这个时代是网络的时代，网络的应用无所不在。在人们对网络依赖性越来越强的今天，网络安全形势也日益严重。近年来，针对网络安全的研究如火如荼，网络安全设备层出不穷，甚至出现了全球范围内网络厂商和病毒厂商广泛合作的趋势，他们渴望联手构建一个“让病毒无法近身的网络”。

    然而，网络的终端其实不是机器，而是一个个活生生的人。人与人之间的对抗和斗争，永远不会因为某种技术的出现而结束。因此，单纯以杜绝非法行为存在的思路来解决网络安全问题，虽然是最佳境界，但是就如“永动机”一样不切实际。所以，除了杜绝模式，我们还要学会“以狼共舞”，即在非法行为和病毒滋扰的环境中，保证整个网络的稳定运行，使这些危害所造成的损失尽可能控制在可接受的范围内。

可信、可控、可举证

    神州数码认为，要想“与狼共舞”，网络系统必须做到可信、可控、可举证。

    无数经验证明，匿名用户访问办公网会给网络安全带来巨大隐患。因此，拒绝非法的、未经授权的用户进入网络，只允许通过身份认证的用户进入，才能做到“可信”。网络管理者要始终知道是哪些人在网络上活动，一旦有人使用非授权的方式访问网络资源，网管要能够迅速捕捉到此类信息。

    同时，对于网络管理者来说，力争做到在任何时候都可以有效地管理网络，网络系统能够自动屏蔽非法访问，并能够在适当的时候强制非法用户下线，以便保证整个网络运行的安全和稳定。针对用户不同应用业务的带宽、流量和上网时间进行控制，同时设立面向用户的实时网络短消息通知机制等措施，是谓“可控”。

    对于用户上网之后的行为能够自动准确地记录，并在发生非法事件时，对网络事件进行历史回放，在安全管理上做到有据可查，是谓“可举证”。

    神州数码认为，只有做到以上几点，整个网络的安全性才可以得到有效的保证，至少，网络管理者知道是谁在什么时候，做了那些非法的事情，可以用明确的证据来证明历史事件的真实性。

3D-SMP构建“三可”机制

    调查显示，网络系统不安全因素仅有40%来自外部网络，而60%的网络不安全因素是来自内部网络。由此可见，采用传统的防火墙和IDS对用户来讲是必需的，但不能解决全部问题。神州数码以“可信、可控、可举证”为理念设计的“3D-SMP”正是在这样的背景下粉墨登场的。

    神州数码认为，既然安全是一个动态的概念，因此，在实现“可信、可控、可举证”方面，就必须采用动态的解决思路。3D-SMP的含义就是分布式动态防御安全管理策略（Dynamic Distributed Defense Security Management Policy）。“分布式”是指在整个网络中的接入层建立入网许可机制，从源头上确保接入用户的身份可控；“动态”的含义是根据用户的行为来判断其意图是否合法，无论是主观的恶意行为，还是非主观的病毒行为，并根据用户的行为来采取相应的措施。

     在这个3D-SMP的系统中，三个典型的产品扮演着主要角色，他们是DCBI-3000（认证计费系统）、DCBI-NetLog（网络行为日志）、DCBA-3000W（安全接入管理器），并通过特有的联动协议（神州数码的联动协议是SOAP），使得整个网络管理层的安全设备，如防火墙、IDS，以及接入交换机等网络设备能够自动实现相互之间的联动，从而具备识别用户、判断用户行为、强制管理用户的能力。

        DCBI是基于Radius标准协议而发展出来的产品，这套系统需要与支持IEEE801.1X标准协议的接入交换机相关联。当用户提出入网需求之时，DCBI系统确认用户的真实身份，在各种根据用户情况而设置的绑定要素都完全准确的情况下，DCBI打开接入交换机的端口，许可用户上网，同时分配相应的管理策略给接入交换机，使该用户在相应的权限范围内访问网络资源。在这样的认证下，DCBI准确地记录了上网用户的真实身份，能准确到具体的人，从而实现了“可信”。

    要想自由地在互联网中翱翔，必须有安全的网络环境，在技术上就需要有一款能够安全接入的管理产品。神州数码DCBA-3000W作为一款专用的安全接入管理产品，可以实现用户上网的安全身份认证，保证合法用户进入网络，同时对用户的带宽、不同业务的流量进行控制，包括对BT的流量进行限制等。此外，可以更加方便地实现用户原有网络的升级，仅仅把设备串联到现有网络中就可实现安全控制，原网络设备不必更换，以此更好地保护用户的原有投资，甚至原有网络的IP配置都不用改变，这些都是相对于802.1x解决方案的明显优势。

    有了这款设备，用户的网上工作就可以实现自动控制，从而避免诸如病毒爆发等对网络产生的重大危害。IDS、防火墙可以自动识别用户的非法行为，并通过SOAP联动协议，通知DCBI-3000、DCBA-300W警告用户。情况严重时，由DCBI-3000关闭交换机端口，强制用户下线，从而保证网络“可控”。

在整个网络中，网管软件、网络操作系统都具备事件日志这样的功能。但是目前这些日志还比较简单，仅能针对网络运行中的事件作出记录，而对于人的行为并没有很好的记录功能，特别是需要跟DCBI结合方面还是空白。此外，海量记录能力也是现有记录设备所无法实现的。因此，为了实现“可举证”，必须增加新的记录设备，从而保证记录的准确性和可靠性。

    神州数码的DCBI-NetLog便是为满足以上需求而开发出来的专用记录设备。作为高性能、海量存储设备，它可记录用户所有上网行为，上网时间及流量等数据，很容易查询用户在网上任意时刻的行为。此外，通过DCBI-NetLog与DCBA-3000W联动，可将用户的上网行为记录直接映射到用户名，而不是源IP地址，这样一来，针对网络安全事件可以更容易地确定具体肇事用户。

    由此可见，基于DCBA-3000W + DCBI-NetLog + DCBI-3000的网络能够充分实现“可信、可控、可取证”的网络安全理念。

3D-SMP帮助人大附中巧解病毒顽疾

    人大附中是一所全国著名的重点中学，1998年开始探索网络教学的新方式，随后开通了远程教学，以使人大附中的师资优势能发挥更大的价值。

    在网络应用中，人大附中逐渐为病毒的滋扰感到烦恼。频繁的病毒爆发很容易使整个网络瘫痪，网络问题不仅使收费的远程教育和网络分校的建设困难重重，而且大量的网络管理工作也让网络维护人员苦不堪言，使用几种不同的杀毒软件、每日更新病毒库成为网管工作的必修课。即便如此，也不能很好地保障网络运行的顺畅。随着网络规模和访问量的不断增加，交换带宽和网络运行的稳定性成为一个致命的瓶颈，特别是安全性如果无法保证，对整个远程教育来说就是一颗“炸弹”。

    为了解决安全问题，人大附中采用了神州数码网络的3D-SMP解决方案。在网络接入层，全面更换神州数码网络支持IEEE801.1X标准的接入交换机设备，将2001年购置的进口产品全部淘汰；核心层采用DCRS75系列万兆路由交换机，构建了一个三层交换的网络架构；并由神州数码IDS、DCBI-3000、防火墙、LinkManager构成管理层，构建了完整的基于3D-SMP技术的安全网络。这样一方面使得整个网络的交换带宽增加到了万兆；另一方面，采用认证、分配网络策略的方式，即便病毒爆发，也能被控制在最小范围内，同时由于很清楚被病毒感染的机器是哪一台，及时采取通知阻断等方式就可以保证网络运行的安全。

改造完成后几个月的时间内，人大附中校园网再也没有因为病毒原因造成网络管理的混乱，为远程教育计划的实现，奠定了坚实的基础。人大附中网络中心王玢主任对此的评价是：“我们终于摆脱了病毒滋扰的头痛，病根除了。”