《网络安全的发展趋势》由会员分享,可在线阅读,更多相关《网络安全的发展趋势(64页珍藏版)》请在金锄头文库上搜索。
1、,北京天融信网络安全有限公司,网络安全及安全技术的发展趋势,网络安全的发展趋势网络安全技术发展趋势,目 录,网络安全发展的回顾,网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等 。,在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。,网络安全发展的回顾,安全协议方面,众多标准
2、化组织制定了许多标准和草案,尤其是以RFC文稿出现的协议标准更是成了网络安全设备的基础。举例说,VPN技术就是建立在安全隧道基础上的,点对点的隧道协议(PPTP:RFC2637)和第2层隧道协议(L2TP:RFC2661)提供远程PPP客户到LAN的安全隧道,因此,网络安全要不断发展和开发满足新的需求的安全协议。,谈及网络安全技术,就必须提到网络安全技术的三大主流防火墙技术、 入侵检测技术以及防病毒技术。任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“ 老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可 没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品
3、正面临 着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕 虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天 的不足,且在精确定位和全局管理方面还有很大的空间。,网络安全发展的回顾,再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”
4、基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。,网络安全发展的回顾,传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、 突击式、事后纠正式的管理方式,而安全建设停留在静态的防护技术上,更多 采用的是以点概面和就事论事的方法。导致的结果是不能从根本上避免、降低 各类风险,也不能降低信息安全故障导致的综合损失。,网络安全发展的回顾(管理和建设),防病毒,例:,1、网络出现病毒,防火墙、入侵检测等,2、网络出现攻击,审计系统、管理系统,3、管理问题出现,投资不小但网络安全状况依然不理想,问
5、题:,网络安全发展的回顾(管理和建设),例:,2、防火墙、入侵监测等,网络出现攻击,3、审计系统、管理系统,管理问题出现,投资不小但网络安全状况依然不理想,问题:,基本解决病毒问题 (病毒对网络影响小),基本解决攻击问题 (攻击对网络影响小),基本解决管理问题 (管理对网络影响小),1、防病毒系统,网络出现病毒,4、新的复杂的安全事件出现,现有的防护系统很难解决,网络安全发展的回顾(管理和建设),关于网络安全的一些观念误区,网络安全是一次性投资可以完成的. 网络安全纯粹是技术人员的工作,重视技术,轻视管理 网络安全只要买一批好产品就能完成,重视产品,轻视人为因素; 应该由自己单位的技术人员全部
6、完成 重视外部安全,轻视内部安全; 重视局部,忽略整体; 静态不变;,系统工程 攻防技术是在对抗中不断发展的 组织(制订制度),技术,管理(执行制度) 根据情况,大的趋势是社会分工越来越细 专业安全服务公司 专业安全服务的外包,随着信息系统的开放化、网络化、复杂化发展,信息安全建设不再局限于单 个的技术产品,而是需要综合考虑的一个体系。这个体系是一个动态的、协调联 动的、系统化、程序化和文件化的安全防护体系。而这个体系体现预防控制为主 的思想,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全 控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到 可接受收水平,确
7、保信息的保密性、完整性和可用性,保持组织业务运作的持续性。,网络安全发展的趋势,什么是安全,新的安全定义及时的检测就是安全 及时的响应就是安全,Dt,Pt : Protection time,Pt,+,Rt,Dt : Detection time,Rt : Response time,安全及时的检测和处理,我们称之为防护时间Pt:黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT,UNIX)和放火墙等障碍,在黑客达到目标之前的时间; 在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后,我们需要作出响应,这段时间称之为Rt. 假如能做到Dt+Rt,+
8、,Rt,网络安全框架体系,从两大角度考虑: 网络安全管理框架 网络安全技术框架,网络安全框架体系,网络安全管理体系,网络安全技术体系,网络安全组织,网络安全策略,网络安全保障机制,管理和维护 队伍,技术支撑 队伍,应急响应 队伍,纲领性策略,管理规章制度,操作流程和规程,应急响应,风险管理,安全预警,安全培训,区域边界保护,网络内部环境保护,网络基础设施,网络安全支持设施,防火墙技术,入侵检测技术,日志和备份技术,防病毒技术,评估、修补、加固,防源地址欺骗,路由安全,安全网管,反垃圾邮件,密钥管理设施,检测和响应设施,网络安全管理体系框架,建立完善的安全组织结构 建立层次化的网络安全策略 包括
9、纲领性策略 各种安全制度、安全规范和操作流程 应用各种安全机制 包括网络安全预警机制 安全风险识别和控制机制 应急响应机制 安全培训机制,网络安全技术体系框架,区域边界保护 网络内部环境保护 网络基础设施保护 网络安全支持设施,网络安全技术体系框架区域边界保护,目标:着重对重要的安全区域进行保护 ,包括支撑系统业务系统、管理系统,如认证和计费系统、域名服务系统、网管中心、IDC系统等。 常用的技术: 防火墙技术 入侵检测技术。 其他防护技术产品,网络安全技术体系框架网络内部环境保护,目标: 减少内部环境中存在的安全漏洞。 防止计算机病毒在内部环境的传播。 提高对网络攻击的发现能力以及在安全事件
10、发生后的跟踪和追查能力。 提高网络安全事件发生后的恢复能力。,对应保护技术 系统安全加固 本地安全扫描 防病毒 日志与备份技术,网络安全技术体系框架网络基础设施,目标: 提高网络拓扑的安全可靠性。 提高网络设备特别是骨干设备的安全性。 保证网络设备远程管理的安全性。,保护技术 网络基础实施的设备、物理链路、路由的冗余和备份。 网络设备的安全设置、安全扫描与加固。 网络设备远程安全管理:SSH、多因素认证密码系统(如RSA令牌)、VPN SOC技术,网络安全技术体系框架网络安全支持,网络安全支持目标 为网络用户、设备和应用系统提供安全服务 密钥管理服务。 网络安全检测服务。 网络安全响应服务。,
11、网络安全支持设施建设 PKI技术, SOC技术 网络流量异常检测技术 网络安全事件统一收集安全事件的关联分析 网络安全告警和响应,TCP/IP模型与网络安全,应用层:应用程序和操作系统的攻击与破坏等 传输层:拒绝服务攻击和数据窃听风险等 网络层:拒绝服务攻击,路由欺骗等 硬件设备与数据链路:物理窃听与破坏等,安全技术体系框架,1.安全管理,安全管理是确保网络信息安全的重要环节 安全管理包括对信息系统的所有部件和整个生命周期的安全管理,涵盖上述所有层面, 管理内容应包括 组织和人员、工程管理、运行管理、等级保护管理、应急处理管理和密码管理等方面。,安全工程活动的生命周期,安全需求建立,安全系统规
12、划,安全系统确认,安全系统实施,安全需求验证,PDCA循环:Plan DoCheckAct,计划,实施,检查,改进,PDCA循环,PDCA循环(续),又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序: P:计划,方针和目标的确定以及活动计划的制定; D:执行,具体运作,实现计划中的内容; C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题; A:改进(或处理),对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。 对于没有解决的问题,应提给下一个PDCA循环中去解决。,PDCA
13、循环的特点一,按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,PDCA循环(续),PDCA循环的特点二,组织中的每个部分,甚至个人,均有一个PDCA循环,大环套小环,一层一层地解决问题。,PDCA循环(续),PDCA循环的特点三,每通过一次PDCA 循环,都要进行总结,提出新目标,再进行第二次PDCA 循环。,PDCA循环(续),总体解决方案TopSec等级保护体系,遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。 实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业
14、或组织安全工作所追求的最终目标 特质: 等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求 整体性:结构化,内容全面,可持续发展和完善,持续运行 针对性:针对实际情况,符合业务特性和发展战略,等级保护体系安全措施框架,安全管理运行中心,技术体系,安全组织设置和岗位职责,安全教育、培训与资质认证,组织体系,安全策略体系设计,安全策略与流程推广实施,策略体系,项目建设的安全管理,安全风险管理与控制,保护对象框架,内部与第三方人员安全管理,日常安全运行与维护,安全体系推广与落实,运作体系,等级保护体系的实现,安全组织与职责设计,安全培训与资质认证,安全策略体系与流程设计,网络与应
15、用加密服务平台,业务应用系统安全改造,数据备份与冗灾平台,统一身份认证与授权管理平台,设备安全配置与加固,安全域划分与边界访问控制平台,安全管理运行中心,安全策略与流程推广实施,安全体系推广与常年咨询,防病毒、补丁和终端管理平台,统一安全监控与审计平台,安全技术体系建设,安全组织体系建设,安全策略体系建设,安全运行体系建设,安全规划,安全调查与风险评估,等级保护定级咨询,等级保护体系设计,方案设计,等级保护测评支持与咨询,定级阶段,规划阶段,实施与 运维阶段,常年安全运维外包服务,安全托管监控与管家服务,等级保护阶段,天融信提供的安全服务与解决方案,网络安全的发展趋势网络安全技术发展趋势,目
16、录,防火墙技术发展趋势,速度对安全的挑战 国际安全技术格局 实力保证创“芯” 小芯片,大内涵 猎豹出世,宣讲胶片目录,网络速度vs摩尔定律,网络发展速度远大于CPU速度,0,100M,100G,100T,1990,1995,2000,2005,2010,网速,CPU,19902010年,网速和CPU处理能力对比,高性能网络防火墙越来越迫切,用户到底缺什么,高性能防火墙只能用国外这几家?,用了防火墙,没攻击了,可是网速也慢了,网络延迟太大,视频会议没法进行,我们要的是又有安全性,又稳定的产品,速度对安全的挑战 国际安全技术格局 实力保证创“芯” 小芯片,大内涵 猎豹出世,宣讲胶片目录,安全产业技术格局,ASIC,NP构架,X86、通用CPU构架,TopASIC vs NP分析,在安全领域,NP将何去何从?,稳定的性能:无策略转发对比,无策略路由转发 ASIC性能千兆100 NP性能千兆100 X86小包千兆无法达到线速,
