Embed Size (px)
DESCRIPTION
北京天融信网络安全有限公司. 网络安全及安全技术的发展趋势. CISP & TCSP 哈分公司技术总监:李文学. 哈分公司: 哈市南岗区长江路 157 号盟科汇 501 室 电话: (0451 ) 53002608-806 公司网站 : www.topsec.com.cn. 目 录. 网络安全的发展趋势 网络安全技术发展趋势. 网络安全发展的回顾. 网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学, 它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计 算机安全技术等 。. - PowerPoint PPT Presentation
Citation preview
CISPCISP && TCSPTCSP 哈分公司技术总监:李文哈分公司技术总监:李文学学哈分公司: 哈市南岗区长江路哈分公司: 哈市南岗区长江路 157157 号盟科汇号盟科汇 501501 室 室
电话: 电话: (0451(0451 )) 53002608-80653002608-806公司网站公司网站 : www.topsec.com.cn: www.topsec.com.cn
北京天融信网络安全有限公司北京天融信网络安全有限公司
网络安全及安全技术的发展趋势网络安全及安全技术的发展趋势
网络安全的发展趋势
网络安全技术发展趋势
目 录
网络安全发展的回顾网络安全发展的回顾
网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,
它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计
算机安全技术等 。 。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网
络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用
户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些
公式和法则,它规定了明文和密文之间的变换方法。
网络安全发展的回顾网络安全发展的回顾
安全协议方面,众多标准化组织制定了许多标准和草案,尤其是以 RFC
文稿出现的协议标准更是成了网络安全设备的基础。举例说, VPN技术就是
建立在安全隧道基础上的,点对点的隧道协议( PPTP : RFC2637 )和第 2 层隧
道协议( L2TP : RFC2661 )提供远程 PPP 客户到 LAN 的安全隧道,因此,网络
安全要不断发展和开发满足新的需求的安全协议。
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、
入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“
老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可
没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临
着许多新的问题。
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕
虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天
的不足,且在精确定位和全局管理方面还有很大的空间。
网络安全发展的回顾网络安全发展的回顾
再次 ,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
网络安全发展的回顾网络安全发展的回顾
传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、
突击式、事后纠正式的管理方式,而安全建设停留在静态的防护技术上,更多
采用的是以点概面和就事论事的方法。导致的结果是不能从根本上避免、降低
各类风险,也不能降低信息安全故障导致的综合损失。
网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)
防病毒
例:
1 、网络出现病毒
防火墙、入侵检测等2 、网络出现攻击
审计系统、管理系统3 、管理问题出现
投资不小但网络安全状况依然不理想问题:
网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)
例:
2 、防火墙、入侵监测等 网络出现攻击
3 、审计系统、管理系统 管理问题出现
投资不小但网络安全状况依然不理想问题:
基本解决病毒问题 (病毒对网络影响小)
基本解决攻击问题 (攻击对网络影响小)
基本解决管理问题 (管理对网络影响小)
1 、防病毒系统 网络出现病毒
4 、新的复杂的安全事件出现 现有的防护系统很难解决
网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)
关于网络安全的一些观念误区 网络安全是一次性投资可以完
成的 . 网络安全纯粹是技术人员的工
作,重视技术,轻视管理 网络安全只要买一批好产品就
能完成,重视产品,轻视人为因素;
应该由自己单位的技术人员全部完成
重视外部安全,轻视内部安全; 重视局部,忽略整体; 静态不变;
系统工程 攻防技术是在对抗中不断
发展的 组织 (制订制度 ), 技术 ,
管理 ( 执行制度 ) 根据情况 , 大的趋势是社
会分工越来越细 专业安全服务公司 专业安全服务的外包
随着信息系统的开放化、网络化、复杂化发展,信息安全建设不再局限于单
个的技术产品,而是需要综合考虑的一个体系。这个体系是一个动态的、协调联
动的、系统化、程序化和文件化的安全防护体系。而这个体系体现预防控制为主
的思想,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全
控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到
可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
网络安全发展的趋势网络安全发展的趋势
什么是安全
新的安全定义
及时的检测就是安全 及时的响应就是安全
Pt
Dt
PPtt : Protection time : Protection time
Pt > + Rt
DDtt : Detection time : Detection time
RRtt : Response time : Response time
Dt Rt
安全=及时的检测和处理安全=及时的检测和处理
我们称之为防护时间 Pt :黑客在到达攻击目标之前需要攻破很多的设备 ( 路由器,交换机 ) 、系统( NT , UNIX )和放火墙等障碍,在黑客达到目标之前的时间;
在黑客攻击过程中,我们检测到他的活动的所用时间称之为 Dt ,检测到黑客的行为后,我们需要作出响应,这段时间称之为 Rt.
假如能做到 Dt+Rt<Pt, 那么我们可以说我们的目标系统是安全的
Pt
Dt Rt
DtPt > + Rt
网络安全框架体系网络安全框架体系
从两大角度考虑:从两大角度考虑: 网络安全管理框架网络安全管理框架 网络安全技术框架网络安全技术框架
网络安全框架体系网络安全框架体系
网络安全管理体系网络安全管理体系 网络安全技术体系网络安全技术体系
网络安全网络安全组织组织
网络安全网络安全策略策略
网络安全保网络安全保障机制障机制
管管理理和和维维护护队队伍伍
技技术术支支撑撑队队伍伍
应应急急响响应应队队伍伍
纲纲领领性性策策略略
管管理理规规章章制制度度
操操作作流流程程和和规规程程
应应急急响响应应
风风险险管管理理
安安全全预预警警
安安全全培培训训
区域区域边界边界保护保护
网络内部网络内部环境保护 环境保护
网络基础设网络基础设施 施
网络安全网络安全支持设施支持设施
防防火火墙墙技技术术
入入侵侵检检测测技技术术
日日志志和和备备份份技技术术
防防病病毒毒技技术术
评评估估、、修修补补、、加加固固
防防源源地地址址欺欺骗骗
路路由由安安全全
安安全全网网管管
反反垃垃圾圾邮邮件件
密密钥钥管管理理设设施 施
检测检测和响和响应设应设施 施
网络安全管理体系框架网络安全管理体系框架
建立完善的安全组织结构建立完善的安全组织结构 建立层次化的网络安全策略建立层次化的网络安全策略
包括纲领性策略包括纲领性策略 各种安全制度、安全规范和操作流程各种安全制度、安全规范和操作流程
应用各种安全机制应用各种安全机制 包括网络安全预警机制包括网络安全预警机制 安全风险识别和控制机制安全风险识别和控制机制 应急响应机制应急响应机制 安全培训机制安全培训机制
网络安全技术体系框架网络安全技术体系框架
区域边界保护区域边界保护 网络内部环境保护网络内部环境保护 网络基础设施保护网络基础设施保护 网络安全支持设施网络安全支持设施
网络安全技术体系框架-区域边界保护网络安全技术体系框架-区域边界保护
目标:着重对重要的安全区域进行保护 ,包括目标:着重对重要的安全区域进行保护 ,包括支撑系统业务系统、管理系统,如认证和计费支撑系统业务系统、管理系统,如认证和计费系统、域名服务系统、网管中心、系统、域名服务系统、网管中心、 IDCIDC系统等。系统等。
常用的技术常用的技术 :: 防火墙技术防火墙技术 入侵检测技术。入侵检测技术。 其他防护技术产品其他防护技术产品
网络安全技术体系框架-网络内部环境保护网络安全技术体系框架-网络内部环境保护
目标:目标: 减少内部环境中存在的安减少内部环境中存在的安
全漏洞。全漏洞。 防止计算机病毒在内部环防止计算机病毒在内部环境的传播。境的传播。
提高对网络攻击的发现能提高对网络攻击的发现能力以及在安全事件发生后力以及在安全事件发生后的跟踪和追查能力。的跟踪和追查能力。
提高网络安全事件发生后提高网络安全事件发生后的恢复能力。的恢复能力。
对应保护技术对应保护技术 系统安全加固系统安全加固 本地安全扫描本地安全扫描 防病毒防病毒日志与备份技术日志与备份技术
网络安全技术体系框架-网络基础设施网络安全技术体系框架-网络基础设施
目标:目标: 提高网络拓扑的安全提高网络拓扑的安全
可靠性。可靠性。 提高网络设备特别是提高网络设备特别是骨干设备的安全性。骨干设备的安全性。
保证网络设备远程管保证网络设备远程管理的安全性。理的安全性。
保护技术保护技术 网络基础实施的设备、物网络基础实施的设备、物
理链路、路由的冗余和备理链路、路由的冗余和备份。份。
网络设备的安全设置、安网络设备的安全设置、安全扫描与加固。全扫描与加固。
网络设备远程安全管理:网络设备远程安全管理: SSSHSH 、多因素认证密码系统、多因素认证密码系统(如(如 RSARSA 令牌)、令牌)、 VPNVPN
SOCSOC 技术技术
网络安全技术体系框架-网络安全支持网络安全技术体系框架-网络安全支持
网络安全支持目标网络安全支持目标 为网络用户、设备和应为网络用户、设备和应
用系统提供安全服务用系统提供安全服务 密钥管理服务。密钥管理服务。 网络安全检测服务。网络安全检测服务。 网络安全响应服务。网络安全响应服务。
网络安全支持设施建设网络安全支持设施建设 PKIPKI 技术,技术, SOCSOC 技术技术 网络流量异常检测技术网络流量异常检测技术 网络安全事件统一收集网络安全事件统一收集
安全事件的关联分析安全事件的关联分析 网络安全告警和响应网络安全告警和响应
Telnet SMTPDNSFTP
UDPTCP
IP
以太网无线网络SATNETARPNET
TCP/IP模型与网络安全应用程序攻击
拒绝服务攻击
数据监听和窃取
硬件设备破坏
应用层:应用程序和操作系统的攻击与破坏等 传输层:拒绝服务攻击和数据窃听风险等 网络层:拒绝服务攻击,路由欺骗等 硬件设备与数据链路:物理窃听与破坏等
安全技术体系框架
1. 安全管理
安全管理是确保网络信息安全的重要环节 安全管理包括对信息系统的所有部件和整个生命周期的安全管理,涵盖上述所有层面,
管理内容应包括 组织和人员、工程管理、运行管理、等级保护管理、
应急处理管理和密码管理等方面。
安全工程活动的生命周期
安全需求建立
安全系统规划 安全系统确认
安全系统实施
安全需求验证
PDCA循环: Plan — Do—Check—Act
计划
实施检查
改进
P
D
A
C
PDCA循环
PDCA循环(续)
又称“戴明环” ,PDCA循环是能使任何一项活动有效进行的工作程序 : P :计划,方针和目标的确定以及活动计划的制定; D :执行,具体运作,实现计划中的内容; C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;
A:改进(或处理) , 对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。
对于没有解决的问题,应提给下一个 PDCA循环中去解决。
PDCA循环的特点一
按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环 90909090
处理
执行
计划
检查
C
A
D
P
PDCA循环(续)
PDCA循环的特点二
组织中的每个部分,甚至个人,均有一个 PDCA循环,大环套小环,一层一层地解决问题。
90909090C
A
D
P
90909090C
A
D
P 90909090C
A
D
P
PDCA循环(续)
PDCA循环的特点三
每通过一次 PDCA 循环,都要进行总结,提出新目标,再进行第二次 PDCA 循环。
90909090
改进
执行
计划
检查
C
A
D
P
达到新的水平
改进 (修订标准 )
维持原有水平
90909090
改进
执行
计划
检查
C
A
D
P
PDCA循环(续)
总体解决方案- TopSec等级保护体系
遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。
实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标
特质: 等级化:突出重点,节省成本,满足不同行业、不同发展阶段、
不同层次的要求 整体性:结构化,内容全面,可持续发展和完善,持续运行 针对性:针对实际情况,符合业务特性和发展战略
等级保护体系安全措施框架 安全策略体系
安全技术体系
身份认证 加密
加固 审核跟踪
访问控制
防恶意代码
监控 备份恢复
管理制度 组织职责 技术标准规范
信息安全政策
安全组织
教育培训
人员职责
人员安全
安全组织体系
安全体系建设
项目建设安全管理
安全风险管理与控制
安全运行与维护
安全运行体系
安全管理运行中心
技术体系
安全组织设置和岗位职责
安全教育、培训与资质认证
组织体系
安全策略体系设计
安全策略与流程推广实施
策略体系项目建设的安全管理
安全风险管理与控制
保护对象框架
内部与第三方人员安全管理 日常安全运行与维护
安全体系推广与落实
运作体系
全程全网监控和审计平台统一监控与审计管理平台
终端管理和防病毒集中管理平台安全域和网络访问控制平台
终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台
设备安全配置与加固
基础设施安全
第三方统一安全接入平台应用加密平台
第三方统一安全接入平台
统一鉴别认证平台
数据备份与冗灾平台
统一身份认证与授权管理平台
应用系统安全增强
应用安全
等级保护体系的实现
安全组织与职责设计
安全培训与资质认证
安全策略体系与流程设计
网络与应用加密服务平台
业务应用系统安全改造
数据备份与冗灾平台
统一身份认证与授权管理平台
设备安全配置与加固
安全域划分与边界访问控制平台
安全管理运行中心
安全策略与流程推广实施
安全体系推广与常年咨询
防病毒、补丁和终端管理平台
统一安全监控与审计平台
安全技术体系建设安全组织体系建设
安全策略体系建设
安全运行体系建设
安全规划
安全调查与风险评估 等级保护定级咨询
等级保护体系设计 方案设计
等级保护测评支持与咨询
定级阶段
规划阶段
实施与
运维阶段
常年安全运维外包服务
安全托管监控与管家服务
等级保护阶段 天融信提供的安全服务与解决方案
网络安全的发展趋势
网络安全技术发展趋势
目 录
防火墙技术发展趋势
•速度对安全的挑战•国际安全技术格局•实力保证创“芯”•小芯片,大内涵•猎豹出世
宣讲胶片目录
网络速度 vs 摩尔定律
网络发展速度远大于 CPU速度
0
100M
100G
100T
1990 1995 2000 2005 2010
网速
CPU
1990- 2010 年,网速和 CPU处理能力对比
高性能网络防火墙越来越迫切
用户到底缺什么
高性能防火墙只能用国外这几家?
用了防火墙,没攻击了,可是网速也慢了
网络延迟太大,视频会议没
法进行
我们要的是又有安全性,又稳定的
产品
•速度对安全的挑战•国际安全技术格局•实力保证创“芯”•小芯片,大内涵•猎豹出世
宣讲胶片目录
安全产业技术格局
ASIC
NP构架
X86 、通用 CPU构架
只有世界级前几名安全厂家拥有 ASIC自有产权国内前几名厂商,选择了 NP构架的防火墙国内以百计的小厂商依旧采用 X86构架防火墙
天融信技术定位哪个层面?
TopASICTM Power NP
4GS3IXP2400
技术架构 ASIC PowerPC Based NP Xscale Based NP
处理层次 2- 7 层的数据和安全处理 2-4层数据转发 2-4层数据转发
网络加速 强 强 强
安全加速 强 弱 弱
应用层过滤 强 弱 弱
厂商性质 中国自主 美国 (IBM卖给Hifn) 美国 (Intel 卖给Marvell)
下代产品 TopASICTM II 无 前途不明
TopASIC vs NP 分析
在安全领域, NP将何去何从?
稳定的性能:无策略转发对比
无策略路由转发•ASIC 性能千兆 100%•NP 性能千兆 100%•X86小包千兆无法达到线速
ASIC
NP
X86
稳定的性能:模拟攻击
模拟攻击下•ASIC 性能千兆 100%•NP 在小包下性能降低•X86 性能快速下降
ASIC
NP
X86
构架对比:性能-功能
ASIC TopASIC
x86CPU
性能
安全功能
嵌入式CPU
高低
高
NP
性能 - 功能:综合对比 TopASICT
M 最佳
构架对比:安全-稳定
ASICTop
ASICx86CPU
稳定性
安全性
嵌入式CPU
低
高
NP
高
安全性 -稳定性:综合 ASIC 或者 TopASICTM 最佳
安全加速技术的演进
NP架构 通讯加速
ASIC 架构通讯加速安全加速
性能
时间
通用平台,无网络、安全加
速
网络处理器,对通讯专项加速
定制安全芯片,对通讯和安全处理都加速
x86架构
TopASICTM 特点
……
NAT交换
七层过滤
VPN
路由
QoS
状态核检测
可编程模块
TopASICTM 特性芯片内置多模块,全功能硬加速预留编程空间,持续升级线速转发,超低时延,无瓶颈防火墙
TopASICTM 芯片内部结构
GMII GMII MII×8rsvd rsvd… GMII GMII
JTAG
CFG with PROMPCI Interface
XCF32P
ConfigConnector
EEPROM
PHY PHY PHY×8
PCI
Data[63:0]
Ctl&Clk Signal
Addr[12:0]
SD
RA
MC
ontroller
SRAM
PDMA
NAT VPN
QoS SLU
SwitchRoute
Parser Filter L2E
QMU
CDU RegExrsvd
rsvd rsvd
rsvd
I2CInterface
管理通道
数据通道
处理流程
固定单元可修改单元可编程单元
TopASIC 性能指标
5Gbps 的芯片转发容量千兆端口吞吐率: 100%( 64Byte小包)最大并发连接 >200万每秒新建连接 >30000转发延迟 <10us支持 2GE端口+ 8FE端口
产品硬件构架
ASICASIC
CPUCPU
一级缓存一级缓存 二级缓存二级缓存
内存内存
FlashFlash
NVRamNVRam
接口控制接口控制
TAPF 技术,减少CPU干预数据处理,报文快速转发
大容量二级缓存,充分提高性能
网络数据
策略授权
高性能 CPU ,动态管理和策略授权。
完全内容检测 CCI
1990 2000
垃圾邮件垃圾邮件
病毒病毒
木马木马
蠕虫蠕虫
处理能力
拒绝服务攻击拒绝服务攻击
1995 2005
社会学攻击社会学攻击
1
10
100
1000
完全内容检测 CCI
深度包检测 DPI
状态检测SI
状态检测只检查数据包的包头;深度包检测可对数据包内容进行检查;而 CCI 则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
SI —Stateful InspectionDPI—Deep Packet InspectionCCI—Complete Content Inspection
多级多路负载均衡
SSL全网接入 CCI
CleanVPN
可编程专用芯片
应用还原技术
黑匣子
高速捕包技术
TAPF转发技术
TOS内核
多层次状态表
防病毒
攻击防御
漏洞扫描技术
防火墙无缝穿透
具有很大的未知风险 没有办法对操作系统
做更多优化 发生安全问题后没办
法第一时间解决问题 具有知识产权风险
安全性高 充分优化 掌握所有操作系统
技术,控制所有核心技术
独立发展自己的知识产权
TOS : 通用操作系统:
防火墙防火墙 OSOS系统的发展系统的发展
厂家 操作系统CISCO IOS
Nokia IPSO
Juniper( Netscreen )
ScreenOs
Foundry TrafficWorks IronWare Nortel Alteon OS Lucent TAOS
Topsec TOS
防火墙防火墙 OSOS系统的发展系统的发展
硬件: ASIC,NPU,MIPS,X86, ARM …
TopsecOS 架构
IPS SSL VPN
监控报警 管理 QOSQOS HA
接入
OS 层
基础层
安全引擎层 Anti Anti spamspam
IPSEC
服务层
健壮中心健壮中心文件系统 交换
FWFW
硬件抽象层
OS核
认证路由日志配置GTA
AVAV
硬件
TOS
应用应用
入侵检测技术发展趋势
入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方
向过渡。 IMS( IntrusionManagementSystem,入侵管理系统)具有大规模部
署、入侵预警、精确定位以及监管结合四大典型特征,将逐步成为安全检测
技术的发展方向。
IMS 体系的一个核心技术就是对漏洞生命周期和机理的研究,这将是决定
IMS 能否实现大规模应用的一个前提条件。从理论上说,在配合安全域良好划
分和规模化部署的条件下, IMS 将可以实现快速的入侵检测和预警,进行精确
定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面
的安全检测和事件预防。
入侵检测技术发展趋势
终端管理技术发展趋势
内网安全未来的趋势是 SCM( SecurityComplianceManagement,安全合规
性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系
统到异构平台、从各自为政到整体运维是 SCM的四大特点,精细化的内网管理
可以使现有的内网安全达到真正的“可信”。 目前,内网安全的需求有两大趋势:一是终端的合规性管理,即终端安全
策略、文件策略和系统补丁的统一管理;二是内网的业务行为审计,即从传统
的安全审计或网络审计,向对业务行为审计的发展,这两个方面都非常重要。
终端管理技术发展趋势
( 1 )从被动响应到主动合规。通过规范终端行为,避免未知行为造成的损害,
使 IT管理部门将精力放在策略的制定和维护上,避免被动响应造成人力、
物力的浪费和服务质量的下降。
( 2 )从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析,
而没有办法对业务行为的内容进行控制, SCM审计要求在合规行为下实
现对业务内容的控制,实现对业务行为的认证、控制和审计。
( 3 )对于内网来说,尽管Windows一统天下 ,但是随着业务的发展, Unix、
Linux等平台也越来越多地出现在企业的信息化解决方案中,这就要
求内网安全管理实现从单一系统到异构平台的过渡,从而避免了由异
构平台的不可管理引起的安全盲点的出现。
终端管理技术发展趋势
谢谢!!!谢谢!!!
