【正文】 選擇隔離攻擊源。 3. 安全事件的關(guān)聯(lián)分析 網(wǎng)絡(luò)中的各種安全部件產(chǎn)生的眾多安全事件，往往使管理員淹沒于信息的海洋中。 H3C 全局安全管理平臺 的安全策略集中部署提供了集成、統(tǒng)一、完整的安全防護(hù)策略配置 功能 ，可以通過直觀的網(wǎng)絡(luò)、服務(wù)器、終端及用戶拓?fù)鋱D，查看和配置安全策略 。 H3C“全局安全管理平臺” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨(dú)立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系。 ? 各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。這些審計(jì)數(shù)據(jù)可能來自防火墻、 路由器 、入侵防御系統(tǒng)、主機(jī)系統(tǒng)、防病毒系統(tǒng)和桌面安全系統(tǒng)。 對于網(wǎng)絡(luò)系統(tǒng)來說，安全入侵經(jīng)常將網(wǎng)絡(luò)作為一個整體而不僅是針對某一個子系統(tǒng)。 顯然，僅靠不斷增加帶寬 是 不能滿足 上述 需求的 ， 想提高 服務(wù)器應(yīng)用的用戶滿意度 ，就需要在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中專門增加一層，以專門用于提高 服務(wù)器應(yīng)用的傳遞速度。作為 信息化 的基礎(chǔ)核心，數(shù)據(jù)中心將匯集高性能計(jì)算、數(shù)據(jù)通訊、語音通訊等功能于一體，成為 支撐 企業(yè)未來 業(yè)務(wù)發(fā)展 的平臺。 華三公司多年的網(wǎng)絡(luò)技術(shù)與安全技術(shù)積累，造就了資深的攻擊特征庫團(tuán)隊(duì)和安全服務(wù)團(tuán)隊(duì)，建有攻防實(shí)驗(yàn)室，緊跟網(wǎng)絡(luò)技術(shù)與安全技術(shù)的發(fā)展前沿和網(wǎng)絡(luò)攻防的最新動態(tài)，定期更新并發(fā)布攻擊特征庫升級包，源源不斷地為強(qiáng)大的檢測引擎注入高質(zhì)量的燃油。 圖 2 FIRST 引擎架構(gòu) 如上圖所示， FIRST 引擎創(chuàng)新性地將協(xié)議識別與特征匹配緊密地結(jié)合起來，利用特征匹配精 確地識別出應(yīng)用層協(xié)議，并精確地分析出協(xié)議異常進(jìn)行阻斷，同時，將特征匹配與協(xié)議識別的結(jié)果結(jié)合起來，只有關(guān)聯(lián)了特定應(yīng)用層協(xié)議上下文的攻擊特征成功匹配了才被判斷為一次有效攻擊，從而，大大提高了檢測精度，顯著降低了誤報(bào)率和漏報(bào)率。 H3C IPS 還支持以下檢測機(jī)制： 1）基于訪問控制列表（ ACL）的檢測 2）基于統(tǒng)計(jì)的檢測 3）基于協(xié)議跟蹤的檢測 4）基于應(yīng)用異常的檢測 5）報(bào)文規(guī)范檢測（ Normalization） 6） IP 報(bào)文重組 7） TCP 流恢復(fù) 高精度、高效率的入侵檢測引擎 入侵檢測引擎是 IPS 設(shè)備最核心的功能之一，入侵檢測引擎直接關(guān)系到 IPS設(shè)備的兩個重要功能指標(biāo)：漏報(bào)率和誤報(bào)率，也直接關(guān)系到 IPS 設(shè)備的兩個重要性能指標(biāo)：吞吐量和時延。利用深層檢測應(yīng)用層數(shù)據(jù)包的技術(shù)，H3C IPS 可以分辨出合法與有害的封包內(nèi)容。 IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。 . 應(yīng)用層安全設(shè) 計(jì) 今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和 EMAIL、移動代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。 SecPath 防火墻默認(rèn)提供四個安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本 地安全區(qū)域可以定義到防火墻本身的報(bào)文，保證了防火墻本身的安全防護(hù)，使得對防火墻本身的安全保護(hù)得到加強(qiáng)。 狀態(tài)防火墻具有更高的智能，提供更高的安全性。 較新的一類防火墻設(shè)備支持基于狀態(tài)的包檢查。 ? 靈活方便的部署方式 EAD 方案部署靈活，維護(hù)方便。 ? 基于角色的網(wǎng)絡(luò)授權(quán) 在用戶終端通過病毒、補(bǔ)丁等安全信息檢查后， EAD 可基于終端用戶的角色，向安全聯(lián)動設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。當(dāng)用戶通過身份認(rèn)證但安全認(rèn)證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服務(wù)器，通過第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿足安全策略要求。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入 層和匯聚層。 下面從桌面終端認(rèn)證需求、組網(wǎng)部署、功能描述 3 方面進(jìn)行 EAD 系統(tǒng)簡單介紹： （ 1）、桌面終端用戶 認(rèn)證需求 對于要接入安全網(wǎng)絡(luò)的用戶， EAD 解決方案首先要對其進(jìn)行身份認(rèn)證，通過身份認(rèn)證的用戶進(jìn)行終端的安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行包括病毒庫更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果， EAD 對用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。同時，對不同的接入用戶要做到動態(tài)的分配不同的權(quán)限，使之歸屬于不同的 VPN，訪問授權(quán)的資源。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認(rèn)證。 （ 3）、 UPRF： UPRF 會檢測接收到的報(bào)文中的源地址是否和其接收報(bào)文的接口相匹配。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該 ARP。這種判定的方式有 4 種。比如 smurf 攻擊。 Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶名、密碼，發(fā)現(xiàn)非法報(bào)文或非法事件，并采取相應(yīng)的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報(bào)文，保證了端口的安全性。如圖。 數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全相關(guān)架構(gòu) 基于 VLAN 的端口隔離 交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的兩個端口互相隔離。 COMWARE是由 H3C推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強(qiáng)大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過完善的體系結(jié)構(gòu)設(shè)計(jì)，把實(shí)時操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)安全等技術(shù)完美 的結(jié)合在一起。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點(diǎn)多、覆蓋面大，是構(gòu)成整個安全數(shù)據(jù) 中心的基石。 在此背景下， H3C 提出用 SecCenter（安全管理中心）和 iMC（智能管理中心）組合，來滿足數(shù)據(jù)中心系統(tǒng)全局安全管理的需求， 將安全體系 中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個緊密的 “全局安全 管理平臺 ” 中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個 智能 安全防御體系，大幅度提高 數(shù)據(jù)中心系統(tǒng) 的整體安全防御能力。 ? 統(tǒng)一管理、智能聯(lián)動 當(dāng)前，數(shù)據(jù)中心系統(tǒng)安全管理中 遇到的問題 包括 ： 1) 對實(shí)時安全信息不了解，無法及時發(fā)出預(yù)警 報(bào)告 。 ? 分區(qū)規(guī)劃，分層部署 在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的設(shè)備，按照這些設(shè)備的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域。 數(shù)據(jù)中心多層安全防御 三重防護(hù) 數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。 數(shù)據(jù)中心需要一個全方位一體化的安全部署 方式。 o 企業(yè)安全性這一層的安全性解決方案主要集中于提供對應(yīng)用的受控訪問、驗(yàn)證用戶身份、用戶的 provisioning 和授權(quán)、審查用戶 操作，并通過加密來保護(hù)數(shù)據(jù)。 數(shù)據(jù)中心安全性的三個主要的層次是： ? IT 基礎(chǔ)設(shè)施和物理安全性： o 這一層泛指整個 IT 基礎(chǔ)設(shè)施，企業(yè)需要 IT 基礎(chǔ)設(shè)施來運(yùn)行有效 的業(yè)務(wù)操作， IT 基礎(chǔ)設(shè)施的彈性將決定業(yè)務(wù)操作的總體效率和可用性。不但需要保護(hù)數(shù)據(jù)中心中關(guān)鍵應(yīng)用和保密數(shù)據(jù)；并需要增強(qiáng)數(shù)據(jù)中心的運(yùn)營效率，增強(qiáng)業(yè)務(wù)競爭力，而且具有擴(kuò)展性 以支持隨時可能出現(xiàn)的新業(yè)務(wù)流程。 同城災(zāi)備中心和異地災(zāi)備中心同主數(shù)據(jù)中心之間需要通過廣域網(wǎng)連通。 ? 多協(xié)議支持能力： IPv MPLS、 IPv6 等，為分支機(jī)構(gòu)的接入提供便利； ? 全面的 IPv4/IPv6 路由協(xié)議支持能力、大容量路由表和靈活的路由策略，如 OSPF、 BGP、 ISIS、 RIPv1/v2 等； ? 支持 IPSec、 NAT、 SSL VPN、策略路由等，提供靈活的業(yè)務(wù)和流量轉(zhuǎn)發(fā)控制能力，保證出口的安全性； ? 具有廣域網(wǎng)優(yōu)化支持能力，加速各種 Web、 FTP、 POP SMTP 等上層應(yīng)用 . 數(shù)據(jù)大集中廣域網(wǎng)整合方案 數(shù)據(jù)大集中必然要求各級 XX 單位 網(wǎng)絡(luò)暢通，這就要求有高可靠、帶寬充足的廣域網(wǎng)，滿足信息化數(shù)據(jù)、視頻會議、語音、應(yīng)急指揮視頻監(jiān)控 需求。 外聯(lián)區(qū)接入交換機(jī)，為區(qū)域內(nèi)服務(wù)器群提供接入；服務(wù)器接入采用二層。 區(qū)域內(nèi)部署代理服務(wù)器、通信前置機(jī)與合作伙伴的服務(wù)器進(jìn)行通信，彼此之間的服務(wù)器通常情況下不允許直接互訪。 ? 匯聚層同樣 采用堆疊技術(shù)，提升整體的可靠性，簡化配置和管理、業(yè)務(wù)部署更平滑。 對于資金壓力不是特別緊張 XX 單位 ，建議采用方案 1，否則可以采用方案2，但需要同部 XX 單位 進(jìn)行協(xié)商。 廣域網(wǎng)區(qū)向上連接部 XX 單位 ，向下連接分支機(jī)構(gòu)。 系統(tǒng)管理區(qū)設(shè)置面向整個 XX 單位 的：網(wǎng)絡(luò)管理、安全管理、防病毒管理、IT 基礎(chǔ)設(shè)施管理。 廣域網(wǎng)區(qū)連接各 XX 單位 。 模塊化數(shù)據(jù)中心好處是 ：有利于網(wǎng)絡(luò)穩(wěn)定，方便功能區(qū)更改擴(kuò)容，方便管理維護(hù)，統(tǒng)一出口避免重復(fù)建設(shè)。而每個數(shù)據(jù)中心核心交換機(jī)緩存大小均要求在萬兆全線速條件下達(dá)到 200 毫秒的突發(fā)流量緩存能力，因此，在突發(fā)引起瞬時擁塞時， N 個端口向一個端口轉(zhuǎn)發(fā)的緩存能力是 N*200 毫秒，與傳統(tǒng)出端口緩 存固定能力相比有本質(zhì)的提升。 在高密應(yīng)用集中環(huán)境下，基礎(chǔ)網(wǎng)絡(luò)的高性能和可靠性要求變得苛刻，大量應(yīng)用密集情況下，局部故障影響范圍必須縮小。近幾年高性能計(jì)算 TOP500 排名中超過 50%的計(jì)算網(wǎng)絡(luò)互聯(lián)采用了千兆以太網(wǎng)。 以往數(shù)據(jù)中心架構(gòu)前端 IP 網(wǎng)絡(luò)，計(jì)算網(wǎng)絡(luò)，存儲網(wǎng)絡(luò)往往是異構(gòu)的，如：前端采用以太網(wǎng)，計(jì)算網(wǎng)絡(luò)采用 InfiniBand 網(wǎng)絡(luò)，后端采用 FCSAN 架構(gòu)。 ? 開放性： 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)要全面遵循業(yè)界標(biāo)準(zhǔn)，所推薦采用的設(shè)備、技術(shù)在互通性和互操作性上，可以支持?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)的快速布署。網(wǎng)絡(luò)的可用性指業(yè)務(wù)應(yīng)用系統(tǒng)每天能有多少小時，每周有多少天，每年有多少周可以為用戶提供服務(wù)，以及這些應(yīng)用在發(fā)生故障時可以多快恢復(fù)工作的時間。 . 數(shù)據(jù)中心 建設(shè)主要關(guān)注點(diǎn)及 技術(shù)路線選擇 . 數(shù)據(jù)中心建設(shè)關(guān)注點(diǎn) 數(shù)據(jù)處理中心基礎(chǔ)設(shè)施建設(shè)應(yīng)保證高可用性、高性能、高可 擴(kuò)展性、靈活性、安全性等。 兩地：數(shù)據(jù)中心本地及對應(yīng)災(zāi)備 /備份異地，三中心：主數(shù)據(jù)中心、同城災(zāi)備中心、異地備份中心。 數(shù)據(jù)中心建設(shè)包括交通部 XX 單位 數(shù)據(jù)中心建設(shè)及各 XX 單位 數(shù)據(jù)中心建設(shè)，這里講的數(shù)據(jù)中心實(shí)現(xiàn)的是信息化系統(tǒng)計(jì)算資源和應(yīng)用系統(tǒng)集中的中心、各應(yīng)用系統(tǒng)數(shù)據(jù)集中存儲中心、以及承載計(jì)算資源和應(yīng)用系統(tǒng)網(wǎng)絡(luò)中心。 橫跨 XX 單位 、交通廳局、政府部門的合作及整合，最優(yōu)化的政務(wù)流程和公眾服務(wù)等，沒有部門間障礙。 在業(yè)務(wù)系統(tǒng)信息化帶動下，逐步形成覆蓋 XX 單位 、分支局、派出 機(jī)構(gòu)的廣域網(wǎng)及各級局域網(wǎng)，形成業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)化，并進(jìn)而形成基于 IP 網(wǎng)絡(luò)的視頻會議、視頻監(jiān)控、 IP 語音等增值業(yè)務(wù)。 數(shù)據(jù)存儲系統(tǒng)建設(shè) 數(shù)據(jù)中心集中存儲資源池建設(shè)及備份、容災(zāi)。 XX 單位 采用垂直管理體制，交通部 XX 單位 下屬 XX 個 XX 單位。審核和監(jiān)督管理船員、引航員培訓(xùn)機(jī)構(gòu)資質(zhì)及 其質(zhì)量體系；負(fù)責(zé)海員證件的管理工作。 （ 2）、船舶管理 負(fù)責(zé)船舶檢驗(yàn)、注冊、年檢，負(fù)責(zé)中國籍船舶登記、發(fā)證、檢查和進(jìn)出港 (境 )簽證；負(fù)責(zé)外國籍船舶入出境及在我國港口、水域的監(jiān)督管理；負(fù)責(zé)船舶載運(yùn)危險(xiǎn)貨物及其他貨物的安全監(jiān)督等。 擬定和組織實(shí)施國家水上安全監(jiān)督管理和防止船舶污染、船舶及海上設(shè)施檢驗(yàn)、航海保障以及交通行業(yè)安全生產(chǎn)的方針、政策、法規(guī)和技術(shù)規(guī)范、標(biāo)準(zhǔn)。 維護(hù)水上交通秩序 ，負(fù)責(zé)船舶流量管理 VTS。 管理海區(qū)港口航道測繪并組織編印相關(guān)航海海圖等資料。 （ 3）、船員管理 負(fù)責(zé)船員、引航員適任資格培訓(xùn)、考試、發(fā)征管理。 （ 5）、應(yīng)急處理 突發(fā)事件應(yīng)急處理，保證應(yīng)急事件處理及時有效性。 IT 基礎(chǔ)承載網(wǎng)絡(luò) 數(shù)據(jù)中心和廣域網(wǎng)建設(shè)，網(wǎng)絡(luò)從性能、帶寬、可靠性方面統(tǒng)一承載數(shù)據(jù)、語音、視頻業(yè)務(wù)。 XX 單位 信息化現(xiàn)狀總結(jié) 主要業(yè)務(wù)逐步實(shí)現(xiàn)信息化，如船舶管理、船員管理、通航管理、應(yīng)急處理、收費(fèi)、信息查詢、綜合管理 、電子政務(wù) 等業(yè)務(wù)基本實(shí)現(xiàn)信息化。 XX 單位 信息化資源整合，數(shù)據(jù)大集中建設(shè)勢在必行！ 通過應(yīng)用集成為公眾提供有價值的服務(wù) ， 實(shí)現(xiàn) XX 單位 行政效率提高，提升社會公眾滿意 。 廣域網(wǎng)整合包括 全國 XX 單位 大聯(lián)網(wǎng)，實(shí)現(xiàn)部 XX 單位 、 XX 單位 、分支 XX 單位 、派出機(jī)構(gòu)之間互聯(lián)互通，網(wǎng)絡(luò)互通是整體 XX 單位 信息化的基礎(chǔ) 。 . 兩級數(shù)據(jù)中心，兩地三中心建設(shè)模式 兩級數(shù)據(jù)中心包括：部 XX 單位 數(shù)據(jù)中心和各 XX 單位 數(shù)據(jù)中心，兩級中心之間不是孤立存在，而是相互關(guān)聯(lián)，互為補(bǔ)充 ，如：部 XX 單位 設(shè)置面向全國的船員管理服務(wù)器， XX 單位 設(shè)置面向本 XX 單位 的船舶、 VTS、船報(bào)等，但部 XX 單位也同樣設(shè)置船舶等相應(yīng)服務(wù)器，同各 XX 單位 之間存在緊密數(shù)據(jù)互通 。 兩地三中心方式充分保證了 XX 單位 信息化數(shù)據(jù)的高可靠性。如果客戶與員工不能訪問關(guān)鍵性應(yīng)用，業(yè)務(wù)將遭受無法挽回的利潤損失。應(yīng)按照端到端訪問安全、網(wǎng)絡(luò) L2L7層安 全兩個維度對安全體系進(jìn)行設(shè)計(jì)規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。