社會(huì)信息化的飛速發(fā)展與日益增長(zhǎng)的市場(chǎng)需求是密不可分的。追求現(xiàn)代化的生活方式的人們，幾乎習(xí)慣于使用互聯(lián)網(wǎng)，他們有著4A情結(jié)：即希望任何事情都可以使用互聯(lián)網(wǎng)（ANYTHING），希望任何時(shí)間都可以使用互聯(lián)網(wǎng)（ANYTIME ），希望任何地點(diǎn)都可以使用互聯(lián)網(wǎng)（ANYWHERE），希望以任何方式如WLAN/WiMax、以太網(wǎng)、3G等都能使用互聯(lián)網(wǎng)（ANYWAY）。而互聯(lián)網(wǎng)技術(shù)的發(fā)展也給人們帶來(lái)了滿足與永遠(yuǎn)都要延續(xù)下去的需求，正如隨著互聯(lián)網(wǎng)從以內(nèi)容為中心到以用戶為中心的轉(zhuǎn)型，我們有了想寫就寫（Blog）、想看就看（rss ）、想找就找（SNS ）、想編就編（WiKi）、想唱就唱（Podcasting）的欲望的宣泄載體；有了更多P2P 的應(yīng)用；有了網(wǎng)上購(gòu)物、網(wǎng)絡(luò)游戲、IPTV、視頻、語(yǔ)音等應(yīng)用。

　　這些業(yè)務(wù)和應(yīng)用在影響人們生活方式的同時(shí)，也給出了我們更值得思考的話題——安全。其實(shí)很多人都明白：下一代網(wǎng)絡(luò)得以創(chuàng)新發(fā)展的基礎(chǔ)，就是要首先實(shí)現(xiàn)網(wǎng)絡(luò)的安全可信。并且BT、eMule 等很多類似的應(yīng)用已經(jīng)給互聯(lián)網(wǎng)帶來(lái)了流量模型上的變化，這就需要帶寬及性能上的提升。我們也可以從發(fā)生過(guò)的事件中看到，我們進(jìn)行網(wǎng)上購(gòu)物、網(wǎng)游、IPTV、視頻會(huì)議、語(yǔ)音聊天的操作真的不會(huì)將您" 暴露" 嗎？凡此種種的互聯(lián)網(wǎng)應(yīng)用層面的需求需要足夠的互聯(lián)網(wǎng)技術(shù)的支撐，而這種互聯(lián)網(wǎng)業(yè)務(wù)的可續(xù)性與安全性也一樣成為商家們發(fā)展自己互聯(lián)網(wǎng)事業(yè)的要點(diǎn)。

　　以WLAN技術(shù)為例，WLAN是以空間為傳輸介質(zhì)、以移動(dòng)用戶的接入為目的，其更輕易受到安全攻擊和干擾，因此作為在互聯(lián)網(wǎng)的發(fā)展與應(yīng)用趨勢(shì)之一的WLAN，其技術(shù)的安全可信性是刻不容緩要解決的問(wèn)題。

　　隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷增加，今天的帶寬仍然不能滿足客戶的需求，單純地升級(jí)帶寬而不考慮安全問(wèn)題使網(wǎng)絡(luò)更加混亂無(wú)序，因此，在帶寬/ 性能提升的同時(shí)要保障安全性的提升，否則將客觀上導(dǎo)致蠕蟲傳播速度更快。

有人說(shuō)，IPv6無(wú)處不在。的確，在智能交通、話音/ 視頻業(yè)務(wù)、移動(dòng)辦公、信息家電、全球定位、物流IPv6+RFID 領(lǐng)域已經(jīng)有了成功的應(yīng)用，并且世界范圍以及中國(guó)的IPv6的骨干網(wǎng)絡(luò)已經(jīng)初步建設(shè)成功，Cernet2 也走在了CNGI的最前列，因IPsec 是自帶、不使用NAT/PAT ，保證了身份和地址唯一，也使病毒及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)中傳播將會(huì)變得很困難，中國(guó)的教育行業(yè)也積極投入到了IPv6試驗(yàn)網(wǎng)的建設(shè)中。但目前對(duì)IPv6協(xié)議威脅最大的要屬在應(yīng)用層的攻擊，由于缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和治理的手段，缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段，同時(shí)也難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能，以及針對(duì)IPv6的防火墻等安全設(shè)備匱乏也是向IPv6遷移過(guò)程中的漏洞的表現(xiàn)。而作為未來(lái)網(wǎng)絡(luò)發(fā)展趨勢(shì)之一的多業(yè)務(wù)融合的智能網(wǎng)絡(luò)，其各種業(yè)務(wù)的運(yùn)營(yíng)也需要一安全可靠的網(wǎng)絡(luò)，以識(shí)別網(wǎng)絡(luò)應(yīng)用，動(dòng)態(tài)分配網(wǎng)絡(luò)資源，進(jìn)行身份識(shí)別以實(shí)現(xiàn)準(zhǔn)確計(jì)費(fèi)。

　　因此，不管是WLAN、IPv6還是網(wǎng)絡(luò)帶寬性能的提升，以及多業(yè)務(wù)融合的智能網(wǎng)絡(luò)都將由" 安全" 下達(dá)" 是否繼續(xù)" 的指令。正如一種預(yù)言：下一代網(wǎng)絡(luò)的發(fā)展沒(méi)有安全可信作為前提，作為技術(shù)保障，所有的新技術(shù)、新方向?qū)Ⅶ鋈皇Ｒ虼耍踩尚攀窍乱淮W(wǎng)絡(luò)發(fā)展的基石。

　　安全可信的密碼

　　理解預(yù)言的涵義需要密碼，這個(gè)密碼也就是對(duì)安全可信內(nèi)涵的要害詞。

　　從對(duì)網(wǎng)絡(luò)安全的熟悉歷程上看，在IT業(yè)界，對(duì)網(wǎng)絡(luò)安全的熟悉總能歷久彌新，因?yàn)榘踩珕?wèn)題總會(huì)層出不窮。在剛剛結(jié)束的RSA2006 大會(huì)上比爾。蓋茨先生提出了整個(gè)社會(huì)的安全性問(wèn)題，即要想提升整個(gè)社會(huì)的安全性，業(yè)界首先必須做到四個(gè)方面：相互信任的生態(tài)系統(tǒng)、安全工程、簡(jiǎn)易性和安全基礎(chǔ)平臺(tái)。無(wú)疑這是對(duì)安全可信大環(huán)境的闡述與暢想。

　　在隨著安全事件發(fā)生的頻率升高，我國(guó)對(duì)安全意識(shí)程度的反復(fù)強(qiáng)調(diào)近幾年也逐步升溫。對(duì)于安全，人們的解釋已經(jīng)從局部發(fā)展到全局，從邊界層面發(fā)展到應(yīng)用層面，從對(duì)安全硬環(huán)境的要求發(fā)展到對(duì)安全軟環(huán)境的要求。因此，我們將給出了對(duì)安全可信新網(wǎng)絡(luò)，也就是以" 安全" 、" 可信" 為基本特征的下一代IP網(wǎng)絡(luò)的理解。

　　到目前為止，我們將基于網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用（如數(shù)據(jù)、語(yǔ)音、視頻、存儲(chǔ)、P2P 應(yīng)用等）的" 安全可信" 內(nèi)涵分為" 安全" 建設(shè)和" 可信" 建設(shè)兩部分內(nèi)容。" 安全" 建設(shè)主要是指智能、主動(dòng)、聯(lián)動(dòng)地進(jìn)行網(wǎng)絡(luò)、主機(jī)、治理層面的安全防護(hù)和建設(shè)。這里網(wǎng)絡(luò)曾面的安全防護(hù)是指采用網(wǎng)絡(luò)設(shè)備進(jìn)行全網(wǎng)安全防護(hù)，是通過(guò)安全設(shè)備的重點(diǎn)區(qū)域進(jìn)行的安全防護(hù)；主機(jī)層面安全防護(hù)是指增強(qiáng)終端系統(tǒng)的安全性，是通過(guò)端點(diǎn)防護(hù)系統(tǒng)來(lái)進(jìn)行的終端安全防護(hù)；治理層面安全建設(shè)是指對(duì)統(tǒng)一的網(wǎng)絡(luò)監(jiān)控，對(duì)統(tǒng)一的安全事件治理、安全策略治理，以及對(duì)網(wǎng)絡(luò)安全的狀態(tài)匯總分析。

　　" 可信" 建設(shè)即建立可識(shí)別、可信任、可保障的系統(tǒng)體系，主要是指網(wǎng)絡(luò)身份、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)業(yè)務(wù)的可信，需要通過(guò)高可用的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、穩(wěn)定可靠的核心設(shè)備以及全網(wǎng)統(tǒng)一的身份治理系統(tǒng)來(lái)實(shí)現(xiàn)。至此，" 安全可信" 的內(nèi)涵就形成了一個(gè)完整、完善的對(duì)網(wǎng)絡(luò)安全防護(hù)機(jī)制的整體性概括。而作為理解和揭示安全可信的密碼，不外乎上述提到的智能、主動(dòng)、聯(lián)動(dòng)及可識(shí)別、可信任、可保障等特征。進(jìn)而，成功揭開(kāi)安全可信神秘面紗就在于對(duì)上述的幾個(gè)特征詞匯的把握，因此破解、實(shí)現(xiàn)安全可信志在必得。

更多的請(qǐng)看：http://www.QQread.com/windows/2003/index.Html

GSN ——揭開(kāi)與實(shí)現(xiàn)安全可信的核心

　　銳捷網(wǎng)絡(luò)在2004年就提出了GSN 全局安全解決方案，這一方案的推出不僅將兌現(xiàn)下一代網(wǎng)絡(luò)發(fā)展的安全可信的技術(shù)保障，而且構(gòu)筑了一個(gè)強(qiáng)有力的務(wù)實(shí)于各領(lǐng)域各行業(yè)的應(yīng)用方案模型，并在教育、金融、醫(yī)療領(lǐng)域及中小企業(yè)有成功應(yīng)用。2006年3 月GSN 成功實(shí)現(xiàn)了全面的升級(jí)，并使湖南農(nóng)業(yè)大學(xué)和有" 千年學(xué)府" 之稱的湖南大學(xué)成功開(kāi)通了GSN 全局安全校園網(wǎng)絡(luò)，率先提供了GSN 全新應(yīng)用的實(shí)例，并得到教育界、IT業(yè)界相關(guān)領(lǐng)導(dǎo)和專家的首肯。集" 自御、自愈、自育" 為一體的GSN 也從此具有了可以更全面、更務(wù)實(shí)地解讀與實(shí)現(xiàn)" 安全可信新網(wǎng)絡(luò)" 的功能和能力，將突破性地實(shí)現(xiàn)安全治理全局性，更新時(shí)時(shí)性，事件發(fā)現(xiàn)與強(qiáng)有力的控制能力。

　　安全治理全局性的實(shí)現(xiàn)

　　目前，用戶網(wǎng)絡(luò)的安全規(guī)則都由治理員手工完成，并且這些規(guī)則都基于IP，因此假如需要對(duì)全網(wǎng)的安全規(guī)則進(jìn)行一次調(diào)整，假設(shè)有2000臺(tái)交換機(jī)的用戶網(wǎng)絡(luò)，那么將其乘以對(duì)每臺(tái)設(shè)定規(guī)則，其所花的時(shí)間會(huì)很長(zhǎng)，而一旦進(jìn)行安全規(guī)則的修改，還要檢查所修改的規(guī)則是否和原有的規(guī)則有沖突，這是安全治理最基礎(chǔ)的工作。同時(shí)更要針對(duì)部分的用戶采用適合的、相應(yīng)的安全規(guī)則。此時(shí)，就將啟用RG-SMP（全網(wǎng)統(tǒng)一的安全治理），并與RG-SAM身份認(rèn)證系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)全網(wǎng)統(tǒng)一的安全交換機(jī)注冊(cè)功能，并通過(guò)統(tǒng)一的安全治理平臺(tái)來(lái)進(jìn)行安全規(guī)則的定義以及查詢，要注重的是需要針對(duì)不同對(duì)象（如有基于用戶、用戶組，有基于交換機(jī)的）進(jìn)行安全規(guī)則的靈活定義。這里就給出了具體的例子以更明了SMP 的存在價(jià)值：假設(shè)，在某天某時(shí)將有一個(gè)新的蠕蟲病毒從歐洲傳播到中國(guó)，攻擊形態(tài)為利用WINDOWS 的一個(gè)漏洞，以攻擊校園網(wǎng)為例，某校有用戶信息點(diǎn)2 萬(wàn)，攻擊系統(tǒng)的TCP 1883端口，那么不難得出這將導(dǎo)致被攻擊系統(tǒng)死機(jī)，系統(tǒng)需頻繁重起的后果。因此，RG-SMP系統(tǒng)啟用，進(jìn)行全局的安全策略定義，將一個(gè)針對(duì)TCP1883 的安全規(guī)則統(tǒng)一下發(fā)到所有的注冊(cè)安全交換機(jī)上，整個(gè)過(guò)程的花時(shí)需要5 分鐘。那么假如是辦公網(wǎng)絡(luò)，其沖擊波病毒的端口和網(wǎng)絡(luò)共享有沖突，那么就可以通過(guò)RG-SMP定義一條針對(duì)用戶或者用戶組的安全策略，答應(yīng)用戶使用該網(wǎng)絡(luò)行為，進(jìn)而避免沖突。

　　對(duì)于GSN ，SMP 就像中心指揮部，像人體的大腦，它是實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)智能、聯(lián)動(dòng)的核心（如圖2 所示為RG-SMP系統(tǒng)界面）。因此，RG-SMP的部署可以使網(wǎng)絡(luò)治理員能輕松的實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的統(tǒng)一安全治理，這也是構(gòu)建完整的GSN 構(gòu)架的第一階段。

　　時(shí)時(shí)更新使終端更安全

　　在第一階段GSN 的基本框架已落定，但還需要針對(duì)系統(tǒng)漏洞，網(wǎng)絡(luò)中補(bǔ)丁的情況，以及殺毒軟件安裝和升級(jí)情況進(jìn)入第二階段的系統(tǒng)建設(shè)，即對(duì)網(wǎng)絡(luò)中的用戶終端系統(tǒng)進(jìn)行安全性時(shí)時(shí)更新，以堅(jiān)固客戶端系統(tǒng)。

　　某系統(tǒng)在經(jīng)過(guò)利用WINDOWS 的一個(gè)漏洞的攻擊之后，為了能徹底的將次攻擊所帶來(lái)的的蠕蟲對(duì)網(wǎng)絡(luò)系統(tǒng)的影響去處掉，網(wǎng)管中心需要將所有的用戶安裝一個(gè)針對(duì)該問(wèn)題的補(bǔ)丁（KB14335760）。那么就可以通過(guò)RG-SMP定義一個(gè)安全補(bǔ)丁的檢查規(guī)則，檢查所有用戶是否安裝了KB14335760，假如用戶沒(méi)有安裝，終端用戶將會(huì)被提示需要安裝該補(bǔ)丁，并提示如不安裝將導(dǎo)致的問(wèn)題，同時(shí)可以自動(dòng)幫助用戶下載該補(bǔ)丁，并且所有不在線的用戶可在下次登陸網(wǎng)絡(luò)的時(shí)候自動(dòng)收到該信息，這樣的修復(fù)過(guò)程需花時(shí)5 分鐘，這樣就完成了對(duì)全網(wǎng)統(tǒng)一補(bǔ)丁的下載和更新。

從上面的示例中，我們可以了解到，RG-RES安全修復(fù)系統(tǒng)是用來(lái)提供通用系統(tǒng)（如Windows 操作系統(tǒng)）的補(bǔ)丁時(shí)時(shí)更新，由SMP 所定義的檢查規(guī)則指引，使用戶補(bǔ)丁的更新可以達(dá)到內(nèi)部網(wǎng)絡(luò)連接的速度和外部網(wǎng)絡(luò)的內(nèi)容傳輸?shù)母旖荩⑿枰c用戶系統(tǒng)的殺毒軟件的自動(dòng)安裝和更新相互配合，實(shí)現(xiàn)時(shí)時(shí)更新，同時(shí)RG-RES安全修復(fù)系統(tǒng)還可以為內(nèi)容系統(tǒng)進(jìn)行及時(shí)更新。

　　事件發(fā)現(xiàn)與強(qiáng)有力的控制

　　為保護(hù)用戶系統(tǒng)的安全可靠，進(jìn)一步堅(jiān)固系統(tǒng)的抗攻擊能力，第三階段的安全建設(shè)就是要加強(qiáng)對(duì)網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)和控制。目前，我們的網(wǎng)絡(luò)一直存在這樣的現(xiàn)象：盡管系統(tǒng)加有殺毒軟件、個(gè)人防火墻等安全防護(hù)手段，當(dāng)缺乏必要的安全事件發(fā)現(xiàn)機(jī)制時(shí)，網(wǎng)絡(luò)中還經(jīng)常出現(xiàn)一些異常行為，因此，針對(duì)一些非凡數(shù)據(jù)流進(jìn)行發(fā)現(xiàn)、控制成為難題，網(wǎng)絡(luò)治理員沒(méi)有一些很好的對(duì)網(wǎng)絡(luò)情況進(jìn)行了解和分析的渠道。

　　因此，GSN 在網(wǎng)絡(luò)的安全事件的發(fā)現(xiàn)上，運(yùn)用了RG-SA （端點(diǎn)防護(hù)系統(tǒng)），將其部署在用戶的終端系統(tǒng)上，并通過(guò)防火墻功能對(duì)于用戶的終端系統(tǒng)進(jìn)行保護(hù)，同時(shí)利用RG-SA 的HIPS功能對(duì)威脅用戶終端系統(tǒng)行為進(jìn)行發(fā)現(xiàn)報(bào)警并自動(dòng)阻斷，進(jìn)而進(jìn)行用戶的終端系統(tǒng)的安全性分析，并將信息發(fā)布給RG-SMP. 同時(shí)，在網(wǎng)絡(luò)區(qū)域還部署了RG-IPS（入侵檢測(cè)系統(tǒng)）對(duì)所部署的網(wǎng)絡(luò)區(qū)域進(jìn)行整體監(jiān)控，實(shí)時(shí)監(jiān)控，這對(duì)用戶來(lái)說(shuō)是完全透明的過(guò)程，RG-IPS將結(jié)果反饋給RG-SMP，RG-SMP再進(jìn)行信息匯總后最終發(fā)出安全指令，進(jìn)而使整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)統(tǒng)一的聯(lián)動(dòng)。

　　綜上所述，不管是在校園的應(yīng)用，還是在辦公網(wǎng)絡(luò)的應(yīng)用，GSN 通過(guò)三個(gè)階段分步式的部署，讓整個(gè)網(wǎng)絡(luò)安全的形成平滑完成鞏固性應(yīng)用，最終使整個(gè)網(wǎng)絡(luò)的治理處于有序狀態(tài)。

　　GSN 的專項(xiàng)服務(wù)機(jī)制

　　對(duì)于這一安全可信實(shí)現(xiàn)的核心技術(shù)方案GSN ，銳捷網(wǎng)絡(luò)打造了一批優(yōu)秀的GSN 專業(yè)服務(wù)團(tuán)隊(duì)和專業(yè)的軟件實(shí)施部署隊(duì)伍，為全國(guó)的GSN 用戶實(shí)施RG-SAM、RG-SMP、RG-SA 、RG-IPS的部署和使用培訓(xùn)，對(duì)用戶網(wǎng)絡(luò)實(shí)施全局性網(wǎng)絡(luò)安全的設(shè)計(jì)、論證、部署和維護(hù)，使用戶能更好的使用GSN 系統(tǒng)。銳捷網(wǎng)絡(luò)還將自己作為一個(gè)安全信息共享體，將安全信息收集，并制定發(fā)布相應(yīng)的安全更新包定期發(fā)送給用戶或供其系統(tǒng)及安全規(guī)則、安全策略自動(dòng)更新。

　　GSN 全局安全解決方案這一核心技術(shù)方案的研發(fā)和實(shí)驗(yàn)，最終將由它的應(yīng)用效果和用戶反饋?zhàn)鳛樗淖罱K定義。目前，這一推動(dòng)了我國(guó)教育信息化建設(shè)的不平凡的解決方案還將成為金融行業(yè)、醫(yī)療行業(yè)、中小企業(yè)領(lǐng)域應(yīng)用的典范，同時(shí)與銳捷網(wǎng)絡(luò)在這方面合作的眾多" 閨中密友" 也將為銳捷網(wǎng)絡(luò)的這份成就感到驕傲和自豪。銳捷網(wǎng)絡(luò)一直秉承的" 安全重在合作" 的原則和理念在這得以充分體現(xiàn)。