构建时间的空间网络层次三纬度集成端到端安全网络.docVIP

构建时间的空间网络层次三纬度集成端到端安全网络 　　今天，大部分人对黑客、病毒攻击的危险性都有了深刻的认识，所以很多网络都大量投资了防火墙、防病毒软件等。但一段时间运作下来，发现效果并不理想，原因何在？关键在于安全是一个完整的体系，原来的安全体系架构存在巨大的缺陷。 　　从时间来看，网络安全设计及解决方案往往只考虑事前防范，缺乏必要的事后追踪及审计能力，时间层面上并没有端到端考虑;从空间来看，往往侧重于考虑对来自外网的黑客防御，对于内部的安全控制缺乏必要手段，空间层面并没有端到端考虑;从网路层面来看，往往侧重于业务层的安全，对网络层和用户层的安全缺乏必要关注。 　　随着业务与网络的集成关系越来越紧密，网络安全在IP网络的发展中居于越来越显著的地位，对于IP业务的发展起着非常关键的基础作用。作为端到端高安全网络的倡导者、实践者和领先者，华为提出“i3安全”解决方案，即时间、空间、网络层次三个纬度端到端集成安全体系架构，给产业界和用户一个完整清晰的网络安全导航图。 　　IP信息网全面安全防护要求 　　 　　从完整的安全角度来看，安全的威胁包括基础网络资源本身以及承载的数据两个方面，而对安全的保障也应该是一个从发送端到接收端的完整的端到端的安全防护模型（见图1） 　　数据传送保证机密性、完整性及正确性，网络资源防止路由欺骗、地址盗用，对于带宽和端口的占用可以有效的管理与控制，均是构成一个完整安全体系不可缺少的组成部分。 　　 　　华为“i3安全”体系架构 　　 　　面对当前日益复杂的网络环境，作为“全业务和可管理网路”的倡导者、实践者和领先者，华为公司以其长期的网络实践，先进的网络理念认为在当前日益复杂的网络环境下，需要对传统的狭义网络安全理念进行重大变革，基于对当前网络发展需求的研究，开拓性地提出“i3安全”解决方案，即时间、空间、网络层次三个纬度端到端集成安全体系架构，给产业界和用户一个完整安全解决方案。 　　在该架构中，大家除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视觉，具备全面考虑与实施安全防护的模型与能力。 　　 　　网络层次（网络层、用户层、业务层）端到端安全理念 　　网络的各层次均存在安全威胁的可能，华为的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。 　　网络层:保障网络路由，网络地址等基础网络的安全； 　　用户接入层:确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全； 　　业务层:保证用户访问内容的合法性与安全性。 　　华为的“i3安全” 集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。 　　 　　时间（事前、事后）端到端安全理念 　　以前业界更关注网络的事前防范能力，而对事后跟踪能力考虑很少，在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别: 　　事前防范:主要通过数据隔离、加密、过滤等技术，加强整个网络的健壮性。 　　事后跟踪:通过对用户上网端口、时间、访问地的记录，从而为后期的分析提供第一手的资料。 　　实际上日志记录等功能是一个非常良好的追溯手段，在出现问题时可以根据记录迅速查找源头，防止事态进一步扩大。但原来的日志记录都仅限于在应用层的服务器做。这个方案最大的问题就是宽带网络提供灵活的接入手段使得接口分布广泛，仅在应用层做记录无法定位用户的位置，特别是当出现应用层账号密码盗用时给后期的进一步追查带来很大的困难。而华为的“i3安全”架构提供在网络级做日志记录的能力，可以定位到端口，从而确定物理地点与时间，将会给后期进一步查明真相带来很大的帮助。特别是针对我国IP地址比较少，公有地址和私有地址混合组网等随处可见的情况，独具在私有地址环境下的追溯能力。 　　 　　空间（外网、内网）端到端安全理念 　　以往的安全体系侧重在外网防范上下工夫，而对内网安全考虑很少。接入Internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的管理力度都有很大的差异，所以必须针对外网与内网的不同特点制定有效的安全策略: 　　外网:通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范。 　　内网:通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。 　　 　　在目前这样一个人员高动流动的时代，大部分的泄密均源自内网。原因是传统网络提供的是一个平等的数据交换平台，而实际上不同的人员其访问的范围应该是有所不同。原有的在应用层进行用户鉴