网络安全发展.ppt

网御神州科技有限公司,浅谈网络安全,金明丰提纲,网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势,提纲,网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势,网络越来越复杂，弱点越来越多,网络流量在改变,网络威胁多样化,新应用带来的传播途径p2p/im 滥用带宽 系统漏洞弱点 恶意代码，网页诱骗 垃圾邮件传播 新的利益驱动(广告) ,总部,蠕虫病毒 间谍软件 垃圾邮件 恶意网页 网站钓鱼 伪装软件 bt,skype,msn 新型应用 ,dmz服务器区,网络威胁混合性,网络威胁的发展周期,安全威胁攻击方法的演进,企业内部对安全威胁的认识发生了变化,安全攻击的主要手段发生了变化,实施网络攻击的主体发生了变化,提纲,网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势,ips,av,firewall,门卫,安检,测体温,摄像头,ssl vpn,安全方案,ipsec vpn隧道,网闸,信息安全的变化,完整性、可用性、可控性,攻、防、测、控、管、审,保密性,信息安全技术,身份认证技术,加解密技术,访问控制技术,主机加固技术,安全审计技术,检测监控技术,网络安全防护思路,基于主动防御的边界安全控制,基于攻击检测的综合联动控制,基于源头控制的统一接入管理,基于安全融合的综合威胁管理,基于资产保护的闭环策略管理,信息安全防护演进策略,第一阶段： 以边界保护、主机防毒为特点的纵深防御阶段 第二阶段： 以设备联动、功能融合为特点的安全免疫阶段 第三阶段： 以资产保护、业务增值为特点的可信增值阶段,提纲,网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势,防火墙,中国互联网络发展状况-端口分析,数据来源/,网御神州 版权所有,19,中国互联网络发展状况-应用分析,数据来源：实际应用抓包,中国互联网络发展状况-应用分析,数据来源：实际应用抓包,中国互联网络发展状况-应用分析,数据来源ieee,传统防火墙面临的挑战-业务,正常流量下用户各类业务及数据帧长所占大致比例,500m,2g,900m,1518 1280 1024 512 256 128 64,视频会议、视频监控、迅雷、在线游戏、即时通讯等客户业务应用主要工作在这一区域，约占60%左右,浏览网页等基本http服务工作区域，约占30%左右,其它服务约占10%左右,6g,4g,500m,2g,900m,5.5g,5g,1518 1280 1024 512 256 128 64,数据帧长,处理性能,视频会议、视频监控、迅雷、在线游戏、即时通讯等客户业务应用数据主要集中在这一区域,一台宣称性能6g的防火墙产品实际性能分析,传统防火墙面临的挑战-性能,传统防火墙面临的挑战-客户体验,视频会议卡壳，qq、msn掉线，在线视频时断时续。,浏览网页、收发邮件、ftp下载等基本服务速度变慢，影响办公效率,大流量下正常业务流量,处理后业务流量,多核+ac架构,2维矩阵asic负责网络层数据处理,多核专注于应用层数据处理，负责均衡器确保多核之间并行处理,多核+ac架构-性能,500m,12g,1518 1280 1024 512 256 128 64,8g,处理性能,数据帧长,优势分析-客户体验,视频会议，qq、msn，在线视频流畅运行,浏览网页、收发邮件、ftp下载等基本服务高速处理,大流量下正常业务流量,处理后业务流量,x86 单核,power pc,np,传统 asic,多核,100m,500m,2g,4g,10g,1g,8g,多核+ac架构-性能,2维 矩阵 asic,100m,1g,2g,500m,1.5g,x86 单核,power pc,np,asic,多核,多核+ac架构-性能,800m,200m,入侵检测系统的组成,入侵检测系统的处理流程,入侵检测技术,签名匹配,方法: 特征匹配 正则表达式 可检测防止 : 病毒 特洛伊木马 已知攻击 p2p应用 未经授权的即时通讯,协议分析,方法: 遵守rfc 协议解码器 syn 代理服务器 标准化 可检测防止 : 规避 未知的攻击 流量异常 未经授权的访问 syn floods,基于漏洞,方法: 签名匹配 协议分析 指纹识别 可检测和防止 : 未知攻击 蠕虫/walk-in 蠕虫 未经授权的访问,流量异常,方法: 流量阀值 并发连接 连接速率限制 可检测防止: ddos 攻击 未知的攻击 流量异常,入侵检测系统的功能,监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理，并识别违反安全策略的用户活动,防毒墙,计算机病毒的发展史上的9大病毒,82,86,88,98,99,00,01,03,04,1,3,2,5,4,9,8,6,7,1,1,1,elk cloner,brain,morris,cih,melissa,love bug,“红色代码”,“冲击波”,“震荡波”,2008年中国地区互联网病毒疫情 据病毒处理中心统计，2008年1月至10月，在中国地区，数据库后台共截获病毒930万个，其中木马病毒占总体64%，后门病毒占总体20%，蠕虫病毒占总体4%，其他病毒为12%。 病毒传播途径：90%通过网页挂马方式传播。不到10%通过u盘等移动存储设备传播；还有极少病毒通过邮件等其他方式传播。 网页挂马不仅仅是通过浏览网页方式。,adobe flash player 18% realplayer 10/11 10% microsoft data access components (ms06-014) 8% windows ani(ms07-017) 8% 迅雷看看 activex 7% 暴风影音ii activex 7% pplive activex 7% pps activex 7% microsoft office 2003 (ms08-011) 5% microsoft ofiice (ms08-056) 5% windows media player 9 (ms08-053) 3% microsoft gdi+(ms08-021) 3% 超星阅读器activex 3% 联众世界activex 3% 新浪activex 3% 百度搜霸activex 3%,2008年-网页挂马使用的主要漏洞及其比例,常用软件漏洞成为主要攻击目标,70%,2%,63%,35%,流行漏洞利用率：,其他浏览器,常用应用软件,微软操作系统和office,2008年-网页挂马使用的主要漏洞及其比例,互联网的基础应用和威胁,网络是病毒传播的主要途径,病毒防御手段的发展趋势,国际计算机安全联盟，international computer security association）预计：在未来的几年内，网关防毒（硬件）产品的市场规模会达到甚至会迅速超过终端防毒（软件）产品的市场总和。 未来网关防毒墙、终端防毒软件“均分天下”,防毒墙防毒模块,高效内核检测,卓越的杀毒引擎,支持虚拟脱壳技术，可查杀百万种以上的病毒 病毒库和杀毒引擎采用无缝升级技术 支持vpn 和nat后数据查杀,724小时病毒应急响应,提供实时病毒库升级，保证新出现病毒在第一时间被杀灭 支持自动升级、在线手动升级、本地文件导入等方式,灵活的接口配置方式,支持透明、pppoe、静态ip、dhcp以及禁用等工作模式,防毒墙特点,提纲,网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势,43,用户面临的挑战,某个应用无法访问，无法确定是应用服务器出问题了，或者就是应用本身出问题了，还是网络交换机出问题了，抑或是防火墙出问题了，还有可能是机房温度太高了,无法迅速定位故障点,？,？,？,？,网御神州 版权所有,用户面临的挑战,44,网御神州 版权所有,监控和管理界面过多、手忙脚乱！,网络基础设施和安全基础设施建设基本完成 复杂的计算环境 计算环境管理的孤岛，各自为政 管理成本居高不下，管理效率难以提升 计算环境的整体可用性和安全性面临挑战,45,网御神州 版权所有,46,网御神州 版权所有,发展趋势分析,系统概览,47,网御神州 版权所有,界面展示层,管理数据层,资产管理,拓扑管理,业务监控,安全审计,管理接口（snmp、syslog、telnet、ssh、设备私用协议等）,管理组件层,报表管理,事件告警,流量监控,终端接入监控,权限管理,与外部系统集成,业务层,全面的it资源监控,网御神州 版权所有,48,基础设施层,应用层,全面的it资源监控,49,网御神州 版权所有,日志审计不是网络故障告警信息管理 故障告警来源于网络中的snmp trap信息，或者在触发监控阈值后产生，反映的是网络和业务的运行状况 日志则是设备和系统在工作过程中产生的工作日志，例如windows用户的登录、注销、审核对象日志，网络设备的登录注销日志，unix操作系统的su日志，数据库的访问和sql日志，等等。对这些日志进行审计的目的是为了审计it资源的安全状况 日志归一化 屏蔽了不同厂商以及不同类型的产品之间的日志差异 日志关联分析 将来自