《系统安全部内部培训-网络安全》由会员分享,可在线阅读,更多相关《系统安全部内部培训-网络安全(35页珍藏版)》请在金锄头文库上搜索。
1、,系统安全部内部培训 网络安全,Contents,安全概念客户安全需求 当前的主要解决方案我们的重点,网络安全概念,业务运做的 IT基础设施,核心业务 IT解决方案,1-1的互通互联,全球贸易平台 GTW,电子商务基础条件,电子商务价值表现,第一阶段,第二阶段,第三阶段,第四阶段,网络基础平台,B-B,网络社会,企业信息化,网络层面的安全,业务层面的安全,用户整体的安全考虑,下游的安全 整体考虑,网络安全的概念,“3”个安全问题,如何保证? 用户业务运营,网络安全的概念,安全是什么?,保证网络及其中的资源能够在需要的时候被需要的人正常的使用。,这不是定义,客户的安全需求,用户的信息化级别: (
2、一)信息化级别较低 处于用户信息化初期,停留在OA等初级使用层面 个人数据安全; 防病毒需要; 系统宕机后恢复 无专人管理 其它,客户的安全需求,(二)具备一定信息化条件 信息化基础较好,已建有内部专门的应用网络。但还未将业务与此挂钩。 各种应用系统(财务,人事等)的安全; 关注内部网络的可用性和可靠性 专门的人员管理或分管 管理层对信息安全有一定思路和投入计划 企业规模适中,客户的安全需求,(三)较高信息化的企业 有较完整的网络基础设施 业务运行需要依靠现有的网络基础设施且业务的信息化程度较高。 对现有运营数据比较敏感 企业规模较大相对较稳定 有着较明确的安全策略并在一定程度上贯彻执行 业务
3、可能外包。,客户的安全需求,(四)另类用户运营商或大型企业的服务性部门 特点:服务的对象为一般不是自身。主要是保证其提供服务的对象的网络安全。 对于运营网络的技术性考虑较为全面,周全。但对于自身的网络安全欠考虑。 对设备的稳定性要求和性能考虑更多;更能行考虑较少。 一般存在主机安全、网络安全两种声音 存在重复投资,当前的主要网络安全解决方案,为什么有网络安全问题:最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的。应该说, 那是一个君子的环境, 用户和主机之间互相信任, 志在进行自由开放的信息交换。在这样的环境里, 使用Internet的人实际上就是创建Intern
4、et的人。随着时间的推移, Internet变得更加有用和可靠, 别的人也就参杂了进来。人越来越多, 共同目标却越来越少, Internet的初衷渐渐地被扭曲了.,当前的主要网络安全解决方案,为什么有网络安全问题: 导致网络安全问题的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心(这方面主要是孩子们)等,当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看,多数网络犯罪者都很年轻,它们表示原来并不知道这样做是犯罪。另外,目前国内多数网络
5、系统管理人员和工程施工人员对网络安全问题重视不够,意识淡漠,建设中或建设后在没有采取足够的安全防护措施的情况下,将网络接入因特网上,也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻,在满足自己好奇心的同时,触犯了国家法律。,当前的主要网络安全解决方案,现有网络安全为什么会失效? 网络安全概念中有一个“木桶“理论 从技术角度分析,网络安全体系失败的原因有以下几种原因: 首先,从芯片、操作系统到应用程序,任何一个环节都可能被开发者留下“后门”。 其次,网络设备和软件不可能是完美的,在设计开发过程中必然会出现缺陷和漏洞。这些漏洞和缺 陷恰恰是黑客进行攻击
6、的目标。 再次,对于网络企业网或者ISP的公网来说,管理的失败是网络安全体系失败的非常重要的原因。,当前的主要网络安全解决方案,完整的网络解决方案应包括哪些?,有效的安全策略,网络安全的目标范围、,培养安全意识,制定安全制度,研究技术方案,方案/产品选型,分期实施计划,资金 设备,当前的主要网络安全解决方案,不同的行业要求需要对应不同的安全策略! 电信行业基础电信运营商增值电信运营商增值内容提供商增值服务提供商,移动业务,固网,新增宽带数据运营所对应的安全策略各有侧重!,其它的行业,各有行业特点: 金融、政府、军队、能源、交通等根据行业的特点对于安全的要求也各有不同。,当前的主要网络安全解决方
7、案,技术方向: 技术融合,突出整体。防火墙、入侵检测、网络扫描、安全评估、认证及授权等各项原本基于主机或网络的技术正走向融合。以往的被动防护结合主动防护技术,凸现整体防护意识。 处理能力和可用性明显增强,安全设备的级别逐渐提高到电信级别。安全设备和其它的网络设备结合使用或基于原有的网络设备,性能获重 大提高。如CISCO的新一代硬件防火墙。 由网络边缘向骨干提升,成为网络设计中不可缺少的环节。 分布式系统结构开始作为一个提高性能和可靠性的关键因素获得使用。,当前的主要网络安全解决方案,解决方案的组成:网络防火墙、入侵检测、网络扫描、流量监控/分析、主机防火墙、身份认证/鉴权、数据加/解密、物理
8、隔离、防病毒,如何选用,当前的主要网络安全解决方案,分清目标!,卖产品,将来的问题,卖VISION!,当前的主要网络安全解决方案,产品篇 一、防火墙 1、硬件防火墙 NETSCREEN、NORTEL、CISCO 2、基于专用PC结构的防火墙 CISCO、NOKIA、WATCHGUARD、SAMSUNG 3、软件防火墙 CHECKPOINT、NORTON,当前的主要网络安全解决方案,4、其他 LinkTrust CyberWall防火墙 LinkTrust CyberWall-100防火墙属于固态专用防火墙,外观大方漂亮,带有三个不同的管理界面: WebGUI、命令行和前面板的小键盘。集成有状态
9、检查包过滤、应用代理、NAT、VPN、HA等特性 IBM防火墙 IBM全球网络数十年的安全运行,是因为使用了IBM防火墙。现在IBM愿意和自己的客户一道分享技术超群的IBM防火墙带来的安全(这是IBM自己的宣传) NetChina中网防火墙 简单地说的话,NetChina中网防火墙属于软硬结合、包过滤、应用代理混合的防火墙。,当前的主要网络安全解决方案,Gaunlet (NAI) Gauntlet防火墙、PGP加密、Macfee反病毒、Cybercops的风险评估和入侵探测是NAI公司的四大旗舰产品。当前的Gauntlet Firewall 和Gauntlet VPN的特性包括:1 网络过滤和
10、应用层代理 2 内置业界优秀的反病毒产品Macfee,保护内部网不受病毒和恶意代码(如java和activex applet的侵扰 3 包含VPN模块,迅速建立广域范围内的VPN。 另外,NAI公司利用PGP软件的威力即将推出桌面个人防火墙产品PGP-Desktop Security(个人防火墙)。该个人防火墙将包含入侵探测、VPN、集中管理等功能。运行平台包括windows 9x/nt/2000等。CA公司GuardIT防火墙 CA公司紧锣密鼓,加班加点,连买带写,产品线越来越长。 中联绿盟 “绿色警戒”个人防火墙 当前产品包括win/2000和win/nt两个版本。绿色警戒1.1版是中联绿
11、盟信息技术公司开发的Win2000下个人防火墙软件。该版本在1.0版本的基础上增加了以下功能:1)前瞻性的木马程序检测。2)先进的基于服务的防护概念。3)灵活的IP过滤策略。4)端口描述。,当前的主要网络安全解决方案,诺顿个人防火墙 诺顿是著名的防病毒厂家。当前推出的个人防火墙 Norton Personal Firewall 2000 2.0版能够与其Anti-Virus 2000紧密集成。具有下面一些特点: - 识别并防止黑客攻击, - 具有一定的“网络隐身”能力 - 保护个人隐私信息 - 选择甄别“cookie”等网站追踪个人网上行动的手段 - 容易与Anti-Virus 2000集成,
12、提供全面保护 - 工作于Win9x/NT/2000平台之上 朗讯Lucent Managed Firewall v4.0 业界巨人新推出包括VPN、防火墙、IDS等在内的一揽子安全解决方案。目前,其具体性能及应用情况尚不得而知。其防火墙Lucent Managed Firewall v4.0防火墙功能与防火墙的管理分离开来,防火墙部分使用小巧、有效的lucent专有操作系统Inferno(TM)之上,而管理部分可以工作于NT或者solaris之上。防火墙硬件采用奔腾体系(PentiumII333)的黑盒子结构.,当前的主要网络安全解决方案,Firewall-1 (CheckPoint)业界最为
13、流行、市场占有率最高的一种。支持网络地址翻译(NAT)、流量分担、VPN、加密认证等功能。 PIX (Cisco)典型的网络层包过滤专用防火墙,支持网络地址翻译(NAT),在国内的163/169网络上面应用很多。但是没有能力防御应用层的攻击、无法进行内容过滤,例如Java、ActiveX以及病毒过滤等。 NetScreen硬件级黑盒子方式防火墙,在163/169网络中有 部分应用。最近,其新推出的G比特防火墙引人注目。,当前的主要网络安全解决方案,天融信“网络卫士”防火墙 天融信是一家资格较深的国内防火墙厂家,目前在国内的政府、企业中有不少应用。下面是摘自其网站的有关“网络卫士”系统组成的简要
14、介绍。 防火墙模块(硬件):是一个基于安全的操作系统平台的自主版权的高级访问控制系统。 管理器模块(软件):一个集中式防火墙管理系统(运行于WIN95、WIN98环境下)。 一次性口令用户客户端模块(软件):运行于WIN95、WIN98环境下 入侵检测监控台模块(软件):运行于WIN95、WIN98环境下 NetPolice (西安信利)国内开发,基于Linux内核,黑盒子方式。,当前的主要网络安全解决方案,S (天网安全) 国内开发,总部位于广州,近期内北京分公司即将开张。防火墙产品包括黑盒子方式高速防火墙以及最近推出的单机版个人防火墙。其中的高速防火墙在国内若干重要场合获得应用。 中科网威
15、“长城”防火墙 国内自主开发,与网威扫描软件等同出于中科院高能所网威工作室。目前,该工作室产品已逐渐形成系列,包括“长城”防火墙、“火眼”网络安全扫描系统、“金睛”系统安全扫描系统、“磐石”网站监控系统、“天眼”网络侦测系统。,当前的主要网络安全解决方案,清华紫光UNISECURE系列防火墙 北京清华紫光股份有限公司控股与四川顺风通信有限责任公司参股共同组建了一个专业化信息安全公司-紫光顺风公司,专门开发经营网络安全产品,目前的安全产品包括UF3100、UF3500防火墙、安全路由器、SecMail安全电子邮件、同步加密机、WebGate Web安全访问系统、异步加密机、SFeCA 数字证书管
16、理系统、密钥管理中心、SEM安全保密模块等。 Raptor (Axent)在业界口碑很好,在国内市场尚未打开。 NetShine (实达郎新)国内开发,基于Linux内核,黑盒子方式。,当前的主要网络安全解决方案,当前的主要网络安全解决方案,二、入侵检测设备 主要 产品、厂家,当前的主要网络安全解决方案,市场情况(1999年),当前的主要网络安全解决方案,国内网络安全领域的特点:,“天下大势,分久必合,合久必分”。,当前的主要网络安全解决方案,网络安全产品的市场这一二年中增长得非常迅速,其中防火墙产品占了很大的份额。于是,大家从商业的眼光角度出发希望占领市场的热情都无可厚非。但是,简单算一笔帐
17、,开发一个新产品、建立完整的文档、周密的测试、市场推广与技术支持、继续开发。需要维持多少个工程师呢?按照我现在的了解,大概每种国内的防火墙厂家大概的开发与测试与文档的工程师在20人上下,还要加上更多的市场人员。按照北京差不多的工资水平,大概平均一个工程师年开支至少10万元,工资、租金、广告、差旅费等等下来差不多要上千万元。而一般防火墙的定价大概也在10万元左右。如果想要收回成本,即要每年卖到上百套。数十种产品,前面几种名牌要分掉大部分,排在后面的厂家只好进入“ST”版块了,继续寻找“风投”的青睐。更不要说,同时开发、维护、推广几种安全产品。 这样的状况很容易让人联想到当前的“数也数不清”的、在
18、“今年的网站企业会尸横遍野”的预测中奋力冲向股市的网站们。YAHOO在赚钱,但更多的网站都在“ST”。 扫描器、入侵探测、防火墙等作出一个产品都不难,难处在于能够让自己的产品体现出自己的个性,保持“性能”、“手法”等方面的先进性,比方说关键的“攻击特征库”。ISS在维护其扫描器、入侵探测两个产品的人力超过千人,CHECKPOINT在其单纯防火墙一个产品上面的工程师也达到了数百人。当然,人数的众寡不能简单的代表产品的优劣。我在这里想说的是“网络安全产品市场也需要一个规模效应”。 因此,经过一番激烈的市场竞争后,在1-2年内,国内可能会出现相当程度的安全企业之间的兼并、联合。避免重复开发,提高开发效率,更有效地利用资金。这样,在竞争中生存下来的几个国内品牌在国家政策方面的支持下,在企业规模方面、产品完整性方面、市场和技术支持方面将会具有更多的机会赢得中国的网络安全产品市场。,
