4 ~, T: M- ^$ o% K0 _$ H+ x
3 Q* N7 z( D; J) ^2 L
1 F# E$ @4 E a2 S* t2 U3 S6 Y9 K2 l1 F$ {& d4 [
网络安全8大趋势 + k# n' f% M6 R( \" n3 \: ^
2 L) B; M. }. e/ F
4 L. H) d+ _+ t/ ~7 k' ^ + g, G3 P% h& D g
$ k/ s1 l9 v$ g* A3 o3 X
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 " _ I+ V3 G4 { Z( w' c
5 g9 P1 k7 \8 L0 s9 N' y; H一、物理隔离 - V3 @: Y2 M" x' }+ c( `* c
9 }& |6 l* n% }; R解决 : S! }. {# H% U; G- N8 Q& B
方案:物理隔离网闸
- C, ^& y, D0 b! ^* j8 d9 C- q* l' w
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。 * E1 `" O, m0 m8 c5 g5 m. p
P" U$ [$ k/ p* ^
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
0 Y0 k& r$ h/ N$ l9 D% }7 G! d/ G. l8 @' t1 Q, H
二、逻辑隔离
; Q3 L8 N/ n; [2 F; Z" W7 h. W3 B0 x& `4 x% G# n5 b- }
解决方案:防火墙 ( R& s# g+ @' I% j$ [+ w, T/ e! Z! m) ^. O
1 x) o& z$ J1 [) k6 h) i, z
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 / J% A! M9 _; U" G5 ^
( E/ M& C! ~5 u& U* F/ c
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 - C' C! I; q9 N
4 c/ r9 b2 G$ O: {三、防御来自网络的攻击
! J% A+ B- N' _$ Y( \: `5 V3 ^! h
解决方案:抗攻击网关 ! T7 ^2 l3 Z, ~0 f- _
: H, O( t& Y" u. _5 S% R" B网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。 $ Y/ S5 l+ E& R% u* b: y$ P9 P
9 S: `+ z0 [0 H4 ~) c4 C
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
7 e# d2 g H9 u5 g' v
8 f* S# T1 n( K' b0 l! M; U四、防止来自网络上的病毒
7 K8 G2 r U8 A! p8 ?$ ^; A1 h
解决方案:防病毒网关
" Q% F5 d: N% j$ e2 u# v
+ J6 l5 E5 n0 J7 P+ z! Y传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 . d) {: n4 d$ z& b& q$ G
T- w/ y Y1 r( r( ^& M9 R应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
" F+ Q3 }2 R4 p' ] [! f- P5 A9 q* N. D) `
五、身份认证
7 X% b2 i" ?4 F3 Z3 }2 M: t
; R# O5 y: C' P5 g9 h) r, g解决方案:网络的鉴别、授权和管理(AAA)系统
/ j% M) S% Q4 Q' E% R6 E! F2 l; y3 {$ n$ E6 C3 }4 J
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 ' ^4 n# _* U- R0 k+ D
9 w+ O8 m, }. t. b" J) @9 v0 v在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
' b. n+ s, T8 i3 \1 |- d# d) P! F% e2 W2 ]
六、加密通信和虚拟专用网
6 a! K2 g- S- q, ^& Z/ b- t# i k& Q' f& O( Z9 E
解决方案:VPN
/ K) }5 @4 b$ H9 J, u2 Y3 Z
: j8 ~9 V; |1 ^4 \单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
. r. j* @8 x; o# y. O$ Q
) F; D+ Q+ E) t$ `+ x( o% u2 bVPN的另外一个方向是向轻量级方向发展。 : |" }- R2 P& C4 F4 x6 L
7 N: M3 {9 }2 x2 `
七、入侵检测和主动防卫(IDS)
; H- i% X/ G- h# h& T$ }; Z k% x1 l7 F# B, _% o/ o, S
解决方案:IDS
' [ d$ ^# P) |6 {9 M7 {6 ?; k. d ~
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 3 S" h& M) _3 g& H( E
# K6 h4 W/ j6 s$ B0 J3 S/ l4 v V
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
$ ?- `, g7 f+ t, A& a
3 K' x, P) B. S% i6 s) B八、网管、审计和取证
: t( i8 c3 j* G0 d; J/ `( O
6 W4 h" [* H3 A2 S+ F' O2 s解决方案:集中网管
5 T, }8 L _ I' k# d2 L1 O2 N
, j6 _+ v/ Z5 a: F网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 ) ~3 T# @; p8 w" U1 y6 m9 e
# U5 ~8 H8 m& v0 v" b4 a! M从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
+ V2 \6 h% b6 Z
& w$ O" I: R' j2 j7 q审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
" ~* F0 R3 P# v0 V7 M2 p. n. u
7 T; g: o0 U# t) ?
& |0 u3 W" s( w% R $ J- w( m" p- b. Q6 O# a( Z7 @0 a
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
