寻找新架构:企业网络安全如何对症下药?
来源:中国计算机报 更新时间:2012-04-13

 
 
  这是一个网络无处不在的时代,

  信息公路上的任何安全威胁均可能直接映射到人们的日常工作和生活中。

  当传统的网络安全体系架构面临信任危机时,

  针对不断纷繁变更的病毒威胁,我们需要制定一套新的安全体系架构策略。

  随着企业对网络依赖度与日俱增,信息安全的重要性不言而喻。目前,企业在信息化建设中均已配置了防火墙、IDS/IDP、VPN、身份认证、企业版反病毒等安全产品,一方面,初步缓解了安全隐患;另一方面也引入了让安全管理人员头疼的新安全问题。

  传统安全体系存在弊病

  传统的反病毒体系都是基于开放式网络的非对等式网络分布体系架构,这种架构是一种逻辑的C/S或B/S模式。该模式由逻辑的服务器端和客户端组成,虽然按职能划分为服务器端和客户端,但是与物理的C/S模式并不相同,服务器端和客户端都可以安装在普通PC上或者服务器上,来为整个网络提供安全管理。

  由于传统反病毒体系是最早提出的一种体系结构,并没有考虑到网络的负载均衡。早期,该体系在安全事件发生率较低的低负载型网络中尚可发挥作用,但随着安全事件越来越多,这种体系结构很明显已不能胜任,这时需要一种新型的安全架构才能解决新的网络安全问题。

  新形势下的新架构思想

  很明显,在闭合的物理隔离网络中,开放式的保护体系不再适用,而应该提出一种新的基于闭合网络的安全架构。通过对网络安全事件的分析和研究,这里提出了对等式分布协作结构,以适合物理隔离下网络环境。

  对等式分布协作结构是将网络保护系统中的所有元素均视为平等元素,服务器端不但是指令的发送者,还是指令的执行者,在服务器端管理客户端这种单通道的方法之上,又建立了一个多通道机制,保证整个系统不会因突发的大流量病毒事件而出现异常。当服务器端和客户端的通道被病毒堵死后,每一台客户机都可以临时承担起指令传递与文件分发的工作。即用户只要保证网络中的任何两台客户机之间有连通的可能,那么其中一台计算机就会通过这种机制将数据或文件分发到相邻的下一台计算机中去,在不用物理断网的情况下,逐台恢复系统的控制权。

  新架构下的新流程

  基于这种闭合的安全架构,安全管理体系应该如何设计就成了一个新的问题。首先服务器端与客户端是连通的。网络中应该存在一个流动的服务器端模块,承担起整个网络管理体系的组织者角色,之所以需要一个流动的服务器端模块,就是为了防止病毒将网络中的服务器堵塞,导致整个网络运行失控。

  另外,每一个客户端模块在运行时,都要去主动寻找周围的计算机中是否存在一个服务器端模块。如果存在,就要注册上去,然后接受该模块的调度。在连接到服务器端模块上时,还要寻找周围是否存在比自己版本更新的客户端模块。如果存在,就将该模块的更新数据来为自己更新。这种结构能够很好地解决红色代码、尼姆达等网络病毒泛滥情况。只要网络中存在一台最新的安全节点,就可以通过该体系,逐台平复病毒疫情。

  新流程下的新模块体系

  当然,如果要将一个有效模型变为一个商用系统,就需要为该体系构建一些新的安全模块,从而能够使之有效运转。

  在新架构下的系统中,客户端模块至少应该做安全事件采集、病毒查杀、进程管理、病毒库分发、病毒库导入等工作,而服务器端模块至少应该做安全事件集中分析、指令控制、模块病毒库导入、模块病毒库分发等工作,这种结构的特点是引入了冗余机制来保障整个网络的负载均衡,对内网隔离网络具有很好的效果。

  随着摩尔定律的应用,硬件的价格越来越低,而相比之下,信息安全的成本却越来越高。冗余的思想就是用低价的硬件设备来换取高价的安全。因此,在企业级应用中,如网站服务器、大型网络存储设备中,都有冗余设备的存在。而在整个企业级软件产品的体系中,由于受到传统软件开发的影响,还没有采用冗余机制来设计安全体系。很明显,这种做法已经不能适应企业级应用的需要。在未来,应该会有更多的商用产品采用冗余对等式分布结构来设计自己的产品。