Ｕ—ｇｕａｒｄ內(nèi)網(wǎng)安全管理系統(tǒng)１．０研發(fā)

Uguard內(nèi)網(wǎng)安全

管理系統(tǒng)1.0研發(fā)思想

如今的安全部署有個(gè)誤區(qū)，一旦遇到網(wǎng)絡(luò)安全問(wèn)題，人們總是習(xí)慣于傾向局域網(wǎng)外部入侵的防御，強(qiáng)化出口處安全設(shè)備的優(yōu)化，卻往往忽視來(lái)自?xún)?nèi)部網(wǎng)絡(luò)安全的威脅，從目前的情況看，網(wǎng)絡(luò)威脅絕大部分是來(lái)自?xún)?nèi)網(wǎng)，如蠕蟲(chóng)病毒攻擊、網(wǎng)絡(luò)泄密等。很多嚴(yán)重網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄密事件也均來(lái)自?xún)?nèi)網(wǎng)，據(jù)美國(guó)2003年度CSI/FBI計(jì)算機(jī)安全調(diào)查的數(shù)據(jù)，雖然外部攻擊占總攻擊次數(shù)的22％，但是破壞力卻是外網(wǎng)攻擊的10倍以上。

IT產(chǎn)業(yè)在摩爾定律的支持下高速發(fā)展了十幾年，新概念、新技術(shù)、新產(chǎn)品層出不窮，而今天，在這些新事物的推動(dòng)下，產(chǎn)生了新型的服務(wù)模式——?jiǎng)?chuàng)新服務(wù)。在IT業(yè)界，產(chǎn)品即服務(wù)、軟件即服務(wù)的口號(hào)已被人們所認(rèn)識(shí)，但是這種服務(wù)也是基于產(chǎn)品，產(chǎn)品廠(chǎng)商也只是在自身安全產(chǎn)品基礎(chǔ)上推出一系列服務(wù)，前提是用戶(hù)必須購(gòu)買(mǎi)產(chǎn)品，這種情況造成了服務(wù)成為產(chǎn)品的附屬品，一旦產(chǎn)品出現(xiàn)了缺陷，服務(wù)效果也隨之下降。而真正以用戶(hù)安全需求為出發(fā)點(diǎn)，以產(chǎn)品做基礎(chǔ)輔件，而向用戶(hù)全面提供服務(wù)的創(chuàng)新型服務(wù)的思想。這種理念在信息安全行業(yè)并沒(méi)有出現(xiàn)，顯然許多跨國(guó)企業(yè)已經(jīng)意識(shí)到了這一點(diǎn)，為了瞄準(zhǔn)國(guó)際先進(jìn)水平，發(fā)揚(yáng)自主創(chuàng)新精神，北京和源沐澤科技發(fā)展有限公司經(jīng)過(guò)3年苦研，在2006年率先推出了真正以用戶(hù)需求為驅(qū)動(dòng)的創(chuàng)新服務(wù)模式——U—guard內(nèi)網(wǎng)安全管理系統(tǒng)1.0。

U—guard內(nèi)網(wǎng)安全

管理系統(tǒng)1.0研發(fā)過(guò)程

U—guard內(nèi)網(wǎng)安全管理系統(tǒng)1.0研發(fā)過(guò)程分以下兩個(gè)階段：

第一階段，項(xiàng)目調(diào)研和分析

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的開(kāi)放性、互連性、共享性程度的擴(kuò)大，隨之而來(lái)的威脅越來(lái)越多，如黑客攻擊、惡意代碼、蠕蟲(chóng)病毒、網(wǎng)絡(luò)泄密等威脅不斷增多，可以說(shuō)，網(wǎng)絡(luò)從沒(méi)有像今天這樣脆弱不堪，危機(jī)四伏。

造成今天這個(gè)局面的一個(gè)重要原因是：在網(wǎng)絡(luò)建設(shè)初期，網(wǎng)絡(luò)安全并沒(méi)有很好規(guī)劃。人們總是習(xí)慣于先追求互連互通，然后再考慮安全，隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品不斷疊加，安全產(chǎn)品如掛燈籠式地疊加在網(wǎng)絡(luò)產(chǎn)品之上，整體缺乏統(tǒng)一管理和配合，彼此之間沒(méi)有溝通和交互，從而造成網(wǎng)絡(luò)安全脆弱的狀況。日益嚴(yán)重的安全威脅使得用戶(hù)對(duì)安全的需求日益迫切，用戶(hù)需求推動(dòng)網(wǎng)絡(luò)產(chǎn)業(yè)界和安全產(chǎn)業(yè)界分別重新審視安全的網(wǎng)絡(luò)和網(wǎng)絡(luò)的安全。可以預(yù)見(jiàn)將來(lái)，網(wǎng)絡(luò)與安全的融合才是解決目前尷尬現(xiàn)狀的出路。

目前市場(chǎng)中所部署的多數(shù)安全解決方案都要求客戶(hù)將安全功能與聯(lián)網(wǎng)戰(zhàn)略分離開(kāi)來(lái)，各種各樣的安全威脅讓單一的防護(hù)體系不堪一擊。當(dāng)今的網(wǎng)絡(luò)環(huán)境要求采用比傳統(tǒng)單一產(chǎn)品(即防火墻)更加強(qiáng)大的解決方案保證語(yǔ)音、視頻和數(shù)據(jù)網(wǎng)絡(luò)的安全，一套完整的網(wǎng)絡(luò)安全解決方案以及先進(jìn)的防護(hù)理念成為改變當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀的重要手段。

今天的安全產(chǎn)品和技術(shù)，既成熟又不成熟，成熟的是相對(duì)獨(dú)立的幾個(gè)方面，比如防病毒和防火墻；不成熟表現(xiàn)在缺乏整體安全解決方案。這種整體的不成熟給用戶(hù)造成困擾，盡管部署了防火墻、防病毒和IDS等安全產(chǎn)品，但面臨嚴(yán)重的網(wǎng)絡(luò)攻擊時(shí)依然損失慘重。因?yàn)槊恳环N安全產(chǎn)品和技術(shù)看到的只是一個(gè)相對(duì)獨(dú)立安全信息，缺乏安全管理和集中調(diào)度，就像盲人摸象，永遠(yuǎn)只是看到了問(wèn)題的一個(gè)方面，而沒(méi)有看到問(wèn)題的全部。

在響應(yīng)安全威脅方面，獨(dú)立于網(wǎng)絡(luò)部署的安全產(chǎn)品是比較單薄的，比如防火墻只能在網(wǎng)絡(luò)的邊緣起作用，對(duì)內(nèi)網(wǎng)的攻擊無(wú)能為力；防病毒軟件需依賴(lài)終端用戶(hù)的有效使用，而這種依賴(lài)缺乏有效的控制，用戶(hù)可以隨意安裝或不安裝，安裝正版或盜版的防病毒軟件；入侵檢測(cè)只能報(bào)告非法入侵，并不能立即阻止正在發(fā)生的侵害。在復(fù)雜的網(wǎng)絡(luò)上部署獨(dú)立的安全設(shè)備有時(shí)比較困難，把它們嵌入現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋾r(shí)顯得非常突兀，輕則影響連通性和性能，重則引發(fā)新的故障，經(jīng)常使用戶(hù)陷入效率和安全的兩難選擇。

第二階段，系統(tǒng)設(shè)計(jì)

系統(tǒng)結(jié)構(gòu)

2003年初，北京和源沐澤科技發(fā)展有限公司針對(duì)調(diào)研匯總、分析的結(jié)果。首次明確提出Uguard的概念。具有結(jié)構(gòu)開(kāi)放性、軟件的可編程性、硬件可重構(gòu)性以及功能和頻段的多樣性等特點(diǎn)，無(wú)論在政府、軍事、行業(yè)管理和教育系統(tǒng)，還是在商用數(shù)據(jù)通信中，都有著巨大的應(yīng)用潛力，它具有良好的靈活性及可擴(kuò)展性。為使《Uguard內(nèi)網(wǎng)安全管理系統(tǒng)》中實(shí)現(xiàn)高速處理偵測(cè)數(shù)據(jù)技術(shù)，其中軟硬件有效、合理的結(jié)合是關(guān)鍵部分。利用嵌入式處理器ASIC對(duì)整體硬件處理，提高其他硬件的配置和數(shù)據(jù)接收。提出一種軟核與硬件邏輯相結(jié)合的高速數(shù)據(jù)交換偵測(cè)技術(shù)。可大大提高對(duì)數(shù)據(jù)處理，接收的靈活性和完整性。

ASIC克服了軟件防火墻和NP防火墻的不足之處，以專(zhuān)業(yè)防火墻芯片的優(yōu)秀性能、獨(dú)特的抗攻擊能力、專(zhuān)業(yè)的防火墻功能為亮點(diǎn)，正在快速取代前兩種防火墻。目前安全產(chǎn)品種類(lèi)很多，從網(wǎng)絡(luò)的結(jié)構(gòu)來(lái)看安全產(chǎn)品，四層大多是防火墻設(shè)備，四層以上是對(duì)應(yīng)用和內(nèi)容的安全處理，例如IDS系統(tǒng)、網(wǎng)關(guān)反病毒、內(nèi)容檢測(cè)等安全系統(tǒng)。由于對(duì)應(yīng)用和內(nèi)容進(jìn)行處理需要對(duì)數(shù)據(jù)流進(jìn)行重組和還原，然后進(jìn)行相關(guān)規(guī)則和關(guān)鍵字的查找，這些動(dòng)作對(duì)傳統(tǒng)安全產(chǎn)品來(lái)說(shuō)是非常消耗CPU資源的，因此傳統(tǒng)架構(gòu)的安全產(chǎn)品只能以犧牲性能為代價(jià)，同時(shí)對(duì)應(yīng)用的支持也缺乏廣泛性和統(tǒng)一性。另外廣大用戶(hù)也已經(jīng)不再滿(mǎn)足于使用某幾個(gè)種類(lèi)的安全產(chǎn)品實(shí)現(xiàn)某幾個(gè)安全功能了，整合式安全成了業(yè)內(nèi)人士口中的高頻詞匯，而統(tǒng)一安全管理也被越來(lái)越多的人認(rèn)為是未來(lái)的必然發(fā)展趨勢(shì)。

硬件設(shè)計(jì)

智能融合系統(tǒng)由兩部分組成：嵌入式安全接入硬件平臺(tái)和軟件安全平臺(tái)。

嵌入式安全硬件平臺(tái)，主要是嵌入式安全接入設(shè)備，實(shí)現(xiàn)數(shù)據(jù)流的重定向和開(kāi)關(guān)控制等功能，同時(shí)具有數(shù)據(jù)交換或路由功能。該設(shè)備實(shí)際上可以在現(xiàn)有的網(wǎng)絡(luò)接入設(shè)備上（如路由交換機(jī)或二層交換機(jī)）進(jìn)行定制開(kāi)發(fā)，使其不但具有數(shù)據(jù)的交換功能，同時(shí)嵌入安全控制模塊，與其他安全系統(tǒng)實(shí)現(xiàn)掛接。設(shè)計(jì)的掛接接口有：與安全策略服務(wù)器的接口，與認(rèn)證授權(quán)服務(wù)器的接口，與監(jiān)控服務(wù)器的接口，與防火墻的接口。

該硬件平臺(tái)在公司現(xiàn)有成熟的路由交換機(jī)的基礎(chǔ)上進(jìn)行升級(jí)開(kāi)發(fā)。分高端系列交換機(jī)和低端系列交換機(jī)。路由交換機(jī)作為匯接的網(wǎng)絡(luò)接入設(shè)備，有自己CPU系統(tǒng)，由于路由交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)和路由功能主要通過(guò)ASIC芯片完成，CPU大部分時(shí)間處在空閑狀態(tài)，無(wú)論在技術(shù)上還是在成本上非常適合進(jìn)行這種融合。通過(guò)升級(jí)處理能力更強(qiáng)的CPU，完全可以滿(mǎn)足這種安全控制的擴(kuò)展。

軟件安全平臺(tái)主要實(shí)現(xiàn)安全策略的制定、用戶(hù)授權(quán)、監(jiān)控?cái)?shù)據(jù)存儲(chǔ)等，主要有以下軟件平臺(tái)：安全策略服務(wù)軟件系統(tǒng)，用戶(hù)授權(quán)服務(wù)軟件系統(tǒng)，網(wǎng)絡(luò)監(jiān)控服務(wù)軟件系統(tǒng)，客戶(hù)端。

軟件設(shè)計(jì)

在U—guard軟件的設(shè)計(jì)上采用業(yè)界已經(jīng)成熟的C/S結(jié)構(gòu)：客戶(hù)端軟件負(fù)責(zé)認(rèn)證、收集數(shù)據(jù)、執(zhí)行策略、執(zhí)行分布式計(jì)算任務(wù)；服務(wù)端程序負(fù)責(zé)下發(fā)策略，存儲(chǔ)數(shù)據(jù)，下發(fā)、協(xié)調(diào)分布式計(jì)算任務(wù)，控制臺(tái)程序配制策略，以及審計(jì)用戶(hù)的電腦操作數(shù)據(jù)。

整個(gè)U—guard按功能分有：認(rèn)證模塊、屏幕監(jiān)控模塊、網(wǎng)絡(luò)行為審計(jì)模塊、應(yīng)用程序?qū)徲?jì)模塊、資產(chǎn)管理模塊、網(wǎng)絡(luò)安全模塊。

運(yùn)行設(shè)計(jì)

系統(tǒng)基本原理如上圖所示，將普通接入設(shè)備升級(jí)成安全接入設(shè)備后，某一用戶(hù)通過(guò)認(rèn)證授權(quán)服務(wù)器準(zhǔn)入驗(yàn)證后，進(jìn)入網(wǎng)絡(luò)，這時(shí)假如該用戶(hù)的機(jī)器染有沖擊波病毒，防火墻或安全接入設(shè)備根據(jù)策略中心下發(fā)的安全策略檢測(cè)到有病毒攻擊，則自動(dòng)將該用戶(hù)數(shù)據(jù)流阻斷，同時(shí)引導(dǎo)到安全策略服務(wù)器上，強(qiáng)制或詢(xún)問(wèn)用戶(hù)下載正版殺病毒軟件或在線(xiàn)殺毒。只有用戶(hù)完成這些程序后，用戶(hù)才被允許繼續(xù)上網(wǎng)。

另一方面，對(duì)于某些上網(wǎng)行為安全要求較高的領(lǐng)域，還可以開(kāi)啟行為監(jiān)控功能，實(shí)行在線(xiàn)上網(wǎng)監(jiān)控。真正實(shí)現(xiàn)對(duì)人和網(wǎng)絡(luò)立體化防御。

Uguard內(nèi)網(wǎng)安全管理系統(tǒng)1.0創(chuàng)新點(diǎn)

（1).U—guard系統(tǒng)1.0推出了SPN網(wǎng)絡(luò)自保戶(hù)的安全概念，其專(zhuān)業(yè)的網(wǎng)絡(luò)威脅評(píng)估系統(tǒng)，能夠根據(jù)流量異常，特征包以及常見(jiàn)攻擊特征發(fā)現(xiàn)并定位安全隱患，將終端隔離，防止其在網(wǎng)絡(luò)中蔓延。同時(shí)系統(tǒng)可自動(dòng)調(diào)用病毒及木馬查殺工具徹底根除終端中的安全隱患，然后將其恢復(fù)到網(wǎng)絡(luò)中。U—guard系統(tǒng)1.0的“發(fā)現(xiàn)-隔離-治愈-恢復(fù)”智能處理機(jī)制，確保整個(gè)網(wǎng)絡(luò)暢通。

(2).U—guard系統(tǒng)1.0采用ASIC加速芯片硬件產(chǎn)品架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品，大部分采用軟件與服務(wù)器或者工控機(jī)結(jié)合的模式，存在處理速度慢、穩(wěn)定性差和軟件自身安全難以保證等問(wèn)題，形成了網(wǎng)絡(luò)瓶頸和更多的安全問(wèn)題。而采用ASIC加速芯片，具備高速數(shù)據(jù)交換能力，并且穩(wěn)定安全可靠。

(3).U—guard系統(tǒng)1.0將網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理有效融合為一體。使得網(wǎng)絡(luò)安全問(wèn)題管理更加便捷，更加安全。在安全維護(hù)管理方面，提供一條由內(nèi)而外，從挨打被動(dòng)的防御戰(zhàn)，變?yōu)橹鲃?dòng)出擊的攻堅(jiān)戰(zhàn)內(nèi)網(wǎng)安全制御之道，不僅能夠有效的保護(hù)企業(yè)的信息網(wǎng)絡(luò)安全，還能極大地降低管理者的工作量和難度，為用戶(hù)節(jié)省70%以上網(wǎng)絡(luò)管理成本。

(4).U—guard系統(tǒng)1.0采用開(kāi)放式設(shè)計(jì)架構(gòu)，提供了豐富的外部擴(kuò)展接口。能夠和防火墻、入侵檢測(cè)、反垃圾郵件系統(tǒng)、殺毒軟件、加密系統(tǒng)進(jìn)行聯(lián)動(dòng)，構(gòu)建一個(gè)內(nèi)外互動(dòng)的全方位安全保護(hù)體系。