Uguard内网安全
管理系统1.0研发思想
如今的安全部署有个误区,一旦遇到网络安全问题,人们总是习惯于倾向局域网外部入侵的防御,强化出口处安全设备的优化,却往往忽视来自内部网络安全的威胁,从目前的情况看,网络威胁绝大部分是来自内网,如蠕虫病毒攻击、网络泄密等。很多严重网络攻击或数据泄密事件也均来自内网,据美国2003年度CSI/FBI计算机安全调查的数据,虽然外部攻击占总攻击次数的22%,但是破坏力却是外网攻击的10倍以上。
IT产业在摩尔定律的支持下高速发展了十几年,新概念、新技术、新产品层出不穷,而今天,在这些新事物的推动下,产生了新型的服务模式——创新服务。在IT业界,产品即服务、软件即服务的口号已被人们所认识,但是这种服务也是基于产品,产品厂商也只是在自身安全产品基础上推出一系列服务,前提是用户必须购买产品,这种情况造成了服务成为产品的附属品,一旦产品出现了缺陷,服务效果也随之下降。而真正以用户安全需求为出发点,以产品做基础辅件,而向用户全面提供服务的创新型服务的思想。这种理念在信息安全行业并没有出现,显然许多跨国企业已经意识到了这一点,为了瞄准国际先进水平,发扬自主创新精神,北京和源沐泽科技发展有限公司经过3年苦研,在2006年率先推出了真正以用户需求为驱动的创新服务模式——U—guard内网安全管理系统1.0。
U—guard内网安全
管理系统1.0研发过程
U—guard内网安全管理系统1.0研发过程分以下两个阶段:
第一阶段,项目调研和分析
随着网络的普及,网络的开放性、互连性、共享性程度的扩大,随之而来的威胁越来越多,如黑客攻击、恶意代码、蠕虫病毒、网络泄密等威胁不断增多,可以说,网络从没有像今天这样脆弱不堪,危机四伏。
造成今天这个局面的一个重要原因是:在网络建设初期,网络安全并没有很好规划。人们总是习惯于先追求互连互通,然后再考虑安全,随着网络应用的不断深入,网络产品和安全产品不断叠加,安全产品如挂灯笼式地叠加在网络产品之上,整体缺乏统一管理和配合,彼此之间没有沟通和交互,从而造成网络安全脆弱的状况。日益严重的安全威胁使得用户对安全的需求日益迫切,用户需求推动网络产业界和安全产业界分别重新审视安全的网络和网络的安全。可以预见将来,网络与安全的融合才是解决目前尴尬现状的出路。
目前市场中所部署的多数安全解决方案都要求客户将安全功能与联网战略分离开来,各种各样的安全威胁让单一的防护体系不堪一击。当今的网络环境要求采用比传统单一产品(即防火墙)更加强大的解决方案保证语音、视频和数据网络的安全,一套完整的网络安全解决方案以及先进的防护理念成为改变当前网络安全现状的重要手段。
今天的安全产品和技术,既成熟又不成熟,成熟的是相对独立的几个方面,比如防病毒和防火墙;不成熟表现在缺乏整体安全解决方案。这种整体的不成熟给用户造成困扰,尽管部署了防火墙、防病毒和IDS等安全产品,但面临严重的网络攻击时依然损失惨重。因为每一种安全产品和技术看到的只是一个相对独立安全信息,缺乏安全管理和集中调度,就像盲人摸象,永远只是看到了问题的一个方面,而没有看到问题的全部。
在响应安全威胁方面,独立于网络部署的安全产品是比较单薄的,比如防火墙只能在网络的边缘起作用,对内网的攻击无能为力;防病毒软件需依赖终端用户的有效使用,而这种依赖缺乏有效的控制,用户可以随意安装或不安装,安装正版或盗版的防病毒软件;入侵检测只能报告非法入侵,并不能立即阻止正在发生的侵害。在复杂的网络上部署独立的安全设备有时比较困难,把它们嵌入现有的网络拓扑时显得非常突兀,轻则影响连通性和性能,重则引发新的故障,经常使用户陷入效率和安全的两难选择。
第二阶段,系统设计
系统结构
2003年初,北京和源沐泽科技发展有限公司针对调研汇总、分析的结果。首次明确提出Uguard的概念。具有结构开放性、软件的可编程性、硬件可重构性以及功能和频段的多样性等特点,无论在政府、军事、行业管理和教育系统,还是在商用数据通信中,都有着巨大的应用潜力,它具有良好的灵活性及可扩展性。为使《Uguard内网安全管理系统》中实现高速处理侦测数据技术,其中软硬件有效、合理的结合是关键部分。利用嵌入式处理器ASIC对整体硬件处理,提高其他硬件的配置和数据接收。提出一种软核与硬件逻辑相结合的高速数据交换侦测技术。可大大提高对数据处理,接收的灵活性和完整性。
ASIC克服了软件防火墙和NP防火墙的不足之处,以专业防火墙芯片的优秀性能、独特的抗攻击能力、专业的防火墙功能为亮点,正在快速取代前两种防火墙。目前安全产品种类很多,从网络的结构来看安全产品,四层大多是防火墙设备,四层以上是对应用和内容的安全处理,例如IDS系统、网关反病毒、内容检测等安全系统。由于对应用和内容进行处理需要对数据流进行重组和还原,然后进行相关规则和关键字的查找,这些动作对传统安全产品来说是非常消耗CPU资源的,因此传统架构的安全产品只能以牺牲性能为代价,同时对应用的支持也缺乏广泛性和统一性。另外广大用户也已经不再满足于使用某几个种类的安全产品实现某几个安全功能了,整合式安全成了业内人士口中的高频词汇,而统一安全管理也被越来越多的人认为是未来的必然发展趋势。
硬件设计
智能融合系统由两部分组成:嵌入式安全接入硬件平台和软件安全平台。
嵌入式安全硬件平台,主要是嵌入式安全接入设备,实现数据流的重定向和开关控制等功能,同时具有数据交换或路由功能。该设备实际上可以在现有的网络接入设备上(如路由交换机或二层交换机)进行定制开发,使其不但具有数据的交换功能,同时嵌入安全控制模块,与其他安全系统实现挂接。设计的挂接接口有:与安全策略服务器的接口,与认证授权服务器的接口,与监控服务器的接口,与防火墙的接口。
该硬件平台在公司现有成熟的路由交换机的基础上进行升级开发。分高端系列交换机和低端系列交换机。路由交换机作为汇接的网络接入设备,有自己CPU系统,由于路由交换机的数据转发和路由功能主要通过ASIC芯片完成,CPU大部分时间处在空闲状态,无论在技术上还是在成本上非常适合进行这种融合。通过升级处理能力更强的CPU,完全可以满足这种安全控制的扩展。
软件安全平台主要实现安全策略的制定、用户授权、监控数据存储等,主要有以下软件平台:安全策略服务软件系统,用户授权服务软件系统,网络监控服务软件系统,客户端。
软件设计
在U—guard软件的设计上采用业界已经成熟的C/S结构:客户端软件负责认证、收集数据、执行策略、执行分布式计算任务;服务端程序负责下发策略,存储数据,下发、协调分布式计算任务,控制台程序配制策略,以及审计用户的电脑操作数据。
整个U—guard按功能分有:认证模块、屏幕监控模块、网络行为审计模块、应用程序审计模块、资产管理模块、网络安全模块。
运行设计
系统基本原理如上图所示,将普通接入设备升级成安全接入设备后,某一用户通过认证授权服务器准入验证后,进入网络,这时假如该用户的机器染有冲击波病毒,防火墙或安全接入设备根据策略中心下发的安全策略检测到有病毒攻击,则自动将该用户数据流阻断,同时引导到安全策略服务器上,强制或询问用户下载正版杀病毒软件或在线杀毒。只有用户完成这些程序后,用户才被允许继续上网。
另一方面,对于某些上网行为安全要求较高的领域,还可以开启行为监控功能,实行在线上网监控。真正实现对人和网络立体化防御。
Uguard内网安全管理系统1.0创新点
(1).U—guard系统1.0推出了SPN网络自保户的安全概念,其专业的网络威胁评估系统,能够根据流量异常,特征包以及常见攻击特征发现并定位安全隐患,将终端隔离,防止其在网络中蔓延。同时系统可自动调用病毒及木马查杀工具彻底根除终端中的安全隐患,然后将其恢复到网络中。U—guard系统1.0的“发现-隔离-治愈-恢复”智能处理机制,确保整个网络畅通。
(2).U—guard系统1.0采用ASIC加速芯片硬件产品架构。传统的网络安全产品,大部分采用软件与服务器或者工控机结合的模式,存在处理速度慢、稳定性差和软件自身安全难以保证等问题,形成了网络瓶颈和更多的安全问题。而采用ASIC加速芯片,具备高速数据交换能力,并且稳定安全可靠。
(3).U—guard系统1.0将网络安全和网络管理有效融合为一体。使得网络安全问题管理更加便捷,更加安全。在安全维护管理方面,提供一条由内而外,从挨打被动的防御战,变为主动出击的攻坚战内网安全制御之道,不仅能够有效的保护企业的信息网络安全,还能极大地降低管理者的工作量和难度,为用户节省70%以上网络管理成本。
(4).U—guard系统1.0采用开放式设计架构,提供了丰富的外部扩展接口。能够和防火墙、入侵检测、反垃圾邮件系统、杀毒软件、加密系统进行联动,构建一个内外互动的全方位安全保护体系。