2.2、时间(事前、事后)端到端安全理念
以前业界更关注网络的事前防范能力,而对事后跟踪能力考虑很少,在安全事件发生前后,要求网络所能提供的支持也是不同的,其花费的代价与技术实现难度有非常大的差别:
●事前防范:主要通过数据隔离、加密、过滤、治理等技术,加强整个网络的健壮性。
●事后跟踪:通过对用户上网端口、时间、访问地的记录,全面提供用户上网的追溯能力,从而为后期的分析提供第一手的资料。
实际上日志记录等功能是一个非常良好的追溯手段,在出现问题时可以根据记录迅速查找源头,防止事态进一步扩大;同时可以通过法律惩治罪犯,以警后人。但原来的日志记录都仅限于在应用层的服务器做。这个方案最大的问题就是宽带网络提供灵活的接入手段使得接口分布广泛,仅在应用层做记录无法定位用户的位置,非凡是当出现应用层账号密码盗用时给后期的进一步追查带来很大的困难。而华为的“i3安全”架构提供在网络级做日志记录的能力,可以定位到端口,从而确定物理地点与时间,将会给后期进一步查明真相带来很大的帮助。非凡是针对我国IP地址比较少,公有地址和私有地址混合组网等随处可见的情况,独具在私有地址环境下的追溯能力。
2.3、空间(外网、内网)端到端安全理念
以往的安全体系侧重在外网防范上下工夫,而对内网安全考虑很少。接入Internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的治理力度都有很大的差异,所以必须针对外网与内网的不同特点制定有效的安全策略:
●外网:通过VPN、加密等保证信息安全,通过网络防火墙、病毒防火墙等防范网络攻击,侧重的是防范。
●内网:通过对用户的识别,保证合法的用户访问合法的网络范围,并做好访问记录,侧重的是监控。
在目前这样一个人员高动流动的时代,大部分的泄密均源自内网。原因是传统网络提供的是一个平等的数据交换平台,而实际上不同的人员其访问的范围应该是有所不同。比如普通员工只能谈问本部门的办工服务器,而领导则可以访问某些重要服务器。假如不对人员访问权限进行合理的控制,则必然对重要信息产生极大威胁。原有的在应用层进行用户鉴权与访问控制的方案由于用户已合法接入网络,可以监听到相关信息,实施攻击,所以效果往往不尽如人意。也正是因为这个原因,今天的安全已是一个涵盖网络级、应用级的在内的完整概念。从网络级就对用户进行访问控制,使非法用户接入网络就成为聋子、瞎子,将大大增加非法用户进一步实施盗取与攻击的难度,从而增强安全防护体系的效能。
华为三纬度集成安全架构提供端到端集成安全服务:
[[The No.3 Picture.]]
随着网络上应用的进一步增多,随着网络进一步深入人们的生活,入侵与反入侵、盗用与反盗用的斗争也必将升级。而网络的安全防护作为一个系统工程,其范围与深度早已超出了我们原来的预料,并还将进一步发展。只有从网络治理、用户治理、业务治理及治理制度等多层次、多方位地多管齐下才能做到“天网恢恢,疏而不漏”。
3、华为”i3安全”解决方案
针对安全的不同方面华为提出了相应的解决方案,并将这些解决方案与网络各层次设备进行有机的融合,从而为用户提供全面的端到端的集成安全服务。作为华为完整的安全体系,其网络层次、时间、空间三个维度是融合在一起密不可分的,并且体现在各层次的网络设备中。华为路由器、以太网交换机、WLAN、EAS以太网接入服务器及Eudemon安全网关等基础网络设备提供全面的集成安全特性,并提供iTellin CAMS安全策略服务系统。
华为Quidway S系列交换机,不仅可以针对特定的IP地址、网段进行包过滤,还可以基于四层以上的信息来进行相应的包过滤,通过华为公司独具特色的Quidway MA5200 EAS设备甚至可以做到针对特定用户的包过滤,从而大大增强整个网络的安全性。
华为Quidway S8500/8000/S6500核心交换机和Quidway NetEngine 40/20通用交换路由器(第五代路由器)提供MPLS VPN、BAS、NAT、防火墙、入侵检测、负载均衡等丰富的安全特性,对于构建扁平化IP网络,减少网络层次,降低网络复杂性,构筑业务网络,满足全业务(数据、语音、视频、专线)传送起着要害的支撑地位,同时能够大幅度降低网络投资及维护成本。
华为iTellin CAMS安全策略服务系统与Quidway S系列交换机、Quidway NetEngine 高端路由器、Quidway R系列中低端路由器、Quidway WA系列无线局域网、Quidway MA5200 以太网接入服务器、Quidway Eudemon 安全网关设备配合,提供端到端的安全体系解决方案与策略实施服务,从时间、空间、网络层次三个纬度全面保证网络安全,提供智能的、集成的、个性化的解决方案,能够全面满足运营商、政府、行业及企业客户化安全解决方案的需要。
