网络技术的迅猛发展,正迅速改变我们的生活。我们的工作和生活越来越依赖网络,但是,网络面临的威胁也越来越大。2006年底的“熊猫拜年”大面积传播,在极短的时间波及到全国许多网络用户。
首先,互联网规模无限扩大,网络病毒肆意泛滥,黑客攻击日益增多,系统漏洞层出不穷,给网管带来巨大的挑战。传统的网络安全观念是“治病救人”为主,利用防火墙来防御来自外部的入侵,利用IDS来发现入侵,然后再去对入侵进行处理的“事后处置”的观念。当网络遭受到攻击之后,哪怕是成功抵御,也会对网络的正常运行造成较大的冲击。网络环境变化了,网络安全的观念也随之改变。
其次,校园网的主要用户是学生,黑客和网络危险往往来自校园网内部,仅仅关注来自外部的威胁的防火墙安全体制,对来自校园网内部的威胁无能为力;
第三,随着技术变得更为复杂、先进,即使是合法使用者,他们有可能不会主动下载补丁,导致潜在威胁,或者无意中进入无权访问的业务区。因此,目前网管除了需要面对来自互联网的威胁,还非常关注态度不满的用户、未经过培训的用户、非法用户可能利用并危害信息系统和网络的来自内部的潜在威胁。
网络技术在飞速发展,网络安全的理念也在时刻变化。通过上述分析,我们意识到:单凭一味防御的“治病救人”式的安全理念已经支撑不住网络的整体安全体系。我们应该在注重“治病救人”的同时,拓展以“预防为主”的事前干预的安全理念,从而实施“预防为主“和”治病救人”并重的综合整网安全理念。基于这方面的理解,中兴通讯提出了网络的安全准入体系——中兴通讯安全接入(ZSA)解决方案。ZSA在用户进行接入认证的基础上,对申请进入网络的PC系统进行系统的安全审查,将存在安全隐患的PC主机拒之于网外,做到主动预防的安全目的,防患于未然。
ZAS主要包括用户接入认证、安全接入控制、终端安全管理、AAA计费管理等四大模块。中兴通讯自主研发的数据业务接入管理系统(iSAM,IP Services Access Management System)完成ZSA的主要载体。iSAM主要用于和路由器、以太网交换机、宽带接入服务器等产品配套,提供终端接入用户的认证、授权、计费、业务控制以及安全性审查等功能,来保证用户的无害接入,当用户成功接入后,在维持过程中,通过实时检测等手段,来检测用户上网模式,一旦发现用户的非法操作,及时采取相应措施,防止危害扩散。从而为用户提供低成本的业务接入控制和运营解决方案。