1 / 64

CISP & TCSP 哈分公司技术总监:李文学

北京天融信网络安全有限公司. 网络安全及安全技术的发展趋势. CISP & TCSP 哈分公司技术总监:李文学. 哈分公司: 哈市南岗区长江路 157 号盟科汇 501 室 电话: (0451 ) 53002608-806 公司网站 : www.topsec.com.cn. 目 录. 网络安全的发展趋势 网络安全技术发展趋势. 网络安全发展的回顾. 网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学, 它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计 算机安全技术等 。.

tommy
Download Presentation

CISP & TCSP 哈分公司技术总监:李文学

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 北京天融信网络安全有限公司 网络安全及安全技术的发展趋势 CISP&TCSP哈分公司技术总监:李文学 哈分公司: 哈市南岗区长江路157号盟科汇501室 电话: (0451)53002608-806公司网站: www.topsec.com.cn

  2. 目 录 • 网络安全的发展趋势 • 网络安全技术发展趋势

  3. 网络安全发展的回顾 网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学, 它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计 算机安全技术等 。 在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网 络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用 户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些 公式和法则,它规定了明文和密文之间的变换方法。

  4. 网络安全发展的回顾 安全协议方面,众多标准化组织制定了许多标准和草案,尤其是以RFC 文稿出现的协议标准更是成了网络安全设备的基础。举例说,VPN技术就是 建立在安全隧道基础上的,点对点的隧道协议(PPTP:RFC2637)和第2层隧 道协议(L2TP:RFC2661)提供远程PPP客户到LAN的安全隧道,因此,网络 安全要不断发展和开发满足新的需求的安全协议。

  5. 网络安全发展的回顾 谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、 入侵检测技术以及防病毒技术。     任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“ 老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可 没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临 着许多新的问题。     首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕 虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。     其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天 的不足,且在精确定位和全局管理方面还有很大的空间。

  6. 网络安全发展的回顾 再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。 所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。

  7. 网络安全发展的回顾(管理和建设) 传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、 突击式、事后纠正式的管理方式,而安全建设停留在静态的防护技术上,更多 采用的是以点概面和就事论事的方法。导致的结果是不能从根本上避免、降低 各类风险,也不能降低信息安全故障导致的综合损失。

  8. 网络安全发展的回顾(管理和建设) 例: 1、网络出现病毒 防病毒 2、网络出现攻击 防火墙、入侵检测等 3、管理问题出现 审计系统、管理系统 问题: 投资不小但网络安全状况依然不理想

  9. 网络安全发展的回顾(管理和建设) 例: 1、防病毒系统 网络出现病毒 基本解决病毒问题 (病毒对网络影响小) 网络出现攻击 2、防火墙、入侵监测等 基本解决攻击问题 (攻击对网络影响小) 基本解决管理问题 (管理对网络影响小) 3、审计系统、管理系统 管理问题出现 4、新的复杂的安全事件出现 现有的防护系统很难解决 问题: 投资不小但网络安全状况依然不理想

  10. 网络安全是一次性投资可以完成的. 网络安全纯粹是技术人员的工作,重视技术,轻视管理 网络安全只要买一批好产品就能完成,重视产品,轻视人为因素; 应该由自己单位的技术人员全部完成 重视外部安全,轻视内部安全; 重视局部,忽略整体; 静态不变; 系统工程 攻防技术是在对抗中不断发展的 组织(制订制度),技术,管理(执行制度) 根据情况,大的趋势是社会分工越来越细 专业安全服务公司 专业安全服务的外包 关于网络安全的一些观念误区

  11. 网络安全发展的趋势 随着信息系统的开放化、网络化、复杂化发展,信息安全建设不再局限于单 个的技术产品,而是需要综合考虑的一个体系。这个体系是一个动态的、协调联 动的、系统化、程序化和文件化的安全防护体系。而这个体系体现预防控制为主 的思想,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全 控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到 可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。

  12. 什么是安全 • 新的安全定义 • 及时的检测就是安全 • 及时的响应就是安全

  13. Pt Dt Rt 安全=及时的检测和处理 Pt > Dt + Rt Pt : Protection time Dt : Detection time Rt : Response time

  14. Pt Dt Rt Pt > Dt + Rt • 我们称之为防护时间Pt:黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT,UNIX)和放火墙等障碍,在黑客达到目标之前的时间; • 在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后,我们需要作出响应,这段时间称之为Rt. • 假如能做到Dt+Rt<Pt,那么我们可以说我们的目标系统是安全的

  15. 网络安全框架体系 从两大角度考虑: • 网络安全管理框架 • 网络安全技术框架

  16. 网络安全框架体系 网络安全管理体系 网络安全技术体系 网络安全组织 网络安全策略 网络安全保障机制 区域边界保护 网络内部环境保护 网络基础设施 网络安全支持设施 管理和维护 队伍 技术支撑 队伍 应急响应 队伍 纲领性策略 管理规章制度 操作流程和规程 风险管理 安全预警 应急响应 安全培训 防火墙技术 入侵检测技术 评估、修补、加固 防病毒技术 日志和备份技术 防源地址欺骗 路由安全 安全网管 反垃圾邮件 密钥管理设施 检测和响应设施

  17. 网络安全管理体系框架 • 建立完善的安全组织结构 • 建立层次化的网络安全策略 • 包括纲领性策略 • 各种安全制度、安全规范和操作流程 • 应用各种安全机制 • 包括网络安全预警机制 • 安全风险识别和控制机制 • 应急响应机制 • 安全培训机制

  18. 网络安全技术体系框架 • 区域边界保护 • 网络内部环境保护 • 网络基础设施保护 • 网络安全支持设施

  19. 网络安全技术体系框架-区域边界保护 • 目标:着重对重要的安全区域进行保护 ,包括支撑系统业务系统、管理系统,如认证和计费系统、域名服务系统、网管中心、IDC系统等。 • 常用的技术: • 防火墙技术 • 入侵检测技术。 • 其他防护技术产品

  20. 网络安全技术体系框架-网络内部环境保护 • 目标: • 减少内部环境中存在的安全漏洞。 • 防止计算机病毒在内部环境的传播。 • 提高对网络攻击的发现能力以及在安全事件发生后的跟踪和追查能力。 • 提高网络安全事件发生后的恢复能力。 • 对应保护技术 • 系统安全加固 • 本地安全扫描 • 防病毒 • 日志与备份技术

  21. 网络安全技术体系框架-网络基础设施 • 目标: • 提高网络拓扑的安全可靠性。 • 提高网络设备特别是骨干设备的安全性。 • 保证网络设备远程管理的安全性。 • 保护技术 • 网络基础实施的设备、物理链路、路由的冗余和备份。 • 网络设备的安全设置、安全扫描与加固。 • 网络设备远程安全管理:SSH、多因素认证密码系统(如RSA令牌)、VPN • SOC技术

  22. 网络安全技术体系框架-网络安全支持 • 网络安全支持目标 • 为网络用户、设备和应用系统提供安全服务 • 密钥管理服务。 • 网络安全检测服务。 • 网络安全响应服务。 • 网络安全支持设施建设 • PKI技术, • SOC技术 • 网络流量异常检测技术 • 网络安全事件统一收集安全事件的关联分析 • 网络安全告警和响应

  23. Telnet FTP DNS SMTP 数据监听和窃取 硬件设备破坏 拒绝服务攻击 应用程序攻击 TCP UDP IP ARPNET SATNET 无线网络 以太网 TCP/IP模型与网络安全 • 应用层:应用程序和操作系统的攻击与破坏等 • 传输层:拒绝服务攻击和数据窃听风险等 • 网络层:拒绝服务攻击,路由欺骗等 • 硬件设备与数据链路:物理窃听与破坏等

  24. 安全技术体系框架

  25. 1.安全管理 • 安全管理是确保网络信息安全的重要环节 • 安全管理包括对信息系统的所有部件和整个生命周期的安全管理,涵盖上述所有层面, • 管理内容应包括 • 组织和人员、工程管理、运行管理、等级保护管理、应急处理管理和密码管理等方面。

  26. 安全工程活动的生命周期 安全需求建立 安全需求验证 安全系统规划 安全系统确认 安全系统实施

  27. A P C D PDCA循环 PDCA循环:Plan — Do—Check—Act 计划 改进 检查 实施

  28. PDCA循环(续) • 又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序: • P:计划,方针和目标的确定以及活动计划的制定; • D:执行,具体运作,实现计划中的内容; • C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题; • A:改进(或处理),对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。 • 对于没有解决的问题,应提给下一个PDCA循环中去解决。

  29. PDCA循环(续) PDCA循环的特点一 按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环

  30. PDCA循环(续) PDCA循环的特点二 组织中的每个部分,甚至个人,均有一个PDCA循环,大环套小环,一层一层地解决问题。

  31. 改进 计划 A P 90 90 90 90 C D 检查 执行 达到新的水平 改进 计划 A P 改进(修订标准) 90 90 90 90 C D 检查 执行 维持原有水平 PDCA循环(续) PDCA循环的特点三 每通过一次PDCA 循环,都要进行总结,提出新目标,再进行第二次PDCA 循环。

  32. 总体解决方案-TopSec等级保护体系 • 遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。 • 实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最终目标 • 特质: • 等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求 • 整体性:结构化,内容全面,可持续发展和完善,持续运行 • 针对性:针对实际情况,符合业务特性和发展战略

  33. 安全策略体系 信息安全政策 管理制度 组织职责 技术标准规范 安全组织体系 安全运行体系 安全 组织 人员 职责 教育 培训 人员 安全 安全体系建设 项目建设安全管理 安全技术体系 安全风险管理 与控制 身份 认证 访问 控制 加密 防恶意 代码 安全运行与维护 加固 监控 审核 跟踪 备份 恢复 等级保护体系安全措施框架

  34. 安全管理运行中心 应用系统安全增强 设备安全配置与加固 统一鉴别认证平台 统一身份认证与授权管理平台 终端管理和防病毒集中管理平台 防病毒、补丁和终端管理平台 第三方统一安全接入平台 数据备份与冗灾平台 终端管理和防病毒集中管理平台 安全域和网络访问控制平台 第三方统一安全接入平台 应用加密平台 全程全网监控和审计平台 统一监控与审计管理平台 基础设施安全 应用安全 等级保护体系的实现 组织体系 策略体系 安全体系推广与落实 运作体系 安全组织设置和岗位职责 项目建设的安全管理 安全策略体系设计 安全教育、培训与资质认证 安全风险管理与控制 安全策略与流程推广实施 内部与第三方人员安全管理 日常安全运行与维护 保护对象框架 技术体系

  35. 等级保护阶段 天融信提供的安全服务与解决方案 定级阶段 安全调查与风险评估 等级保护定级咨询 规划阶段 等级保护体系设计 安全规划 方案设计 安全组织体系建设 安全技术体系建设 安全组织与职责设计 安全域划分与边界访问控制平台 安全培训与资质认证 安全管理运行中心 防病毒、补丁和终端管理平台 安全策略体系建设 统一安全监控与审计平台 实施与 运维阶段 安全策略体系与流程设计 设备安全配置与加固 安全策略与流程推广实施 统一身份认证与授权管理平台 安全运行体系建设 安全体系推广与常年咨询 数据备份与冗灾平台 常年安全运维外包服务 业务应用系统安全改造 安全托管监控与管家服务 网络与应用加密服务平台 等级保护测评支持与咨询

  36. 目 录 • 网络安全的发展趋势 • 网络安全技术发展趋势

  37. 防火墙技术发展趋势

  38. 宣讲胶片目录 • 速度对安全的挑战 • 国际安全技术格局 • 实力保证创“芯” • 小芯片,大内涵 • 猎豹出世

  39. 网络速度vs摩尔定律 1990-2010年,网速和CPU处理能力对比 100T 网速 100G CPU 100M 0 1990 1995 2000 2005 2010 网络发展速度远大于CPU速度

  40. 高性能网络防火墙越来越迫切

  41. 用户到底缺什么 用了防火墙,没攻击了,可是网速也慢了 我们要的是又有安全性,又稳定的产品 网络延迟太大,视频会议没法进行 高性能防火墙只能用国外这几家?

  42. 宣讲胶片目录 • 速度对安全的挑战 • 国际安全技术格局 • 实力保证创“芯” • 小芯片,大内涵 • 猎豹出世

  43. 天融信技术定位哪个层面? 只有世界级前几名 安全厂家拥有ASIC自有产权 国内前几名厂商, 选择了NP构架的防火墙 国内以百计的小 厂商依旧采用X86构架防火墙 安全产业技术格局 ASIC NP构架 X86、通用CPU构架

  44. TopASIC vs NP分析 在安全领域,NP将何去何从?

  45. ASIC NP X86 稳定的性能:无策略转发对比 无策略路由转发 • ASIC性能千兆100% • NP性能千兆100% • X86小包千兆无法达到线速

  46. ASIC NP X86 稳定的性能:模拟攻击 模拟攻击下 • ASIC性能千兆100% • NP在小包下性能降低 • X86性能快速下降

  47. 构架对比:性能-功能 性能 高 ASIC Top ASIC 性能-功能:综合对比TopASICTM最佳 NP x86 CPU 嵌入式 CPU 安全功能 低 高

  48. 构架对比:安全-稳定 稳定性 高 ASIC Top ASIC 安全性-稳定性:综合ASIC或者TopASICTM 最佳 x86 CPU 嵌入式 CPU NP 低 安全性 高

  49. 安全加速 ASIC 架构 通讯加速 通讯加速 NP架构 x86架构 安全加速技术的演进 性能 定制安全芯片,对通讯和安全处理都加速 网络处理器,对通讯专项加速 通用平台,无网络、安全加速 时间

  50. …… 七层过滤 可编程 模块 状态核检测 VPN QoS 交换 NAT 路由 TopASICTM特点 • TopASICTM 特性 • 芯片内置多模块,全功能硬加速 • 预留编程空间,持续升级 • 线速转发,超低时延,无瓶颈防火墙

More Related