科是在路由器上提供最基本的安全保护,进而发展到单点的安全、深度的防护和集成化的安全,最终才是SDN。
SDN是未来网络安全发展的方向,能够实现自动化、预应式、系统的端到端保护,集成到网络的多个层次。SDN实现动态的安全,及时响应,实现端点的强制安全,实现不同安全元素间的沟通。思科自己的全线产品和技术将被纳入到SDN计划的框架中。
网络准入控制是自防御网络的第一步:
网络准入控制是网络通过认证确定即将接入网络的计算机是否存在已知的安全问题(如病毒、木马程序等),只有确定访问者是可信任的,才允许计算设备接入网络。
其核心思想是,控制访问权限,有效阻止不符合安全条件的设备及访问进入网络,并将其置于某个隔离区域之外,或者仅获得对部分资源的有限访问权限。
网络准入控制是一个分布式控制、集中安全策略的安全架构。由接入设备(如接入路由器、交换机、无线AP)完成分布式控制工作,允许通过认证的计算机进入网络。没有通过认证的计算机将不能进入网络。
集中的安全策略依赖“思科策略服务器”和“反病毒策略服务器”组成,前者将生成安全策略,后者则用来完成反病毒策略评估,确定进入的计算机是否安全。PC安全软件包括:客户端反病毒软件、思科信任代理和思科安全代理软件。
PC的反病毒软件(与思科合作的防毒软件厂商)将集成思科的信任代理。在计算机接入到部署思科方案的网络中时,思科信任代理将与思科策略服务器和反病毒厂商的策略服务器进行通信,交互信息,验证计算机上的反病毒软件是否存在,是否升级到了最新版本等。只有策略服务器认为PC可以信任才会被允许接入网络。
思科的安全代理软件能够对计算机的日常操作进行监控,一旦计算机出现异常的行动(如某类流量突然增长)就会提供报警。这一软件可以对计算机提供主动性的防御,在新病毒出现而病毒厂商尚未提供病毒代码或操作系统相应的补丁程序没有发布之前,能够对各种非法操作提供警告。
思科“自防御网络计划联盟”初现:
思科网络接入控制是通过与业界厂商合作实现的。2003年11月,思科宣布与防病毒厂商趋势科技、赛门铁克以及美国网络联盟(NAI)三家反病毒软件厂商合作,通过思科安全代理软件(Cisco Security Agent CSA)与防病毒软件的配合,将思科的防御能力延伸到服务器和PC上。
2004年2月,思科又与IBM达成合作,在IBM笔记本电脑和Tivoli网络软件中支持思科的自防御网络计划。思科还计划今后还将把网络接入控制计划向更多的厂商和机构开放。
思科网络接入控制计划将分三步实现:
第一步,在2004年中期,思科接入路由器和中档路由器将支持网络接入控制,并将思科安全代理(CSA)软件集成到思科相应的网络设备及软件产品中;
第二步,网络接入控制将扩展到多种思科产品,包括交换机、无线接入设备和安全设备;
第三步,将PC和服务器与网络的安全互操作能力扩展,这一功能在思科的交换机、路由器、无线局域网中实现,主要依赖软件来完成。
不过,思科也承认网络接入控制现在还不能与其他安全认证结合在一起,要想完成WLAN、NAC或其他接入认证的完全结合尚待时日。可以看出思科将在未来的时期内深化与其他业界安全产品厂家合作,以推进它的“自防御网络计划”联盟。
小结:
思科的自防御网络计划是为了应对目前普遍存在的“被动响应、分立式、基于单个产品支持”的网络安全被动防御模式,转变到即将到来的“自动响应、集成多层防御、系统服务支持”的网络安全自动防御模式的客观需求而出现的。
它将能从容应对下一代以“秒级”的响应要求,解决类似于基础设施黑客攻击、瞬间威胁、大规模蠕虫、DDOS等网络攻击。