东软网络安全十年发展之路

　　2006年是东软股份创立15周年，上市10周年，也是东软涉足信息安全领域10周年。

　　进入2006年3、4月以来，东软高层频频在北京亮相。3月31日，东软软件股份在北京召开了主题为“超越技术，尽融其中”的2006年经营业务与策略媒体沟通会，东软股份总裁王勇峰和高级副总裁兼运营总监卢朝霞率领东软股份所有国内行业线领军人物首次整体亮相。

　　卢朝霞教授在总结过去15年的发展时强调，东软为了与国家基础设施信息化建设不断融合，进行了艰苦卓绝的探索，并为中国信息化建设和行业客户做了大量投资。过去15年是中国软件产业与其它产业相融合的15年，是软件技术与行业应用相融合的15年。没有融合就没有中国软件产业的高速发展，没有融合也不可能有中国信息化建设的成就。如今东软在国内拥有8000多家大型客户，在电信、社保、电力、烟草、教育、网络安全等领域的市场占有率连续多年位居前列。

　　卢朝霞教授在会上宣布了东软2006年经营策略：东软股份将继续发展以软件和服务为核心的解决方案业务，继续以较高的速度扩大国际和国内市场份额，加强面向未来的研发投入和NEUSA的不断完善，大幅度提高技术体系对公司业务发展的贡献度，进一步提升内部综合管理能力，加强国际化、实用型人力资源的培养建设，创造与客户、合作伙伴和谐的生态环境，实现公司健康持续的发展。

　　东软网络安全作为公司整体战略的有机组成，在东软整体经营策略中占有重要的地位，卢朝霞高级副总裁称东软的网络安全业务在东软可以说是集“万千宠爱于一身”。

　　>>>查看全文

　　通常防火墙主要有两种工作模式：透明和路由。为了适应某些特殊应用环境的部署要求，又出现了混合工作模式的概念。透明模式是防火墙配置成为桥模式，所有接口进行二层交换；路由是指所有接口都工作在三层，需要配置IP、路由等等；混合模式是表示有些接口工作在二层，而有些接口工作在三层。

　　大多数防火墙都只能工作在一种模式下，而且工作模式需要用户指定，比如在界面上选择透明、路由或混合模式等，而且配置的局限性比较大。比如很多防火墙在混合模式时，内网、外网与DMZ区之间只能设定为路由方式；内网外网之间只能设定为透明方式，配置灵活性很差；当防火墙具有3个以上接口时，配置会变得极为复杂甚至无法配置。

　　东软NetEye FW5200采用全新的三层交换技术消除了原来复杂的工作模式概念，带来了极大的部署和配置的灵活性。三层交换技术将二层交换和三层路由的优势结合成为一个有机的整体，利用第三层协议中的信息来加强第二层交换功能，从而在网络模型中的第三层实现了数据包的高速转发。NetEye FW5200中三层交换技术的采用使得VLAN、TRUNK、Channel等技术能够很方便地在防火墙上实施。更重要的是，从此抛弃了模式设置的操作，减轻了管理员配置维护的负担：比如说要实现几个接口间的二层交换，只需要在防火墙上设置一个VLAN，然后将这些接口添加到这个VLAN内，则VLAN内的接口就实现了传统的透明模式，并且支持包过滤、内容过滤等安全访问控制功能；如果要实现路由模式，可以配置两个或多个VLAN，VLAN间配置路由，这种情况下VLAN间采用的是三层交换技术，在完成了路由功能的同时，极大地提升了转发性能。

　　目前主要存在两类三层交换技术：第一类是报文到报文交换，每一个报文都要经历第三层处理，并且数据流转发是基于第三层地址的，如图一所示；第二类是流交换，它不在第三层处理所有报文，而只分析流中的第一个报文，完成路由处理，并基于第三层地址转发该报文，流中的后续报文使用一种或多种捷径技术进行处理，如图二所示。此类技术的设计目的是方便线速路由。NetEye FW5200采用的是流交换技术，保证了设备具有千兆线速的数据包处理、路由和转发性能。

图一：基于报文到报文交换的三层交换技术

图二：基于流交换的三层交换技术

　　理解三层交换技术的关键首先需要区分报文到报文交换和流交换这两类不同的转发方式。报文到报文处理方法的一个显著特征是能够适应路由的拓扑变化。通过运行标准协议并维护路由表，报文到报文交换设备可动态地重新路由报文，绕过网络故障点和拥塞点而无需等待高层的协议检测报文丢失。报文到报文交换遵循这样一个数据流过程：报文进入系统中OSI参考模型的第一层，即物理接口，然后在第二层接受目的MAC检查，若在第二层能交换则进行二层交换，否则进入到第三层，即网络层。在第三层，报文要经过路径确定、地址解析及某些特殊服务。处理完毕后报文已更新，确定合适的输出端口后，报文通过第一层传送到物理介质上。

　　流交换方法没有这些特征，因为后续报文走捷径而无需第三层处理，这样，它就不能识别标准协议对路由表的改变。因此，流交换方法需要另外的协议取得拓扑变化或拥塞信息，以便到达交换系统正确的地方。在流交换中，第一个报文被分析以确定其是否标识一个“流”或者一组具有相同源地址或目的地址的报文，同一流中的后续报文被交换到第二层的目的地址，这种方式节省了检查每一个报文要花费的处理时间。流交换需要两个技巧，第一个技巧是要识别第一个报文的哪一个特征标识一个流，这个流可以使其余报文走捷径，即第二层路径。第二个技巧是，一旦建立穿过网络的路径，就让流足够长以便利用捷径的优点。怎样检测流、识别属于特定流的报文以及建立通过网络的流通路随实现机制的变化而不同。

　　东软预见到网络安全与通信逐步融合的技术趋势，在NetEye FW5200融合了众多先进的网络特性，如三层交换技术、以太网通道技术等等，结合NetEye FW5200超强的千兆线速处理性能和虚拟防火墙技术，使它成为电信、金融、教育、电力等行业骨干网络安全防护的利器！

　　NEL（NetEye Event Language）是东软自主研发成功的一种通用攻击描述语言，包括NEL语言规范及相应的开发环境。NEL为不同类型的入侵检测防御产品（如网络IDS/IPS、主机IDS/IPS、应用防火墙、应用安全增强模块等）的开发提供了一个具有强大描述能力、高度的可扩展性和很高代码执行效率的语言平台。

　　NEL是一种过程型编程语言，提供了很多高级语言中才有的过程性手段，具有强大的描述复杂攻击的能力。NEL引入了事件这一新的语言元素，同时引入了事件逻辑约束关系，使得NEL具有强大的攻击描述能力的同时，提供了攻击检测防御所必须的抽象性和概括性。NEL平台具有良好的可扩展性，采用NEL开发的产品可以快速开发出针对新的漏洞和攻击的防护方案。

　　开发人员可以采用NEL基于协议异常、漏洞特征或攻击特征等来定义攻击检测防御规则。基于协议异常或漏洞的NEL规则更准确地描述了攻击的本质特征，因此具有极强的攻击抽象力和检测效率，往往一条规则就可以检测数十种攻击，并有效阻止0-day攻击。下面以SMTP协议为例，简单介绍一下如何采用NEL编写攻击检测防御规则。

　　RFC中对各种协议的状态转换、交互过程都是有严格限定和规范的，如果协议的交互过程偏离了协议规范，就是一种协议异常，而这往往意味着攻击。下面是一个通过检查协议状态转换异常来检测抵御攻击的例子。

　　BAD_DATA_REQ: data_req($0->mail_state < SMTP_MAIL_STATE_RCPT_TO )
　　 {
　　smtp_deny($0, "Haven't seen RCPT TO command before this DATA command!\n");
　　 }
　　 ;

　　说明：根据RFC 2821，在一个合法的SMTP连接过程中，只有在客户端至少发送过一个“RCPT TO”请求命令之后，客户端发送“DATA”请求命令才是合法的，$0->mail_state < SMTP_MAIL_STATE_RCPT_TO即代表着在SMTP连接过程中，客户端尚未发送过“RCPT TO”请求命令，因此通过这条规则可以阻挡住所有不符合SMTP协议标准交互过程的“DATA”请求命令，同时也将所有利用直接发送“DATA”请求命令进行的攻击拦截下来。

　　基于NEL的安全产品具有非常强的客户化和定制化能力。以Web应用为例，通过在规则中引入应用环境相关的信息（如Web应用所允许使用的参数数量、参数名、数据类型、页面语言、通信协议等），可以开发出定制化的NEL规则，增强其适应性和准确性，更好地抵御各类缓冲区溢出攻击、SQL注入、URL攻击等等。

　　下表是NEL与SNORT、BRO这两种目前比较流行的攻击描述语言的对比。

表1 NEL与其它攻击描述语言的对比

　　由上表可以看出，NEL平台具有强大的攻击描述能力、优异的可扩展性和卓越的运行效率，同时具有无缝调用C语言实体的能力。因此基于NEL平台可以很方便地针对不同的安全需求开发相应的安全产品，NEL平台的主要应用领域包括：

　　1. 专注网络安全领域的厂商、科研院所和组织机构等，可以采用NEL平台开发IDS/IPS、应用防火墙、蠕虫检测系统、垃圾邮件防护系统、DOS/DDOS防护系统、异常流量监控系统、P2P应用（BT、MSN、QQ、SKYPE等）控制/过滤系统、安全服务器（如WEB/MAIL/FTP/ DNS/文件服务器）等等。

　　2. 操作系统开发商可以采用NEL平台对操作系统常用的服务和协议进行安全性增强，开发安全操作系统。

　　3. 数据库及数据库应用开发商可以采用NEL平台增强数据库通信协议的安全性，加强对数据库通信过程的审查，及时发现对数据库的非法访问与恶意攻击，保障数据库自身的安全性。

　　4. 应用系统开发商可以采用NEL平台对应用（如web访问、web service服务等）流量进行过滤和检查，及时发现利用应用服务进行的攻击、窃密等行为。

　　5. 网络设备供应商可以采用NEL平台增强路由协议、SIP协议、H.248协议的安全性，检测针对语音/视频服务系统的攻击，增强电信运营网络的安全性。

　　6. 移动软件开发商可以采用NEL平台开发手机等移动设备的安全模块，检测手机病毒等新的威胁。

　　NEL作为一种具有中国自主知识产权的攻击描述语言，东软希望NEL能够在信息安全领域得到广泛应用。为此，东软推动成立了“NEL开发联盟”。作为一个知识互享和经验交流的平台，国内外信息安全领域的厂商、组织机构、技术人员可以通过“NEL开发联盟”随时了解NEL平台最新的功能特性、技术进展、应用领域和发展方向，合作开展基于NEL平台的安全技术和产品的研究开发，将NEL打造成为象JAVA在企业级计算领域一样的，在网络安全计算领域“遍在”的语言平台。

　　如您希望了解更多NEL技术和“NEL开发联盟”的相关信息，可以访问东软NetEye网站，http://neteye.neusoft.com，点击“NEL开发联盟”栏目，获取您感兴趣的信息。或者发邮件到xusq@neusoft.com，邮件主题请包括“NEL开发联盟”字样。
　　期待您的关注与参与！

　　近日，由《信息安全与通信保密》杂志社、中国信息安全产品测评认证中心、国家保密技术研究院主办的第六界中国信息安全发展趋势与战略高层研讨会在北京· 中国科技会堂圆满闭幕。

　　本届研讨会以“引领技术发展潮流，开拓产业生存之路”为主题，邀请业界近500余名知名的政府主管部门领导、专家学者、行业用户、企业精英共聚一堂，共同探讨新时期下中国信息安全产业的现状、发展热点、方向和战略战术，努力推动我国信息安全产业持续、快速、协调、健康发展。

　　东软软件股份有限公司作为本次大会的首席顾问单位在会议上就《如何避免业务系统出现“安全死角”》等内容结合实际案例、经验进行了介绍，主讲人东软网络安全营销中心解决方案部资深专家席斐的精彩演讲博得与会人员的赞许。在研讨会期间，大会组织了“IPS、UTM及VPN技术应用”三场专题的论坛，同时隆重发布“中国信息安全产业界最受尊重企业品牌”、“中国信息安全产业界最具发展潜力企业”、“中国信息安全市场优秀VPN产品推荐品牌”。 东软NetEye在信息安全产业界的技术实力、影响力当仁不让的获得了本届论坛最高荣誉“中国信息安全产业界最受尊重企业品牌”奖。

　　2006年将是中国信息安全产业走向一个新时期的开始，将迎来机遇与挑战并存的关键历史时期。东软公司将产品整和的速度加快，产品技术升级日趋明显，为适应新时期的发展趋势努力。

　　>>>查看全文

　　2006年4月19日东软网络安全营销中心在北京召开新闻发布会，发布并推出了网络安全管理类新产品（SOC、IPS、Ntars）及整体解决方案。随后东软NetEye新产品全国巡展相继召开。首轮巡展从5月19日开始，历时一个月时间在全国13个城市举办，此次巡展的城市包括：兰州、南昌、长沙、乌鲁木齐、沈阳、郑州、杭州、福州、成都、贵阳、南宁、济南、呼和浩特。

　　巡展分两路同时进行，南线5月19日首站从美丽的杭州启程。上海、浙江、江苏地区的东软NetEye新老用户以及核心代理商济济一堂为新产品的开启献计献策，共同探讨网络安全的建设。

　　浙江省公安厅网监总队领导在会议上首先为本次会议致辞并对浙江省大力推进信息安全等级保护进行详细讲解，指出浙江省目前信息化推广存在的突出安全问题，例如：目前多数部门热衷于建网、上网，但对网络的涉密程度及安全要求缺乏了解，安全隐患和问题较多；网络安全建设和管理存在很大的盲目性；网络安全建设和管理存在很大的盲目性。面对诸多问题更加需要东软这样的网络安全厂商为信息化安全建设发挥力量。

　　东软公司杭州办事处总经理闵华阳先生首先在会议上致辞。东软NetEye网络安全工程师高峰现场就公安厅领导提出的问题结合东软产品实际案例为到场嘉宾作了详细讲解，同时与当地用户、代理商、合作伙伴共同探讨了东软NetEye的新产品、新政策以及新技术等，并且解答了现场参会人员提出的各项网络安全和东软新产品问题。东软网络安全营销中心总经理曹斌博士百忙之中抽出时间赶到杭州，与杭州的朋友进行了交流，为大家介绍了东软公司以及东软NetEye在网络安全领域十年的发展历程。

　　2006年东软NetEye新产品全国巡展首站在杭州圆满结束，会议期间东软公司销售经理、技术工程师、产品经理与当地的用户、合作伙伴进行了全方位的交流，解答老用户的问题同时与潜在的合作伙伴们建立了良好的关系，更加拓展了东软网络安全在华东地区的影响力。

　　5月19日，中国领先的网络安全解决方案提供商东软在兰州召开主题为“因需而变，因御而安 东软网络安全整体解决方案发布会”，本次会议是东软NetEye全国巡展北区的第一站。在全面解决方案中，东软着重介绍了NetEye SOC（安全运维平台）、NetEye IPS（入侵防御系统）和Ntars（异常流量分析与响应系统）等几款重量级的网络安全管理新产品。东软此次在网络安全整体解决方案领域的重拳出击，标志着中国自主知识产权的网络安全产品已经走向成熟，成为捍卫中国政府和企业网络安全的中坚力量。

　　甘肃省通信管理局安全处处长刘志华女士在会上致辞，简要介绍了甘肃省目前网络运载的基本情况和面临的一些问题，同时表示非常高兴看到东软在网络安全领域推出的全面解决方案从而有效的解决目前困扰用户的安全问题，并希望东软能为甘肃省的信息安全保障建设贡献更多力量。东软兰州办事处主任钟义先生出席会议并致辞，同时来自政府、企业、军队等行业的80余名行业客户出席了本次会议，不仅悉心听取了东软的安全整体解决方案的介绍，还与东软资深安全顾问做了深入交流与沟通。此次东软安全整体解决方案“安全魔方” 和3款安全新产品的隆重推出，为东软继续做大做强网络安全业务，为中国政府和企业提供全面的网络安全整体解决方案，打造的坚实的基础。

　　>>>查看全文

　　十分感谢您阅读NetEye安全月刊，我们真诚的希望大家通过这个平台交流NetEye使用经验，提出您的宝贵意见，东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论：neteye@neusoft.com