系统安全部内部培训——网络安全Contents•安全概念•客户安全需求•当前的主要解决方案•我们的重点•网络安全概念业务运做的IT基础设施核心业务IT解决方案1-1的互通互联全球贸易平台GTW电子商务基础条件电子商务价值表现第一阶段第二阶段第三阶段第四阶段网络基础平台B-B网络社会企业信息化网络层面的安全业务层面的安全用户整体的安全考虑下游的安全整体考虑网络安全的概念“3”个安全问题如何保证?——用户业务运营安全的目的安全的价值安全的意义?网络安全的概念•安全是什么?•保证网络及其中的资源能够在需要的时候被需要的人正常的使用。•这不是定义客户的安全需求用户的信息化级别:(一)信息化级别较低•处于用户信息化初期,停留在OA等初级使用层面•个人数据安全;•防病毒需要;•系统宕机后恢复•无专人管理•其它客户的安全需求•(二)具备一定信息化条件•信息化基础较好,已建有内部专门的应用网络。但还未将业务与此挂钩。•各种应用系统(财务,人事等)的安全;•关注内部网络的可用性和可靠性•专门的人员管理或分管•管理层对信息安全有一定思路和投入计划•企业规模适中客户的安全需求•(三)较高信息化的企业•有较完整的网络基础设施•业务运行需要依靠现有的网络基础设施且业务的信息化程度较高。•对现有运营数据比较敏感•企业规模较大相对较稳定•有着较明确的安全策略并在一定程度上贯彻执行•业务可能外包。客户的安全需求(四)另类用户——运营商或大型企业的服务性部门•特点:服务的对象为一般不是自身。主要是保证其提供服务的对象的网络安全。•对于运营网络的技术性考虑较为全面,周全。但对于自身的网络安全欠考虑。•对设备的稳定性要求和性能考虑更多;更能行考虑较少。•一般存在主机安全、网络安全两种声音•存在重复投资当前的主要网络安全解决方案为什么有网络安全问题:最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的。应该说,那是一个君子的环境,用户和主机之间互相信任,志在进行自由开放的信息交换。在这样的环境里,使用Internet的人实际上就是创建Internet的人。随着时间的推移,Internet变得更加有用和可靠,别的人也就参杂了进来。人越来越多,共同目标却越来越少,Internet的初衷渐渐地被扭曲了.……当前的主要网络安全解决方案•为什么有网络安全问题:•导致网络安全问题的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心(这方面主要是孩子们)等,当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看,多数网络犯罪者都很年轻,它们表示原来并不知道这样做是犯罪。另外,目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够,意识淡漠,建设中或建设后在没有采取足够的安全防护措施的情况下,将网络接入因特网上,也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻,在满足自己好奇心的同时,触犯了国家法律。当前的主要网络安全解决方案•现有网络安全为什么会失效?•网络安全概念中有一个木桶理论……•从技术角度分析,网络安全体系失败的原因有以下几种原因:•首先,从芯片、操作系统到应用程序,任何一个环节都可能被开发者留下“后门”。•其次,网络设备和软件不可能是完美的,在设计开发过程中必然会出现缺陷和漏洞。这些漏洞和缺陷恰恰是黑客进行攻击的目标。•再次,对于网络企业网或者ISP的公网来说,管理的失败是网络安全体系失败的非常重要的原因。当前的主要网络安全解决方案•完整的网络解决方案应包括哪些?•有效的安全策略•网络安全的目标范围、•培养安全意识,制定安全制度•研究技术方案•方案/产品选型•分期实施计划•资金•设备当前的主要网络安全解决方案•不同的行业要求需要对应不同的安全策略!电信行业—基础电信运营商增值电信运营商增值内容提供商增值服务提供商•移动业务,固网,新增宽带数据运营所对应的安全策略各有侧重!•其它的行业,各有行业特点:•金融、政府、军队、能源、交通等根据行业的特点对于安全的要求也各有不同。当前的主要网络安全解决方案技术方向:技术融合,突出整体。防火墙、入侵检测、网络扫描、安全评估、认证及授权等各项原本基于主机或网络的技术正走向融合。以往的被动防护结合主动防护技术,凸现整体防护意识。处理能力和可用性明显增强,安全设备的级别逐渐提高到电信级别。安全设备和其它的网络设备结合使用或基于原有的网络设备,性能获重大提高。如CISCO的新一代硬件防火墙。由网络边缘向骨干提升,成为网络设计中不可缺少的环节。分布式系统结构开始作为一个提高性能和可靠性的关键因素获得使用。当前的主要网络安全解决方案•解决方案的组成:网络防火墙、入侵检测、网络扫描、流量监控/分析、主机防火墙、身份认证/鉴权、数据加/解密、物理隔离、防病毒……•如何选用当前的主要网络安全解决方案•分清目标!•?当前的安全问题•?未来的安全考虑•?重点业务的安全问题/隐患卖方案卖产品将来的问题,卖VISION!当前的主要网络安全解决方案•产品篇一、防火墙1、硬件防火墙NETSCREEN、NORTEL、CISCO2、基于专用PC结构的防火墙CISCO、NOKIA、WATCHGUARD、SAMSUNG3、软件防火墙CHECKPOINT、NORTON当前的主要网络安全解决方案•4、其他•LinkTrustCyberWall防火墙•LinkTrustCyberWall-100防火墙属于固态专用防火墙,外观大方漂亮,带有三个不同的管理界面:WebGUI、命令行和前面板的小键盘。集成有状态检查包过滤、应用代理、NAT、VPN、HA等特性•IBM防火墙•IBM全球网络数十年的安全运行,是因为使用了IBM防火墙。现在IBM愿意和自己的客户一道分享技术超群的IBM防火墙带来的安全(这是IBM自己的宣传)•NetChina中网防火墙•简单地说的话,NetChina中网防火墙属于软硬结合、包过滤、应用代理混合的防火墙。当前的主要网络安全解决方案•Gaunlet(NAI)•Gauntlet防火墙、PGP加密、Macfee反病毒、Cybercops的风险评估和入侵探测是NAI公司的四大旗舰产品。当前的GauntletFirewall和GauntletVPN的特性包括:1网络过滤和应用层代理2内置业界优秀的反病毒产品Macfee,保护内部网不受病毒和恶意代码(如java和activexapplet的侵扰3包含VPN模块,迅速建立广域范围内的VPN。另外,NAI公司利用PGP软件的威力即将推出桌面个人防火墙产品PGP-DesktopSecurity(个人防火墙)。该个人防火墙将包含入侵探测、VPN、集中管理等功能。运行平台包括windows9x/nt/2000等。CA公司GuardIT防火墙•CA公司紧锣密鼓,加班加点,连买带写,产品线越来越长。•中联绿盟•“绿色警戒”个人防火墙•当前产品包括win/2000和win/nt两个版本。《绿色警戒》1.1版是中联绿盟信息技术公司开发的Win2000下个人防火墙软件。该版本在1.0版本的基础上增加了以下功能:1)前瞻性的木马程序检测。2)先进的基于服务的防护概念。3)灵活的IP过滤策略。4)端口描述。当前的主要网络安全解决方案•诺顿个人防火墙•诺顿是著名的防病毒厂家。当前推出的个人防火墙NortonPersonalFirewall20002.0版能够与其Anti-Virus2000紧密集成。具有下面一些特点:-识别并防止黑客攻击,-具有一定的“网络隐身”能力-保护个人隐私信息-选择甄别“cookie”等网站追踪个人网上行动的手段-容易与Anti-Virus2000集成,提供全面保护-工作于Win9x/NT/2000平台之上•朗讯LucentManagedFirewallv4.0•业界巨人新推出包括VPN、防火墙、IDS等在内的一揽子安全解决方案。目前,其具体性能及应用情况尚不得而知。其防火墙LucentManagedFirewallv4.0防火墙功能与防火墙的管理分离开来,防火墙部分使用小巧、有效的lucent专有操作系统Inferno(TM)之上,而管理部分可以工作于NT或者solaris之上。防火墙硬件采用奔腾体系(PentiumII333)的黑盒子结构...当前的主要网络安全解决方案•Firewall-1(CheckPoint)•业界最为流行、市场占有率最高的一种。支持网络地址翻译(NAT)、流量分担、VPN、加密认证等功能。•PIX(Cisco)•典型的网络层包过滤专用防火墙,支持网络地址翻译(NAT),在国内的163/169网络上面应用很多。但是没有能力防御应用层的攻击、无法进行内容过滤,例如Java、ActiveX以及病毒过滤等。•NetScreen•硬件级黑盒子方式防火墙,在163/169网络中有部分应用。最近,其新推出的G比特防火墙引人注目。当前的主要网络安全解决方案•天融信“网络卫士”防火墙•天融信是一家资格较深的国内防火墙厂家,目前在国内的政府、企业中有不少应用。下面是摘自其网站的有关“网络卫士”系统组成的简要介绍。•防火墙模块(硬件):是一个基于安全的操作系统平台的自主版权的高级访问控制系统。管理器模块(软件):一个集中式防火墙管理系统(运行于WIN95、WIN98环境下)。一次性口令用户客户端模块(软件):运行于WIN95、WIN98环境下入侵检测监控台模块(软件):运行于WIN95、WIN98环境下•NetPolice(西安信利)•国内开发,基于Linux内核,黑盒子方式。当前的主要网络安全解决方案•Sky.net(天网安全)•国内开发,总部位于广州,近期内北京分公司即将开张。防火墙产品包括黑盒子方式高速防火墙以及最近推出的单机版个人防火墙。其中的高速防火墙在国内若干重要场合获得应用。•中科网威“长城”防火墙•国内自主开发,与网威扫描软件等同出于中科院高能所网威工作室。目前,该工作室产品已逐渐形成系列,包括“长城”防火墙、“火眼”网络安全扫描系统、“金睛”系统安全扫描系统、“磐石”网站监控系统、“天眼”网络侦测系统。当前的主要网络安全解决方案•清华紫光UNISECURE系列防火墙•北京清华紫光股份有限公司控股与四川顺风通信有限责任公司参股共同组建了一个专业化信息安全公司-紫光顺风公司,专门开发经营网络安全产品,目前的安全产品包括UF3100、UF3500防火墙、安全路由器、SecMail安全电子邮件、同步加密机、WebGateWeb安全访问系统、异步加密机、SFeCA数字证书管理系统、密钥管理中心、SEM安全保密模块等。•Raptor(Axent)•在业界口碑很好,在国内市场尚未打开。•NetShine(实达郎新)•国内开发,基于Linux内核,黑盒子方式。当前的主要网络安全解决方案千兆防火墙功能列表公司名称阿姆瑞特亚洲网络有限公司NetScreenServGateTechnologies产品名称F600+NetScreen-5200SG2000H产品类型(路由器、软件、硬件设备)硬件设备硬件硬件设备防火墙类型(包过滤、状态检测、代理)状态检测状态检测和代理状态检测工作方式(路由模式、桥模式)路由、桥路由模式、透明模式透明模式和NAT模式Firmware版本号7.034.0.0r2.02.34VF-B001P012操作系统没有ScreenOS专用操作系统SGOSCPUPIII1G750MRISCPIII800RAM256M256M512M闪存16M16M256M内部配置硬盘无两个20G支持的LAN接口类型10M/100M自适应、1000Base-SXmini-GBIC1000Base-SX/LX或100Base-TX1000Base-SX支持的最大LAN接口数10个百兆或两个百兆加两个千兆8个MiniGBIC1000Base-SX/LX或24个1