网络安全的生态环境.ppt

1、网络安全的生态环境, NetEye 网络安全产品的研制开发和应用 东软软件股份有限公司 曹 斌,生态环境的启示,在网络安全防御与攻击的斗争中，防御能力正受到日益增强的挑战 网络安全的产业正发展成为一个复杂的，由多种角色构成的生态环境 斗争手段的不断升级将促进防御技术、防御系统的工作模式的不断进化,网络安全：复杂的生态环境,社会活动：大规模的安全危机 信息系统不断产生新的缺陷 缺陷被用来产生新的攻击手段 攻击手段产生了可见的效果 危机阶段1：攻击手段发挥作用但是没有被察觉 研究机构根据发生的岸例识别出攻击的特征 危机阶段2：攻击特征尚未准确提取 防御手段的产生： 信息系统厂商提供修补缺陷的办法

2、安全产品厂商提供防御的手段 危机阶段3：针对攻击的原理厂商尚未提供补救措施 用户实施防御措施 危机阶段4：用户没有及时实施防御措施 用户改进安全策略，对该攻击模式永久免疫,网络安全：复杂的生态环境,局部生态： 黑客用来攻击的武器库日益庞大，在一个具体的攻击事件中，任何一个已知的和未知的攻击工具都有可能在局部安全事件中发挥作用。 攻击尝试阶段（扫描和攻击尝试） “活动异常”的敏感阶段 破坏阶段 “功能异常”敏感阶段 重复攻击 “功能异常”敏感阶段 破坏扩大 “功能异常”敏感阶段,局部安全防御体系中的角色,防御的核心：安全管理人员 具备攻击知识库的预警系统 帮助管理人员尽早发现异常 外部提供知识和

3、分析能力的专家队伍 对管理人员提供知识上的帮助并在大规模的安全事件中获得“超前预警” 诊断和监测安全状况的探察系统 帮助由安全管理人员分析问题的工具 实施安全防御策略的 对攻击产生防御作用,进化的必要性,信息系统的复杂性是不断增加的 复杂性的增加导致缺陷和脆弱性的增加 永远存在出现目前的防御体系所不能抵御的攻击方法的可能性 攻击的破坏代价存在不断增大的趋势 防御系统必须不断进化以适应新的安全环境,防御系统中的能力的进化,人的因素的加强 雇佣军：借助外力 培训：增强自身力量 建立信息网络：迅速获取防御的知识 产品能力 产品通过不断更新以能够对新的攻击产生识别和防御的能力 产品与人的结合能力 安全

4、产品将包含越来越多的工具特征，使安全技术人员能借助产品的能力对网络上的异常做出正确的响应,网络安全产品的发展趋势,核心技术仍有较大的发展空间 防火墙：应用层防御能力急需加强 入侵检测：检测准确度远不能满足要求，对异常事件的鉴别手段仍然不够，“动态防御”的概念的实际效果受到挑战，但是如果从专注于自动防御转变为更加注重对安全管理人员的辅助工具的作用，有可能发展成为网络安全管理的核心部件 VPN：易用性和性能是需要克服的两个最大问题 以设备为中心发展到以人为中心 对抗黑客技术仍需“以人为本” 新的网络安全概念：网络安全响应中心产品 安全事件的应对措施越来越复杂，如何使组织在最短的时间内彻底实施有效的

5、应对措施正日益成为新的挑战,东软在安全产业的发展思路,为网络安全工程师提供最佳装备 产品为人服务 把最重要的功能做到最好 核心产品： 防火墙 入侵检测 网络加密通道 公共的管理工具： 策略编辑工具 审计系统 监控系统,东软在信息安全领域的发展历程,1995年在东北大学软件中心成立网络安全实验室 1996年作为国家计算机软件工程中心承接国家“九五”攻关项目“具有信息分析功能的防火墙” 1998年在科研项目的基础上由东大阿尔派完成产品化并投入市场 2000年先后推出了NetEye入侵检测、VPN、CA、安全数据库等系列安全产品，成为信息安全完整解决方案的供应商,先后承接了多项国家级的信息安全领域的

6、科研或产业化项目： 九五攻关项目 国家“863”项目 国家“863”信息安全应急计划 国家计委“信息安全产业化项目” 国家信息安全管理办公室“网络安全专题项目” 国家教育科研网网络安全项目,7/15/2020,东软股份信息安全体系的构成,产品定位为企业级/电信级的安全系统 产品线主要解决的问题： 网络访问控制与入侵防御 网络级的信息加密传输 集中控制的安全管理 通过合作和集成解决的问题： 防病毒引擎 身份鉴别部件 应用级加密 加密算法,可以独立使用的安全产品 NetEye 防火墙产品 NetEye VPN产品 NetEye 入侵检测产品 NetEye 企业个人安全平台,产品体系,企业边界防火墙

7、（VPN集中器）,入侵检测探头,个人安全平台,个人安全平台,审计中心数据库,集中安全策略管理,监控平台,分支机构的边界防火墙和VPN网管,防火墙与VPN：网络边界访问控制，数据加密与通道 入侵检测：内部网络监测，应用层审计 个人安全平台：个人主机防御，VPN前端,连接部件： 集中的审计中心 全局安全策略制订 实时网络监控,产品设计理念,把安全产品作为网络安全防御体系的部件进行设计 系统结构清晰 具备与其它系统的互操作性 注重核心安全能力的提高 通过核心架构的优化提高安全保护能力和性能 充分注重人在防御体系中的核心作用 作为关键的防御部件，为管理员提供策略执行、安全审计、实时监控的能力 防火墙、

8、入侵检测、VPN等产品既是防御部件又是安全管理的有效工具 兼顾产品的性能、可靠性和易用性 所有产品均为专用的硬件设备，提供高性能高可靠性的保证 基于WindowsGUI的图形化管理工具提供最大程度的易用性,NetEye安全平台内部结构,Linux Kernel,FW网络层部件,VPN通道,IDS数据收集,IOCTL内核接口,应用层控制,审计系统,监控服务接口,管理服务,CTLD：设备访问接口,认证服务,NetEye Socket 控件,硬件平台,核心产品：NetEye防火墙,1996年九五攻关项目立项1998年开始产品化1999年5月NetEye1.0问世（XKC33014）2000年4月Ne

9、tEye2.0发布（XKC33048）2001年6月NetEye3.0发布（XKC33113） 通过公安部第三研究所的严格检测，NetEye3.0符合两个最新的国家标准： GB/T 18019-1999：包过滤防火墙安全技术要求 GB/T 18020-1999：应用级防火墙安全技术要求,现有防火墙产品的局限性,体系结构的局限，访问控制粒度较粗； 对新出现的漏洞和攻击方式不能迅速提供有效的防御办法； 管理困难，容易出现配置的安全误区，并且紧急情况下无法做到迅速响应； 性能和稳定制约了大范围的使用。,现有防火墙的体系结构,主流防火墙技术： 状态检测包过滤技术 应用代理技术 目前市场上主流产品的形态

10、： 集成了状态检测包过滤和应用代理的混合型产品,核心技术流过滤,以包过滤的外部形态实现对应用层信息流的过滤 提供覆盖应用层和网络层的完整的访问控制 流过滤的突出特点： 融合了状态检测包过滤和应用代理安全保护能力 具有包过滤防火墙的透明性：容易部署、对应用透明 可以实现应用防护特性的迅速升级以抵御新出现的攻击手段 专为防火墙实现的TCP协议栈： 抛弃了Socket接口，轻量、高效、极低的内存占用，支持大规模并发访问 极强的抗攻击能力 抵御各种TCP层的扫描,NetEye FW3.0的内部结构,基于信息流的安全策略,状态检测模块,状态检测模块,NetEye TCP协议栈,NetEye TCP协议栈

11、,IP 数据包,数据流,核心多处理器平台,站在巨人的肩膀上解决性能问题 国内唯一的提供多处理器核心的防火墙产品，并在中高端型号提供双处理器的缺省配置 主要操作全部在OS内核级进行，减少了进程切换和数据拷贝的开销 计算负荷均匀分担到多个处理器上，使系统能够支持千兆级的处理能力 采用Intel PIII Xeon处理器的SMP架构，最多可以支持4颗CPU,包含策略编辑、安全审计、实时监控分析的安全管理平台,NetEye防火墙的管理工具,NetEye入侵检测产品：,网络安全管理平台 基于知识库的攻击预警 网络层和应用层审计 实时网络监控,NetEye VPN产品（SJW20）,Ipsec标准协议实现

12、 国产专用加密芯片 支持LAN to LAN的连接方式和移动用户对企业内部网的虚拟接入方式 支持在连接节点上制定访问控制策略 全局安全管理、集中审计、实时监控,东软安全技术持续发展能力,提供安全产品厂商的健康发展是对用户投资的最重要的保护 保证持续发展的规模化的研发队伍 严格的质量保证体系 服务能力,研发队伍,70余人的研发队伍 10%策划和设计 10%前瞻性研究 40%产品开发 25%测试队伍 10%咨询专家 100%本科以上学历，其中博士5%，硕士15%,NetEye安全产品的质量保证,开发与测试的人员比例为1.5 : 1 在测试环境和品质保证实验室的充分投资 产品质量保证 网络适应性测试 性能测试 严