當前，網(wǎng)絡用戶和病毒之間不停地進行著警察抓小偷的游戲。動態(tài)分布式防御安全管理策略能夠通過聯(lián)動技術，實現(xiàn)智能化安全管理，由安全系統(tǒng)代替管理人員與病毒展開警察與小偷的較量。
　　據(jù)據(jù)公安部對七千多家重要信息網(wǎng)絡、信息系統(tǒng)使用單位的統(tǒng)計顯示，2004年發(fā)生網(wǎng)絡安全事件的比例為58%，而2004年5月份，病毒總數(shù)就超過了2003年全年總和。面對網(wǎng)絡安全事件的不斷飚升，在安全防范技術方面，整體網(wǎng)絡安全解決之道也逐漸取代局部安全解決方式成為主流。
　　提出聯(lián)動的安全策略
　　當前全球安全事件不斷發(fā)生，蠕蟲病毒肆虐、隱性黑客攻擊，越來越多的網(wǎng)絡面對內(nèi)外夾擊的尷尬處境，用戶為不斷發(fā)生的安全事故，疲于奔波，剛修復好崩潰的網(wǎng)絡，病毒又開始在網(wǎng)絡的某個角落密謀下一次的罪行。
　　“聯(lián)動”思想的聲音在業(yè)界響徹已久，聯(lián)動是讓網(wǎng)絡系統(tǒng)中的元素都具備安全解決能力，雖然各自分工不同，但元素之間的協(xié)同工作，勢必能構成團體的優(yōu)勢。而聯(lián)動中不可忽視的核心點是讓網(wǎng)絡全民皆兵，要讓交換機、路由器、IDS、_blank">防火墻、用戶管理系統(tǒng)、網(wǎng)元管理系統(tǒng)等擁有統(tǒng)一的溝通機制。
　　但是，讓五花八門的設備實現(xiàn)聯(lián)動談何容易。一直以來，多設備之間的管理聯(lián)動問題始終沒有一個成型的方案出臺。聯(lián)動問題的關鍵就在于不同設備之間需要建立一個通信接口協(xié)議標準，而且它們之間的通信數(shù)據(jù)必須加密，以避免被偵聽識別，引發(fā)不安全動作。如今神州數(shù)碼網(wǎng)絡開發(fā)了SAOP(Security association operation protocol)協(xié)議，并通過它實現(xiàn)了IDS系統(tǒng)、DCBI服務器、交換機、_blank">防火墻、LinkManager網(wǎng)管等設備之間的聯(lián)動，將理念變成了真實的應用。有了這樣的聯(lián)動管理機制，無論是來自于網(wǎng)絡外部還是內(nèi)部的影響穩(wěn)定應用的干擾因素，網(wǎng)絡都能夠識別，并自動監(jiān)控，如果問題嚴重，網(wǎng)絡將自動強迫干擾源下線或者屏蔽這一干擾源。
　　3D-SMP(Dynamic Distributed Defense - Security Management Policy)，又稱“動態(tài)分布式防御安全管理策略”。3D-SMP保留了神州數(shù)碼網(wǎng)絡的D2SMP解決方案的特點，同時又加入了更新的安全元素，使網(wǎng)絡的安全管理比以往更加周密，反應的速度比以往更加迅速。
　　3D-SMP能夠解決設備協(xié)同工作的難題，憑借特有的通用接口協(xié)議，加強了網(wǎng)絡中各個設備之間的安全聯(lián)動性能，使網(wǎng)絡中各自為政的信息安全孤島形成統(tǒng)一的安全平臺。為用戶提供一個高度自動化響應的智能網(wǎng)絡安全管理系統(tǒng)。最重要的是，當網(wǎng)絡出現(xiàn)病毒或惡意攻擊時，無論是來自于企業(yè)網(wǎng)絡的外部還是企業(yè)網(wǎng)絡的內(nèi)部，無需人為干預，系統(tǒng)自動響應處理，保證用戶的數(shù)據(jù)、語音、視頻等多種應用依然能正常地運行。
　　3D-SMP有兩個核心的思想，“動態(tài)”和“聯(lián)動”。網(wǎng)絡所面臨的安全問題并不是一成不變，威脅可能來自于任何一個地方，病毒具有強大的自我復制和變種的能力，系統(tǒng)隨時受到未知病毒的攻擊，因此3D-SMP被賦予了動態(tài)的防護能力，建立靈活多變的應對機制，無論病毒什么時候、從什么網(wǎng)絡中那個環(huán)節(jié)，以什么面目出現(xiàn)，系統(tǒng)都能及時地捕捉到異常的信息，調(diào)用安全策略體系當中的相應解決手段，保障網(wǎng)絡的安全運行。
　　“病毒總是不斷地在翻新變樣，讓用戶疲于應付，在網(wǎng)絡如此發(fā)達的今天，為了安全，用戶注定需要和病毒之間不停地進行著警察抓小偷的游戲!”神州數(shù)碼網(wǎng)絡公司企業(yè)網(wǎng)事業(yè)部總經(jīng)理黃堅認為，“只要有網(wǎng)絡就會有安全問題存在。3D-SMP能夠減輕用戶的負擔，通過聯(lián)動技術，實現(xiàn)智能化安全管理，由安全系統(tǒng)�替管理人员託濉毒展开警察与小蜋n慕狹俊!?BR>
　　“聯(lián)動”是3D-SMP的特色，為解決信息安全孤島的問題，為網(wǎng)絡設備開發(fā)通用的SOAP安全協(xié)議，使用戶安全平臺、交換機、路由器、IDS和客戶端等網(wǎng)絡元素之間實現(xiàn)聯(lián)動，牽一發(fā)而動全身。黃堅表示，病毒是無法徹底杜絕的，但是可以通過良好的聯(lián)動管理方式，將風險降低到最小。
　　從D2SMP到3D-SMP的演進
　　D2SMP的重點在于內(nèi)網(wǎng)的安全防護，使用802.1X認證，實現(xiàn)用戶接入的6元素綁定策略，變對設備的管理為對人的管理，對于規(guī)范網(wǎng)絡使用者的行為，抑制非法行為的產(chǎn)生起到了非常好的效果，通過安全客戶端和ACL訪問控制分發(fā)執(zhí)行預先制定的安全管理策略，當接入的設備無法達到網(wǎng)絡安全的要求時，安全客戶端自動聯(lián)接策略服務器，強制接入終端進行軟件的更新和升級，在達到要求后，通知DCBI-3000用戶接入認證系統(tǒng)，允許用戶合法接入，根據(jù)用戶類別，劃分到不同的安全域當中，從源頭上制止非法行為的發(fā)生。
　　3D-SMP在D2SMP的用戶安全管理上的基礎上，在方案中增加了DCFW-1800_blank">防火墻、DCNIDS-1800入侵檢測設備，網(wǎng)絡的安全將由智能交換機、路由器、_blank">防火墻、IDS、客戶端和用戶安全平臺六個組成部分之間的聯(lián)動來完成，不僅內(nèi)網(wǎng)的安全防護性能上升到一個新的階段，外網(wǎng)的安全也得到了有力的保證(如圖1)。
　　遵循動態(tài)安全模型
　　3D-SMP遵循了PPDR動態(tài)安全模型。PPDR是由Policy(安全策略)、Protection(保護)、Detection(檢測)和Response(響應)組成。
　　Policy:是3D-SMP的中樞，所有的防護、檢測、響應都是依據(jù)安全策略實施的，安全策略為安全的管理提供指導方向和支持手段。安全策略體系的建立包括策略的制訂、評估和執(zhí)行等。
　　Protection:通過身份認證、_blank">防火墻、客戶端軟件、加密等傳統(tǒng)的靜態(tài)的安全技術來實現(xiàn)。
　　Detection:是3D-SMP中非常重要的一個環(huán)節(jié)，檢測是進行動態(tài)響應和動態(tài)保護的依據(jù)，同時強制網(wǎng)絡落實安全策略，檢測設備不間斷地檢測、監(jiān)控網(wǎng)絡和系統(tǒng)，及時發(fā)現(xiàn)網(wǎng)絡中新的威脅和存在的弱點，通過循環(huán)的反饋來及時做出有效的響應。
　　Response:緊急響應在安全系統(tǒng)中占有最重要的位置，是解決潛在安全問題最有效的方法，從某種意義上來講，安全問題就是要解決緊急響應問題和異常問題處理。
　　以外網(wǎng)攻擊為例(如圖2)，當黑客試圖從外部對內(nèi)網(wǎng)進行攻擊，DCNIDS從網(wǎng)絡中檢測到網(wǎng)絡流量的異常現(xiàn)象，經(jīng)過報文驗證確認其為黑客攻擊，立即通知DCBI-3000用戶管理平臺有來自外網(wǎng)的攻擊行為(Detection)，用戶管理平臺根據(jù)DCNIDS提供的信息進行分析(Policy)，選擇報警或通知DCFW-1800W_blank">防火墻阻斷連接(Response)，_blank">防火墻接到通知，將黑客拒之門外，達到保護網(wǎng)絡的目的，有效防止來自外部的非法攻擊(Protection)。
　　以內(nèi)網(wǎng)攻擊為例，當內(nèi)網(wǎng)用戶發(fā)起攻擊時，DCNIDS檢測到網(wǎng)絡流量的異常，分析后確定為來自于內(nèi)網(wǎng)的攻擊行為(Detection)，DCIDS通知DCBI-3000用戶管理平臺，DCBI-3000記錄本次攻擊行為并進行分析(Policy)，通知交換機向用戶提出警告(Response)，交換機各用戶終端彈出警告窗口，警告無效，通知交換機強制用戶下線，交換機關閉相應端口，用戶審被強制下線，來自內(nèi)網(wǎng)的攻擊行為被制止(Protection)。 
 

 
發(fā)揮聯(lián)動優(yōu)勢
　　3D-SMP充分發(fā)揮了聯(lián)動優(yōu)勢，在交換機、路由器等傳統(tǒng)交換設備中添加了安全模塊，在保證穩(wěn)定高效的數(shù)據(jù)交換前提下，具備更加完善的安全防護特性;安全客戶端實現(xiàn)策略自動更新、自動處理和自動報警，強制接入終端符合安全管理要求;_blank">防火墻具備強大的安全過濾功能;神州數(shù)碼網(wǎng)絡DCNIDS入侵檢測是能夠24小時不間斷巡視網(wǎng)絡，第一時間發(fā)現(xiàn)異常情況，安全策略的制訂、分發(fā)與執(zhí)行由用戶安全平臺統(tǒng)籌管理。
　　記者在3D-SMP的現(xiàn)場的演示看到，當網(wǎng)絡受到蠕蟲等病毒攻擊的時候，正在進行的視頻會議受到明顯的干擾，但經(jīng)過短短的幾十秒后，3D-SMP自動檢測到網(wǎng)絡的異常現(xiàn)象，并準確地找到病毒的來源，將攜帶病毒源的計算機阻斷，使之與網(wǎng)絡脫離，隨即視頻會議恢復正常。整個過程迅速及時，而且不需要網(wǎng)絡管理員的任何作為，同時用戶的管理平臺將整個事件記錄在案，進行自我學習，自我完善。由于有了認證進入網(wǎng)絡的前提，因此在整個網(wǎng)絡中，管理員可以通過“網(wǎng)絡日志”了解到具體哪臺機器，哪個用戶有不良行為，從而杜絕了網(wǎng)絡假冒地址、假冒用戶攻擊從而錯誤的阻斷真正用戶的問題。
　　3D-SMP將內(nèi)網(wǎng)安全和外網(wǎng)安全集中到用戶安全平臺的管理之下，統(tǒng)一的安全策略加強了反應時間，降低了風險，用戶安全平臺將記錄所有內(nèi)外網(wǎng)的安全事件，具備自我學習的基因，使3D-SMP能夠自我完善，從容應付花樣不斷翻新的病毒、黑客攻擊手段。
　　從D2SMP到3D-SMP，用聯(lián)動實現(xiàn)了從內(nèi)網(wǎng)的安全到內(nèi)外兼“固”的變化(如圖3)，保障了用戶網(wǎng)絡的多種應用的可靠運行，整個網(wǎng)絡的安全防護都是在不中斷用戶數(shù)據(jù)、語音或者視頻等運用的情況下，不需要人為的干預，而由3D-SMP自動完成。