[发明专利]一种网络安全防护集成系统及其控制方法

说明书

技术领域

本发明涉及网络安全防护领域，尤其涉及一种网络安全防护集成 系统及其控制方法。

背景技术

随着网络中的应用越来越复杂，网络安全问题出入意料得增长， 网络攻击行为也日益呈现出新的特点：

一是攻击手段多样化，并且每次攻击经常是多种手段并用，混合 型攻击(Hybrid attack)成为攻击的主流。混合攻击是指在同一次攻 击中，包括病毒攻击、黑客攻击、隐通道、拒绝服务攻击、口令攻击、 路由攻击、中继攻击等多种攻击方式。

二是攻击手段的更新速度很快，对新漏洞的攻击产生速度快，安 全设施需要防范各种被称为“零时”(zero-hour)或“零日”(zero-day) 的新的未知攻击。所谓“零时攻击”是指如果一个漏洞被发现后，在24 小时内，立即被恶意利用，出现对该漏洞的攻击方法或攻击行为，而 同时对应的防御工具还未开发出来，那么该漏洞被称为“零日漏洞”， 该攻击被称为“零日攻击”。

三是安全威胁不仅来自外部，企业内部的不当互联网访问、滥用 互联网和泄密行为等，同样会带来安全问题。美国著名的市场研究机 构IDC报告，70％的安全损失是由企业内部原因造成的，其中不当的 资源利用及员工上网行为往往是“罪魁祸首”。

面对这些新形式下的安全威胁的攻击多样化和融合的特点，传统 的防火墙、入侵检测系统/入侵防护系统(IDS/IPS)及防病毒等单一 功能安全产品已经显得无能为力，因此安全防护技术一体化和集成化 需求应运而生，这便是统一威胁管理(Unified Threat Management， 简称UTM)，IDC对UTM进行了明确定义：UTM是由硬件、软件和网 络技术组成的专用设备，组合防火墙、VPN、IDS/IPS、防病毒、防 垃圾邮件、网址过滤、内容过滤、流量监控等功能，构成一个标准的 统一管理平台。从技术角度看，网络信息安全设备之间的联动互操作 技术帮助安全体系有效组合并提升性能。例如，防火墙与防病毒联动 可以提供网关查杀病毒能力，保证了内部系统与外部网络信息流的纯 洁性；防火墙与认证系统联动将认证与防火墙剥离，可以采用专有设 备完成身份认证工作，提高了认证的可靠性与安全性，也减轻了防火 墙的负担；防火墙与入侵检测系统联动使防护体系由静态到动态，由 平面到立体，提升了防火墙的机动性和实时反应能力，也增强了入侵 检测系统的阻断功能等。

由于UTM系统要求各种安全功能部件的无缝集成，而这些功能 部件的技术规范、实现方法、系统框架、信息格式、适用的通信协议、 安全策略表达都各不相同。因此为了实现它们之间的协同工作，必须 拥有统一规范解决网络信息安全设备间的接口标准和互操作技术。

另一方面，网络安全是整体的，我们可以通过选择优秀的产品、 优秀的服务构建一个解决方案，但如果各个优秀的产品、优秀的服务 等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤 立，无法形成整体的安全策略；这样势必形成安全漏洞，给入侵者可 乘之机。网络安全是动态的，如果各个优秀的产品、服务等各环节之 间是孤立的，则无法全面了解网络的整体安全状况，当然也无法根据 网络和应用情况动态调整安全策略。

当前网络安全机制互操作框架的解决方案有三大发展趋势：

1、以防火墙为中心的互操作框架。作为中心的防火墙提供与其 他安全产品之间的标准接口协议，其他安全产品产商根据防火墙产商 提供的SDK开发他们相应的通信模块，并通过各自与防火墙的接口协 议，实现联动和互操作。

2、以入侵检测系统为中心的互操作框架。跟以防火墙为中心的 互操作框架原理一样，以IDS为中心，其他安全产品通过与IDS的接 口协议，实现互操作。

3、所有安全产品之间统一的互操作框架。基于通用的、公开的、 标准的和可扩展的接口和协议，实现安全产品的有效组织并提升性 能。例如，防火墙与防病毒联动，可以提供网关查杀病毒能力；防火 墙与认证系统联动，提高了认证的可靠性与安全性，也减轻了防火墙 的负担；防火墙与入侵检测系统联动，实现了防护体系的动态、立体 的防护能力，提升了防火墙的机动性和实时反应能力，也增强了入侵 检测系统的阻断功能等。

国内外已有不少网络安全管理平台，其中国外的Check Point公司 的OPSEC安全联动平台和国内的天融信公司的TOPSEC平台是目前 较为著名的实现方案。