引言:随着互联网的全面繁荣,特别是行业信息化应用的深入,对信息安全建设的需求愈发强烈。信息安全正从过去的“有病乱投医”,逐渐向清晰务实的行业应用转变,无论硬件、软件、信息安全服务还是用户的应用,都开始脚踏实地、稳步前进。近日,本刊记者针对安全管理的范畴,专程采访了东软网络安全事业部总经理
网络运维的新课题——带宽资产管理
在很多行业中,信息中心职能部门管理着诸如网络设备、服务器、存储系统等有形资产。而当出现蠕虫泛滥、垃圾邮件等安全问题的时候,事实上受害的不仅仅是这些有形资产,而是在更大程度上威胁到以带宽资源为代表的无形资产。东软认为,对带宽这种无形资产的管理已经成为构成网络运维工作最为关键的内容,带宽资源如何被使用、被谁使用、处于何等状态、出现异常问题时应如何解决,这些均对现有的安全技术提出了挑战。
网络运维的新课题
目前高端网络运维人员日常工作的重点已不再局限在观测设备的运行状态、检查设备配置文件层面,而是把更多精力放在满足客户对服务质量的直观感受上。如,运维商几乎每天都会处理到大客户关于光纤专线速度慢,网络受到DoS/DDoS攻击,与业务无关的带宽资源被占用等问题的投诉,这往往与运维部门所掌握的监测数据存在较大出入。此类问题的症结主要来源于三个方面:第一、视角不同,客户相信其所看到的,而运维人员相信其所做到的;第二、关注点不同,客户最关心的是服务质量,运营商则更关注承载网络设备的平稳运行与维护;第三、权责范围不同,客户有权得到符合合同要求的服务质量,而运维人员则必须在己方范围内独立实现该承诺却无法对客户网络提出额外要求。因此,对运营商来说根本的矛盾则是带宽的永远不够用——接入用户的数量在不断增加,用户使用带宽的能力也在不断增加(IM、网游、IP语音、P2P都在大幅度增加普通接入客户占有带宽的能力),但是运营商的承载网络的能力并没有按照这样的乘积关系发展。
随着中国宽带用户的持续增加,运营商骨干网络中的流量正变得日益复杂,网络流量的非线性增长也给骨干网络造成空前压力。同时,DoS/DDoS攻击、大规模爆发的蠕虫病毒以及充斥网络的垃圾邮件也是运营商面对的长期挑战。如何对不同类型的网络流量进行实时监测、深度分析,在掌握“第一手”资料的基础上对带宽进行科学管理,保证正常业务的健康、持续运行,这种需求正在被国内大型客户所关注,并形成安全产业中新的热点。
可以看到,带宽不足的问题已经悄悄跨越了一个历史性的拐点,将成为长期性的难题。对运营商来说,除了持续提高带宽承载能力以外,另外一个关键的任务就是要具备带宽的管理和保证能力。因此应该有一种手段,能够把运维重点从硬性资产转移到软性资产上,并在现有网络资源的基础上,提高客户最终可得的服务质量,同时,运维人员应该具备对客户的不同应用进行区别服务的能力,保障客户关键应用的优先处理。可以说作为服务于所有人的高端网络,在现阶段中最鲜明的服务质量标志就是可用带宽,因此这也成为网络运维工作的新课题。
传统安全设备的局限性
由于目前众多的监控审计系统采用了根据已知的攻击特征行为来确定安全问题的方法,无法对未知攻击方式或者异常访问行为进行识别和检测,因此传统的安全设备在网络应用日益复杂的大环境下产生了明显的局限性。
第一,传统的带宽控制系统的局限性。带宽控制系统通常针对某一具体节点/网段进行工作,工作前提是通信实体身份和应用业务类型是事前可确定的,因此并不适合骨干链路的部署。另外带宽控制系统执行的是管理员预设的策略,无法根据链路实时流量分布进行动态调整,同时带宽控制系统难以提供与高端网络相适应的处理能力和端口类型,作为主要面向stub网段应用的带宽控制系统,无法提供足够的稳定性。
第二,串联式过滤系统的局限性。DDoS过滤系统,防火墙是此类设备的代表。作为高运算设备,过滤系统具备对流量分布动态识别能力,但同时也失去了高端网络应有的高吞吐能力。串联式过滤系统一般无法提供高端网络常用的OC-192 POS和万兆GE端口,高运算量意味着较高的故障率,串联式过滤系统将严重降低高端网络原有的稳定性。除了常见的传输层异常流量以外,过滤系统难以对应用层行为进行判断识别和有效控制。
第三,并联式检测系统的局限性。如IDS,依赖于交换机端口镜像功能,成功回避了对端口类型的苛刻要求,但是
为了消除传统安全设备的局限性,维护网络运维工作的正常进行,迫切需要产生新的技术。这种新技术应该具备以下特点:是一种新的旁路式的检测系统,能够保护原有网络的稳定性;一种能够根据实时流量部分自动调整带宽策略的响应系统,对主要业务的服务质量进行倾向性保护;同时它是一种能够兼容各类高速链路(如POS、万兆以太等)的数据提取技术、一种灵活、无损,可适应网络扩展需求的数据采样技术、一种能够正确区分不同类型的应用访问行为的具备应用层特征自动识别能力的技术、一种能够提供对异常流量自动作出实质性抑制的有效响应机制的技术。
全面革新的NTars系统
东软NetEye推出的异常流量分析与响应系统(NTars)正是满足这些迫切的需求,解决传统设备局限性问题的新途径。NTars目标定位于运营商骨干网络的检测分析,通过对骨干流量信息的提取、分析,实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件,驱动响应系统进行阻断防御。同时,面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据,帮助管理员监控和掌握骨干链路及关键资源的运行情况,从而把运维的重点从有形资产管理扩大到对带宽无形资产的管理。NTars的特色主要体现在以下方面:
第一,在流量抽样统计分析基础上增加了应用层深度检测功能。由于很多网络资源滥用行为(如P2P通信)无法通过Flow的特征字段得以详细描述,因此NTars内置了应用协议深层检测模块,并可由流量抽样分析模块进行驱动调节,自动对可疑流量按需启动协议分析、内容过滤、报文还原等操作,即可保证流量分析范围的横向幅度,又可实现关键流量检测的纵向深度,从而达到高带宽流量海量处理能力与应用层协议深层分析力度的协调统一。
第二,NTars兼顾了对网元设备的监控分析。在NTars技术框架中,把链路流量图式和网元设备状态同时纳入系统分析基础数据库中并进行高度关联分析,不仅能够大幅度提高流量分析结果的准确率(如通过流量分析得出的“流量异常”表象往往有可能是由于网元设备错误策略配置等内在因素所诱发的),而且通过对网元设备的主动分析/调节还可更精确的预期流量走势以及缓解异常流量带来的影响。
第三,增加更具实际意义的响应手段。分析报告生成几乎是异常流量分析系统的主要数据输出方式,但高端网络管理员几乎没有足够的时间对那些流水帐进行一一分析并作出合理修正操作。NTars通过增加新的响应手段一举扭转了这种“不作为”的局面,NTars在管理员的配置策略允许前提下,能够自动对异常行为做出智能响应以快速缓解异常流量造成的后果,如自动调整路由设备ACL/防火墙过滤策略/交换设备端口接入控制(NAC)、诱导异常流量进入应用检测/DDOS防护/病毒过滤等针对性功能单元,可大幅度降低管理员作业负担并提高系统防护力度。
总之,网络带宽本身就是一种资源,而且是付费用户可感受到的、最直观的服务质量评价因素。但这一点在很多用户和业务系统中被忽视掉,没有得到很好的管理控制。东软NetEye异常流量分析与响应系统(NTars)针对运营级骨干网络环境,从网络安全防护体系和网络运行维护体系两个层面双管齐下,综合运用网络安全技术和管理维护技术的互补优势,直接面向高端网络运行维护实际需求,是使运营网络最大程度实现客户服务质量承诺条款的有利支撑工具。