下一代安全可信的IP网络

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段 。在下一代网络的发展中,不管是WLAN、IPv6还是网络带宽性能的提升,以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令 。正如一种预言:下一代网络的发展没有安全可信作为前提,作为技术保障,所有的新技术、新方向将黯然失色 。这预言是科学的预言,是基于一定现实的对未来的判断 。因此,揭示规律,实现这一愿景,将是我们必争的任务与荣耀 。
下一代安全可信IP网络的神秘之旅P>
2006年3 月8 日-12日,题为" 安全可信校园新网络" 的锐捷网络2006高校用户大会在湖南长沙隆重召开,来自全国的528 位高校领导、网络中心主任、技术人员出席了此次高教行业网络技术与应用的高端峰会,也预示着" 安全可信校园新网络" 的建设必将在我国教育实现跨越式发展的历史时期起到积极的推动作用 。虽然这是一次针对高等院校网络信息化建设的会议,但也蕴涵着对各个领域以安全可信为基本特征的下一代网络发展观的阐述 。而在实现安全可信的网络环境的话题中,GSN 全局安全解决方案始终是核心关键词 。
由锐捷网络提出的" 安全可信新网络" 及"GSN全局安全解决方案" 经历了一年多的沉淀之后,在此次大会上眩出了更为丰富的涵义,也重申了安全可信在现实中存在的重大意义 。
安全可信:一个预言
社会信息化的飞速发展与日益增长的市场需求是密不可分的 。追求现代化的生活方式的人们,几乎习惯于使用互联网,他们有着4A情结:即希望任何事情都可以使用互联网(ANYTHING),希望任何时间都可以使用互联网(ANYTIME ),希望任何地点都可以使用互联网(ANYWHERE),希望以任何方式如WLAN/WiMax、以太网、3G等都能使用互联网(ANYWAY) 。而互联网技术的发展也给人们带来了满足与永远都要延续下去的需求,正如随着互联网从以内容为中心到以用户为中心的转型,我们有了想写就写(Blog)、想看就看(RSS )、想找就找(SNS )、想编就编(WiKi)、想唱就唱(Podcasting)的欲望的宣泄载体;有了更多P2P 的应用;有了网上购物、网络游戏、IPTV、视频、语音等应用 。
这些业务和应用在影响人们生活方式的同时,也给出了我们更值得思考的话题——安全 。其实很多人都明白:下一代网络得以创新发展的基础,就是要首先实现网络的安全可信 。并且BT、Emule 等很多类似的应用已经给互联网带来了流量模型上的变化,这就需要带宽及性能上的提升 。我们也可以从发生过的事件中看到,我们进行网上购物、网游、IPTV、视频会议、语音聊天的操作真的不会将您" 暴露" 吗?凡此种种的互联网应用层面的需求需要足够的互联网技术的支撑,而这种互联网业务的可续性与安全性也一样成为商家们发展自己互联网事业的要点 。
以WLAN技术为例,WLAN是以空间为传输介质、以移动用户的接入为目的,其更容易受到安全攻击和干扰,因此作为在互联网的发展与应用趋势之一的WLAN,其技术的安全可信性是刻不容缓要解决的问题 。
随着互联网各种应用的不断增加,今天的带宽仍然不能满足客户的需求,单纯地升级带宽而不考虑安全问题使网络更加混乱无序,因此,在带宽/ 性能提升的同时要保障安全性的提升,否则将客观上导致蠕虫传播速度更快 。
有人说,IPv6无处不在 。的确,在智能交通、话音\ 视频业务、移动办公、信息家电、全球定位、物流IPv6+RFID 领域已经有了成功的应用,并且世界范围以及中国的IPv6的骨干网络已经初步建设成功,Cernet2 也走在了CNGI的最前列,因IPsec 是自带、不使用NAT/PAT,保证了身份和地址唯一,也使病毒及网络蠕虫在IPv6的网络中传播将会变得很困难,中国的教育行业也积极投入到了IPv6试验网的建设中 。但目前对IPv6协议威胁最大的要属在应用层的攻击,由于缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段,同时也难以实现严格的用户限制功能,以及针对IPv6的防火墙等安全设备匮乏也是向IPv6迁移过程中的漏洞的表现 。而作为未来网络发展趋势之一的多业务融合的智能网络,其各种业务的运营也需要一安全可靠的网络,以识别网络应用,动态分配网络资源,进行身份识别以实现准确计费 。
因此,不管是WLAN、IPv6还是网络带宽性能的提升,以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令 。正如一种预言:下一代网络的发展没有安全可信作为前提,作为技术保障,所有的新技术、新方向将黯然失色 。因此,安全可信是下一代网络发展的基石 。
【下一代安全可信的IP网络】安全可信的密码
理解预言的涵义需要密码,这个密码也就是对安全可信内涵的关键词 。
从对网络安全的认识历程上看,在IT业界,对网络安全的认识总能历久弥新,因为安全问题总会层出不穷 。在刚刚结束的RSA2006 大会上比尔 。盖茨先生提出了整个社会的安全性问题,即要想提升整个社会的安全性,业界首先必须做到四个方面:相互信任的生态系统、安全工程、简易性和安全基础平台 。无疑这是对安全可信大环境的阐述与畅想 。
在随着安全事件发生的频率升高,我国对安全意识程度的反复强调近几年也逐步升温 。对于安全,人们的解释已经从局部发展到全局,从边界层面发展到应用层面,从对安全硬环境的要求发展到对安全软环境的要求 。因此,我们将给出了对安全可信新网络,也就是以" 安全" 、" 可信" 为基本特征的下一代IP网络的理解 。
到目前为止,我们将基于网络的业务应用(如数据、语音、视频、存储、P2P 应用等)的" 安全可信" 内涵分为" 安全" 建设和" 可信" 建设两部分内容 。" 安全" 建设主要是指智能、主动、联动地进行网络、主机、管理层面的安全防护和建设 。这里网络曾面的安全防护是指采用网络设备进行全网安全防护,是通过安全设备的重点区域进行的安全防护;主机层面安全防护是指增强终端系统的安全性,是通过端点防护系统来进行的终端安全防护;管理层面安全建设是指对统一的网络监控,对统一的安全事件管理、安全策略管理,以及对网络安全的状态汇总分析 。
" 可信" 建设即建立可识别、可信任、可保障的系统体系,主要是指网络身份、网络环境、网络业务的可信,需要通过高可用的网络结构设计、稳定可靠的核心设备以及全网统一的身份管理系统来实现 。至此," 安全可信" 的内涵就形成了一个完整、完善的对网络安全防护机制的整体性概括 。而作为理解和揭示安全可信的密码,不外乎上述提到的智能、主动、联动及可识别、可信任、可保障等特征 。进而,成功揭开安全可信神秘面纱就在于对上述的几个特征词汇的掌握,因此破解、实现安全可信志在必得 。

    推荐阅读