网络安全发展jinm课件

1、网络安全发展jinm1 浅谈网络安全 网络安全发展jinm2 提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势 网络安全发展jinm3 提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势 网络安全发展jinm4 网络越来越复杂，弱点越来越多网络越来越复杂，弱点越来越多 网络安全发展jinm5 网络流量在改变网络流量在改变 网络安全发展jinm6 网络威胁多样化 新应用带来的传播途径新应用带来的传播途径 P2P/IMP2P/IM 滥用带宽滥用带宽 系统漏洞弱点系统漏洞弱点 恶意代码，网页诱骗恶意代码，网页诱骗 垃圾邮件

2、传播垃圾邮件传播 新的利益驱动新的利益驱动( (广告广告) ) 网络安全发展jinm7 InternetInternet 总部总部 蠕虫病毒蠕虫病毒 间谍软件间谍软件 垃圾邮件垃圾邮件 恶意网页恶意网页 网站钓鱼网站钓鱼 伪装软件伪装软件 BT,Skype,MSN BT,Skype,MSN 新型应用新型应用 DMZ服务器区服务器区 网络威胁混合性网络威胁混合性 网络安全发展jinm8 网络威胁的发展周期网络威胁的发展周期 网络安全发展jinm9 安全威胁攻击方法的演进安全威胁攻击方法的演进 企业内部对安全威胁的认识发生了变化企业内部对安全威胁的认识发生了变化 安全攻击的主要手段发生了变化安全攻

3、击的主要手段发生了变化 实施网络攻击的主体发生了变化实施网络攻击的主体发生了变化 网络安全发展jinm10 提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势 网络安全发展jinm11 IPS AV firewall 门卫门卫 安检安检 测体温测体温 IDS NBA 摄像头摄像头 SSL VPN 安全方案安全方案 分支机构 合作伙伴 安管平台 Ipsec Vpn隧道 网闸 内网区 网络安全发展jinm12 信息安全的变化信息安全的变化 完整性、可用性、可控性完整性、可用性、可控性 攻、防、测、控、管、审攻、防、测、控、管、审 保密性保密性 网络安全发展ji

4、nm13 信息安全技术信息安全技术 身份认证技术身份认证技术 加解密技术加解密技术 访问控制技术访问控制技术 主机加固技术主机加固技术 安全审计技术安全审计技术 检测监控技术检测监控技术 网络安全发展jinm14 网络安全防护思路 基于主动防御的边界安全控制基于主动防御的边界安全控制 基于攻击检测的综合联动控制基于攻击检测的综合联动控制 基于源头控制的统一接入管理基于源头控制的统一接入管理 基于安全融合的综合威胁管理基于安全融合的综合威胁管理 基于资产保护的闭环策略管理基于资产保护的闭环策略管理 网络安全发展jinm15 信息安全防护演进策略信息安全防护演进策略 第一阶段：第一阶段： 以边界保

5、护、主机防毒为特点的纵深防御以边界保护、主机防毒为特点的纵深防御 阶段阶段 第二阶段：第二阶段： 以设备联动、功能融合为特点的安全免疫以设备联动、功能融合为特点的安全免疫 阶段阶段 第三阶段：第三阶段： 以资产保护、业务增值为特点的可信增值以资产保护、业务增值为特点的可信增值 阶段阶段 网络安全发展jinm16 提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势 网络安全发展jinm17 防火墙防火墙 网络安全发展jinm18 从国家互联网应急中心统计的数据看，2年来UDP15000和8000的比例明显提 高，这是迅雷、在线游戏和QQ等的应用 域名解析使用

6、的53端口急剧下降，这是P2P应用的典型特征 数据来源 网络安全发展jinm19 网御神州 版权所有19 迅雷、在线游戏和QQ等 的应用，以小包为主 数据来源：实际应用抓包 网络安全发展jinm20 视频会议、视频监控，数据包也以小包为主 数据来源：实际应用抓包 网络安全发展jinm21 国外研究机构的分析，小包最多、大包次之、中间报文较少 数据来源IEEE 网络安全发展jinm22 正常流量下用户各类业务及数据帧长所占大致比例 500M 2G 900M 1518 1280 1024 512 256 128 64 视频会议、视频监控、 迅雷、在线游戏、即时 通讯等客户业务应用主 要工作在这一区

7、域，约 占60%左右 浏览网页等基本 http服务工作区 域，约占30%左 右 其它服务约占 10%左右 网络安全发展jinm23 6G 4G 500M 2G 900M 5.5G 5G 1518 1280 1024 512 256 128 64 数据帧长 处理性能 视频会议、视频监控、 迅雷、在线游戏、即时 通讯等客户业务应用数 据主要集中在这一区域 一台宣称性能6G的防火墙产品实际性能分析 网络安全发展jinm24 视频会议卡壳，QQ、 MSN掉线，在线视频时 断时续。 浏览网页、收发邮件、 FTP下载等基本服务 速度变慢，影响办公 效率 大流量下正常业务流量处理后业务流量 网络安全发展ji

8、nm25 2维矩阵ASIC负责网络层数据处理 多核专注于应用层数据处理，负责均衡器确保多核之间并行处理 网络安全发展jinm26 500M 12G 1518 1280 1024 512 256 128 64 8G 处理性能 数据帧长 网络安全发展jinm27 视频会议，QQ、MSN， 在线视频流畅运行 浏览网页、收发邮件、 FTP下载等基本服务 高速处理 大流量下正常业务流量处理后业务流量 网络安全发展jinm28 各种架构产品64字节小包处理能力比较 X86 单核 Power PC NP 传统 ASIC 多核 10G 1G 8G 2维 矩阵 ASIC 网络安全发展jinm29 100M 1G

9、 2G 500M 1.5G 各种架构产品应用层处理能力比较 X86 单核 Power PC NPASIC 多核 800M 200M 网络安全发展jinm30 入侵检测系统的组成入侵检测系统的组成 网络安全发展jinm31 入侵检测系统的处理流程入侵检测系统的处理流程 网络安全发展jinm32 入侵检测技术入侵检测技术 方法方法: : 特征匹配 正则表达式 可检测防止可检测防止 : : 病毒 特洛伊木马 已知攻击 P2P应用 未经授权的即 时通讯 方法方法: : 遵守RFC 协议解码器 SYN 代理服务器 标准化 可检测防止可检测防止 : : 规避 未知的攻击 流量异常 未经授权的访问 SYN

10、Floods 方法方法: : 签名匹配 协议分析 指纹识别 可检测和防止可检测和防止 : : 未知攻击 蠕虫/Walk-in 蠕虫 未经授权的访问 方法方法: : 流量阀值 并发连接 连接速率限制 可检测防止可检测防止: : DDoS 攻击 未知的攻击 流量异常 网络安全发展jinm33 入侵检测系统的功能入侵检测系统的功能 监测并分析用户和系统监测并分析用户和系统 的活动的活动 核查系统配置和漏洞核查系统配置和漏洞 评估系统关键资源和数评估系统关键资源和数 据文件的完整性据文件的完整性 识别已知的攻击行为识别已知的攻击行为 统计分析异常行为统计分析异常行为 操作系统日志管理，并操作系统日志管

11、理，并 识别违反安全策略的用识别违反安全策略的用 户活动户活动 网络安全发展jinm34 防毒墙防毒墙 计算机病毒的发展史上的计算机病毒的发展史上的9 9大病毒大病毒 82868898 99 00 0103 04 1 3 2 5 4 9 8 6 7 1 1 1 Elk ClonerElk Cloner BrainBrain MorrisMorris CIHCIH MelissaMelissa Love bugLove bug “红色代码红色代码” “冲击波冲击波” “震荡波震荡波” 网络安全发展jinm35 20082008年中国地区互联网病毒疫情年中国地区互联网病毒疫情 据病毒处理中心统计，

12、2008年1月至10月，在中国地区，数据库后台 共截获病毒930万个，其中木马病毒占总体64%，后门病毒占总体20% ，蠕虫病毒占总体4%，其他病毒为12%。 病毒传播途径：90%通过网页挂马方式传播。不到10%通过U盘等移动 存储设备传播；还有极少病毒通过邮件等其他方式传播。 网页挂马不仅仅是通过浏览网页方式。网页挂马不仅仅是通过浏览网页方式。 网络安全发展jinm36 Adobe Flash Player Adobe Flash Player 18%18% RealPlayer 10/11 RealPlayer 10/11 10%10% Microsoft Data Access Comp

13、onents (ms06-014) Microsoft Data Access Components (ms06-014) 8%8% Windows ANI(MS07-017) Windows ANI(MS07-017) 8%8% 迅雷看看迅雷看看 ActiveX ActiveX 7%7% 暴风影音暴风影音II ActiveX II ActiveX 7% 7% PPLIVE ActiveX PPLIVE ActiveX 7%7% PPS ActiveX PPS ActiveX 7% 7% Microsoft Office 2003 (MS08-011) Microsoft Office 200

14、3 (MS08-011) 5%5% Microsoft Ofiice (MS08-056) Microsoft Ofiice (MS08-056) 5% 5% Windows Media player 9 (MS08-053) Windows Media player 9 (MS08-053) 3%3% Microsoft GDI+(MS08-021) Microsoft GDI+(MS08-021) 3%3% 超星阅读器超星阅读器ActiveX ActiveX 3%3% 联众世界联众世界ActiveX ActiveX 3%3% 新浪新浪ActiveX ActiveX 3%3% 百度搜霸百度搜

15、霸ActiveX ActiveX 3%3% 网络安全发展jinm37 常用软件漏洞成为主要攻击目标常用软件漏洞成为主要攻击目标 70%70% 2%2% 63%63% 35%35% 网络安全发展jinm38 网页挂马 账号密码安全 文件的安全 钓鱼网站 搜索/浏览网页 即时通讯 下载工具 电子邮箱 网上交易 网络游戏 网络安全发展jinm39 网络是病毒传播的主要途径网络是病毒传播的主要途径 病毒防御手段的发展趋势病毒防御手段的发展趋势 国际计算机安全联盟，国际计算机安全联盟，International International Computer Security AssociationCom

16、puter Security Association）预计）预计 ：在未来的几年内，网关防毒（硬件）产：在未来的几年内，网关防毒（硬件）产 品的市场规模会达到甚至会迅速超过终端品的市场规模会达到甚至会迅速超过终端 防毒（软件）产品的市场总和。防毒（软件）产品的市场总和。 未来网关防毒墙、终端防毒软件未来网关防毒墙、终端防毒软件“均分天均分天 下下” 网络安全发展jinm40 增强的杀毒增强的杀毒 引擎引擎 未知病毒查未知病毒查 杀杀 可针对具体可针对具体 协进行杀毒协进行杀毒 设置设置 HTTP/HTTP/ 自动无缝升自动无缝升 级级 支持几乎所支持几乎所 有常见文件有常见文件 类型类型 高效

17、内高效内 核检测核检测 网络安全发展jinm41 卓越的杀毒引擎 l支持虚拟脱壳技术，可查杀百万种以上的病毒 l病毒库和杀毒引擎采用无缝升级技术 l支持VPN 和NAT后数据查杀 724小时病毒 应急响应 l提供实时病毒库升级，保证新出现病毒在第一时间 被杀灭 l支持自动升级、在线手动升级、本地文件导入等方 式 灵活的接口配 置方式 l支持透明、PPPoE、静态IP、DHCP以及禁用等工作 模式 网络安全发展jinm42 提纲 网络安全面临挑战 网络安全防护的思路 网络安全产品发展的趋势 网络监控产品发展趋势 网络安全发展jinm43 43 用户面临的挑战用户面临的挑战 某个应用无法访问，无法

18、确定是应用服务器出问题了，或 者就是应用本身出问题了，还是网络交换机出问题了，抑 或是防火墙出问题了，还有可能是机房温度太高了 无法迅速定位故障点无法迅速定位故障点 ？ ？ ？ ？ 网御神州 版权所有 网络安全发展jinm44 用户面临的挑战用户面临的挑战 44网御神州 版权所有 监控和管理界面过多、手忙脚乱！监控和管理界面过多、手忙脚乱！ 网络安全发展jinm45 网络基础设施和安全基础设施建设基本完成网络基础设施和安全基础设施建设基本完成 复杂的计算环境复杂的计算环境 计算环境管理的孤岛，各自为政计算环境管理的孤岛，各自为政 管理成本居高不下，管理效率难以提升管理成本居高不下，管理效率难以

19、提升 计算环境的整体可用性和安全性面临挑战计算环境的整体可用性和安全性面临挑战 45网御神州 版权所有 网络安全发展jinm46 46网御神州 版权所有 发展趋势分析发展趋势分析 网络安全发展jinm47 系统概览系统概览 47网御神州 版权所有 界面展示层界面展示层 管理数据层管理数据层 资产管理资产管理拓扑管理拓扑管理业务监控业务监控安全审计安全审计 网络管理网络管理主机管理主机管理数据库管理数据库管理中间件管理中间件管理应用管理应用管理安全设备管理安全设备管理机房管理机房管理 网络设备网络设备主机主机数据库数据库中间件中间件应用应用安全设备安全设备机房机房 管理接口（管理接口（SNMPSNMP、SyslogSyslog、TelnetTelnet、SSHSSH、设备私用协议等）、设备私用协议等） 管理组件层管理组件层 报表管理报表管理 事件告警事件告警流量监控流量监控终端接入监控终端接入监控权限管理权限管理与外部系统集成与外部系统集成 网络安全发展jinm48 业务层业务层 全面的全面的ITIT资源监控资源监控 网御神州 版权