随着网络应用的多样化和网络环境的复杂化,依据原来的3C概念来建立企业的信息化框架已经很难满足网络安全、网络管理和网络应用的要求。由病毒带来的全网范围的清除工作所需要的开销以及由此造成的企业业务受到的经济和信誉上的损失是不可估量的,这些损失很可能已经远远超出选择使用具有价格较高但具有很好安全控制和管理功能的设备进行组网所需的开销。
硬件层次上的网络互连互通并不能保证网上应用的互联互通;在无法对网上数据流进行分析和控制的情况下,再高的网络设备性能和网络带宽也不能保证网上应用的顺利开展;同时企业对网络的成本计算不能仅仅只是以简单的设备价格与背板带宽比来作为依据,要考虑到以后的网络维护和网络管理所带来的费用、好的解决方案所带来的潜在效益(如:由于可以快速对病毒作出控制所带来的效益)。根据权威专家的计算,网络硬件成本开销最多只占有企业拥有整个网络所需全部开销的30%。
“安全网络”是将先进的安全和策略技术与已有的网络技术紧密整合来保证企业信息安全、业务应用系统的合法使用,并且在任何网络攻击的情况下都能安全运行的网络解决方案。
安全网络架构的设计理念核心是5C概念,5C指的是: Continuity业务的连续性,Context内容的关联性,Control网络的可控性,Compliance规则的一致性,Consolidation系统的整合性。
Control可控性的定义
安全网络的可控性是指要对网络的安全隐患进行迅速有效的反应和防范,必须在整个网络系统中具有自动的中央控制机制,而不仅仅局限在某个路由器、防火墙上提供手动的控制。
在系统的层次上提供集中的、自动的对网络设备、应用和用户接入的控制能力,他能够保证对各种影响网络安全、网络性能的行为自动作出快速反应,减少这些行为所造成的损失。由于具有系统层次的控制能力,他能实现单点管理全网,保证企业安全策略的集中控制和管理,实现网络配置、定位服务、基于角色的策略制定的自动化,完成威胁的检测、定位及网络配置的自动响应。现在病毒在网上的扩散速度越来越快,从开始的平均扩散时间几十分钟/台降低到现在的几分钟/台,由于传统的网络安全技术不具有自动反应能力,需要手工对相关的设备进行重新配置,病毒很容易在网络内部扩散。利用安全网络解决方案,系统在监测到病毒攻击之后,网络管理系统将很快定位发出攻击的位置,同时自动将受病毒感染的终端从网络上隔离开,并对网上传输的攻击数据流量进行限制,从而保证企业正常应用的开展并降低病毒对全网的感染范围。
可控性的好处
•具有限制包括合法和非法的对网络使用的能力
可控性的特点
•决定网络可以提供什么服务的能力
•对机器(如VoIP 电话机, 闭路电视)
•对人或一组人 (功能角色)
•动态调整提供的服务和策略的能力…
•基于业务的需求
•基于威胁来决定
•基于单个用户的角色或者用户组的角色
•在网络的边缘应用细致策略的能力
•Layer 2, layer 3, layer 4
•带宽分配,QoS
