《系统安全部内部培训-网络安全》由会员分享,可在线阅读,更多相关《系统安全部内部培训-网络安全(35页珍藏版)》请在金锄头文库上搜索。
1、系统安全部内部培训系统安全部内部培训-网络安全网络安全ContentsContents 安全概念 客户安全需求当前的主要解决方案 我们的重点 网络安全概念业务运做的业务运做的业务运做的业务运做的ITITITIT基础设施基础设施基础设施基础设施核心业务核心业务核心业务核心业务ITITITIT解决方案解决方案解决方案解决方案1-11-11-11-1的互通互联的互通互联的互通互联的互通互联全球贸易平台全球贸易平台全球贸易平台全球贸易平台GTWGTWGTWGTW电子商务基础条件电子商务基础条件电子商务基础条件电子商务基础条件电子商务价值表现电子商务价值表现第一阶段第一阶段第一阶段第一阶段第二阶段第二阶
2、段第二阶段第二阶段第三阶段第三阶段第三阶段第三阶段第四阶段第四阶段第四阶段第四阶段网络基础平台网络基础平台网络基础平台网络基础平台 B-B B-B B-B B-B 网络社会网络社会网络社会网络社会 企业信息化企业信息化企业信息化企业信息化网络层面的安全网络层面的安全网络层面的安全网络层面的安全 业务层面的业务层面的业务层面的业务层面的安全安全安全安全 用户整用户整用户整用户整体的安全考体的安全考体的安全考体的安全考虑虑虑虑 下游的下游的下游的下游的安全安全安全安全整体考虑整体考虑整体考虑整体考虑网络安全的概念网络安全的概念 “3”“3”个安全问题个安全问题 如何保证?如何保证?如何保证?如何保
3、证?用户业务运营用户业务运营用户业务运营用户业务运营安全的目的安全的目的安全的目的安全的目的安全的价值安全的价值安全的价值安全的价值安全的意义?安全的意义?安全的意义?安全的意义?网络安全的概念网络安全的概念安全是什么?保证网络及其中的资源能够在需要的时候被需要的人正常的使用。这不是定义客户的安全需求客户的安全需求用户的信息化级别:(一)信息化级别较低处于用户信息化初期,停留在OA等初级使用层面个人数据安全;防病毒需要;系统宕机后恢复无专人管理其它客户的安全需求客户的安全需求(二)具备一定信息化条件信息化基础较好,已建有内部专门的应用网络。但还未将业务与此挂钩。各种应用系统(财务,人事等)的安
4、全;关注内部网络的可用性和可靠性专门的人员管理或分管管理层对信息安全有一定思路和投入计划企业规模适中客户的安全需求客户的安全需求(三)较高信息化的企业有较完整的网络基础设施业务运行需要依靠现有的网络基础设施且业务的信息化程度较高。对现有运营数据比较敏感企业规模较大相对较稳定有着较明确的安全策略并在一定程度上贯彻执行业务可能外包。客户的安全需求客户的安全需求(四)另类用户运营商或大型企业的服务性部门特点:服务的对象为一般不是自身。主要是保证其提供服务的对象的网络安全。对于运营网络的技术性考虑较为全面,周全。但对于自身的网络安全欠考虑。对设备的稳定性要求和性能考虑更多;更能行考虑较少。一般存在主机
5、安全、网络安全两种声音存在重复投资当前的主要网络安全解决方案为什么有网络安全问题:最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的。应该说,那是一个君子的环境,用户和主机之间互相信任,志在进行自由开放的信息交换。在这样的环境里,使用Internet的人实际上就是创建Internet的人。随着时间的推移,Internet变得更加有用和可靠,别的人也就参杂了进来。人越来越多,共同目标却越来越少,Internet的初衷渐渐地被扭曲了.当前的主要网络安全解决方案为什么有网络安全问题:导致网络安全问题的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑
6、战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心(这方面主要是孩子们)等,当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看,多数网络犯罪者都很年轻,它们表示原来并不知道这样做是犯罪。另外,目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够,意识淡漠,建设中或建设后在没有采取足够的安全防护措施的情况下,将网络接入因特网上,也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻,在满足自己好奇心的同时,触犯了国家法律。当前的主要网络安全解决方案现有网络安全
7、为什么会失效?网络安全概念中有一个木桶理论从技术角度分析,网络安全体系失败的原因有以下几从技术角度分析,网络安全体系失败的原因有以下几种原因:种原因:首先,从芯片、操作系统到应用程序,任何一个环节都可能被开发者留下“后门”。其次,网络设备和软件不可能是完美的,在设计开发过程中必然会出现缺陷和漏洞。这些漏洞和缺陷恰恰是黑客进行攻击的目标。再次,对于网络企业网或者ISP的公网来说,管理的失败是网络安全体系失败的非常重要的原因。当前的主要网络安全解决方案完整的网络解决方案应包括哪些?有效的安全策略网络安全的目标范围、培养安全意识,制定安全制度研究技术方案研究技术方案方案方案/产品选型产品选型分期实施
8、计划分期实施计划资金资金设备设备当前的主要网络安全解决方案不同的行业要求需要对应不同的安全策略!电信行业基础电信运营商增值电信运营商增值内容提供商增值服务提供商 移动业务,固网,移动业务,固网,新增宽带数据运新增宽带数据运营所对应的安全营所对应的安全策略各有侧重!策略各有侧重!其它的行业,各有行业特点:其它的行业,各有行业特点:金融、政府、军队、能源、交通等根据行金融、政府、军队、能源、交通等根据行业的特点对于安全的要求也各有不同。业的特点对于安全的要求也各有不同。当前的主要网络安全解决方案 技术方向:技术方向:技术融合,突出整体。技术融合,突出整体。防火墙、入侵检测、网络扫描、安全评估、认证
9、及授权等各项原本基于主机或网络的技术正走向融合。以往的被动防护结合主动防护技术,凸现整体防护意识。处理能力和可用性明显增强,安全设备的级别逐渐提高到电信级处理能力和可用性明显增强,安全设备的级别逐渐提高到电信级别。别。安全设备和其它的网络设备结合使用或基于原有的网络设备,性能获重大提高。如CISCO的新一代硬件防火墙。由网络边缘向骨干提升,成为网络设计中不可缺少的环节。由网络边缘向骨干提升,成为网络设计中不可缺少的环节。分布式系统结构开始作为一个提高性能和可靠性的关键因素获得分布式系统结构开始作为一个提高性能和可靠性的关键因素获得使用。使用。当前的主要网络安全解决方案解决方案的组成:解决方案的
10、组成:网络防火墙、入侵检测、网络扫描、流量监控/分析、主机防火墙、身份认证/鉴权、数据加/解密、物理隔离、防病毒如何选用如何选用当前的主要网络安全解决方案分清目标! ?当前的安全问题?当前的安全问题 ?未来的安全考虑?未来的安全考虑 ?重点业务的安全问题?重点业务的安全问题/ /隐患隐患卖方案卖产品将来的问题,卖将来的问题,卖VISIONVISION!当前的主要网络安全解决方案产品篇一、防火墙1、硬件防火墙NETSCREEN、NORTEL、CISCO2、基于专用PC结构的防火墙CISCO、NOKIA、WATCHGUARD、SAMSUNG3、软件防火墙CHECKPOINT、NORTON当前的主要
11、网络安全解决方案4、其他、其他LinkTrust CyberWall防火墙防火墙 LinkTrustCyberWall-100防火墙属于固态专用防火墙,外观大方漂亮,带有三个不同的管理界面:WebGUI、命令行和前面板的小键盘。集成有状态检查包过滤、应用代理、NAT、VPN、HA等特性IBM防火墙防火墙 IBM全球网络数十年的安全运行,是因为使用了IBM防火墙。现在IBM愿意和自己的客户一道分享技术超群的IBM防火墙带来的安全(这是IBM自己的宣传)NetChina中网防火墙中网防火墙 简单地说的话,NetChina中网防火墙属于软硬结合、包过滤、应用代理混合的防火墙。当前的主要网络安全解决方
12、案Gaunlet (NAI) Gauntlet防火墙、PGP加密、Macfee反病毒、Cybercops的风险评估和入侵探测是NAI公司的四大旗舰产品。当前的GauntletFirewall和GauntletVPN的特性包括:1网络过滤和应用层代理2内置业界优秀的反病毒产品Macfee,保护内部网不受病毒和恶意代码(如java和activexapplet的侵扰3包含VPN模块,迅速建立广域范围内的VPN。另外,NAI公司利用PGP软件的威力即将推出桌面个人防火墙产品PGP-DesktopSecurity(个人防火墙)。该个人防火墙将包含入侵探测、VPN、集中管理等功能。运行平台包括window
13、s9x/nt/2000等。CA公司公司GuardIT防火墙防火墙 CA公司紧锣密鼓,加班加点,连买带写,产品线越来越长。中联绿盟中联绿盟“绿色警戒绿色警戒”个人防火墙个人防火墙 当前产品包括win/2000和win/nt两个版本。绿色警戒1.1版是中联绿盟信息技术公司开发的Win2000下个人防火墙软件。该版本在1.0版本的基础上增加了以下功能:1)前瞻性的木马程序检测。2)先进的基于服务的防护概念。3)灵活的IP过滤策略。4)端口描述。当前的主要网络安全解决方案诺顿个人防火墙诺顿个人防火墙诺顿是著名的防病毒厂家。当前推出的个人防火墙NortonPersonalFirewall20002.0版
14、能够与其Anti-Virus2000紧密集成。具有下面一些特点:-识别并防止黑客攻击,-具有一定的“网络隐身”能力-保护个人隐私信息-选择甄别“cookie”等网站追踪个人网上行动的手段-容易与Anti-Virus2000集成,提供全面保护-工作于Win9x/NT/2000平台之上朗讯朗讯Lucent Managed Firewall v4.0 业界巨人新推出包括VPN、防火墙、IDS等在内的一揽子安全解决方案。目前,其具体性能及应用情况尚不得而知。其防火墙LucentManagedFirewallv4.0防火墙功能与防火墙的管理分离开来,防火墙部分使用小巧、有效的lucent专有操作系统In
15、ferno(TM)之上,而管理部分可以工作于NT或者solaris之上。防火墙硬件采用奔腾体系(PentiumII333)的黑盒子结构.当前的主要网络安全解决方案Firewall-1 (CheckPoint)业界最为流行、市场占有率最高的一种。支持网络地址翻译(NAT)、流量分担、VPN、加密认证等功能。PIX (Cisco)典型的网络层包过滤专用防火墙,支持网络地址翻译(NAT),在国内的163/169网络上面应用很多。但是没有能力防御应用层的攻击、无法进行内容过滤,例如Java、ActiveX以及病毒过滤等。NetScreen硬件级黑盒子方式防火墙,在163/169网络中有部分应用。最近,
16、其新推出的G比特防火墙引人注目。当前的主要网络安全解决方案天融信天融信“网络卫士网络卫士”防火墙防火墙 天融信是一家资格较深的国内防火墙厂家,目前在国内的政府、企业中有不少应用。下面是摘自其网站的有关“网络卫士”系统组成的简要介绍。防火墙模块(硬件):是一个基于安全的操作系统平台的自主版权的高级访问控制系统。管理器模块(软件):一个集中式防火墙管理系统(运行于WIN95、WIN98环境下)。一次性口令用户客户端模块(软件):运行于WIN95、WIN98环境下入侵检测监控台模块(软件):运行于WIN95、WIN98环境下NetPolice (西安信利)(西安信利)国内开发,基于Linux内核,黑
17、盒子方式。当前的主要网络安全解决方案S (天网安全天网安全) 国内开发,总部位于广州,近期内北京分公司即将开张。防火墙产品包括黑盒子方式高速防火墙以及最近推出的单机版个人防火墙。其中的高速防火墙在国内若干重要场合获得应用。中科网威中科网威“长城长城”防火墙防火墙 国内自主开发,与网威扫描软件等同出于中科院高能所网威工作室。目前,该工作室产品已逐渐形成系列,包括“长城长城”防火墙、防火墙、“火眼火眼”网络安全扫描系统、网络安全扫描系统、“金睛金睛”系统安全扫描系统、系统安全扫描系统、“磐石磐石”网站监控系统、网站监控系统、“天眼天眼”网网络侦测系统。络侦测系统。当前的主要网络安全解决方案清华紫光
18、清华紫光UNISECURE系列防火墙系列防火墙 北京清华紫光股份有限公司控股与四川顺风通信有限责任公司参股共同组建了一个专业化信息安全公司-紫光顺风公司,专门开发经营网络安全产品,目前的安全产品包括UF3100、UF3500防火墙、安全路由器、SecMail安全电子邮件、同步加密机、WebGateWeb安全访问系统、异步加密机、SFeCA数字证书管理系统、密钥管理中心、SEM安全保密模块等。Raptor (Axent)在业界口碑很好,在国内市场尚未打开。NetShine (实达郎新)(实达郎新)国内开发,基于Linux内核,黑盒子方式。当前的主要网络安全解决方案当前的主要网络安全解决方案二、入
19、侵检测设备主要产品、厂家当前的主要网络安全解决方案市场情况(1999年)当前的主要网络安全解决方案国内网络安全领域的特点: “天下大势,天下大势, 分久必合,分久必合, 合久必分合久必分”。当前的主要网络安全解决方案网络安全产品的市场这一二年中增长得非常迅速,其中防火墙产品占了很大的份额。于是,大家从商业的眼光角度出发希望占领市场的热情都无可厚非。但是,简单算一笔帐,开发一个新产品、建立完整的文档、周密的测试、市场推广与技术支持、继续开发。需要维持多少个工程师呢?按照我现在的了解,大概每种国内的防火墙厂家大概的开发与测试与文档的工程师在20人上下,还要加上更多的市场人员。按照北京差不多的工资水
20、平,大概平均一个工程师年开支至少10万元,工资、租金、广告、差旅费等等下来差不多要上千万元。而一般防火墙的定价大概也在10万元左右。如果想要收回成本,即要每年卖到上百套。数十种产品,前面几种名牌要分掉大部分,排在后面的厂家只好进入“ST”版块了,继续寻找“风投”的青睐。更不要说,同时开发、维护、推广几种安全产品。这样的状况很容易让人联想到当前的“数也数不清”的、在“今年的网站企业会尸横遍野”的预测中奋力冲向股市的网站们。YAHOO在赚钱,但更多的网站都在“ST”。扫描器、入侵探测、防火墙等作出一个产品都不难,难处在于能够让自己的产品体现出自己的个性,保持“性能”、“手法”等方面的先进性,比方说
21、关键的“攻击特征库”。ISS在维护其扫描器、入侵探测两个产品的人力超过千人,CHECKPOINT在其单纯防火墙一个产品上面的工程师也达到了数百人。当然,人数的众寡不能简单的代表产品的优劣。我在这里想说的是“网络安全产品市场也需要一个规模效应”。因此,经过一番激烈的市场竞争后,在1-2年内,国内可能会出现相当程度的安全企业之间的兼并、联合。避免重复开发,提高开发效率,更有效地利用资金。这样,在竞争中生存下来的几个国内品牌在国家政策方面的支持下,在企业规模方面、产品完整性方面、市场和技术支持方面将会具有更多的机会赢得中国的网络安全产品市场。我们的重点充分利用现有的资源充分利用现有的资源Cisco的
22、战略从长远角度更符合重新规划或建设大规模新项目的用户需要。Netscreen更倾向于解决现有问题。Radware等厂商的边缘解决方案未来的技术发展方向将未来的技术发展方向将出现分歧!出现分歧!与其他业务与其他业务/应用、项目应用、项目规划建设相结合规划建设相结合结合其他的网络基础设施结合应用服务(软硬件)结合企业内外部考虑结合其他的解决办法我们的重点需要注意的是:需要注意的是:产品产品& &服务的结合服务的结合突出整体解决方案突出整体解决方案一个都不能少一个都不能少!ReliabilityInvestment ProtectionPerformanceServiceProductSolutio
23、n我们的重点优势优势整体实力强,根基好关注业务相对资源丰富不足不足在安全方面缺乏专业资质和相应的研究如CISSP(CertificationInformationServiceSecurityProfessional)由ISC组织发起的面对安全管理方面的专门认证。CIW面对安全技术方面的专门的专门认证。缺乏研究环境,对此方面不十分关注。我们的解决方案我们的解决方案解决用户当前存在的安全管理空白。解决用户当前存在的安全管理空白。解决用户当前存在的安全管理空白。解决用户当前存在的安全管理空白。保护用户自身的利益!保护用户自身的利益!保护用户自身的利益!保护用户自身的利益!从距离用户最近的地方做起!踏踏实从距离用户最近的地方做起!踏踏实从距离用户最近的地方做起!踏踏实从距离用户最近的地方做起!踏踏实实的从基础开始解决问题!实的从基础开始解决问题!实的从基础开始解决问题!实的从基础开始解决问题!当然,不做铺路石当然,不做铺路石当然,不做铺路石当然,不做铺路石薪水、奖金,就靠各位的了薪水、奖金,就靠各位的了薪水、奖金,就靠各位的了薪水、奖金,就靠各位的了Thank you
