《网络安全产品可行性分析报告》由会员分享,可在线阅读,更多相关《网络安全产品可行性分析报告(9页珍藏版)》请在金锄头文库上搜索。
1、网络安全产品可行性分析报告一、 海豚工作室的几种产品的国内现状UTM UTM 最早是由美国 Fortinet 公司提出的,在 2004 年 9 月,IDC 给出了 UTM 的定义:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。相比传统网关安全设备,UTM 设备融合多种安全能力,具有投入少、防御能力强、管理方便的优势。近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的 UTM 产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、
2、UTM2,多少概念欲迷人眼 ;多核架构、硬件加速、千兆、万兆,无数性能试比高低。目前国内典型的有几家著名的网络安全公司都开发了,天融信,启明星辰,LINKTRUST. 这几家公司的产品都比较成型.还有一些小公司也在开发,但是没有形成势力.国外的 UTM 做的最好的公司是 Fortinet.防火墙、入侵防御和防病毒几大功能基本是 UTM 的核心.现在市场上的 UTM 的技术瓶颈主要是性能问题. 当防火墙、入侵防御和防病毒同时打开时,性能下降幅度普遍超过 50%,甚至达到 80%或者 90%之多.WAF防止网页被篡改是被动的,能阻断入侵行为才是主动型的,前边提到的 IPS/UTM 等产品是安全通用
3、的网关,也有专门针对 Web 的硬件安全网关,国内的如:绿盟的 Web 防火墙,启明的 WIPS(web IPS),国外的有 imperva 的 WAF(Web Application Firewall)等。Web 防火墙,主要是对 Web 特有入侵方式的加强防护,如 DDOS 防护、SQL 注入、XML 注入、XSS 等。由于是应用层而非网络层的入侵,从技术角度都应该称为 Web IPS,而不是Web 防火墙。这里之所以叫做 Web 防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防 SQL 注入,也有人称为 SQL 防火墙。代理服务:代理方式本身就是一种安全网关,基于会话的双向
4、代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是 Web 的 Cache 应用中最常用的技术。代理方式防止了入侵者的直接进入,对 DDOS 攻击可以抑制,对非预料的 “特别”行为也有所抑制。Netcontinuum(梭子鱼) 公司的 WAF 就是这种技术的代表。特征识别:识别出入侵者是防护他的前提。特征就是攻击者的“指纹” ,如缓冲区溢出时的 Shellcode,SQL 注入中常见的“真表达(1=1)”应用信息没有“标准” ,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶
5、意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。算法识别:特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如 SQL 注入、DDOS、XSS 等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。模式匹配:是 IDS 中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为,当然模式的定义有很深的学问,各厂家都隐秘为“专利” 。协议模式是其中简单的,是按标准协议的规程来定义模式;行为模式就复杂一些,Web 防火墙最大的挑战
6、是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,你很难察觉进来的是那一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。IPS实时、主动拦截各类黑客攻击和恶意行为,保护用户信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。IDS 系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击,它将提醒管理员采取行动。人们认为 IDS 系统采取的这种方法是很好的。总之,由于 IDS 系统会产生很多的错误报告,你真的愿意让 IDS 系统对合法的网络通信采取行动吗?这就是入侵防御系统
7、(IPS)的任务了。IPS 与 IDS 类似,但是,IPS 在设计上解决了 IDS 的一些缺陷。对于初始者来说,IPS 位于你的防火墙和网络的设备之间。这样,如果检测到攻击,IPS 会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下,IDS 只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS 检测攻击的方法也与 IDS 不同。目前有很多种 IPS 系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS 将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。目前有几家好的开源的 IPS 系
8、统,做的很好,Snort inline 和 NFR.国内的许多 IPS 的开发早期都是参照这两款开源开发的.现在的绿盟,启明都有自己的 IPS,各个厂家还在 IPS 内容过滤设备上投入力量,主要焦点在P2P 和网络游戏,还有恶意软件的过滤上.杀毒软件国内也称杀毒软件,简称杀软(“杀毒软件”是由国产的老一辈反病毒软件厂商,如金山毒霸、江民、瑞星、360 杀毒等起的名字,后来由于和世界反病毒业接轨统称为“反病毒软件(Anti-virus Software)”或“安全防护软件(Safe-defend Software)”,近年来陆续出现了集成防火墙的“互联网安全套装” 、 “全功能安全套装”等名词,
9、都属一类) ,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。反病毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的反病毒软件还带有数据恢复等功能。 后两者同时具有黑客入侵,网络流量控制等功能。一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。 反病毒软件的实时监控方式因软件而异。有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判
10、断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。 而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,反病毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。国内自己开发全功能比较成功的是 360 和瑞星, 江民,还有一些中小企业开发适合自己行业使用的杀毒软件,商业操作好的软件还有国外的几个 NORTON,KAV,MCAFEE,BITDEFENDER 等.密码安全控件在游戏登陆保护,网银登陆保护方面有作用, 类似支付宝密码安全控件.密码安全控件主要由以下两个模块组成: 键盘输入安全保
11、护模块 屏幕显示安全保护模块 密码安全控件采用了最新的驱动技术和中断技术,优先于其它的键盘 Hook 程序和屏显Hook 程序处理用户的键盘输入和屏幕显示,因而能够防范各种类型的 Hook 程序。PasswordGuard 的两个模块分别位于操作系统的最底层,其它各类 Hook 程序都位于PasswordGuard 之上,因而防范效果好,安全可靠性高.多方位的远程控制系统系统兼容性:支持 Win9X,Win2000,Windows XP,Windows 2003 等主流操作系统。穿墙:具有极好的透墙功能,能够做到被控制端只要能够上网就能控制。稳定性:独有的特殊启动方式,使客户端更加稳定。驱动隐
12、藏和保护:隐藏文件、进程,当自身服务被删除或者禁止时,被控制端会自行恢复,在正常模式下无法清除服务端。分组管理:当被控制端的机器比较多时,可设置分组,被控制端上线后会自动归类到指定的分组,方便管理。屏幕监控: 传输速度一流,真正做到了实时监控。自带 shell:在被控制端禁止 cmd.exe,或者禁止系统重定向的情况下,也能正常操作。稳定的上线方式:该软件采用域名上线方式,无需知道对方 IP 地址,也不论对方 IP 地址怎么变化,只要对方的电脑一上网我们的控制端软件上立刻就能看到对方电脑上线,此时便能对其进行监控。二、 国内网络安全产品公司开发模式国内的安全公司基本以技术开发为主,几大安全公司
13、经过 10 年的开发,产品都比较成熟,基本在行内奠定了品牌基础,10 年开发经历的安全公司,启明, 绿盟,天融信等都已经上市.国内的一些中小安全公司基本是产品线很窄的那种,只有 1-2 个产品,方向比较专,基本属于某个产品的专业公司.在硬件产品开发上,大的安全公司基本维护和开发自己公司的专有硬件和 OS 平台,小公司基本用开源的通用平台,以 X86 为主.三、 国内网络安全产品公司面临的问题产品性能问题,是网络安全产品公司有待解决的重大问题,现在的中小公司,基本产品开发基本完成,没有太多的新概念产品出来, 基本的网络安全产品都有公司开发过,用户选择主要是在产品性能上.现在网络安全产品基本要向其
14、他行业里转移,其他行业的需求各异,要把自己的网络安全产品在某个行业内推广,还需要深入分析行业内的特殊需求, 改良自己公司的产品,这个属于行业内需求挖掘四、 安全公司的机遇与挑战目前安全市场向普通行业转移,许多中小安全公司的人员流失严重,都到一些非安全企业去做安全方面的开发和研究,比如道路交通, 房地产,石油行业,采矿行业 ,银行产业,游戏产业等,他们需要大量的安全人员做本行业安全方面的服务和研究.有大量的产品需求市场,可以说是安全行业发展的一大机遇,也是重要的挑战.传统安全行业存在产品通用化的问题,安全产品是万金油,可以说是真正适合行业内的安全产品是一个都没有.传统安全公司人员流失严重,而且一
15、些行业的安全人员比较分散,这些非安全行业很难组织起来开发比较成熟的行业安全产品.所以说目前组建一个和非安全行业结合的网络安全公司,深入开发某个行业的安全平台是很大的机遇,海豚工作室有 10 年从事安全软件开发的经验和产品代码的积累,如果能组建正规的工作室或者公司,从事某个行业的安全, 一定能有大的前景.五、 项目策划市场调研UTM,目前国内启明和绿盟都有,有些小公司在开发当中,成型的不是太多 ,目前开源的项目有UNTANGLE,但是 UNTANGLE 产品性能不搞,由于使用了大量的 JAVA 底层库WAF,目前启明和绿盟有,市场非常好,目前属于比较流行的一款硬件防御设备,国内许多家厂商大多没有
16、自主开发,基本都 OEM 美国的梭子鱼产品.IPS,目前面市的市场不大,用户不是太认可这种设备,现在的基本开发思路是 IPS+内容过滤,市场在培育当中.杀毒软件,基本是安全的核心概念的产品, 比较成熟的厂家比较多,许多游戏厂家在开发针对自己网游的反病毒产品,今后还会有一些行业需求自己行业的杀毒产品.安全密码控件,国内的网银和游戏安全登陆基本都要保护密码不被木马和后门截取,将来有这个趋势在好多行业内都要使用密码安全相关控件.多方位远程控制系统,现在国内安全行业的远程控制系统非常多了,在黑客攻防方面是必备的武器. 本系统具备的特点:1. 支持 WINDOWS 下 USER 权限下安全安装2. 支持完全隐藏功能3. 突破主动防御4. 支持大流量上传和下载5. 支持桌面搜索功能海豚团队有目前这几个产品和项目,已经具备一个专业网络安全公司的产品底子,完全可以构建专业的安全团队.团队组建OS 内核团队,负责整体的硬件平台的 KERNEL 开发.WEB 团队,负责设备开发中的 WEB 页面设计硬件功能开发团队,负责硬件平台的功能开
