网络安全的发展趋势课件.ppt

1、o 网络安全的发展趋势网络安全的发展趋势o 网络安全技术发展趋势网络安全技术发展趋势目目 录录 网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等 在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。安全协议方面，众多标准化组织制定了许多标准和草案，尤其是以RFC文稿出现的协议标

2、准更是成了网络安全设备的基础。举例说，VPN技术就是建立在安全隧道基础上的，点对点的隧道协议（PPTP：RFC2637）和第2层隧道协议（L2TP：RFC2661）提供远程PPP客户到LAN的安全隧道，因此，网络安全要不断发展和开发满足新的需求的安全协议。谈及网络安全技术，就必须提到网络安全技术的三大主流防火墙技术、入侵检测技术以及防病毒技术。任何一个用户，在刚刚开始面对安全问题的时候，考虑的往往就是这“老三样”。可以说，这三种网络安全技术为整个网络安全建设起到了功不可没的作用，但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。首先，从用户角度来看，虽然系统中安装了防火墙

3、，但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。其次，未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足，且在精确定位和全局管理方面还有很大的空间。再次,虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说，虽然“老三样”已经立下了赫赫战功，且仍然发挥着重要作用，但是用户已渐渐感觉到其不足之处。其次，从网络安全的整体技术框架来看，网络安全技术同样面临着很大的问题，“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全，需要将侧重点集中在

4、信息语义范畴的“内容”和网络虚拟世界的“行为”上。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式，而安全建设停留在静态的防护技术上，更多采用的是以点概面和就事论事的方法。导致的结果是不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失。防病毒防病毒例：例：1 1、网络出现病毒、网络出现病毒防火墙、入侵检测等防火墙、入侵检测等2 2、网络出现攻击、网络出现攻击审计系统、管理系统审计系统、管理系统3 3、管理问题出现、管理问题出现投资不小但网络安全状况依然不理想投资不小但网络安全状况依然不理想问题：问题：例：例：2 2、防火墙、入侵监测

5、等、防火墙、入侵监测等网络出现攻击网络出现攻击3 3、审计系统、管理系统、审计系统、管理系统管理问题出现管理问题出现投资不小但网络安全状况依然不理想投资不小但网络安全状况依然不理想问题：问题：基本解决病毒问题基本解决病毒问题 （病毒对网络影响小病毒对网络影响小）基本解决攻击问题基本解决攻击问题 （攻击对网络影响小）（攻击对网络影响小）基本解决管理问题基本解决管理问题 （管理对网络影响小）（管理对网络影响小）1 1、防病毒系统、防病毒系统网络出现病毒网络出现病毒4 4、新的复杂的安全事件出现、新的复杂的安全事件出现现有的防护系统很难解决现有的防护系统很难解决关于网络安全的一些观念误区关于网络安全

6、的一些观念误区o网络安全是一次性投资可以完网络安全是一次性投资可以完成的成的.o网络安全纯粹是技术人员的工网络安全纯粹是技术人员的工作，重视技术，轻视管理作，重视技术，轻视管理o网络安全只要买一批好产品就网络安全只要买一批好产品就能完成，重视产品，轻视人为能完成，重视产品，轻视人为因素；因素；o应该由自己单位的技术人员全应该由自己单位的技术人员全部完成部完成o重视外部安全，轻视内部安全；重视外部安全，轻视内部安全；o重视局部，忽略整体；重视局部，忽略整体；o静态不变；静态不变；o 系统工程系统工程o 攻防技术是在对抗中不断攻防技术是在对抗中不断发展的发展的o 组织组织(制订制度制订制度),),

7、技术技术,管管理理(执行制度执行制度)o 根据情况根据情况,大的趋势是社大的趋势是社会分工越来越细会分工越来越细o 专业安全服务公司专业安全服务公司o 专业安全服务的外包专业安全服务的外包 随着信息系统的开放化、网络化、复杂化发展，信息安全建设不再局限于单个的技术产品，而是需要综合考虑的一个体系。这个体系是一个动态的、协调联动的、系统化、程序化和文件化的安全防护体系。而这个体系体现预防控制为主的思想，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到可接受收水平，确保信息的保密性、完整性和可用性，保持组织业务运作

8、的持续性。什么是安全什么是安全o 新的安全定义n 及时的检测就是安全及时的检测就是安全n 及时的响应就是安全及时的响应就是安全PtDtPt+RtDtRto我们称之为防护时间我们称之为防护时间Pt：黑客在到达攻击目标之前需要攻破很多的设备：黑客在到达攻击目标之前需要攻破很多的设备(路由器，路由器，交换机交换机)、系统（、系统（NT，UNIX）和放火墙等障碍，在黑客达到目标之前的时间；）和放火墙等障碍，在黑客达到目标之前的时间；o在黑客攻击过程中，我们检测到他的活动的所用时间称之为在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt，检测到黑客的行为，检测到黑客的行为后，我们需要作出响应，这段

9、时间称之为后，我们需要作出响应，这段时间称之为Rt.o假如能做到假如能做到Dt+Rt+RtTelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络SATNETARPNETTCP/IP模型与网络安全模型与网络安全应用程序攻击应用程序攻击拒绝服务攻击拒绝服务攻击数据监听和窃取数据监听和窃取硬件设备破坏硬件设备破坏o应用层：应用程序和操作系统的攻击与破坏等应用层：应用程序和操作系统的攻击与破坏等o传输层：拒绝服务攻击和数据窃听风险等传输层：拒绝服务攻击和数据窃听风险等o网络层：拒绝服务攻击，路由欺骗等网络层：拒绝服务攻击，路由欺骗等o硬件设备与数据链路：物理窃听与破坏等硬件设备与

10、数据链路：物理窃听与破坏等安全技术体系框架安全技术体系框架1.安全管理安全管理o 安全管理是确保网络信息安全的重要环节安全管理是确保网络信息安全的重要环节o 安全管理包括对信息系统的所有部件和整个生安全管理包括对信息系统的所有部件和整个生命周期的安全管理，涵盖上述所有层面，命周期的安全管理，涵盖上述所有层面，o 管理内容应包括管理内容应包括n 组织和人员、工程管理、运行管理、等级保护管理、组织和人员、工程管理、运行管理、等级保护管理、应急处理管理和密码管理等方面应急处理管理和密码管理等方面。安全工程活动的生命周期安全工程活动的生命周期安全需求建立安全需求建立安全系统规划安全系统规划安全系统确认

11、安全系统确认安全系统实施安全系统实施安全需求验证安全需求验证PDCA循环：Plan DoCheckAct计划实施检查改进PDAC PDCA循环循环PDCA循环（续）循环（续）o又称又称“戴明环戴明环”,PDCA,PDCA循环是能使任何一项活动有效进行的工作程序循环是能使任何一项活动有效进行的工作程序:P P：计划，方针和目标的确定以及活动计划的制定；：计划，方针和目标的确定以及活动计划的制定；D D：执行，具体运作，实现计划中的内容；：执行，具体运作，实现计划中的内容；C C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找

12、出问题；效果，找出问题；A A：改进（或处理）：改进（或处理）,对总结检查的结果进行处理，成功的经验加以对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个对于没有解决的问题，应提给下一个PDCAPDCA循环中去解决。循环中去解决。PDCA循环的特点一 按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环 90909090处理处理执行执行计划计划检查检查C CA AD DP

13、PPDCA循环（续）循环（续）PDCA循环的特点二 组织中的每个部分，甚至个人，均有一个组织中的每个部分，甚至个人，均有一个PDCAPDCA循环，大循环，大环套小环，一层一层地解决问题。环套小环，一层一层地解决问题。90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP PPDCA循环（续）循环（续）PDCA循环的特点三 每通过一次每通过一次PDCA 循环，都要循环，都要进行总结，提出新目标，再进行第进行总结，提出新目标，再进行第二次二次PDCA 循环。循环。90909090改进改进执行执行计划计划检查检查C CA AD DP P达

14、到新的水平达到新的水平改进改进(修订标准修订标准)维持原有水平维持原有水平90909090改进改进执行执行计划计划检查检查C CA AD DP PPDCA循环（续）循环（续）总体解决方案总体解决方案TopSec等级保护体系等级保护体系o遵照国家等级保护制度、满足客户实际需求遵照国家等级保护制度、满足客户实际需求，采用等级化、体系，采用等级化、体系化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。本、持续运行的安全保障体系。o实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，实施后状态：一套持续运行

15、、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标是企业或组织安全工作所追求的最终目标o特质：特质：n等级化：突出重点，节省成本，满足不同行业、不同发展阶段、等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求不同层次的要求n整体性：结构化，内容全面，可持续发展和完善，持续运行整体性：结构化，内容全面，可持续发展和完善，持续运行n针对性：针对实际情况，符合业务特性和发展战略针对性：针对实际情况，符合业务特性和发展战略等级保护体系安全措施框架等级保护体系安全措施框架 安全策略体系安全策略体系安全技术体系安全技术体系身份身份认证认证加密加密加固加固审核审核跟踪

16、跟踪访问访问控制控制防恶意防恶意代码代码监控监控备份备份恢复恢复管理制度管理制度组织职责组织职责技术标准规范技术标准规范信息安全政策信息安全政策安全安全组织组织教育教育培训培训人员人员职责职责人员人员安全安全安全组织体系安全组织体系安全体系建设安全体系建设项目建设安全管理项目建设安全管理安全风险管理安全风险管理与控制与控制安全运行与维护安全运行与维护安全运行体系安全运行体系安全管理运行中心安全管理运行中心技术体系技术体系安全组织设置和岗位职责安全组织设置和岗位职责安全教育、培训与资质认证安全教育、培训与资质认证组织体系组织体系安全策略体系设计安全策略体系设计安全策略与流程推广实施安全策略与流程

17、推广实施策略体系策略体系项目建设的安全管理项目建设的安全管理安全风险管理与控制安全风险管理与控制保护对象框保护对象框架架内部与第三方人员安全管理内部与第三方人员安全管理日常安全运行与维护日常安全运行与维护安全体系推广与落实安全体系推广与落实运作体系运作体系全程全网监控和审计平台全程全网监控和审计平台统一监控与审计管理平台统一监控与审计管理平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台安全域和网络访问控制平台安全域和网络访问控制平台终端管理和防病毒集中管理平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台设备安全配置与加固设备安全配置与加固基础设施

18、安全基础设施安全第三方统一安全接入平台第三方统一安全接入平台应用加密平台应用加密平台第三方统一安全接入平台第三方统一安全接入平台统一鉴别认证平台统一鉴别认证平台数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台应用系统安全增强应用系统安全增强应用安全应用安全等级保护体系的实现等级保护体系的实现 安全组织与职责设计安全组织与职责设计安全培训与资质认证安全培训与资质认证安全策略体系与流程设计安全策略体系与流程设计网络与应用加密服务平台网络与应用加密服务平台业务应用系统安全改造业务应用系统安全改造数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一

19、身份认证与授权管理平台设备安全配置与加固设备安全配置与加固安全域划分与边界访问控制平台安全域划分与边界访问控制平台安全管理运行中心安全管理运行中心安全策略与流程推广实施安全策略与流程推广实施安全体系推广与常年咨询安全体系推广与常年咨询防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台统一安全监控与审计平台统一安全监控与审计平台安全技术体系建设安全技术体系建设安全组织体系建设安全组织体系建设安全策略体系建设安全策略体系建设安全运行体系建设安全运行体系建设安全规划安全规划安全调查与风险评估安全调查与风险评估等级保护定级咨询等级保护定级咨询等级保护体系设计等级保护体系设计方案设计方案设计等级保护测

20、评支持与咨询等级保护测评支持与咨询定级阶段定级阶段规划阶段规划阶段实施与实施与运维阶段运维阶段常年安全运维外包服务常年安全运维外包服务安全托管监控与管家服务安全托管监控与管家服务等级保护阶段等级保护阶段天融信提供的安全服务与解决方案天融信提供的安全服务与解决方案o 网络安全的发展趋势网络安全的发展趋势o 网络安全技术发展趋势网络安全技术发展趋势目目 录录防火墙技术发展趋势防火墙技术发展趋势速度对安全的挑战国际安全技术格局实力保证创“芯”小芯片，大内涵猎豹出世宣讲胶片目录宣讲胶片目录网络速度vs摩尔定律网络发展速度远大于CPU速度0100M100G100T19901995200020052010

21、网速CPU19902010年，网速和CPU处理能力对比高性能网络防火墙越来越迫切用户到底缺什么高性能防火墙只能用国外这几家？用了防火墙，没攻击了，可是网速也慢了网络延迟太大，视频会议没法进行我们要的是又有安全性，又稳定的产品速度对安全的挑战国际安全技术格局实力保证创“芯”小芯片，大内涵猎豹出世宣讲胶片目录宣讲胶片目录安全产业技术格局ASICNP构架X86、通用CPU构架只有世界级前几名安全厂家拥有ASIC自有产权国内前几名厂商，选择了NP构架的防火墙国内以百计的小厂商依旧采用X86构架防火墙天融信技术定位哪个层面？TopASICTopASICTMTM Power NP 4GS3Power NP

22、 4GS3IXP2400IXP2400技术架构技术架构ASICPowerPC Based NPXscale Based NP处理层次处理层次27层的数据和安全处理2-4层数据转发2-4层数据转发网络加速网络加速强强强安全加速安全加速强弱弱应用层过应用层过滤滤强弱弱厂商性质厂商性质中国自主美国(IBM卖给Hifn)美国(Intel卖给Marvell)下代产品下代产品TopASICTM II无前途不明TopASIC vs NPTopASIC vs NP分析分析在安全领域，NP将何去何从？稳定的性能：无策略转发对比无策略路由转发无策略路由转发ASIC性能千兆100NP性能千兆100X86小包千兆无法

23、达到线速ASICNPX86稳定的性能：模拟攻击模拟攻击下模拟攻击下ASIC性能千兆100NP在小包下性能降低X86性能快速下降ASICNPX86构架对比：性能功能ASICTopASICx86CPU性能安全功能嵌入式CPU 高低 高NP性能-功能：综合对比TopASICTM 最佳构架对比：安全稳定ASICTopASICx86CPU稳定性安全性嵌入式CPU低 高NP 高安全性-稳定性：综合ASIC或者TopASICTM 最佳安全加速技术的演进NP架构通讯加速ASIC 架构通讯加速安全加速性能时间通用平台，无网络、安全加速网络处理器，对通讯专项加速定制安全芯片，对通讯和安全处理都加速x86架构Top

24、ASICTM 特点NAT交换七层过滤VPN路由QoS状态核检测可编程模块TopASICTM 特性特性芯片内置多模块，全功能硬加速预留编程空间，持续升级线速转发，超低时延，无瓶颈防火墙TopASICTM 芯片内部结构GMIIGMIIMII8rsvdrsvdGMIIGMIIJTAGCFG with PROMPCI InterfaceXCF32PConfigConnectorEEPROMPHYPHYPHY8PCIData63:0Ctl&Clk SignalAddr12:0SDRAMControllerSRAMPDMANATVPNQoSSLUSwitchRouteParserFilterL2EQMUC

25、DURegExrsvdrsvdrsvdrsvdI2CInterface管理通道数据通道处理流程固定单元可修改单元可编程单元TopASIC性能指标5Gbps的芯片转发容量千兆端口吞吐率：100（64Byte小包）最大并发连接200万每秒新建连接30000转发延迟10us支持2GE端口8FE端口产品硬件构架TAPF技术，减少CPU干预数据处理，报文快速转发大容量二级缓存，充分提高性能网络数据策略授权高性能CPU，动态管理和策略授权。完全内容检测CCI19902000处理能力199520051101001000完全内容检测 CCI深度包检测 DPI状态检测SI状态检测只检查数据包的包头；深度包检测可

26、对数据包内容进行检查；而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content Inspection多级多路负载均衡SSL全网接入CCICleanVPN可编程专用芯片应用还原技术黑匣子高速捕包技术TAPF转发技术TOS内核多层次状态表防病毒攻击防御漏洞扫描技术防火墙无缝穿透o具有很大的未知风险o没有办法对操作系统做更多优化o发生安全问题后没办法第一时间解决问题o具有知识产权风险o安全性高o充分优

27、化o掌握所有操作系统技术，控制所有核心技术o独立发展自己的知识产权TOS：通用操作系统：厂家操作系统CISCOIOSNokiaIPSOJuniper（Netscreen）ScreenOsFoundry TrafficWorks IronWare NortelAlteon OS LucentTAOSTopsecTOS硬件：硬件：ASIC,NPU,MIPS,X86，ARM TopsecOS TopsecOS 架构架构IPSSSL VPN监控报警管理HA接入接入OS层基础层安全引擎层IPSEC服务层文件系统文件系统交换交换硬件抽象层硬件抽象层OS核核认证路由日志配置GTA硬件硬件TOS入侵检测技术发

28、展趋势入侵检测技术发展趋势 入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS（IntrusionManagementSystem，入侵管理系统）具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，将逐步成为安全检测技术的发展方向。IMS体系的一个核心技术就是对漏洞生命周期和机理的研究，这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说，在配合安全域良好划分和规模化部署的条件下，IMS将可以实现快速的入侵检测和预警，进行精确定位和快速响应，从而建立起完整的安全监管体系，实现更快、更准、更全面的安全检测和事件预防。入侵检测技术发展趋势入侵检测技术发展趋

29、势终端管理技术发展趋势终端管理技术发展趋势 内网安全未来的趋势是SCM（SecurityComplianceManagement，安全合规性管理）。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点，精细化的内网管理可以使现有的内网安全达到真正的“可信”。目前，内网安全的需求有两大趋势：一是终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；二是内网的业务行为审计，即从传统的安全审计或网络审计，向对业务行为审计的发展，这两个方面都非常重要。终端管理技术发展趋势终端管理技术发展趋势（1）从被动响应到主动合规。通过规范终端行为，避免未知行为造成的损害，使IT管理部门将精力放在策略的制定和维护上，避免被动响应造成人力、物力的浪费和服务质量的下降。（2）从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析，而没有办法对业务行为的内容进行控制，SCM审计要求在合规行为下实 现对业务内容的控制，实现对业务行为的认证、控制和审计。（3）对于内网来说，尽管Windows一统天下,但是随着业务的发展，Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中，这就要 求内网安全管理实现从单一系统到异构平台的过渡，从而避免了由异 构平台的不可管理引起的安全盲点的出现。终端管理技术发展趋势终端管理技术发展趋势