《202X年系统安全部内部培训之网络安全》由会员分享,可在线阅读,更多相关《202X年系统安全部内部培训之网络安全(35页珍藏版)》请在金锄头文库上搜索。
1、 系统安全部内部培训 网络安全 Contents 安全概念客户安全需求当前的主要解决方案我们的重点 网络安全概念 业务运做的IT基础设施 核心业务IT解决方案 1 1的互通互联 全球贸易平台GTW 电子商务基础条件 电子商务价值表现 第一阶段 第二阶段 第三阶段 第四阶段 网络基础平台 B B 网络社会 企业信息化 网络层面的安全 业务层面的安全 用户整体的安全考虑 下游的安全整体考虑 网络安全的概念 3 个安全问题 如何保证 用户业务运营 网络安全的概念 安全是什么 保证网络及其中的资源能够在需要的时候被需要的人正常的使用 这不是定义 客户的安全需求 用户的信息化级别 一 信息化级别较低处于
2、用户信息化初期 停留在OA等初级使用层面个人数据安全 防病毒需要 系统宕机后恢复无专人管理其它 客户的安全需求 二 具备一定信息化条件信息化基础较好 已建有内部专门的应用网络 但还未将业务与此挂钩 各种应用系统 财务 人事等 的安全 关注内部网络的可用性和可靠性专门的人员管理或分管管理层对信息安全有一定思路和投入计划企业规模适中 客户的安全需求 三 较高信息化的企业有较完整的网络基础设施业务运行需要依靠现有的网络基础设施且业务的信息化程度较高 对现有运营数据比较敏感企业规模较大相对较稳定有着较明确的安全策略并在一定程度上贯彻执行业务可能外包 客户的安全需求 四 另类用户 运营商或大型企业的服务
3、性部门特点 服务的对象为一般不是自身 主要是保证其提供服务的对象的网络安全 对于运营网络的技术性考虑较为全面 周全 但对于自身的网络安全欠考虑 对设备的稳定性要求和性能考虑更多 更能行考虑较少 一般存在主机安全 网络安全两种声音存在重复投资 当前的主要网络安全解决方案 为什么有网络安全问题 最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的 应该说 那是一个君子的环境 用户和主机之间互相信任 志在进行自由开放的信息交换 在这样的环境里 使用Internet的人实际上就是创建Internet的人 随着时间的推移 Internet变得更加有用和可靠 别的人也就参杂了进来
4、 人越来越多 共同目标却越来越少 Internet的初衷渐渐地被扭曲了 当前的主要网络安全解决方案 为什么有网络安全问题 导致网络安全问题的原因有方方面面 国家机密 商业竞争 对顾主单位的不满 对网络安全技术的挑战 对企业核心机密的企望 网络接入帐号 信用卡号等金钱利益的诱惑 利用攻击网络站点而出名 对网络的好奇心 这方面主要是孩子们 等 当然其它一些原因也都可能引起攻击者的蓄意攻击行为 但是从已见报道的网络犯罪案件来看 多数网络犯罪者都很年轻 它们表示原来并不知道这样做是犯罪 另外 目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够 意识淡漠 建设中或建设后在没有采取足够的安全
5、防护措施的情况下 将网络接入因特网上 也为计算机犯罪打开了方便之门 使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻 在满足自己好奇心的同时 触犯了国家法律 当前的主要网络安全解决方案 现有网络安全为什么会失效 网络安全概念中有一个 木桶 理论 从技术角度分析 网络安全体系失败的原因有以下几种原因 首先 从芯片 操作系统到应用程序 任何一个环节都可能被开发者留下 后门 其次 网络设备和软件不可能是完美的 在设计开发过程中必然会出现缺陷和漏洞 这些漏洞和缺陷恰恰是黑客进行攻击的目标 再次 对于网络企业网或者ISP的公网来说 管理的失败是网络安全体系失败的非常重要的原因 当前的主要
6、网络安全解决方案 完整的网络解决方案应包括哪些 有效的安全策略 网络安全的目标范围 培养安全意识 制定安全制度 研究技术方案 方案 产品选型 分期实施计划 资金设备 当前的主要网络安全解决方案 不同的行业要求需要对应不同的安全策略 电信行业 基础电信运营商增值电信运营商增值内容提供商增值服务提供商 移动业务 固网 新增宽带数据运营所对应的安全策略各有侧重 其它的行业 各有行业特点 金融 政府 军队 能源 交通等根据行业的特点对于安全的要求也各有不同 当前的主要网络安全解决方案 技术方向 技术融合 突出整体 防火墙 入侵检测 网络扫描 安全评估 认证及授权等各项原本基于主机或网络的技术正走向融合
7、 以往的被动防护结合主动防护技术 凸现整体防护意识 处理能力和可用性明显增强 安全设备的级别逐渐提高到电信级别 安全设备和其它的网络设备结合使用或基于原有的网络设备 性能获重大提高 如CISCO的新一代硬件防火墙 由网络边缘向骨干提升 成为网络设计中不可缺少的环节 分布式系统结构开始作为一个提高性能和可靠性的关键因素获得使用 当前的主要网络安全解决方案 解决方案的组成 网络防火墙 入侵检测 网络扫描 流量监控 分析 主机防火墙 身份认证 鉴权 数据加 解密 物理隔离 防病毒 如何选用 当前的主要网络安全解决方案 分清目标 卖产品 将来的问题 卖VISION 当前的主要网络安全解决方案 产品篇一
8、 防火墙1 硬件防火墙NETSCREEN NORTEL CISCO2 基于专用PC结构的防火墙CISCO NOKIA WATCHGUARD SAMSUNG3 软件防火墙CHECKPOINT NORTON 当前的主要网络安全解决方案 4 其他LinkTrustCyberWall防火墙LinkTrustCyberWall 100防火墙属于固态专用防火墙 外观大方漂亮 带有三个不同的管理界面 WebGUI 命令行和前面板的小键盘 集成有状态检查包过滤 应用代理 NAT VPN HA等特性IBM防火墙IBM全球网络数十年的安全运行 是因为使用了IBM防火墙 现在IBM愿意和自己的客户一道分享技术超群的
9、IBM防火墙带来的安全 这是IBM自己的宣传 NetChina中网防火墙简单地说的话 NetChina中网防火墙属于软硬结合 包过滤 应用代理混合的防火墙 当前的主要网络安全解决方案 Gaunlet NAI Gauntlet防火墙 PGP加密 Macfee反病毒 Cybercops的风险评估和入侵探测是NAI公司的四大旗舰产品 当前的GauntletFirewall和GauntletVPN的特性包括 1网络过滤和应用层代理2内置业界优秀的反病毒产品Macfee 保护内部网不受病毒和恶意代码 如java和activexapplet的侵扰3包含VPN模块 迅速建立广域范围内的VPN 另外 NAI公
10、司利用PGP软件的威力即将推出桌面个人防火墙产品PGP DesktopSecurity 个人防火墙 该个人防火墙将包含入侵探测 VPN 集中管理等功能 运行平台包括windows9x nt 2000等 CA公司GuardIT防火墙CA公司紧锣密鼓 加班加点 连买带写 产品线越来越长 中联绿盟 绿色警戒 个人防火墙当前产品包括win 2000和win nt两个版本 绿色警戒 1 1版是中联绿盟信息技术公司开发的Win2000下个人防火墙软件 该版本在1 0版本的基础上增加了以下功能 1 前瞻性的木马程序检测 2 先进的基于服务的防护概念 3 灵活的IP过滤策略 4 端口描述 当前的主要网络安全解
11、决方案 诺顿个人防火墙诺顿是著名的防病毒厂家 当前推出的个人防火墙NortonPersonalFirewall20002 0版能够与其Anti Virus2000紧密集成 具有下面一些特点 识别并防止黑客攻击 具有一定的 网络隐身 能力 保护个人隐私信息 选择甄别 cookie 等网站追踪个人网上行动的手段 容易与Anti Virus2000集成 提供全面保护 工作于Win9x NT 2000平台之上朗讯LucentManagedFirewallv4 0业界巨人新推出包括VPN 防火墙 IDS等在内的一揽子安全解决方案 目前 其具体性能及应用情况尚不得而知 其防火墙LucentManagedF
12、irewallv4 0防火墙功能与防火墙的管理分离开来 防火墙部分使用小巧 有效的lucent专有操作系统Inferno TM 之上 而管理部分可以工作于NT或者solaris之上 防火墙硬件采用奔腾体系 PentiumII333 的黑盒子结构 当前的主要网络安全解决方案 Firewall 1 CheckPoint 业界最为流行 市场占有率最高的一种 支持网络地址翻译 NAT 流量分担 VPN 加密认证等功能 PIX Cisco 典型的网络层包过滤专用防火墙 支持网络地址翻译 NAT 在国内的163 169网络上面应用很多 但是没有能力防御应用层的攻击 无法进行内容过滤 例如Java Acti
13、veX以及病毒过滤等 NetScreen硬件级黑盒子方式防火墙 在163 169网络中有部分应用 最近 其新推出的G比特防火墙引人注目 当前的主要网络安全解决方案 天融信 网络卫士 防火墙天融信是一家资格较深的国内防火墙厂家 目前在国内的政府 企业中有不少应用 下面是摘自其网站的有关 网络卫士 系统组成的简要介绍 防火墙模块 硬件 是一个基于安全的操作系统平台的自主版权的高级访问控制系统 管理器模块 软件 一个集中式防火墙管理系统 运行于WIN95 WIN98环境下 一次性口令用户客户端模块 软件 运行于WIN95 WIN98环境下入侵检测监控台模块 软件 运行于WIN95 WIN98环境下N
14、etPolice 西安信利 国内开发 基于Linux内核 黑盒子方式 当前的主要网络安全解决方案 S 天网安全 国内开发 总部位于广州 近期内北京分公司即将开张 防火墙产品包括黑盒子方式高速防火墙以及最近推出的单机版个人防火墙 其中的高速防火墙在国内若干重要场合获得应用 中科网威 长城 防火墙国内自主开发 与网威扫描软件等同出于中科院高能所网威工作室 目前 该工作室产品已逐渐形成系列 包括 长城 防火墙 火眼 网络安全扫描系统 金睛 系统安全扫描系统 磐石 网站监控系统 天眼 网络侦测系统 当前的主要网络安全解决方案 清华紫光UNISECURE系列防火墙北京清华紫光股份有限公司控股与四川顺风通
15、信有限责任公司参股共同组建了一个专业化信息安全公司 紫光顺风公司 专门开发经营网络安全产品 目前的安全产品包括UF3100 UF3500防火墙 安全路由器 SecMail安全电子邮件 同步加密机 WebGateWeb安全访问系统 异步加密机 SFeCA数字证书管理系统 密钥管理中心 SEM安全保密模块等 Raptor Axent 在业界口碑很好 在国内市场尚未打开 NetShine 实达郎新 国内开发 基于Linux内核 黑盒子方式 当前的主要网络安全解决方案 当前的主要网络安全解决方案 二 入侵检测设备主要产品 厂家 当前的主要网络安全解决方案 市场情况 1999年 当前的主要网络安全解决方
16、案 国内网络安全领域的特点 天下大势 分久必合 合久必分 当前的主要网络安全解决方案 网络安全产品的市场这一二年中增长得非常迅速 其中防火墙产品占了很大的份额 于是 大家从商业的眼光角度出发希望占领市场的热情都无可厚非 但是 简单算一笔帐 开发一个新产品 建立完整的文档 周密的测试 市场推广与技术支持 继续开发 需要维持多少个工程师呢 按照我现在的了解 大概每种国内的防火墙厂家大概的开发与测试与文档的工程师在20人上下 还要加上更多的市场人员 按照北京差不多的工资水平 大概平均一个工程师年开支至少10万元 工资 租金 广告 差旅费等等下来差不多要上千万元 而一般防火墙的定价大概也在10万元左右 如果想要收回成本 即要每年卖到上百套 数十种产品 前面几种名牌要分掉大部分 排在后面的厂家只好进入 ST 版块了 继续寻找 风投 的青睐 更不要说 同时开发 维护 推广几种安全产品 这样的状况很容易让人联想到当前的 数也数不清 的 在 今年的网站企业会尸横遍野 的预测中奋力冲向股市的网站们 YAHOO在赚钱 但更多的网站都在 ST 扫描器 入侵探测 防火墙等作出一个产品都不难 难处在于能够让自己
