《网络安全的生态环境》由会员分享,可在线阅读,更多相关《网络安全的生态环境(28页珍藏版)》请在金锄头文库上搜索。
1、网络安全的生态环境 NetEye 网络安全产品的研制开发和应用 曹 斌1生态环境的启示在网络安全防御与攻击的斗争中,防御能力正受到日益增强的挑战网络安全的产业正发展成为一个复杂的,由多种角色构成的生态环境斗争手段的不断升级将促进防御技术、防御系统的工作模式的不断进化2网络安全:复杂的生态环境 社会活动:大规模的安全危机信息系统不断产生新的缺陷缺陷被用来产生新的攻击手段攻击手段产生了可见的效果危机阶段危机阶段1:攻击手段发挥作用但是没有被察觉:攻击手段发挥作用但是没有被察觉研究机构根据发生的岸例识别出攻击的特征危机阶段危机阶段2:攻击特征尚未准确提取:攻击特征尚未准确提取防御手段的产生:信息系统
2、厂商提供修补缺陷的办法安全产品厂商提供防御的手段危机阶段危机阶段3:针对攻击的原理厂商尚未提供补救措施:针对攻击的原理厂商尚未提供补救措施用户实施防御措施危机阶段危机阶段4:用户没有及时实施防御措施:用户没有及时实施防御措施用户改进安全策略,对该攻击模式永久免疫 3网络安全:复杂的生态环境局部生态:黑客用来攻击的武器库日益庞大,在一个具体的攻击事件中,任何一个已知的和未知的攻击工具都有可能在局部安全事件中发挥作用。 攻击尝试阶段(扫描和攻击尝试)“活动异常”的敏感阶段破坏阶段“功能异常”敏感阶段重复攻击“功能异常”敏感阶段破坏扩大“功能异常”敏感阶段4局部安全防御体系中的角色防御的核心:安全管
3、理人员具备攻击知识库的预警系统帮助管理人员尽早发现异常外部提供知识和分析能力的专家队伍对管理人员提供知识上的帮助并在大规模的安全事件中获得“超前预警”诊断和监测安全状况的探察系统帮助由安全管理人员分析问题的工具实施安全防御策略的对攻击产生防御作用5进化的必要性信息系统的复杂性是不断增加的复杂性的增加导致缺陷和脆弱性的增加永远存在出现目前的防御体系所不能抵御的攻击方法的可能性攻击的破坏代价存在不断增大的趋势防御系统必须不断进化以适应新的安全环境6防御系统中的能力的进化人的因素的加强雇佣军:借助外力培训:增强自身力量建立信息网络:迅速获取防御的知识产品能力产品通过不断更新以能够对新的攻击产生识别和
4、防御的能力产品与人的结合能力安全产品将包含越来越多的工具特征,使安全技术人员能借助产品的能力对网络上的异常做出正确的响应7网络安全产品的发展趋势核心技术仍有较大的发展空间防火墙:应用层防御能力急需加强入侵检测:检测准确度远不能满足要求,对异常事件的鉴别手段仍然不够,“动态防御”的概念的实际效果受到挑战,但是如果从专注于自动防御转变为更加注重对安全管理人员的辅助工具的作用,有可能发展成为网络安全管理的核心部件VPN:易用性和性能是需要克服的两个最大问题以设备为中心发展到以人为中心对抗黑客技术仍需“以人为本”新的网络安全概念:网络安全响应中心产品安全事件的应对措施越来越复杂,如何使组织在最短的时间
5、内彻底实施有效的应对措施正日益成为新的挑战8东软在安全产业的发展思路为网络安全工程师提供最佳装备产品为人服务把最重要的功能做到最好核心产品:防火墙入侵检测网络加密通道公共的管理工具:策略编辑工具审计系统监控系统9东软在信息安全领域的发展历程1995年在东北大学软件中心成立网络安全实验室1996年作为国家计算机软件工程中心承接国家“九五”攻关项目“具有信息分析功能的防火墙”1998年在科研项目的基础上由东大阿尔派完成产品化并投入市场2000年先后推出了NetEye入侵检测、VPN、CA、安全数据库等系列安全产品,成为信息安全完整解决方案的供应商先后承接了多项国家级的信息安全领域的科研或产业化项目
6、:九五攻关项目国家“863”项目国家“863”信息安全应急计划国家计委“信息安全产业化项目”国家信息安全管理办公室“网络安全专题项目”国家教育科研网网络安全项目10东软股份信息安全体系的构成产品定位为企业级/电信级的安全系统产品线主要解决的问题:网络访问控制与入侵防御网络级的信息加密传输集中控制的安全管理通过合作和集成解决的问题:防病毒引擎身份鉴别部件应用级加密加密算法可以独立使用的安全产品NetEye 防火墙产品NetEye VPN产品NetEye 入侵检测产品NetEye 企业个人安全平台8/18/202411产品体系企业边界防火墙(VPN集中器)入侵检测探头个人安全平台个人安全平台审计中
7、心数据库集中安全策略管理监控平台分支机构的边界防火墙和VPN网管 防火墙与VPN:网络边界访问控制,数据加密与通道 入侵检测:内部网络监测,应用层审计 个人安全平台:个人主机防御,VPN前端连接部件: 集中的审计中心 全局安全策略制订 实时网络监控12产品设计理念把安全产品作为网络安全防御体系的部件进行设计系统结构清晰具备与其它系统的互操作性注重核心安全能力的提高通过核心架构的优化提高安全保护能力和性能充分注重人在防御体系中的核心作用作为关键的防御部件,为管理员提供策略执行、安全审计、实时监控的能力防火墙、入侵检测、VPN等产品既是防御部件又是安全管理的有效工具兼顾产品的性能、可靠性和易用性所
8、有产品均为专用的硬件设备,提供高性能高可靠性的保证基于WindowsGUI的图形化管理工具提供最大程度的易用性13NetEye安全平台内部结构Linux KernelFWFW网络层网络层部件部件VPNVPN通道通道IDSIDS数据数据收集收集IOCTL内核接口应用层控制审计系统监控服务接口管理服务CTLD:设备访问接口认证服务NetEye Socket 控件硬件平台14核心产品:NetEye防火墙1996年九五攻关项目立项1998年开始产品化1999年5月NetEye1.0问世(XKC33014)2000年4月NetEye2.0发布(XKC33048)2001年6月NetEye3.0发布(XK
9、C33113)通过公安部第三研究所的严格检测,NetEye3.0符合两个最新的国家标准:GB/T 18019-1999GB/T 18019-1999:包过滤防火墙安全技术要求:包过滤防火墙安全技术要求GB/T 18020-1999GB/T 18020-1999:应用级防火墙安全技术要求:应用级防火墙安全技术要求15现有防火墙产品的局限性体系结构的局限,访问控制粒度较粗;对新出现的漏洞和攻击方式不能迅速提供有效的防御办法;管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应;性能和稳定制约了大范围的使用。16现有防火墙的体系结构主流防火墙技术:状态检测包过滤技术应用代理技术目前市场上
10、主流产品的形态:集成了状态检测包过滤和应用代理的混合型产品17核心技术流过滤以包过滤的外部形态实现对应用层信息流的过滤提供覆盖应用层和网络层的完整的访问控制流过滤的突出特点:融合了状态检测包过滤和应用代理安全保护能力具有包过滤防火墙的透明性:容易部署、对应用透明可以实现应用防护特性的迅速升级以抵御新出现的攻击手段专为防火墙实现的TCP协议栈:抛弃了Socket接口,轻量、高效、极低的内存占用,支持大规模并发访问极强的抗攻击能力抵御各种TCP层的扫描18NetEye FW3.0的内部结构基于信息流的安全策略状态检测模块状态检测模块NetEye TCP协议栈NetEye TCP协议栈IP 数据包数
11、据包数据流数据流19核心多处理器平台OS核心输入负荷均衡输出集中协议分析访问控制审计输出协议分析访问控制审计输出协议分析访问控制审计输出协议分析访问控制审计输出CPU# 1CPU# 2CPU# 3CPU# n站在巨人的肩膀上解决性能问题国内唯一的提供多处理器核心的防火墙产品,并在中高端型号提供双处理器的缺省配置主要操作全部在OS内核级进行,减少了进程切换和数据拷贝的开销计算负荷均匀分担到多个处理器上,使系统能够支持千兆级的处理能力采用Intel PIII Xeon处理器的SMP架构,最多可以支持4颗CPU20包含策略编辑、安全审计、实时监控分析的安全管理平台NetEye防火墙的管理工具21Ne
12、tEye入侵检测产品:网络安全管理平台基于知识库的攻击预警网络层和应用层审计实时网络监控22NetEye VPN产品(SJW20)Ipsec标准协议实现国产专用加密芯片支持LAN to LAN的连接方式和移动用户对企业内部网的虚拟接入方式支持在连接节点上制定访问控制策略全局安全管理、集中审计、实时监控23东软安全技术持续发展能力提供安全产品厂商的健康发展是对用户投资的最重要的保护保证持续发展的规模化的研发队伍严格的质量保证体系服务能力24研发队伍70余人的研发队伍10%策划和设计10%前瞻性研究40%产品开发25%测试队伍10%咨询专家100%本科以上学历,其中博士5%,硕士15%25NetEye安全产品的质量保证开发与测试的人员比例为1.5 : 1在测试环境和品质保证实验室的充分投资产品质量保证网络适应性测试性能测试严格遵循ISO9001:2000版的质量保证体系26服务能力作为一级资质认证的系统集成商具有实施大型复杂项目的经验符合ISO9001:2000的服务质量控制规范为海尔、春兰、吉通、网通、上海通用汽车等大型分布式企业长年提供全方位的技术服务广泛的地域分布层次分明的服务组织体系具有提供全国范围的7x24的现场支持能力高水准的服务可以使安全产品最大限度的发挥作用27谢谢!28
