1、浅谈网络安全金明丰金明丰13466322005提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势网络越来越复杂,弱点越来越多网络越来越复杂,弱点越来越多网络流量在改变网络流量在改变网络威胁多样化新应用带来的传播途径新应用带来的传播途径P2P/IMP2P/IM滥用带宽滥用带宽系统漏洞弱点系统漏洞弱点恶意代码,网页诱骗恶意代码,网页诱骗垃圾邮件传播垃圾邮件传播新的利益驱动新的利益驱动(广告广告)Internet总部总部蠕虫病毒蠕虫病毒间谍软件间谍软件垃圾邮件垃圾邮件恶意网页
2、恶意网页网站钓鱼网站钓鱼伪装软件伪装软件BT,Skype,MSNBT,Skype,MSN 新型应用新型应用DMZ服务器区服务器区网络威胁混合性网络威胁混合性网络威胁的发展周期网络威胁的发展周期安全威胁攻击方法的演进安全威胁攻击方法的演进企业内部对安全威胁的认识发生了变化企业内部对安全威胁的认识发生了变化安全攻击的主要手段发生了变化安全攻击的主要手段发生了变化实施网络攻击的主体发生了变化实施网络攻击的主体发生了变化提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势IPSAVfirewall门卫门卫安检安检测体温测体温IDSNBA摄像头摄像头SSL VPN安全
3、方案安全方案分支机构合作伙伴安管平台Ipsec Vpn隧道网闸内网区信息安全的变化信息安全的变化完整性、可用性、可控性完整性、可用性、可控性攻、防、测、控、管、审攻、防、测、控、管、审保密性保密性信息安全技术信息安全技术身份认证技术身份认证技术加解密技术加解密技术访问控制技术访问控制技术主机加固技术主机加固技术安全审计技术安全审计技术检测监控技术检测监控技术 网络安全防护思路基于主动防御的边界安全控制基于主动防御的边界安全控制基于攻击检测的综合联动控制基于攻击检测的综合联动控制基于源头控制的统一接入管理基于源头控制的统一接入管理基于安全融合的综合威胁管理基于安全融合的综合威胁管理基于资产保护的
4、闭环策略管理基于资产保护的闭环策略管理信息安全防护演进策略信息安全防护演进策略 第一阶段:第一阶段:以边界保护、主机防毒为特点的纵深防御以边界保护、主机防毒为特点的纵深防御阶段阶段 第二阶段:第二阶段:以设备联动、功能融合为特点的安全免疫以设备联动、功能融合为特点的安全免疫阶段阶段 第三阶段:第三阶段:以资产保护、业务增值为特点的可信增值以资产保护、业务增值为特点的可信增值阶段阶段提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势防火墙防火墙从国家互联网应急中心统计的数据看,2年来UDP15000和8000的比例明显提高,这是迅雷、在线游戏和QQ等的应用域
5、名解析使用的53端口急剧下降,这是P2P应用的典型特征数据来源http:/ 版权所有19迅雷、在线游戏和QQ等的应用,以小包为主数据来源:实际应用抓包视频会议、视频监控,数据包也以小包为主数据来源:实际应用抓包国外研究机构的分析,小包最多、大包次之、中间报文较少数据来源IEEE正常流量下用户各类业务及数据帧长所占大致比例500M2G900M 1518 1280 1024 512 256 128 64视频会议、视频监控、迅雷、在线游戏、即时通讯等客户业务应用主要工作在这一区域,约占60%左右浏览网页等基本http服务工作区域,约占30%左右其它服务约占10%左右6G4G500M2G900M5.5
6、G5G 1518 1280 1024 512 256 128 64数据帧长处理性能视频会议、视频监控、迅雷、在线游戏、即时通讯等客户业务应用数据主要集中在这一区域一台宣称性能6G的防火墙产品实际性能分析视频会议卡壳,QQ、MSN掉线,在线视频时断时续。浏览网页、收发邮件、FTP下载等基本服务速度变慢,影响办公效率大流量下正常业务流量处理后业务流量2维矩阵ASIC负责网络层数据处理多核专注于应用层数据处理,负责均衡器确保多核之间并行处理500M12G 1518 1280 1024 512 256 128 648G处理性能数据帧长视频会议,QQ、MSN,在线视频流畅运行浏览网页、收发邮件、FTP下
7、载等基本服务高速处理大流量下正常业务流量处理后业务流量各种架构产品64字节小包处理能力比较X86单核PowerPCNP传统ASIC多核 10G1G8G2维矩阵ASIC 100M1G 2G500M1.5G各种架构产品应用层处理能力比较X86单核PowerPCNPASIC多核800M200M入侵检测系统的组成入侵检测系统的组成入侵检测系统的处理流程入侵检测系统的处理流程入侵检测技术入侵检测技术方法方法:特征匹配 正则表达式可检测防止可检测防止 :病毒 特洛伊木马 已知攻击 P2P应用 未经授权的即时通讯 方法方法:遵守RFC 协议解码器 SYN 代理服务器 标准化可检测防止可检测防止 :规避 未知
8、的攻击 流量异常 未经授权的访问 SYN Floods方法方法:签名匹配 协议分析 指纹识别可检测和防止可检测和防止 :未知攻击 蠕虫/Walk-in 蠕虫 未经授权的访问方法方法:流量阀值 并发连接 连接速率限制可检测防止可检测防止:DDoS 攻击 未知的攻击 流量异常入侵检测系统的功能入侵检测系统的功能监测并分析用户和系统监测并分析用户和系统的活动的活动 核查系统配置和漏洞核查系统配置和漏洞 评估系统关键资源和数评估系统关键资源和数据文件的完整性据文件的完整性 识别已知的攻击行为识别已知的攻击行为 统计分析异常行为统计分析异常行为 操作系统日志管理,并操作系统日志管理,并识别违反安全策略的
9、用识别违反安全策略的用户活动户活动防毒墙防毒墙计算机病毒的发展史上的计算机病毒的发展史上的9大病毒大病毒82868898 99 00 0103 04132549867111Elk ClonerBrainMorrisCIHMelissaLove bug“红色代码红色代码”“冲击波冲击波”“震荡波震荡波”20082008年中国地区互联网病毒疫情年中国地区互联网病毒疫情据病毒处理中心统计,2008年1月至10月,在中国地区,数据库后台共截获病毒930万个,其中木马病毒占总体64%,后门病毒占总体20%,蠕虫病毒占总体4%,其他病毒为12%。病毒传播途径:90%通过网页挂马方式传播。不到10%通过U盘
10、等移动存储设备传播;还有极少病毒通过邮件等其他方式传播。网页挂马不仅仅是通过浏览网页方式。网页挂马不仅仅是通过浏览网页方式。Adobe Flash Player Adobe Flash Player 18%18%RealPlayer 10/11 RealPlayer 10/11 10%10%Microsoft Data Access Components (ms06-014)Microsoft Data Access Components (ms06-014)8%8%Windows ANI(MS07-017)Windows ANI(MS07-017)8%8%迅雷看看迅雷看看 ActiveX A
11、ctiveX 7%7%暴风影音暴风影音II ActiveX II ActiveX 7%7%PPLIVE ActiveX PPLIVE ActiveX 7%7%PPS ActiveX PPS ActiveX 7%7%Microsoft Office 2003(MS08-011)Microsoft Office 2003(MS08-011)5%5%Microsoft Microsoft OfiiceOfiice(MS08-056)(MS08-056)5%5%Windows Media player 9(MS08-053)Windows Media player 9(MS08-053)3%3%Mic
12、rosoft GDI+(MS08-021)Microsoft GDI+(MS08-021)3%3%超星阅读器超星阅读器ActiveX ActiveX 3%3%联众世界联众世界ActiveX ActiveX 3%3%新浪新浪ActiveX ActiveX 3%3%百度搜霸百度搜霸ActiveX ActiveX 3%3%常用软件漏洞成为主要攻击目标常用软件漏洞成为主要攻击目标70%2%63%35%网页挂马 账号密码安全 文件的安全 钓鱼网站搜索/浏览网页即时通讯下载工具电子邮箱网上交易网络游戏网络是病毒传播的主要途径网络是病毒传播的主要途径病毒防御手段的发展趋势病毒防御手段的发展趋势国际计算机安全
13、联盟,国际计算机安全联盟,International Computer Security Association)预计)预计:在未来的几年内,网关防毒(硬件)产:在未来的几年内,网关防毒(硬件)产品的市场规模会达到甚至会迅速超过终端品的市场规模会达到甚至会迅速超过终端防毒(软件)产品的市场总和。防毒(软件)产品的市场总和。未来网关防毒墙、终端防毒软件未来网关防毒墙、终端防毒软件“均分天均分天下下”增强的杀毒增强的杀毒引擎引擎未知病毒查未知病毒查杀杀可针对具体可针对具体协进行杀毒协进行杀毒设置设置HTTP/FTP/SMTP/POP3/MSN/IMAP自动无缝升自动无缝升级级支持几乎所支持几乎所有
14、常见文件有常见文件类型类型高效内高效内核检测核检测卓越的杀毒引擎l支持虚拟脱壳技术,可查杀百万种以上的病毒l病毒库和杀毒引擎采用无缝升级技术l支持VPN 和NAT后数据查杀724小时病毒应急响应l提供实时病毒库升级,保证新出现病毒在第一时间被杀灭l支持自动升级、在线手动升级、本地文件导入等方式灵活的接口配置方式l支持透明、PPPoE、静态IP、DHCP以及禁用等工作模式提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势43用户面临的挑战用户面临的挑战 某个应用无法访问,无法确定是应用服务器出问题了,或者就是应用本身出问题了,还是网络交换机出问题了,抑或是防
15、火墙出问题了,还有可能是机房温度太高了无法迅速定位故障点无法迅速定位故障点?网御神州 版权所有用户面临的挑战用户面临的挑战44网御神州 版权所有监控和管理界面过多、手忙脚乱!监控和管理界面过多、手忙脚乱!网络基础设施和安全基础设施建设基本完成网络基础设施和安全基础设施建设基本完成 复杂的计算环境复杂的计算环境 计算环境管理的孤岛,各自为政计算环境管理的孤岛,各自为政 管理成本居高不下,管理效率难以提升管理成本居高不下,管理效率难以提升 计算环境的整体可用性和安全性面临挑战计算环境的整体可用性和安全性面临挑战45网御神州 版权所有46网御神州 版权所有发展趋势分析发展趋势分析系统概览系统概览47
16、网御神州 版权所有界面展示层界面展示层管理数据层管理数据层资产管理资产管理拓扑管理拓扑管理业务监控业务监控安全审计安全审计网络管理网络管理主机管理主机管理数据库管理数据库管理中间件管理中间件管理应用管理应用管理安全设备管理安全设备管理机房管理机房管理网络设备网络设备主机主机数据库数据库中间件中间件应用应用安全设备安全设备机房机房管理接口(管理接口(SNMPSNMP、SyslogSyslog、TelnetTelnet、SSHSSH、设备私用协议等)、设备私用协议等)管理组件层管理组件层报表管理报表管理事件告警事件告警流量监控流量监控终端接入监控终端接入监控权限管理权限管理与外部系统集成与外部系统
17、集成业务层业务层全面的全面的ITIT资源监控资源监控网御神州 版权所有48基础设施层基础设施层应用层应用层全面的IT资源监控49网御神州 版权所有 日志审计不是网络故障告警信息管理 故障告警来源于网络中的snmp trap信息,或者在触发监控阈值后产生,反映的是网络和业务的运行状况 日志则是设备和系统在工作过程中产生的工作日志,例如windows用户的登录、注销、审核对象日志,网络设备的登录注销日志,unix操作系统的su日志,数据库的访问和SQL日志,等等。对这些日志进行审计的目的是为了审计IT资源的安全状况 日志归一化 屏蔽了不同厂商以及不同类型的产品之间的日志差异 日志关联分析 将来自不同信息源的日志融合到一起,发掘出日志之间的关系,找到真正的外部入侵和内部违规 日志可视化展示 日志追踪与稽核多层次多层次ITIT安全状况监控安全状况监控网御神州 版权所有50资产可视化资产可视化51网御神州 版权所有设备真实面板,列表中列出了每个端口设备真实面板,列表中列出了每个端口连接的设备连接的设备IP、MAC信息,一目了然信息,一目了然网络拓扑管理网络拓扑管理还能显示机房的环境动力设备还能显示机房的环境动力设备(UPS,温湿度等),温湿度等)机房机架视图机房机架视图IP地址使用情况可视化地址使用情况可视化云计算模型计算采集能力云计算模型计算采集能力谢谢指导谢谢指导