您的位置: 网界网 > 周报全文 > 正文

[周报全文]神州数码网络:构建安全可信的下一代网络

2007年09月17日 15:09:06 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:

标签
神州数码网络
 

【CNW.com.cn 专稿】安全新威胁愈演愈烈,病毒、木马、黑客让网络管理人员会感到非常头疼;P2P应用、BT占用大量带宽资源,让大家经常感觉到流量不够用。与此同时,内网管理呈现“四无”危机;第一是外设的连接无章可循。第二是非法言论无据可查。第三是资产管理无计可施。第四是制裁黑客行为或非法接入无法可依。

并且,安全威胁呈现新的特点。首先是基础网络设施成为攻击的新热点。安全攻击不光是在主机或者服务器上找后门,实际上是通过网络本身的机制伪造自己的身份,窃取机密。第二,安全威胁的种类不断增加,从物理层到应用层,“层”出不穷。第三点,安全威胁造成的危害愈演愈烈,地下病毒产业链日益成熟。第四点,安全防范的部署成本大幅度增高。这个成本不仅仅体现在初始投入,更多的是在后期的维护。现在整个中国人力成本相对比较便宜,问题还不是很大,在国外或者在我们国家未来几年这个问题会相当严重。

如何应对呢?神州数码网络提出了自己的解决方案。两年之前,我们针对安全问题提出了3D-SMP+架构。

经典的网络架构在整个网络里分成几个区域,第一个是服务器区域,第二个是策略服务区域,第三是边界防御区,最后是内网的区域。那么,每一个区域应该如何部署安全组件,增强安全功能?

DCSM是整个3D-SMP+方案的中枢系统(+微信关注网络世界),负责策略下发、身份审核、强制修复、日志审计以及联动调度;入侵检测系统负责探测网络的攻击行为,发现网络异常将向策略中心报告;边界策略防御则增加了流量控制和边界认证;其他还包括端点策略执行器和安全管理系统探测代理。

另外,IPv6网络的威胁大家口头上谈的很多,但真正有什么威胁、漏洞并没有什么体会。另外对于IPv4网络中的ARP欺骗,这个问题现在在IPv6里面还没有爆发,但依然存在。

针对这这些问题,我们做了一些探索。首先是防ND欺骗技术。就是针对IPv6的技术,双栈交换机实现ND表项自动绑定。禁止ND自动更新,可以正常维持ND学习与老化。通过这种方式固定下来,可以防止欺骗。其次,IPv6 ACL技术。在IPv6下面必须做到这一点,否则整个IPv6网络处于完全没有防御的状态之下。目前,神州数码全线交换机支持IPv6 ACL技术。(神州数码网络CTO  向阳朝)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]