由銳捷網絡提出的“安全可信新網絡”及“GSN全局安全解決方案”經歷了一年多的沉淀之后，在此次大會上眩出了更為豐富的涵義，也重申了安全可信在現實中存在的重大意義。

安全可信：一個預言

社會信息化的飛速發展與日益增長的市場需求是密不可分的。追求現代化的生活方式的人們，幾乎習慣于使用互聯網，他們有著4A情結：即希望任何事情都可以使用互聯網（ANYTHING），希望任何時間都可以使用互聯網（ANYTIME），希望任何地點都可以使用互聯網（ANYWHERE），希望以任何方式如WLAN/WiMax、以太網、3G等都能使用互聯網（ANYWAY）。而互聯網技術的發展也給人們帶來了滿足與永遠都要延續下去的需求，正如隨著互聯網從以內容為中心到以用戶為中心的轉型，我們有了想寫就寫(Blog) 、想看就看(RSS)、想找就找(SNS)、想編就編(WiKi) 、想唱就唱(Podcasting)的欲望的宣泄載體；有了更多P2P的應用；有了網上購物、網絡游戲、IPTV、視頻、語音等應用。

這些業務和應用在影響人們生活方式的同時，也給出了我們更值得思考的話題——安全。其實很多人都明白：下一代網絡得以創新發展的基礎，就是要首先實現網絡的安全可信。并且BT 、Emule等很多類似的應用已經給互聯網帶來了流量模型上的變化，這就需要帶寬及性能上的提升。我們也可以從發生過的事件中看到，我們進行網上購物、網游、IPTV、視頻會議、語音聊天的操作真的不會將您“暴露”嗎？凡此種種的互聯網應用層面的需求需要足夠的互聯網技術的支撐，而這種互聯網業務的可續性與安全性也一樣成為商家們發展自己互聯網事業的要點。

以WLAN技術為例，WLAN是以空間為傳輸介質、以移動用戶的接入為目的，其更容易受到安全攻擊和干擾，因此作為在互聯網的發展與應用趨勢之一的WLAN，其技術的安全可信性是刻不容緩要解決的問題。

隨著互聯網各種應用的不斷增加，今天的帶寬仍然不能滿足客戶的需求，單純地升級帶寬而不考慮安全問題使網絡更加混亂無序，因此，在帶寬/性能提升的同時要保障安全性的提升，否則將客觀上導致蠕蟲傳播速度更快。

有人說，IPv6無處不在。的確，在智能交通、話音\視頻業務、移動辦公、信息家電、全球定位、物流IPv6+RFID領域已經有了成功的應用，并且世界范圍以及中國的IPv6的骨干網絡已經初步建設成功，Cernet2也走在了CNGI的前列，因IPsec是自帶、不使用NAT/PAT，保證了身份和地址，也使病毒及網絡蠕蟲在IPv6的網絡中傳播將會變得很困難，中國的教育行業也積極投入到了IPv6試驗網的建設中。但目前對IPv6協議威脅的要屬在應用層的攻擊，由于缺乏對IPv6網絡進行監測和管理的手段，缺乏對大范圍的網絡故障定位和性能分析的手段，同時也難以實現嚴格的用戶限制功能，以及針對IPv6的防火墻等安全設備匱乏也是向IPv6遷移過程中的漏洞的表現。而作為未來網絡發展趨勢之一的多業務融合的智能網絡，其各種業務的運營也需要一安全可靠的網絡，以識別網絡應用，動態分配網絡資源，進行身份識別以實現準確計費。

　　因此，不管是WLAN、IPv6還是網絡帶寬性能的提升，以及多業務融合的智能網絡都將由“安全”下達“是否繼續”的指令。正如一種預言：下一代網絡的發展沒有安全可信作為前提，作為技術保障，所有的新技術、新方向將黯然失色。因此，安全可信是下一代網絡發展的基石。

安全可信的密碼

理解預言的涵義需要密碼，這個密碼也就是對安全可信內涵的關鍵詞。

從對網絡安全的認識歷程上看，在IT業界，對網絡安全的認識總能歷久彌新，因為安全問題總會層出不窮。在剛剛結束的RSA2006大會上比爾.蓋茨先生提出了整個社會的安全性問題，即要想提升整個社會的安全性，業界首先必須做到四個方面：相互信任的生態系統、安全工程、簡易性和安全基礎平臺。無疑這是對安全可信大環境的闡述與暢想。

在隨著安全事件發生的頻率升高，我國對安全意識程度的反復強調近幾年也逐步升溫。對于安全，人們的解釋已經從局部發展到全局，從邊界層面發展到應用層面，從對安全硬環境的要求發展到對安全軟環境的要求。因此，我們將給出了對安全可信新網絡，也就是以“安全”、“可信”為基本特征的下一代IP網絡的理解。

到目前為止，我們將基于網絡的業務應用（如數據、語音、視頻、存儲、P2P應用等）的“安全可信”內涵分為“安全”建設和“可信”建設兩部分內容。“安全”建設主要是指智能、主動、聯動地進行網絡、主機、管理層面的安全防護和建設。這里網絡曾面的安全防護是指采用網絡設備進行全網安全防護，是通過安全設備的重點區域進行的安全防護；主機層面安全防護是指增強終端系統的安全性，是通過端點防護系統來進行的終端安全防護；管理層面安全建設是指對統一的網絡監控，對統一的安全事件管理、安全策略管理，以及對網絡安全的狀態匯總分析。

“可信”建設即建立可識別、可信任、可保障的系統體系，主要是指網絡身份、網絡環境、網絡業務的可信，需要通過高可用的網絡結構設計、穩定可靠的核心設備以及全網統一的身份管理系統來實現。至此，“安全可信”的內涵就形成了一個完整、完善的對網絡安全防護機制的整體性概括。而作為理解和揭示安全可信的密碼，不外乎上述提到的智能、主動、聯動及可識別、可信任、可保障等特征。進而，成功揭開安全可信神秘面紗就在于對上述的幾個特征詞匯的掌握，因此破解、實現安全可信志在必得。

GSN——揭開與實現安全可信的核心

       銳捷網絡在2004年就提出了GSN全局安全解決方案，這一方案的推出不僅將兌現下一代網絡發展的安全可信的技術保障，而且構筑了一個強有力的務實于各領域各行業的應用方案模型，并在教育、金融、醫療領域及中小企業有成功應用。2006年3月GSN成功實現了全面的升級，并使湖南農業大學和有“千年學府”之稱的湖南大學成功開通了GSN全局安全校園網絡，率先提供了GSN全新應用的實例，并得到教育界、IT業界相關領導和專家的首肯。集“自御、自愈、自育”為一體的GSN也從此具有了可以更全面、更務實地解讀與實現“安全可信新網絡”的功能和能力，將突破性地實現安全管理全局性，更新時時性，事件發現與強有力的控制能力。

安全管理全局性的實現

目前，用戶網絡的安全規則都由管理員手工完成，并且這些規則都基于IP，因此如果需要對全網的安全規則進行一次調整，假設有2000 臺交換機的用戶網絡，那么將其乘以對每臺設定規則，其所花的時間會很長，而一旦進行安全規則的修改，還要檢查所修改的規則是否和原有的規則有沖突，這是安全管理基礎的工作。同時更要針對部分的用戶采用適合的、相應的安全規則。此時，就將啟用RG-SMP（全網統一的安全管理），并與RG-SAM 身份認證系統聯動， 實現全網統一的安全交換機注冊功能，并通過統一的安全管理平臺來進行安全規則的定義以及查詢，要注意的是需要針對不同對象（如有基于用戶、用戶組，有基于交換機的）進行安全規則的靈活定義。這里就給出了具體的例子以更明了SMP的存在價值：假設，在某天某時將有一個新的蠕蟲病毒從歐洲傳播到中國，攻擊形態為利用WINDOWS 的一個漏洞，以攻擊校園網為例，某校有用戶信息點2萬，攻擊系統的TCP 1883 端口，那么不難得出這將導致被攻擊系統死機，系統需頻繁重起的后果。因此，RG-SMP系統啟用，進行全局的安全策略定義，將一個針對TCP1883的安全規則統一下發到所有的注冊安全交換機上，整個過程的花時需要5分鐘。那么如果是辦公網絡，其沖擊波病毒的端口和網絡共享有沖突，那么就可以通過RG-SMP定義一條針對用戶或者用戶組的安全策略，允許用戶使用該網絡行為，進而避免沖突。 

對于GSN，SMP就像中央指揮部，像人體的大腦，它是實現整個網絡智能、聯動的核心（如圖2所示為RG-SMP系統界面）。因此，RG-SMP的部署可以使網絡管理員能輕松的實現對整個網絡的統一安全管理，這也是構建完整的GSN構架的階段。

時時更新使終端更安全

在階段GSN的基本框架已落定，但還需要針對系統漏洞，網絡中補丁的情況，以及殺毒軟件安裝和升級情況進入第二階段的系統建設，即對網絡中的用戶終端系統進行安全性時時更新，以堅固客戶端系統。

某系統在經過利用WINDOWS 的一個漏洞的攻擊之后，為了能徹底的將次攻擊所帶來的的蠕蟲對網絡系統的影響去處掉，網管中心需要將所有的用戶安裝一個針對該問題的補丁（KB14335760 ）。那么就可以通過RG-SMP 定義一個安全補丁的檢查規則，檢查所有用戶是否安裝了KB14335760，如果用戶沒有安裝，終端用戶將會被提示需要安裝該補丁，并提示如不安裝將導致的問題，同時可以自動幫助用戶下載該補丁，并且所有不在線的用戶可在下次登陸網絡的時候自動收到該信息，這樣的修復過程需花時5分鐘，這樣就完成了對全網統一補丁的下載和更新。

從上面的示例中，我們可以了解到，RG-RES安全修復系統是用來提供通用系統（如Windows 操作系統）的補丁時時更新，由SMP所定義的檢查規則指引，使用戶補丁的更新可以達到內部網絡連接的速度和外部網絡的內容傳輸的更快捷，并需要與用戶系統的殺毒軟件的自動安裝和更新相互配合，實現時時更新，同時RG-RES安全修復系統還可以為內容系統進行及時更新。

事件發現與強有力的控制

為保護用戶系統的安全可靠，進一步堅固系統的抗攻擊能力，第三階段的安全建設就是要加強對網絡安全事件的發現和控制。目前，我們的網絡一直存在這樣的現象：盡管系統加有殺毒軟件、個人防火墻等安全防護手段，當缺乏必要的安全事件發現機制時，網絡中還經常出現一些異常行為，因此，針對一些特殊數據流進行發現、控制成為難題，網絡管理員沒有一些很好的對網絡情況進行了解和分析的渠道。

因此，GSN在網絡的安全事件的發現上，運用了RG-SA（端點防護系統），將其部署在用戶的終端系統上，并通過防火墻功能對于用戶的終端系統進行保護，同時利用RG-SA 的HIPS 功能對威脅用戶終端系統行為進行發現報警并自動阻斷，進而進行用戶的終端系統的安全性分析，并將信息發布給RG-SMP。同時，在網絡區域還部署了RG-IPS （入侵檢測系統）對所部署的網絡區域進行整體監控，實時監控，這對用戶來說是完全透明的過程，RG-IPS將結果反饋給RG-SMP，RG-SMP再進行信息匯總后終發出安全指令，進而使整個網絡實現統一的聯動。

綜上所述，不管是在校園的應用，還是在辦公網絡的應用，GSN通過三個階段分步式的部署，讓整個網絡安全的形成平滑完成鞏固性應用，終使整個網絡的管理處于有序狀態。

GSN的專項服務機制

對于這一安全可信實現的核心技術方案GSN，銳捷網絡打造了一批的GSN專業服務團隊和專業的軟件實施部署隊伍，為全國的GSN用戶實施RG-SAM、RG-SMP、RG-SA、RG-IPS的部署和使用培訓，對用戶網絡實施全局性網絡安全的設計、論證、部署和維護，使用戶能更好的使用GSN系統。銳捷網絡還將自己作為一個安全信息共享體，將安全信息收集，并制定發布相應的安全更新包定期發送給用戶或供其系統及安全規則、安全策略自動更新。

GSN全局安全解決方案這一核心技術方案的研發和實驗，終將由它的應用效果和用戶反饋作為它的終定義。目前，這一推動了我國教育信息化建設的不平凡的解決方案還將成為金融行業、醫療行業、中小企業領域應用的典范，同時與銳捷網絡在這方面合作的眾多“閨中密友”也將為銳捷網絡的這份成就感到驕傲和自豪。銳捷網絡一直秉承的“安全重在合作”的原則和理念在這得以充分體現