神州数码向阳朝:“以太网安全”的处方

    向阳朝 神州数码网络有限公司研发中心技术总监 

    在神州数码看来，安全防护不是针对于某一点，而是与管理密切相关。神州数码将网络安全问题划分为三个维度：第一个维度是网络层次结构，分别是基础设施层（包括主机、接入、汇聚、核心）、服务层和应用层；第二个维度是网络活动平面，分别是：管理平面、控制平面和数据平面；第三个维度是根据CCITT X.800定义的威胁类别，分别是信息或资源的破坏；信息误用或篡改；信息或资源的窃取、删除或丢失；信息泄漏；服务中断。

    安全问题需要“内外兼修”，神州数码的D2SMP分布式安全域管理策略的出现，满足了企业网对内部安全的要求。

    D2SMP是一套由安全认证服务器、安全特性交换机、IPS系统、客户端软件、网管软件等一系列安全产品组成的，可根据用户地理位置、用户账号属性、网络使用目的等多种特征划分不同逻辑“安全域”，具有良好维护效率的分布式、下一代系统安全管理解决方案。“安全域”的提出就主要是为了通过多种手段解决网络内部安全的问题。在“安全域”的构建上，神州数码网络率先提出了基于用户的VLAN划分的策略。

    D2SMP方案的安全效果是通过以下四个梯队层次分别进行安全管理部署来体现的，即用户功能层、策略控制层、区域防御层和安全管理层，以使整个网络安全可靠。