网络安全的生态环境—NetEye网络安全产品的研制开发和应用东软软件股份有限公司曹斌生态环境的启示•在网络安全防御与攻击的斗争中,防御能力正受到日益增强的挑战•网络安全的产业正发展成为一个复杂的,由多种角色构成的生态环境•斗争手段的不断升级将促进防御技术、防御系统的工作模式的不断进化网络安全:复杂的生态环境•社会活动:大规模的安全危机–信息系统不断产生新的缺陷–缺陷被用来产生新的攻击手段–攻击手段产生了可见的效果•危机阶段1:攻击手段发挥作用但是没有被察觉–研究机构根据发生的岸例识别出攻击的特征•危机阶段2:攻击特征尚未准确提取–防御手段的产生:•信息系统厂商提供修补缺陷的办法•安全产品厂商提供防御的手段•危机阶段3:针对攻击的原理厂商尚未提供补救措施–用户实施防御措施•危机阶段4:用户没有及时实施防御措施–用户改进安全策略,对该攻击模式永久免疫网络安全:复杂的生态环境•局部生态:–黑客用来攻击的武器库日益庞大,在一个具体的攻击事件中,任何一个已知的和未知的攻击工具都有可能在局部安全事件中发挥作用。–攻击尝试阶段(扫描和攻击尝试)•“活动异常”的敏感阶段–破坏阶段•“功能异常”敏感阶段–重复攻击•“功能异常”敏感阶段–破坏扩大•“功能异常”敏感阶段局部安全防御体系中的角色•防御的核心:安全管理人员•具备攻击知识库的预警系统–帮助管理人员尽早发现异常•外部提供知识和分析能力的专家队伍–对管理人员提供知识上的帮助并在大规模的安全事件中获得“超前预警”•诊断和监测安全状况的探察系统–帮助由安全管理人员分析问题的工具•实施安全防御策略的–对攻击产生防御作用进化的必要性•信息系统的复杂性是不断增加的•复杂性的增加导致缺陷和脆弱性的增加•永远存在出现目前的防御体系所不能抵御的攻击方法的可能性•攻击的破坏代价存在不断增大的趋势•防御系统必须不断进化以适应新的安全环境防御系统中的能力的进化•人的因素的加强–雇佣军:借助外力–培训:增强自身力量–建立信息网络:迅速获取防御的知识•产品能力–产品通过不断更新以能够对新的攻击产生识别和防御的能力•产品与人的结合能力–安全产品将包含越来越多的工具特征,使安全技术人员能借助产品的能力对网络上的异常做出正确的响应网络安全产品的发展趋势•核心技术仍有较大的发展空间–防火墙:应用层防御能力急需加强–入侵检测:检测准确度远不能满足要求,对异常事件的鉴别手段仍然不够,“动态防御”的概念的实际效果受到挑战,但是如果从专注于自动防御转变为更加注重对安全管理人员的辅助工具的作用,有可能发展成为网络安全管理的核心部件–VPN:易用性和性能是需要克服的两个最大问题•以设备为中心发展到以人为中心–对抗黑客技术仍需“以人为本”•新的网络安全概念:网络安全响应中心产品–安全事件的应对措施越来越复杂,如何使组织在最短的时间内彻底实施有效的应对措施正日益成为新的挑战东软在安全产业的发展思路•为网络安全工程师提供最佳装备–产品为人服务•把最重要的功能做到最好–核心产品:•防火墙•入侵检测•网络加密通道–公共的管理工具:•策略编辑工具•审计系统•监控系统东软在信息安全领域的发展历程•1995年在东北大学软件中心成立网络安全实验室•1996年作为国家计算机软件工程中心承接国家“九五”攻关项目—“具有信息分析功能的防火墙”•1998年在科研项目的基础上由东大阿尔派完成产品化并投入市场•2000年先后推出了NetEye入侵检测、VPN、CA、安全数据库等系列安全产品,成为信息安全完整解决方案的供应商•先后承接了多项国家级的信息安全领域的科研或产业化项目:–九五攻关项目–国家“863”项目–国家“863”信息安全应急计划–国家计委“信息安全产业化项目”–国家信息安全管理办公室“网络安全专题项目”–国家教育科研网网络安全项目10/2/2019东软股份信息安全体系的构成•产品定位为企业级/电信级的安全系统–产品线主要解决的问题:•网络访问控制与入侵防御•网络级的信息加密传输•集中控制的安全管理–通过合作和集成解决的问题:•防病毒引擎•身份鉴别部件•应用级加密•加密算法可以独立使用的安全产品NetEye防火墙产品NetEyeVPN产品NetEye入侵检测产品NetEye企业个人安全平台产品体系企业边界防火墙(VPN集中器)入侵检测探头个人安全平台个人安全平台审计中心数据库集中安全策略管理监控平台分支机构的边界防火墙和VPN网管•防火墙与VPN:网络边界访问控制,数据加密与通道•入侵检测:内部网络监测,应用层审计•个人安全平台:个人主机防御,VPN前端连接部件:•集中的审计中心•全局安全策略制订•实时网络监控产品设计理念•把安全产品作为网络安全防御体系的部件进行设计–系统结构清晰–具备与其它系统的互操作性•注重核心安全能力的提高–通过核心架构的优化提高安全保护能力和性能•充分注重人在防御体系中的核心作用–作为关键的防御部件,为管理员提供策略执行、安全审计、实时监控的能力–防火墙、入侵检测、VPN等产品既是防御部件又是安全管理的有效工具•兼顾产品的性能、可靠性和易用性–所有产品均为专用的硬件设备,提供高性能高可靠性的保证–基于WindowsGUI的图形化管理工具提供最大程度的易用性NetEye安全平台内部结构LinuxKernelFW网络层部件VPN通道IDS数据收集IOCTL内核接口应用层控制审计系统监控服务接口管理服务CTLD:设备访问接口认证服务NetEyeSocket控件硬件平台核心产品:NetEye防火墙•1996年九五攻关项目立项1998年开始产品化1999年5月NetEye1.0问世(XKC33014)2000年4月NetEye2.0发布(XKC33048)2001年6月NetEye3.0发布(XKC33113)•通过公安部第三研究所的严格检测,NetEye3.0符合两个最新的国家标准:–GB/T18019-1999:包过滤防火墙安全技术要求–GB/T18020-1999:应用级防火墙安全技术要求现有防火墙产品的局限性•体系结构的局限,访问控制粒度较粗;•对新出现的漏洞和攻击方式不能迅速提供有效的防御办法;•管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应;•性能和稳定制约了大范围的使用。现有防火墙的体系结构•主流防火墙技术:–状态检测包过滤技术–应用代理技术•目前市场上主流产品的形态:–集成了状态检测包过滤和应用代理的混合型产品核心技术—流过滤•以包过滤的外部形态实现对应用层信息流的过滤•提供覆盖应用层和网络层的完整的访问控制•流过滤的突出特点:–融合了状态检测包过滤和应用代理安全保护能力–具有包过滤防火墙的透明性:容易部署、对应用透明–可以实现应用防护特性的迅速升级以抵御新出现的攻击手段•专为防火墙实现的TCP协议栈:–抛弃了Socket接口,轻量、高效、极低的内存占用,支持大规模并发访问–极强的抗攻击能力–抵御各种TCP层的扫描NetEyeFW3.0的内部结构基于信息流的安全策略状态检测模块状态检测模块NetEyeTCP协议栈NetEyeTCP协议栈IP数据包数据流核心多处理器平台OS核心输入负荷均衡输出集中协议分析访问控制审计输出协议分析访问控制审计输出协议分析访问控制审计输出协议分析访问控制审计输出CPU#1CPU#2CPU#3CPU#n•站在巨人的肩膀上解决性能问题•国内唯一的提供多处理器核心的防火墙产品,并在中高端型号提供双处理器的缺省配置•主要操作全部在OS内核级进行,减少了进程切换和数据拷贝的开销•计算负荷均匀分担到多个处理器上,使系统能够支持千兆级的处理能力•采用IntelPIIIXeon处理器的SMP架构,最多可以支持4颗CPU•包含策略编辑、安全审计、实时监控分析的安全管理平台NetEye防火墙的管理工具NetEye入侵检测产品:•网络安全管理平台•基于知识库的攻击预警•网络层和应用层审计•实时网络监控NetEyeVPN产品(SJW20)•Ipsec标准协议实现•国产专用加密芯片•支持LANtoLAN的连接方式和移动用户对企业内部网的虚拟接入方式•支持在连接节点上制定访问控制策略•全局安全管理、集中审计、实时监控东软安全技术持续发展能力•提供安全产品厂商的健康发展是对用户投资的最重要的保护•保证持续发展的规模化的研发队伍•严格的质量保证体系•服务能力前瞻性研究10%产品开发40%测试队伍25%咨询10%策划和设计15%研发队伍•70余人的研发队伍–10%策划和设计–10%前瞻性研究–40%产品开发–25%测试队伍–10%咨询专家•100%本科以上学历,其中博士5%,硕士15%NetEye安全产品的质量保证•开发与测试的人员比例为1.5:1•在测试环境和品质保证实验室的充分投资–产品质量保证–网络适应性测试–性能测试•严格遵循ISO9001:2000版的质量保证体系服务能力•作为一级资质认证的系统集成商具有实施大型复杂项目的经验•符合ISO9001:2000的服务质量控制规范•为海尔、春兰、吉通、网通、上海通用汽车等大型分布式企业长年提供全方位的技术服务•广泛的地域分布•层次分明的服务组织体系•具有提供全国范围的7x24的现场支持能力•高水准的服务可以使安全产品最大限度的发挥作用谢谢!!