网络安全及安全技术的发展趋势（ 64）

1、CISPTCSP哈分公司技术总监：李文学哈分公司： 哈市南岗区长江路157号盟科汇501室 ： (045153002608-806公司网站: topsec北京天融信网络平安网络平安及平安技术的开展趋势.网络平安的开展趋势网络平安技术开展趋势目 录.网络平安开展的回想 网络平安经过了二十多年的开展，曾经开展成为一个跨多门学科的综合性科学，它包括：通讯技术、网络技术、计算机软件、硬件设计技术、密码学、网络平安与计算机平安技术等 。 在实际上，网络平安是建立在密码学以及网络平安协议的根底上的。密码学是网络平安的中心，利用密码技术对信息进展加密传输、加密存储、数据完好性鉴别、用户身份鉴别等，比传统意义

2、上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法那么，它规定了明文和密文之间的变换方法。.网络平安开展的回想 平安协议方面，众多规范化组织制定了许多规范和草案，尤其是以RFC文稿出现的协议规范更是成了网络平安设备的根底。举例说，VPN技术就是建立在平安隧道根底上的，点对点的隧道协议PPTP：RFC2637和第2层隧道协议L2TP：RFC2661提供远程PPP客户到LAN的平安隧道，因此，网络平安要不断开展和开发满足新的需求的平安协议。 . 谈及网络平安技术，就必需提到网络平安技术的三大主流防火墙技术、入侵检测技术以及防病毒技术。 任何一个用户，在刚刚开局面对平安问题的时候，思索的往往

3、就是这“老三样。可以说，这三种网络平安技术为整个网络平安建立起到了功不可没的作用，但是传统的平安“老三样或者说是以其为主的平安产品正面临着许多新的问题。 首先，从用户角度来看，虽然系统中安装了防火墙，但是仍防止不了蠕虫泛滥、渣滓邮件、病毒传播以及回绝效力的侵扰。 其次，未经大规模部署的入侵检测单个产品在提早预警方面存在着先天的缺乏，且在准确定位和全局管理方面还有很大的空间。网络平安开展的回想. 再次,虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的平安并不仅仅是防病毒的问题，还包括平安战略的执行、外来非法侵入、补丁管理以及合规管理等方面。 所以说，虽然“老三样曾经立下了赫赫战功，且依然

4、发扬着重要作用，但是用户已渐渐觉得到其缺乏之处。其次，从网络平安的整体技术框架来看，网络平安技术同样面临着很大的问题，“老三样根本上还是针对数据、单个系统、软硬件以及程序本身平安的保证。运用层面的平安，需求将偏重点集中在信息语义范畴的“内容和网络虚拟世界的“行为上。网络平安开展的回想. 传统的信息平安管理根本上还处在一种静态的、部分的、少数人担任的、突击式、事后纠正式的管理方式，而平安建立停留在静态的防护技术上，更多采用的是以点概面和就事论事的方法。导致的结果是不能从根本上防止、降低各类风险，也不能降低信息平安缺点导致的综合损失。网络平安开展的回想管理和建立.防病毒例：1、网络出现病毒防火墙、

5、入侵检测等2、网络出现攻击审计系统、管理系统3、管理问题出现投资不小但网络平安情况依然不理想问题：网络平安开展的回想管理和建立.例：2、防火墙、入侵监测等网络出现攻击3、审计系统、管理系统管理问题出现投资不小但网络平安情况依然不理想问题： 根本处理病毒问题 病毒对网络影响小 根本处理攻击问题 攻击对网络影响小 根本处理管理问题 管理对网络影响小1、防病毒系统网络出现病毒4、新的复杂的平安事件出现现有的防护系统很难处理网络平安开展的回想管理和建立.关于网络平安的一些观念误区网络平安是一次性投资可以完成的.网络平安纯粹是技术人员的任务，注重技术，轻视管理网络平安只需买一批好产品就能完成，注重产品，

6、轻视人为要素；应该由本人单位的技术人员全部完成注重外部平安，轻视内部平安；注重部分，忽略整体；静态不变；系统工程攻防技术是在对抗中不断开展的组织(制定制度),技术,管理(执行制度)根据情况,大的趋势是社会分工越来越细专业平安效力公司专业平安效力的外包. 随着信息系统的开放化、网络化、复杂化开展，信息平安建立不再局限于单个的技术产品，而是需求综合思索的一个体系。这个体系是一个动态的、协调联动的、系统化、程序化和文件化的平安防护体系。而这个体系表达预防控制为主的思想，强调全过程和动态控制，本着控制费用与风险平衡的原那么合理选择平安控制方式维护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低

7、到可接受收程度，确保信息的严密性、完好性和可用性，坚持组织业务运作的继续性。 网络平安开展的趋势.什么是平安新的平安定义及时的检测就是平安及时的呼应就是平安.PtDtPt : Protection timePt+RtDt : Detection timeRt : Response timeDtRt平安及时的检测和处置.我们称之为防护时间Pt：黑客在到达攻击目的之前需求攻破很多的设备(路由器，交换机)、系统NT，UNIX和放火墙等妨碍，在黑客到达目的之前的时间；在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt，检测到黑客的行为后，我们需求作出呼应，这段时间称之为Rt.假设能做到Dt+Rt

8、+Rt.网络平安框架体系从两大角度思索：网络平安管理框架网络平安技术框架.网络平安框架体系网络平安管理体系网络平安技术体系网络平安组织网络平安战略网络平安保证机制管理和维护队伍技术支撑队伍应急呼应队伍纲领性战略管理规章制度操作流程和规程应急呼应风险管理平安预警平安培训区域边境维护网络内部环境维护 网络根底设备 网络平安支持设备 防火墙技术入侵检测技术日志和备份技术防病毒技术评价、修补、加固防源地址欺骗路由平安平安网管反渣滓邮件密钥管理设备 检测和呼应设备 .网络平安管理体系框架建立完善的平安组织构造建立层次化的网络平安战略包括纲领性战略各种平安制度、平安规范和操作流程运用各种平安机制包括网络平

9、安预警机制平安风险识别和控制机制应急呼应机制平安培训机制.网络平安技术体系框架区域边境维护网络内部环境维护网络根底设备维护网络平安支持设备.网络平安技术体系框架区域边境维护目的：着重对重要的平安区域进展维护 ，包括支撑系统业务系统、管理系统，如认证和计费系统、域名效力系统、网管中心、IDC系统等。常用的技术:防火墙技术入侵检测技术。其他防护技术产品.网络平安技术体系框架网络内部环境维护目的：减少内部环境中存在的平安破绽。防止计算机病毒在内部环境的传播。提高对网络攻击的发现才干以及在平安事件发生后的跟踪和清查才干。提高网络平安事件发生后的恢复才干。对应维护技术系统平安加固本地平安扫描防病毒日志与

10、备份技术.网络平安技术体系框架网络根底设备目的：提高网络拓扑的平安可靠性。提高网络设备特别是骨干设备的平安性。保证网络设备远程管理的平安性。维护技术网络根底实施的设备、物理链路、路由的冗余和备份。网络设备的平安设置、平安扫描与加固。网络设备远程平安管理：SSH、多要素认证密码系统如RSA令牌、VPNSOC技术 .网络平安技术体系框架网络平安支持网络平安支持目的为网络用户、设备和运用系统提供平安效力密钥管理效力。网络平安检测效力。网络平安呼应效力。网络平安支持设备建立PKI技术，SOC技术网络流量异常检测技术网络平安事件一致搜集平安事件的关联分析网络平安告警和呼应.TelnetSMTPDNSFT

11、PUDPTCPIP以太网无线网络SATNETARPNETTCP/IP模型与网络平安运用程序攻击回绝效力攻击数据监听和窃取硬件设备破坏运用层：运用程序和操作系统的攻击与破坏等传输层：回绝效力攻击和数据窃听风险等网络层：回绝效力攻击，路由欺骗等硬件设备与数据链路：物理窃听与破坏等.平安技术体系框架.1.平安管理平安管理是确保网络信息平安的重要环节平安管理包括对信息系统的一切部件和整个生命周期的平安管理，涵盖上述一切层面，管理内容应包括组织和人员、工程管理、运转管理、等级维护管理、应急处置管理和密码管理等方面。.平安工程活动的生命周期平安需求建立平安系统规划平安系统确认平安系统实施平安需求验证.PD

12、CA循环：Plan DoCheckAct方案实施检查改良PDAC PDCA循环.PDCA循环续又称“戴明环,PDCA循环是能使任何一项活动有效进展的任务程序:P：方案，方针和目的确实定以及活动方案的制定； D：执行，详细运作，实现方案中的内容；C：检查，总结执行方案的结果，分清哪些对了，哪些错了，明确效果，找出问题；A：改良或处置,对总结检查的结果进展处置，胜利的阅历加以一定，并予以规范化，或制定作业指点书，便于以后任务时遵照；对于失败的教训也要总结，以免重现。对于没有处理的问题，应提给下一个PDCA循环中去处理。.PDCA循环的特点一 按顺序进展，它靠组织的力量来推进，像车轮一样向前进，周而

13、复始，不断循环 PDCA循环续.PDCA循环的特点二 组织中的每个部分，甚至个人，均有一个PDCA循环，大环套小环，一层一层地处理问题。 PDCA循环续.PDCA循环的特点三 每经过一次PDCA 循环，都要进展总结，提出新目的，再进展第二次PDCA 循环。90909090改良执行方案检查CADP到达新的程度改良(修订规范)维持原有程度90909090改良执行方案检查CADPPDCA循环续.总体处理方案TopSec等级维护体系遵照国家等级维护制度、满足客户实践需求，采用等级化、体系化相结合的方法，为客户建立一套覆盖全面、重点突出、节约本钱、继续运转的平安保证体系。实施后形状：一套继续运转、涵盖一

14、切平安内容的平安保证体系，是企业或组织平安任务所追求的最终目的特质：等级化：突出重点，节省本钱，满足不同行业、不同开展阶段、不同层次的要求整体性：构造化，内容全面，可继续开展和完善，继续运转针对性：针对实践情况，符合业务特性和开展战略.等级维护体系平安措施框架 平安战略体系平安技术体系身份认证加密加固审核跟踪访问控制防恶意代码监控备份恢复管理制度组织职责技术规范规范信息平安政策平安组织教育培训人员职责人员平安平安组织体系平安体系建立工程建立平安管理平安风险管理与控制平安运转与维护平安运转体系.平安管理运转中心技术体系平安组织设置和岗位职责平安教育、培训与资质认证组织体系平安战略体系设计平安战略

15、与流程推行实施战略体系工程建立的平安管理平安风险管理与控制维护对象框架内部与第三方人员平安管理日常平安运转与维护平安体系推行与落实运作体系全程全网监控和审计平台一致监控与审计管理平台终端管理和防病毒集中管理平台平安域和网络访问控制平台终端管理和防病毒集中管理平台防病毒、补丁和终端管理平台设备平安配置与加固根底设备平安第三方一致平安接入平台运用加密平台第三方一致平安接入平台一致鉴别认证平台数据备份与冗灾平台一致身份认证与授权管理平台运用系统平安加强运用平安等级维护体系的实现 .平安组织与职责设计平安培训与资质认证平安战略体系与流程设计网络与运用加密效力平台业务运用系统平安改造数据备份与冗灾平台一

16、致身份认证与授权管理平台设备平安配置与加固平安域划分与边境访问控制平台平安管理运转中心平安战略与流程推行实施平安体系推行与年年咨询防病毒、补丁和终端管理平台一致平安监控与审计平台平安技术体系建立平安组织体系建立平安战略体系建立平安运转体系建立平安规划平安调查与风险评价等级维护定级咨询等级维护体系设计方案设计等级维护测评支持与咨询定级阶段规划阶段实施与运维阶段年年平安运维外包效力平安托管监控与管家效力等级维护阶段天融信提供的平安效力与处理方案.网络平安的开展趋势网络平安技术开展趋势目 录.防火墙技术开展趋势 .速度对平安的挑战国际平安技术格局实力保证创“芯小芯片，大内涵猎豹出世宣讲胶片目录.网络

17、速度vs摩尔定律网络开展速度远大于CPU速度0100M100G100T19901995200020052021网速CPU19902021年，网速和CPU处置才干对比.高性能网络防火墙越来越迫切.用户究竟缺什么高性能防火墙只能用国外这几家？用了防火墙，没攻击了，可是网速也慢了网络延迟太大，视频会议没法进展我们要的是又有平安性，又稳定的产品.速度对平安的挑战国际平安技术格局实力保证创“芯小芯片，大内涵猎豹出世宣讲胶片目录.平安产业技术格局ASICNP构架X86、通用CPU构架只需世界级前几名平安厂家拥有ASIC自有产权国内前几名厂商，选择了NP构架的防火墙国内以百计的小厂商照旧采用X86构架防火墙

18、天融信技术定位哪个层面？.TopASICTM Power NP 4GS3IXP2400技术架构ASICPowerPC Based NPXscale Based NP处理层次27层的数据和安全处理2-4层数据转发2-4层数据转发网络加速强强强安全加速强弱弱应用层过滤强弱弱厂商性质中国自主美国(IBM卖给Hifn)美国(Intel卖给Marvell)下代产品TopASICTM II无前途不明TopASIC vs NP分析在平安领域，NP将何去何从？.稳定的性能：无战略转发对比无战略路由转发ASIC性能千兆100NP性能千兆100X86小包千兆无法到达线速ASICNPX86.稳定的性能：模拟攻击模拟

19、攻击下ASIC性能千兆100NP在小包下性能降低X86性能快速下降ASICNPX86.构架对比：性能功能ASICTopASICx86CPU性能平安功能嵌入式CPU 高低 高NP性能-功能：综合对比TopASICTM 最正确.构架对比：平安稳定ASICTopASICx86CPU稳定性平安性嵌入式CPU低 高NP 高平安性-稳定性：综合ASIC或者TopASICTM 最正确.平安加速技术的演进NP架构通讯加速ASIC 架构通讯加速平安加速性能时间通用平台，无网络、平安加速网络处置器，对通讯专项加速定制平安芯片，对通讯和平安处置都加速x86架构.TopASICTM 特点NAT交换七层过滤VPN路由Q

20、oS形状核检测可编程模块TopASICTM 特性芯片内置多模块，全功能硬加速预留编程空间，继续晋级线速转发，超低时延，无瓶颈防火墙.TopASICTM 芯片内部构造GMIIGMIIMII8rsvdrsvdGMIIGMIIJTAGCFG with PROMPCI InterfaceXCF32PConfigConnectorEEPROMPHYPHYPHY8PCIData63:0Ctl&Clk SignalAddr12:0SDRAMControllerSRAMPDMANATVPNQoSSLUSwitchRouteParserFilterL2EQMUCDURegExrsvdrsvdrsvdrsvdI2

21、CInterface管理通道数据通道处置流程固定单元可修正单元可编程单元.TopASIC性能目的5Gbps的芯片转发容量千兆端口吞吐率：10064Byte小包最大并发衔接200万每秒新建衔接30000转发延迟10us支持2GE端口8FE端口.产品硬件构架ASICCPU一级缓存二级缓存内存FlashNVRam接口控制TAPF技术，减少CPU干涉数据处置，报文快速转发大容量二级缓存，充分提高性能网络数据战略授权高性能CPU，动态管理和战略授权。.完全内容检测CCI19902000渣滓邮件病毒木马蠕虫处置才干回绝效力攻击19952005社会学攻击1101001000完全内容检测 CCI深度包检测 D

22、PI形状检测SI形状检测只检查数据包的包头；深度包检测可对数据包内容进展检查；而CCI那么可实时将网络层数据复原为完好的运用层对象如文件、网页、邮件等，并对这些完好内容进展全面检查，实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content Inspection.多级多路负载平衡SSL全网接入CCICleanVPN可编程公用芯片运用复原技术黑匣子高速捕包技术TAPF转发技术TOS内核多层次形状表防病毒攻击防御破绽扫描技术防火墙无缝穿透.具有很大的未知风险没有方法对操作系统做更多优化发生平安问题后没方法

23、第一时间处理问题具有知识产权风险平安性高充分优化掌握一切操作系统技术，控制一切中心技术独立开展本人的知识产权TOS：通用操作系统：防火墙OS系统的开展.厂家操作系统CISCOIOSNokiaIPSOJuniper（Netscreen）ScreenOsFoundry TrafficWorks IronWare NortelAlteon OS LucentTAOSTopsecTOS防火墙OS系统的开展.硬件：ASIC,NPU,MIPS,X86，ARM TopsecOS 架构IPSSSL VPN监控报警管理QOSHA接入OS层根底层平安引擎层Anti spamIPSEC效力层强壮中心文件系统交换FW硬件笼统层OS核认证路由日志配置GTAAV硬件TOS运用.入侵检测技术开展趋势 . 入侵检测技术将从简单的事件报警逐渐向趋势预测和深化的行为分析方向过渡。IMSIntrusionManagementSystem，入侵管理系