“i3安全”端到端安全体系结构

　　今天，大部分人对黑客、病毒攻击的危险性都有了深刻的认识，所以很多网络都大量投资了防火墙、防病毒软件等。但一段时间运作下来，发现效果并不理想，病毒依然时常泛滥、重要信息常被泄露、网络可用性差，原因何在？关键在于安全是一个完整的体系，原来的安全体系架构存在巨大的缺陷：

　　* 从时间来看，网络安全设计及解决方案往往只考虑事前防范，缺乏必要的事后追踪及审计能力，时间层面上并没有端到端考虑；

　　* 从空间来看，往往侧重于考虑对来自外网的黑客防御，对于内部的安全控制缺乏必要手段，空间层面并没有端到端考虑；

　　* 从网路层面来看，往往侧重于业务层的安全，对网络层和用户层的安全缺乏必要关注。

　　随着业务与网络的集成关系越来越紧密，网络安全在IP网络的发展中居于越来越显著的地位，对于IP业务的发展起着非常关键的基础作用。“i3安全”解决方案，即时间、空间、网络层次三个纬度端到端集成安全体系架构，给产业界和用户一个完整清晰的网络安全导航图，能够全面满足运营商、政府、行业及企业客户化安全解决方案的需要。

　　IP信息网全面安全防护要求

　　从完整的安全角度来看，安全的威胁包括基础网络资源本身以及承载的数据两个方面，而对安全的保障也应该是一个从发送端到接收端的完整的端到端的安全防护模型：

　　数据传送保证机密性、完整性及正确性，网络资源防止路由欺骗、地址盗用，对于带宽和端口的占用可以有效的管理与控制，均是构成一个完整安全体系不可缺少的组成部分。

　　"i3安全"体系架构

　　面对当前日益复杂的网络环境，"i3安全"体系架构对传统的狭义网络安全理念进行重大变革，基于对当前网络发展需求的研究，开拓性地提出时间、空间、网络层次三个纬度端到端集成安全体系架构，给产业界和用户一个完整清晰的网络安全导航图，能够全面满足运营商、政府、行业及企业客户化安全解决方案的需要。

　　在该架构中，大家除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视觉，具备全面考虑与实施安全防护的模型与能力。

　　三维度端到端集成安全体系架构

　　* i－intelligence（智能），integrated（集成），individuality（个性化）；

　　* 3－时间、空间及网络层次三个维度的端到端（ End to End）；

　　* 安全－所有IP信息网络的安全架构。

　　网络层次（网络层、用户层、业务层）端到端安全理念

　　网络的各层次均存在安全威胁的可能，"i3安全"安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。

　　* 网络层：保障网络路由，网络地址等基础网络的安全

　　* 用户接入层：确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全

　　* 业务层：保证用户访问内容的合法性与安全性。

　　“i3安全” 的安全措施

    集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。

　　时间（事前、事后）端到端安全理念

　　以前业界更关注网络的事前防范能力，而对事后跟踪能力考虑很少，在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别：

　　* 事前防范：主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性。

　　* 事后跟踪：通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。

　　实际上日志记录等功能是一个非常良好的追溯手段，在出现问题时可以根据记录迅速查找源头，防止事态进一步扩大；同时可以通过法律惩治罪犯，以警后人。但原来的日志记录都仅限于在应用层的服务器做。这个方案最大的问题就是宽带网络提供灵活的接入手段使得接口分布广泛，仅在应用层做记录无法定位用户的位置，特别是当出现应用层账号密码盗用时给后期的进一步追查带来很大的困难。而“i3安全”架构提供在网络级做日志记录的能力，可以定位到端口，从而确定物理地点与时间，将会给后期进一步查明真相带来很大的帮助。特别是针对我国IP地址比较少，公有地址和私有地址混合组网等随处可见的情况，独具在私有地址环境下的追溯能力。

　　空间（外网、内网）端到端安全理念

　　以往的安全体系侧重在外网防范上下工夫，而对内网安全考虑很少。接入Internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的管理力度都有很大的差异，所以必须针对外网与内网的不同特点制定有效的安全策略：

　　* 外网：通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范。

　　* 内网：通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。

　　在目前这样一个人员高动流动的时代，大部分的泄密均源自内网。原因是传统网络提供的是一个平等的数据交换平台，而实际上不同的人员其访问的范围应该是有所不同。比如普通员工只能谈问本部门的办工服务器，而领导则可以访问某些重要服务器。如果不对人员访问权限进行合理的控制，则必然对重要信息产生极大威胁。原有的在应用层进行用户鉴权与访问控制的方案由于用户已合法接入网络，可以监听到相关信息，实施攻击，所以效果往往不尽如人意。也正是因为这个原因，今天的安全已是一个涵盖网络级、应用级的在内的完整概念。从网络级就对用户进行访问控制，使非法用户接入网络就成为聋子、瞎子，将大大增加非法用户进一步实施盗取与攻击的难度，从而增强安全防护体系的效能。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 下一页

上一篇：保障SOHO级WLAN安全的四种武器   下一篇：木马病毒发展史

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】