三維分解"網(wǎng)絡"技術(shù)
有讀者可能會問,為何在網(wǎng)絡中只提國內(nèi)廠商。其實,由于內(nèi)網(wǎng)的特殊性,要求安全廠商必須對本地應用進行支持。正如大東網(wǎng)絡技術(shù)負責人唐正雨所講的,提到限制IM應用,在國內(nèi)就要想到QQ、網(wǎng)易泡泡、淘寶旺旺;提到封殺P2P,在國內(nèi)必須考慮迅雷和Vagaa。而這恰恰考驗了廠商的本土化能力。
而深信服的安全產(chǎn)品經(jīng)理鄔迪向記者介紹說,國外專注于網(wǎng)絡的安全公司,大都基于國際上的標準化應用,像ICQ、MSN、雅虎Messenger、Skype等。但國內(nèi)的情況卻復雜很多,僅僅移植基于通用的應用層技術(shù)還遠遠不夠。
正是為了應對過程的復雜性,一套標準的網(wǎng)絡系統(tǒng)必須要工作在網(wǎng)絡層、傳輸層以及應用層三個層次。
為此唐正雨介紹說,系統(tǒng)必須內(nèi)置數(shù)據(jù)通信模式識別與分析模塊,為的是幫助企業(yè)實時監(jiān)視網(wǎng)絡系統(tǒng)的運行狀態(tài),記錄網(wǎng)絡事件,并對網(wǎng)絡活動的相關(guān)信息進行存儲,同時提供分析和回放。
聯(lián)想網(wǎng)御的安全專家表示,目前的系統(tǒng)主要是通過內(nèi)置的基本網(wǎng)絡應用協(xié)議、數(shù)據(jù)庫應用協(xié)議等幾大類、數(shù)十種協(xié)議分析模塊,將進出網(wǎng)絡邊界(如核心網(wǎng)與外網(wǎng)之間)的網(wǎng)絡通信數(shù)據(jù)進行實時、完整的還原,以便重現(xiàn)用戶訪問的網(wǎng)絡資源或者進行的操作。
此外,網(wǎng)御神州的安全產(chǎn)品經(jīng)理葉蓬認為,通過對用戶內(nèi)網(wǎng)進行邊界,可以對歷史的網(wǎng)絡行為進行追溯,為在出現(xiàn)安全事件時作為責任劃分的依據(jù),并且當重要數(shù)據(jù)意外丟失后還可以利用其進行數(shù)據(jù)恢復。
目前,國內(nèi)通行的網(wǎng)絡系統(tǒng)采用"一硬二軟"的系統(tǒng)組合。以DD2000系統(tǒng)為例,在硬件上一般都采用一個基于安全操作系統(tǒng)平臺的器;在軟件上,則分為集中管理平臺和管理器兩部分。前者大多為一套可以運行在Windows 2000/2003 Server上的軟件系統(tǒng),用來對一個或者多個器進行集中管理和數(shù)據(jù)分析;后者則是用來管理配置系統(tǒng)策略、開展日志分析的管理軟件。
