搜索
第1章网络安全系统概论ISSUE1.0日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播了解安全的基本概念和模型了解网络安全的概念与发展历程了解网络安全研究的内容掌握网络安全现状和网络威胁课程目标学习完本课程,您应该能够:安全概念和模型网络安全概述网络安全研究的内容网络安全现状目录安全的基本概念无危为安,无损为全。这是汉语中“安全”一词的字面解释。国家标准(GB/T28001)对“安全”给出的定义是:“免除了不可接受的损害风险的状态”。安全国家安全经济安全信息安全网络安全…………安全三维模型和防御模型安全三维模型防御、制止、检测安全防御模型周边防御深度防御制止防御检测目标目标周边防御深度防御安全性决定于最薄弱的环节如果把系统的安全性比作一条链,那么整个系统的安全可靠程度往往取决于链中最薄弱的环节。目标保护攻击安全策略与机制策略定义哪些是允许的,哪些是不允许的机制使策略得到执行安全策略的要点:资产风险保护工具优先权安全概念和模型网络安全概述网络安全研究的内容网络安全现状目录什么是网络安全简单的说,在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全以解决保护系统资产以下五项需求为目的。机密性完整性可用性可控性可审计性资产的概念比较宽泛,包括:信息和物理设备等信息安全发展历程•上世纪40年代至70年代主要威胁是搭线窃听、密码学破解与分析解决通信保密的安全问题主要保护措施加密手段•上世纪70年代至80年代主要威胁是非法访问、恶意代码、脆弱口令解决计算机系统安全问题主要措施是安全操作系统设计技术•21世纪后主要威胁是复杂多样的信息安全使实施措施与应对变得更加困难解决如何进行信息保障(IA,InformationAssurance)主要措施是建立信息安全保障体系模型PDR最早是由ISS(InternetSecuritySystems)公司提出的一种安全模型。Protection(保护)Detection(检测)Response(响应)信息安全策略安全策略是指在一个特定应用的环境里,为确保一定级别的安全保护所必须遵守的规则信息安全策略相关的法律和法规则是支撑举例:通过进行信息安全相关立法,威慑非法分子法律、法规先进的技术是手段举例:防火墙技术可以很好的实现不同安全域之间的访问控制先进的技术管理审计制度严格的管理审计制度是保障举例:某企业通过建立审计和跟踪体系,可有效的提高企业整体的信息安全意识安全概念和模型网络安全概述网络安全研究的内容网络安全现状目录网络安全研究内容信息对抗网络安全互联网与电信安全软件安全密码学工业网安全内容安全信息隐藏与数字水印安全概念和模型网络安全概述网络安全研究的内容网络安全现状网络环境安全威胁安全建设模式安全技术发展趋势目录当前所处的网络环境中国互联网络信息中心(CNNIC)第26次《中国互联网络发展状况统计报告》数据:–网络规模发展迅猛–网民规模继续高速增长–上网设备多样化,手机上网普及–网络应用更加多样化,形成了网络生活形态–现代的、先进的复杂技术的局域网、广域网、Intranet和Extranet网络发展迅猛网络在国家的政治、经济、文化、科学等领域以及社会组织活动的各个方面发挥着重要的作用!安全概念和模型网络安全概述网络安全研究的内容网络安全现状网络环境安全威胁安全建设模式安全技术发展趋势目录信息系统安全漏洞层出不穷系统安全漏洞是在系统具体实现存在的缺陷和在具体使用中产生的错误,这种缺陷和错误能被攻击者利用,从而使攻击者能在未授权的情况下访问和破坏系统。网络的普及引发全新的信息沟通及应用模式,同时也引进了大量系统安全漏洞,截止08年底已公开的漏洞累计达4万多个,其中80%可以被远程利用。木马与僵尸网络不断增长入侵者入侵企业服务器获取金钱入侵网络游戏服务器批量入侵网站编写病毒窃取企业机密信息出售盗取游戏道具、虚拟货币盗取用户帐号通过各种渠道进行销售盗取银行账号盗取信用卡账号盗取证券交易账号盗取虚拟财产组建僵尸网络传播病毒洗钱发送垃圾邮件收费传播流氓软件、病毒、提高网站流量拒绝服务攻击主动攻击勒索网站受雇攻击收取佣金篡改网站、网络仿冒以及恶意代码2008年大陆被篡改网站总数达53917个,其中政府网站被篡改数量为3595个;网络仿冒事件报告1227件。不断变化的业务模型和信任模型不断变化的信任模型不断变化的业务模型•雇员、合作伙伴、客户•网络边界:无线接入、Extranet•边界安全模型还是内网安全模型•新业务、新应用、新领域•组织架构的变化•人员的变化安全概念和模型网络安全概述网络安全研究的内容网络安全现状网络环境安全威胁安全建设模式安全技术发展趋势目录安全建设模式访问控制蠕虫/病毒DDoS攻击带宽滥用etc……安全风险分析防火墙、杀毒软件、防毒墙、IPS、抗DDoS设备、带宽管理etc……网络安全问题解决技术端点部署内/外网关部署网络边界部署etc……安全产品部署机密性完整性可用性可控性、可审计性确立安全目标业务流程安全规划系统安全体系规划业务持续性规划安全管理规划安全体系规划业务流程安全建设系统安全体系建设业务持续性实现安全管理规划安全体系建设面向业务的安全保障:分析业务流程,制定针对性安全规划关键点安全:分析安全的脆弱点并在关键点部署安全产品安全概念和模型网络安全概述网络安全研究的内容网络安全现状网络环境安全威胁安全建设模式安全技术发展趋势目录~L7层深度安全防御L2BPDUGuard、PVLAN、五元组绑定、802.1X等二层安全技术L2.5基于MPLS网络和业务隔离技术L3基于ACL的访问控制和隔离技术,基于IPSec的加密技术L4基于状态的访问控制和隔离,基于synProxy/Cookie的DDoS防护L5基于专家系统和统计技术的威胁识别技术基于关联分析的流量识别和行为识别技术应用层威胁识别和抵御,可以检测并阻止攻击、蠕虫、间谍软件、带宽滥用等行为基础安全状态检测应用识别内容识别威胁识别L6L7从技术发展的角度看,深度的内容安全是目前热点的技术研究方向多功能安全产品从产品演变的趋势看,多功能的UTM已成为新一代安全防护的发展方向。防火墙提供访问控制和策略加强VPN提供远程访问数据的防窃取、防窜改的安全保证入侵防御防御最新的安全威胁及恶意攻击防病毒提供病毒、蠕虫、木马、恶意代码的查杀功能防垃圾邮件提供垃圾邮件、病毒邮件的过滤内容过滤屏蔽有害内容、防止机要信息泄密应用控制限制P2P/IM应用,保证关键业务的有效带宽UTM(统一威胁管理)融合基础网络安全功能和内容安全功能基于硬件架构的平台从硬件支撑方面看,基于多核+FPGA硬件架构已成为安全业务网关的主流平台。FW/Anti-DDoS/VPN等多种安全业务高速并行处理线程1线程2线程3线程4.ACL访问控制线程…5.NAT地址转换1.基于状态的检查2.VPN远程安全互联3.安全区域划分多核多线程保障多个安全业务的并行处理,解决安全性能瓶颈问题。CPU1CPU2CPU3主动安全防护从解决方案的建设思路看,要实现从被动防御到主动防御,从局部安全到智能安全防护的转变。核心交换机安全管理中心终端终端终端1、用户进行非法或非授权行为告警核心防火墙入侵防御系统IPS3、管理中心收到入侵防御系统事件服务器区告警告警2、IPS防御来自终端的攻击,同时将入侵事件上报安全管理中心4、安全管理中心对攻击源,对用户进行告警、下线等处理。内网防护的策略:对非法攻击阻断并查找攻击源,彻底保障内网安全网络安全技术分类安全的基本概念、模型和方法论;网络安全的相关基本概念及模型;网络安全的主要研究内容;目前网络中的安全问题、现状和解决思路;常见的网络技术分类和简介。本章总结杭州华三通信技术有限公司