《[精选]网络安全技术的发展趋势32628.pptx》由会员分享,可在线阅读,更多相关《[精选]网络安全技术的发展趋势32628.pptx(64页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、CISPCISPTCSPTCSP哈分公司技术总监:李文学哈分公司技术总监:李文学哈分公司技术总监:李文学哈分公司技术总监:李文学北京天融信网络安全有限公司网络安全及安全技术的发展趋势网络安全及安全技术的发展趋势网络安全及安全技术的发展趋势网络安全及安全技术的发展趋势o网络安全的发展趋势网络安全的发展趋势o网络安全技术发展趋势网络安全技术发展趋势目目 录录网络安全发展的回顾网络安全发展的回顾网络安全发展的回顾网络安全发展的回顾 网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等 。在理论上
2、,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。网络安全发展的回顾网络安全发展的回顾网络安全发展的回顾网络安全发展的回顾 安全协议方面,众多标准化组织制定了许多标准和草案,尤其是以RFC文稿出现的协议标准更是成了网络安全设备的基础。举例说,VPN技术就是建立在安全隧道基础上的,点对点的隧道协议(PPTP:RFC2637)和第2层隧道协议(L2TP:RFC2661)提供远程PPP客户到LAN
3、的安全隧道,因此,网络安全要不断发展和开发满足新的需求的安全协议。谈及网络安全技术,就必须提到网络安全技术的三大主流防火墙技术、入侵检测技术以及防病毒技术。任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。网络安全发展的
4、回顾网络安全发展的回顾网络安全发展的回顾网络安全发展的回顾 再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。网络安全发展的回顾网络安全发展的回顾网络安全发展的回顾网络安全发展
5、的回顾 传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式,而安全建设停留在静态的防护技术上,更多采用的是以点概面和就事论事的方法。导致的结果是不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失。网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)防病毒防病毒例:例:1 1、网络出现病毒、网络出现病毒防火墙、入侵检测等防火墙、入侵检测等2 2、网络出现攻击、网络出现攻击审计系统、管理系统审计系统、管理系统3 3、管理问题出现、管理问题出现投资不小但网络安全状况
6、依然不理想投资不小但网络安全状况依然不理想问题:问题:网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)例:例:2 2、防火墙、入侵监测等、防火墙、入侵监测等网络出现攻击网络出现攻击3 3、审计系统、管理系统、审计系统、管理系统管理问题出现管理问题出现投资不小但网络安全状况依然不理想投资不小但网络安全状况依然不理想问题:问题:基本解决病毒问题基本解决病毒问题 (病毒对网络影响小病毒对网络影响小)基本解决攻击问题基本解决攻击问题 (攻击对网络影响小)(攻击对网络影响小)基本解决管理问题基本解决管理问题 (管理对网络影响
7、小)(管理对网络影响小)1 1、防病毒系统、防病毒系统网络出现病毒网络出现病毒4 4、新的复杂的安全事件出现、新的复杂的安全事件出现现有的防护系统很难解决现有的防护系统很难解决网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)网络安全发展的回顾(管理和建设)关于网络安全的一些观念误区关于网络安全的一些观念误区o网络安全是一次性投资可以完网络安全是一次性投资可以完成的成的.o网络安全纯粹是技术人员的工网络安全纯粹是技术人员的工作,重视技术,轻视管理作,重视技术,轻视管理o网络安全只要买一批好产品就网络安全只要买一批好产品就能完成,重视产品,轻视人为能
8、完成,重视产品,轻视人为因素;因素;o应该由自己单位的技术人员全应该由自己单位的技术人员全部完成部完成o重视外部安全,轻视内部安全;重视外部安全,轻视内部安全;o重视局部,忽略整体;重视局部,忽略整体;o静态不变;静态不变;o系统工程系统工程o攻防技术是在对抗中不断攻防技术是在对抗中不断发展的发展的o组织组织(制订制度制订制度),),技术技术,管管理理(执行制度执行制度)o根据情况根据情况,大的趋势是社大的趋势是社会分工越来越细会分工越来越细o专业安全服务公司专业安全服务公司o专业安全服务的外包专业安全服务的外包 随着信息系统的开放化、网络化、复杂化发展,信息安全建设不再局限于单个的技术产品,
9、而是需要综合考虑的一个体系。这个体系是一个动态的、协调联动的、系统化、程序化和文件化的安全防护体系。而这个体系体现预防控制为主的思想,强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。网络安全发展的趋势网络安全发展的趋势网络安全发展的趋势网络安全发展的趋势什么是安全什么是安全o新的安全定义n及时的检测就是安全及时的检测就是安全n及时的响应就是安全及时的响应就是安全PtDtP Pt t:Protection time:Protection t
10、imePt+RtD Dt t:Detection time:Detection timeR Rt t:Response time:Response timeDtRt安全及时的检测和处理安全及时的检测和处理o我们称之为防护时间我们称之为防护时间Pt:黑客在到达攻击目标之前需要攻破很多的设备:黑客在到达攻击目标之前需要攻破很多的设备(路由器,交路由器,交换机换机)、系统(、系统(NT,UNIX)和放火墙等障碍,在黑客达到目标之前的时间;)和放火墙等障碍,在黑客达到目标之前的时间;o在黑客攻击过程中,我们检测到他的活动的所用时间称之为在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑
11、客的行为,检测到黑客的行为后,我们需要作出响应,这段时间称之为后,我们需要作出响应,这段时间称之为Rt.o假如能做到假如能做到Dt+Rt+Rt网络安全框架体系网络安全框架体系从两大角度考虑:从两大角度考虑:oo网络安全管理框架网络安全管理框架oo网络安全技术框架网络安全技术框架网络安全框架体系网络安全框架体系网络安全框架体系网络安全框架体系网络安全管理体系网络安全管理体系网络安全管理体系网络安全管理体系网络安全技术体系网络安全技术体系网络安全技术体系网络安全技术体系网络安全网络安全网络安全网络安全组织组织组织组织网络安全网络安全网络安全网络安全策略策略策略策略网络安全保网络安全保网络安全保网络
12、安全保障机制障机制障机制障机制管管管管理理理理和和和和维维维维护护护护队队队队伍伍伍伍技技技技术术术术支支支支撑撑撑撑队队队队伍伍伍伍应应应应急急急急响响响响应应应应队队队队伍伍伍伍纲纲纲纲领领领领性性性性策策策策略略略略管管管管理理理理规规规规章章章章制制制制度度度度操操操操作作作作流流流流程程程程和和和和规规规规程程程程应应应应急急急急响响响响应应应应风风风风险险险险管管管管理理理理安安安安全全全全预预预预警警警警安安安安全全全全培培培培训训训训区域边区域边区域边区域边界保护界保护界保护界保护网络内部网络内部网络内部网络内部环境保护环境保护环境保护环境保护 网络基础设施网络基础设施网络基础
13、设施网络基础设施 网络安全网络安全网络安全网络安全支持设施支持设施支持设施支持设施 防防防防火火火火墙墙墙墙技技技技术术术术入入入入侵侵侵侵检检检检测测测测技技技技术术术术日日日日志志志志和和和和备备备备份份份份技技技技术术术术防防防防病病病病毒毒毒毒技技技技术术术术评评评评估、估、估、估、修修修修补、补、补、补、加加加加固固固固防防防防源源源源地地地地址址址址欺欺欺欺骗骗骗骗路路路路由由由由安安安安全全全全安安安安全全全全网网网网管管管管反反反反垃垃垃垃圾圾圾圾邮邮邮邮件件件件密密密密钥钥钥钥管管管管理理理理设设设设施施施施 检测和检测和检测和检测和响应设响应设响应设响应设施施施施 网络安全
14、管理体系框架网络安全管理体系框架oo建立完善的安全组织结构建立完善的安全组织结构建立完善的安全组织结构建立完善的安全组织结构oo建立层次化的网络安全策略建立层次化的网络安全策略建立层次化的网络安全策略建立层次化的网络安全策略n n包括纲领性策略包括纲领性策略包括纲领性策略包括纲领性策略n n各种安全制度、安全规范和操作流程各种安全制度、安全规范和操作流程各种安全制度、安全规范和操作流程各种安全制度、安全规范和操作流程oo应用各种安全机制应用各种安全机制应用各种安全机制应用各种安全机制n n包括网络安全预警机制包括网络安全预警机制包括网络安全预警机制包括网络安全预警机制n n安全风险识别和控制机
15、制安全风险识别和控制机制安全风险识别和控制机制安全风险识别和控制机制n n应急响应机制应急响应机制应急响应机制应急响应机制n n安全培训机制安全培训机制安全培训机制安全培训机制网络安全技术体系框架网络安全技术体系框架oo区域边界保护区域边界保护oo网络内部环境保护网络内部环境保护oo网络基础设施保护网络基础设施保护oo网络安全支持设施网络安全支持设施网络安全技术体系框架区域边界保护网络安全技术体系框架区域边界保护网络安全技术体系框架区域边界保护网络安全技术体系框架区域边界保护n n目标:着重对重要的安全区域进行保护目标:着重对重要的安全区域进行保护目标:着重对重要的安全区域进行保护目标:着重对
16、重要的安全区域进行保护 ,包括,包括,包括,包括支撑系统业务系统、管理系统,如认证和计费支撑系统业务系统、管理系统,如认证和计费支撑系统业务系统、管理系统,如认证和计费支撑系统业务系统、管理系统,如认证和计费系统、域名服务系统、网管中心、系统、域名服务系统、网管中心、系统、域名服务系统、网管中心、系统、域名服务系统、网管中心、IDCIDC系统等。系统等。系统等。系统等。n n常用的技术常用的技术常用的技术常用的技术:防火墙技术防火墙技术防火墙技术防火墙技术入侵检测技术。入侵检测技术。入侵检测技术。入侵检测技术。其他防护技术产品其他防护技术产品其他防护技术产品其他防护技术产品网络安全技术体系框架
17、网络内部环境保护网络安全技术体系框架网络内部环境保护网络安全技术体系框架网络内部环境保护网络安全技术体系框架网络内部环境保护n n目标:目标:目标:目标:减少内部环境中存在的安减少内部环境中存在的安减少内部环境中存在的安减少内部环境中存在的安全漏洞。全漏洞。全漏洞。全漏洞。防止计算机病毒在内部环防止计算机病毒在内部环防止计算机病毒在内部环防止计算机病毒在内部环境的传播。境的传播。境的传播。境的传播。提高对网络攻击的发现能提高对网络攻击的发现能提高对网络攻击的发现能提高对网络攻击的发现能力以及在安全事件发生后力以及在安全事件发生后力以及在安全事件发生后力以及在安全事件发生后的跟踪和追查能力。的跟
18、踪和追查能力。的跟踪和追查能力。的跟踪和追查能力。提高网络安全事件发生后提高网络安全事件发生后提高网络安全事件发生后提高网络安全事件发生后的恢复能力。的恢复能力。的恢复能力。的恢复能力。l l对应保护技术对应保护技术对应保护技术对应保护技术系统安全加固系统安全加固系统安全加固系统安全加固本地安全扫描本地安全扫描本地安全扫描本地安全扫描防病毒防病毒防病毒防病毒日志与备份技术日志与备份技术日志与备份技术日志与备份技术网络安全技术体系框架网络基础设施网络安全技术体系框架网络基础设施网络安全技术体系框架网络基础设施网络安全技术体系框架网络基础设施n n目标:目标:目标:目标:提高网络拓扑的安全提高网络
19、拓扑的安全提高网络拓扑的安全提高网络拓扑的安全可靠性。可靠性。可靠性。可靠性。提高网络设备特别是提高网络设备特别是提高网络设备特别是提高网络设备特别是骨干设备的安全性。骨干设备的安全性。骨干设备的安全性。骨干设备的安全性。保证网络设备远程管保证网络设备远程管保证网络设备远程管保证网络设备远程管理的安全性。理的安全性。理的安全性。理的安全性。l l保护技术保护技术保护技术保护技术网络基础实施的设备、物网络基础实施的设备、物网络基础实施的设备、物网络基础实施的设备、物理链路、路由的冗余和备理链路、路由的冗余和备理链路、路由的冗余和备理链路、路由的冗余和备份。份。份。份。网络设备的安全设置、安网络设
20、备的安全设置、安网络设备的安全设置、安网络设备的安全设置、安全扫描与加固。全扫描与加固。全扫描与加固。全扫描与加固。网络设备远程安全管理:网络设备远程安全管理:网络设备远程安全管理:网络设备远程安全管理:SSHSSH、多因素认证密码系、多因素认证密码系、多因素认证密码系、多因素认证密码系统(如统(如统(如统(如RSARSA令牌)、令牌)、令牌)、令牌)、VPNVPNSOCSOC技术技术技术技术 网络安全技术体系框架网络安全支持网络安全技术体系框架网络安全支持网络安全技术体系框架网络安全支持网络安全技术体系框架网络安全支持oo网络安全支持目标网络安全支持目标网络安全支持目标网络安全支持目标n n
21、为网络用户、设备和应为网络用户、设备和应为网络用户、设备和应为网络用户、设备和应用系统提供安全服务用系统提供安全服务用系统提供安全服务用系统提供安全服务n n密钥管理服务。密钥管理服务。密钥管理服务。密钥管理服务。n n网络安全检测服务。网络安全检测服务。网络安全检测服务。网络安全检测服务。n n网络安全响应服务。网络安全响应服务。网络安全响应服务。网络安全响应服务。l l网络安全支持设施建设网络安全支持设施建设网络安全支持设施建设网络安全支持设施建设PKIPKI技术,技术,技术,技术,SOCSOC技术技术技术技术网络流量异常检测技术网络流量异常检测技术网络流量异常检测技术网络流量异常检测技术
22、网络安全事件统一收集网络安全事件统一收集网络安全事件统一收集网络安全事件统一收集安全事件的关联分析安全事件的关联分析安全事件的关联分析安全事件的关联分析网络安全告警和响应网络安全告警和响应网络安全告警和响应网络安全告警和响应TelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络SATNETARPNETTCP/IP模型与网络安全模型与网络安全应用程序攻击应用程序攻击拒绝服务攻击拒绝服务攻击数据监听和窃取数据监听和窃取硬件设备破坏硬件设备破坏o应用层:应用程序和操作系统的攻击与破坏等应用层:应用程序和操作系统的攻击与破坏等o传输层:拒绝服务攻击和数据窃听风险等传输层:拒绝服务
23、攻击和数据窃听风险等o网络层:拒绝服务攻击,路由欺骗等网络层:拒绝服务攻击,路由欺骗等o硬件设备与数据链路:物理窃听与破坏等硬件设备与数据链路:物理窃听与破坏等安全技术体系框架安全技术体系框架1.安全管理安全管理o安全管理是确保网络信息安全的重要环节安全管理是确保网络信息安全的重要环节o安全管理包括对信息系统的所有部件和整个生安全管理包括对信息系统的所有部件和整个生命周期的安全管理,涵盖上述所有层面,命周期的安全管理,涵盖上述所有层面,o管理内容应包括管理内容应包括n组织和人员、工程管理、运行管理、等级保护管理、组织和人员、工程管理、运行管理、等级保护管理、应急处理管理和密码管理等方面应急处理
24、管理和密码管理等方面。安全工程活动的生命周期安全工程活动的生命周期安全需求建立安全需求建立安全系统规划安全系统规划安全系统确认安全系统确认安全系统实施安全系统实施安全需求验证安全需求验证PDCA循环:Plan DoCheckAct计划实施检查改进PDAC PDCA循环循环PDCA循环(续)循环(续)o又称又称“戴明环戴明环”,PDCA”,PDCA循环是能使任何一项活动有效进行的工作程序循环是能使任何一项活动有效进行的工作程序:P P:计划,方针和目标的确定以及活动计划的制定;:计划,方针和目标的确定以及活动计划的制定;D D:执行,具体运作,实现计划中的内容;:执行,具体运作,实现计划中的内容
25、;C C:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确:检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;效果,找出问题;A A:改进(或处理):改进(或处理),对总结检查的结果进行处理,成功的经验加以对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个对于没有解决的问题,应提给下一个PDCAPDCA循环中去解决。循环中去解决。PDCA循环的特点一 按顺序进行,它
26、靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环 PDCA循环(续)循环(续)PDCA循环的特点二 组织中的每个部分,甚至个人,均有一个组织中的每个部分,甚至个人,均有一个PDCAPDCA循环,大循环,大环套小环,一层一层地解决问题。环套小环,一层一层地解决问题。PDCA循环(续)循环(续)PDCA循环的特点三 每通过一次每通过一次PDCA 循环,都要循环,都要进行总结,提出新目标,再进行第进行总结,提出新目标,再进行第二次二次PDCA 循环。循环。90909090改进改进执行执行计划计划检查检查C CA AD DP P达到新的水平达到新的水平改进改进(修订标准修订标准)维持原有水平维
27、持原有水平90909090改进改进执行执行计划计划检查检查C CA AD DP PPDCA循环(续)循环(续)总体解决方案总体解决方案TopSec等级保护体系等级保护体系o遵照国家等级保护制度、满足客户实际需求遵照国家等级保护制度、满足客户实际需求,采用等级化、体系,采用等级化、体系化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成化相结合的方法,为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。本、持续运行的安全保障体系。o实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,实施后状态:一套持续运行、涵盖所有安全内容的安全保障体系,是企业或组织安全工作所追求的最
28、终目标是企业或组织安全工作所追求的最终目标o特质:特质:n等级化:突出重点,节省成本,满足不同行业、不同发展阶段、等级化:突出重点,节省成本,满足不同行业、不同发展阶段、不同层次的要求不同层次的要求n整体性:结构化,内容全面,可持续发展和完善,持续运行整体性:结构化,内容全面,可持续发展和完善,持续运行n针对性:针对实际情况,符合业务特性和发展战略针对性:针对实际情况,符合业务特性和发展战略等级保护体系安全措施框架等级保护体系安全措施框架 安全策略体系安全策略体系安全技安全技术术体系体系身份身份认证认证加密加密加固加固审审核核跟踪跟踪访问访问控制控制防防恶恶意意代代码码监监控控备备份份恢复恢复
29、管理制度管理制度组织职责组织职责技技术标术标准准规规范范信息安全政策信息安全政策安全安全组织组织教育教育培培训训人人员员职责职责人人员员安全安全安全安全组织组织体系体系安全体系建安全体系建设设项项目建目建设设安全管理安全管理安全安全风险风险管理管理与控制与控制安全运行与安全运行与维护维护安全运行体系安全运行体系安全管理运行中心安全管理运行中心技术体系技术体系安全组织设置和岗位职责安全组织设置和岗位职责安全教育、培训与资质认证安全教育、培训与资质认证组织体系组织体系安全策略体系设计安全策略体系设计安全策略与流程推广实施安全策略与流程推广实施策略体系策略体系项目建设的安全管理项目建设的安全管理安全
30、风险管理与控制安全风险管理与控制保护对象框架保护对象框架内部与第三方人员安全管理内部与第三方人员安全管理日常安全运行与维护日常安全运行与维护安全体系推广与落实安全体系推广与落实运作体系运作体系统一监控与审计管理平台统一监控与审计管理平台安全域和网络访问控制平台安全域和网络访问控制平台防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台设备安全配置与加固设备安全配置与加固基础设施安全基础设施安全应用加密平台应用加密平台数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台应用系统安全增强应用系统安全增强应用安全应用安全等级保护体系的实现等级保护体系的实现 安全组
31、织与职责设计安全组织与职责设计安全培训与资质认证安全培训与资质认证安全策略体系与流程设计安全策略体系与流程设计网络与应用加密服务平台网络与应用加密服务平台业务应用系统安全改造业务应用系统安全改造数据备份与冗灾平台数据备份与冗灾平台统一身份认证与授权管理平台统一身份认证与授权管理平台设备安全配置与加固设备安全配置与加固安全域划分与边界访问控制平台安全域划分与边界访问控制平台安全管理运行中心安全管理运行中心安全策略与流程推广实施安全策略与流程推广实施安全体系推广与常年咨询安全体系推广与常年咨询防病毒、补丁和终端管理平台防病毒、补丁和终端管理平台统一安全监控与审计平台统一安全监控与审计平台安全技术体
32、系建设安全技术体系建设安全组织体系建设安全组织体系建设安全策略体系建设安全策略体系建设安全运行体系建设安全运行体系建设安全规划安全规划安全调查与风险评估安全调查与风险评估等级保护定级咨询等级保护定级咨询等级保护体系设计等级保护体系设计方案设计方案设计等级保护测评支持与咨询等级保护测评支持与咨询定级阶段定级阶段规划阶段规划阶段实施与实施与运维阶段运维阶段常年安全运维外包服务常年安全运维外包服务安全托管监控与管家服务安全托管监控与管家服务等级保护阶段等级保护阶段天融信提供的安全服务与解决方案天融信提供的安全服务与解决方案o网络安全的发展趋势网络安全的发展趋势o网络安全技术发展趋势网络安全技术发展趋
33、势目目 录录防火墙技术发展趋势防火墙技术发展趋势 速度对安全的挑战国际安全技术格局实力保证创“芯”小芯片,大内涵猎豹出世宣讲胶片目录宣讲胶片目录网络速度vs摩尔定律网络发展速度远大于CPU速度0100M100G100T19901995200020052010网速CPU19902010年,网速和CPU处理能力对比高性能网络防火墙越来越迫切用户到底缺什么高性能防火墙只能用国外这几家?用了防火墙,没攻击了,可是网速也慢了网络延迟太大,视频会议没法进行我们要的是又有安全性,又稳定的产品速度对安全的挑战国际安全技术格局实力保证创“芯”小芯片,大内涵猎豹出世宣讲胶片目录宣讲胶片目录安全产业技术格局ASIC
34、NP构架X86、通用CPU构架只有世界级前几名安全厂家拥有ASIC自有产权国内前几名厂商,选择了NP构架的防火墙国内以百计的小厂商依旧采用X86构架防火墙天融信技术定位哪个层面?TopASICTopASICTMTM Power NP 4GS3Power NP 4GS3IXP2400IXP2400技术架构技术架构ASICPowerPC Based NPXscale Based NP处理层次处理层次27层的数据和安全处理2-4层数据转发2-4层数据转发网络加速网络加速强强强安全加速安全加速强弱弱应用层过应用层过滤滤强弱弱厂商性质厂商性质中国自主美国(IBM卖给Hifn)美国(Intel卖给Marv
35、ell)下代产品下代产品TopASICTM II无前途不明在安全领域,NP将何去何从?稳定的性能:无策略转发对比无策略路由转发无策略路由转发ASIC性能千兆100NP性能千兆100X86小包千兆无法达到线速ASICNPX86稳定的性能:模拟攻击模拟攻击下模拟攻击下ASIC性能千兆100NP在小包下性能降低X86性能快速下降ASICNPX86构架对比:性能功能ASICTopASICx86CPU性能安全功能嵌入式CPU 高低 高NP性能-功能:综合对比TopASICTM 最佳构架对比:安全稳定ASICTopASICx86CPU稳定性安全性嵌入式CPU低 高NP 高安全性-稳定性:综合ASIC或者T
36、opASICTM 最佳安全加速技术的演进通讯加速通讯加速安全加速通用平台,无网络、安全加速网络处理器,对通讯专项加速定制安全芯片,对通讯和安全处理都加速TopASICTM 特点TopASICTM 特性特性芯片内置多模块,全功能硬加速预留编程空间,持续升级线速转发,超低时延,无瓶颈防火墙TopASICTM 芯片内部结构GMIIGMIIMII8rsvdrsvdGMIIGMIIJTAGCFG with PROMPCI InterfaceXCF32PConfigConnectorEEPROMPHYPHYPHY8PCIData63:0Ctl&Clk SignalAddr12:0SDRAMControll
37、erSRAMPDMANATVPNQoSSLUSwitchRouteParserFilterL2EQMUCDURegExrsvdrsvdrsvdrsvdI2CInterface管理通道数据通道处理流程固定单元可修改单元可编程单元TopASIC性能指标5Gbps的芯片转发容量千兆端口吞吐率:100(64Byte小包)最大并发连接200万每秒新建连接30000转发延迟10us支持2GE端口8FE端口产品硬件构架TAPF技术,减少CPU干预数据处理,报文快速转发大容量二级缓存,充分提高性能网络数据策略授权高性能CPU,动态管理和策略授权。完全内容检测CCI19902000垃圾邮件垃圾邮件病毒病毒木马木
38、马蠕虫蠕虫处理能力拒绝服务攻击拒绝服务攻击19952005社会学攻击社会学攻击1101001000完全内容检测 CCI深度包检测 DPI状态检测SI状态检测只检查数据包的包头;深度包检测可对数据包内容进行检查;而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content Inspection多级多路负载均衡SSL全网接入CCICleanVPN可编程专用芯片应用还原技术黑匣子高速捕包技术TAPF转发技
39、术TOS内核多层次状态表防病毒攻击防御漏洞扫描技术防火墙无缝穿透o具有很大的未知风险o没有办法对操作系统做更多优化o发生安全问题后没办法第一时间解决问题o具有知识产权风险o安全性高o充分优化o掌握所有操作系统技术,控制所有核心技术o独立发展自己的知识产权TOS:通用操作系统:防火墙防火墙防火墙防火墙OSOSOSOS系统的发展系统的发展系统的发展系统的发展厂家操作系统CISCOIOSNokiaIPSOJuniper(Netscreen)ScreenOsFoundry TrafficWorks IronWare NortelAlteon OS LucentTAOSTopsecTOS防火墙防火墙防火
40、墙防火墙OSOSOSOS系统的发展系统的发展系统的发展系统的发展TopsecOS TopsecOS 架构架构OS层基础层安全引擎层服务层硬件硬件TOS应用应用应用应用入侵检测技术发展趋势入侵检测技术发展趋势 入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS(IntrusionManagementSystem,入侵管理系统)具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,将逐步成为安全检测技术的发展方向。IMS体系的一个核心技术就是对漏洞生命周期和机理的研究,这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说,在配合安全域良好划分和规模化部署的条
41、件下,IMS将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和事件预防。入侵检测技术发展趋势入侵检测技术发展趋势终端管理技术发展趋势终端管理技术发展趋势 内网安全未来的趋势是SCM(SecurityComplianceManagement,安全合规性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点,精细化的内网管理可以使现有的内网安全达到真正的“可信”。目前,内网安全的需求有两大趋势:一是终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;二是内
42、网的业务行为审计,即从传统的安全审计或网络审计,向对业务行为审计的发展,这两个方面都非常重要。终端管理技术发展趋势终端管理技术发展趋势 (1)从被动响应到主动合规。通过规范终端行为,避免未知行为造成的损害,使IT管理部门将精力放在策略的制定和维护上,避免被动响应造成人力、物力的浪费和服务质量的下降。(2)从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析,而没有办法对业务行为的内容进行控制,SCM审计要求在合规行为下实 现对业务内容的控制,实现对业务行为的认证、控制和审计。(3)对于内网来说,尽管Windows一统天下,但是随着业务的发展,Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中,这就要 求内网安全管理实现从单一系统到异构平台的过渡,从而避免了由异 构平台的不可管理引起的安全盲点的出现。终端管理技术发展趋势终端管理技术发展趋势 演讲完毕,谢谢观看!