打好新安全架构基础 建立网络新秩序

如何打造一个“干净”的网络环境，不仅仅在于采用多么强大的安全设备，那样做只是治标不治本，正确的做法应该是打造好新安全架构基础，建立一个新网络秩序。

认清网络安全的“标”与“本”

华三存储产品总裁在接受媒体采访时，被问了一个安全的问题：“很多厂商说他们已经从给故宫建城墙的阶段，进步到了给皇帝配大内侍卫的阶段，请问华三到哪个阶段了。”他回答说：“其实城墙(估计是暗指FW的边界防护)和大内侍卫(估计指IPS的深度防护)都属于一个层次，都属于治标的层次；秦始皇厉害吧，带着几万人保护他，结果还是有大铁锤抡过来砸他；现在做安全应该考虑如何治本，应该想想如何像盛唐那样做到夜不闭户；老百姓有秩序和满意了，安全自然就有保障了。”

做安全的道理就如同做环卫一样，要想干净，必须从成千上万的终端抓起。凡夫畏果，菩萨畏因，并不是说有DDOS攻击了，我们就要上专门抵御DDOS攻击的设备，有病毒传播了，我们就要上专门的杀病毒设备……因不除，而仅仅防果，就是治标不是治本。

本是什么？本是网络所连接的每个电脑终端的“无政府”状态，本是每台电脑的使用者对使用电脑的行为无监管现状。网络，无论是企业网还是校园网，大多数非实名，大家在里面想干什么就干什么！因此打游戏的、聊天的、下载电影的、炒股票的、看新闻的……就是缺乏学习和工作的。过度的自由，带来必然的堕落；一个没有秩序的国家，我们可以想象是什么样子；国家没有秩序尚且如此，网络没有秩序，何谈安全。

怎么治本？必须让每个计算机进入到网络就是实名的，必须让每个计算机进入网络前就打好系统补丁和升级到最新的病毒库，必须让每台计算机在进入到网络后行为是接受监管的。有人说，这样会不会太严格了？事实上，这种严格是建立在企业、政府、学校等各个行业的行业秩序上，首先有行业秩序，才有行业网络的秩序。每个政府公务员都应该明白：上班不能炒股；每个企业员工都应该明白：打工不能打游戏；每个学生都应该明白：学习不能浪费时间下载盗版DVD。想充分自由嘛，回家去自由。

所以如果有人问我最喜欢华三什么产品，我会告诉他：EAD(端点准入控制)。这个产品，改变了网络的“黑暗性”，让网络“实名制”和“透明化”，建立了网络的秩序。你想接入网络，我可以强迫你打补丁、升级病毒库，我可以强制检查黑白软件，我可以审计每个人的行为。当每个电脑前面的使用者明白要对自己的行为负责时，每个人都知道该怎么做，不用繁文缛节的规定，因为每个中国人念小学的时候，老师就教了大家：什么能做，什么不能做。

在没有监管的情况下，绝大多数人会：想怎么做，就怎么做。企业、政府、学校都需要秩序和纪律。拿破仑曾经反思英国的强大，他说：英国之所以强大不是因为民主和自由，而是英国的纪律性比法国人强。国家的民主和自由来源于秩序和纪律所带来的繁荣结果，企业的强大来源于秩序和纪律成为习惯和文化。

打好新安全架构基础的好处

1、安全不再成为性能瓶颈。当秩序混乱时，我们需要大量的安全机器来维护秩序。但无秩序状态下的以暴治暴，只能带来暴力的博奕和升级。一个万兆网络非常容易搭建，但为了上FW、VPN、AV、IPS……往往很快我们把网络的整体性能降低到10M。如果想不降低性能，就得上高性能安全设备(比如我们用64核CPU多线程开发的40G FW)，但高性能的设备的价格高得让人难以承受。如果用类似EAD这样的端点控制方案，一个网络环境首先是有秩序的，深度防护的设备更多是有限的布置到互联网出口或DC出口。分布式的安全体系才能带来高性能的网络，把90%以上的安全问题在接入侧就解决。

2、网络管理从资源管理进步到针对具体人的具体业务的管理。网络管理十多年没有什么本质的进步(老五样：失效管理、配置管理、性能管理、安全管理和计费管理)，究其原因就是管理的对象一直没有进步到网络具体的人和具体的业务。类似EAD这样的工具，可以让人、业务和资源之间有明确的对应关系，从而带来IT资源配给、调整、监控、审计的全新境界。

这就是“新安全架构”的基础，这也是网络新秩序的基础。一旦我们拥有了一个安全、和谐的安全环境，我们所自豪的不是拥有最强大的安全设备，而是拥有了遵守纪律和维护秩序的网络使用者。