系統(tǒng)安全部內部培訓網絡安全課件

系統(tǒng)安全部內部培訓——網絡安全Contents安全概念客戶安全需求當前的主要解決方案我們的重點

網絡安全概念業(yè)務運做的IT基礎設施核心業(yè)務IT解決方案1-1的互通互聯(lián)全球貿易平臺GTW電子商務基礎條件電子商務價值表現(xiàn)第一階段第二階段第三階段第四階段網絡基礎平臺B-B網絡社會企業(yè)信息化網絡層面的安全業(yè)務層面的安全用戶整體的安全考慮下游的安全整體考慮網絡安全的概念

“3”個安全問題

如何保證？——用戶業(yè)務運營安全的目的安全的價值安全的意義？網絡安全的概念安全是什么?保證網絡及其中的資源能夠在需要的時候被需要的人正常的使用。這不是定義客戶的安全需求用戶的信息化級別：（一）信息化級別較低處于用戶信息化初期，停留在OA等初級使用層面?zhèn)€人數(shù)據安全；防病毒需要；系統(tǒng)宕機后恢復無專人管理其它客戶的安全需求（二）具備一定信息化條件信息化基礎較好，已建有內部專門的應用網絡。但還未將業(yè)務與此掛鉤。各種應用系統(tǒng)（財務，人事等）的安全；關注內部網絡的可用性和可靠性專門的人員管理或分管管理層對信息安全有一定思路和投入計劃企業(yè)規(guī)模適中客戶的安全需求（三）較高信息化的企業(yè)有較完整的網絡基礎設施業(yè)務運行需要依靠現(xiàn)有的網絡基礎設施且業(yè)務的信息化程度較高。對現(xiàn)有運營數(shù)據比較敏感企業(yè)規(guī)模較大相對較穩(wěn)定有著較明確的安全策略并在一定程度上貫徹執(zhí)行業(yè)務可能外包。客戶的安全需求（四）另類用戶——運營商或大型企業(yè)的服務性部門特點：服務的對象為一般不是自身。主要是保證其提供服務的對象的網絡安全。對于運營網絡的技術性考慮較為全面，周全。但對于自身的網絡安全欠考慮。對設備的穩(wěn)定性要求和性能考慮更多；更能行考慮較少。一般存在主機安全、網絡安全兩種聲音存在重復投資當前的主要網絡安全解決方案為什么有網絡安全問題：最初面向研究的Internet和它的通信協(xié)議群是為比現(xiàn)在良好得多的環(huán)境而設計的。應該說,那是一個君子的環(huán)境,用戶和主機之間互相信任,志在進行自由開放的信息交換。在這樣的環(huán)境里,使用Internet的人實際上就是創(chuàng)建Internet的人。隨著時間的推移,Internet變得更加有用和可靠,別的人也就參雜了進來。人越來越多,共同目標卻越來越少,Internet的初衷漸漸地被扭曲了.……當前的主要網絡安全解決方案為什么有網絡安全問題：導致網絡安全問題的原因有方方面面。國家機密、商業(yè)競爭、對顧主單位的不滿、對網絡安全技術的挑戰(zhàn)、對企業(yè)核心機密的企望、網絡接入帳號、信用卡號等金錢利益的誘惑、利用攻擊網絡站點而出名、對網絡的好奇心（這方面主要是孩子們）等，當然其它一些原因也都可能引起攻擊者的蓄意攻擊行為。但是從已見報道的網絡犯罪案件來看，多數(shù)網絡犯罪者都很年輕，它們表示原來并不知道這樣做是犯罪。另外，目前國內多數(shù)網絡系統(tǒng)管理人員和工程施工人員對網絡安全問題重視不夠，意識淡漠，建設中或建設后在沒有采取足夠的安全防護措施的情況下，將網絡接入因特網上，也為計算機犯罪打開了方便之門。使得一些青少年利用從網絡上學來的簡單入侵手段就能在網絡上通行無阻，在滿足自己好奇心的同時，觸犯了國家法律。當前的主要網絡安全解決方案現(xiàn)有網絡安全為什么會失效？網絡安全概念中有一個"木桶"理論……從技術角度分析，網絡安全體系失敗的原因有以下幾種原因：首先，從芯片、操作系統(tǒng)到應用程序，任何一個環(huán)節(jié)都可能被開發(fā)者留下“后門”。

其次，網絡設備和軟件不可能是完美的，在設計開發(fā)過程中必然會出現(xiàn)缺陷和漏洞。這些漏洞和缺陷恰恰是黑客進行攻擊的目標。再次，對于網絡企業(yè)網或者ISP的公網來說，管理的失敗是網絡安全體系失敗的非常重要的原因。當前的主要網絡安全解決方案完整的網絡解決方案應包括哪些？有效的安全策略網絡安全的目標范圍、培養(yǎng)安全意識，制定安全制度研究技術方案方案/產品選型分期實施計劃資金設備當前的主要網絡安全解決方案不同的行業(yè)要求需要對應不同的安全策略！電信行業(yè)—基礎電信運營商增值電信運營商增值內容提供商增值服務提供商移動業(yè)務，固網，新增寬帶數(shù)據運營所對應的安全策略各有側重！其它的行業(yè)，各有行業(yè)特點：金融、政府、軍隊、能源、交通等根據行業(yè)的特點對于安全的要求也各有不同。當前的主要網絡安全解決方案技術方向：技術融合，突出整體。

防火墻、入侵檢測、網絡掃描、安全評估、認證及授權等各項原本基于主機或網絡的技術正走向融合。以往的被動防護結合主動防護技術，凸現(xiàn)整體防護意識。

處理能力和可用性明顯增強，安全設備的級別逐漸提高到電信級別。

安全設備和其它的網絡設備結合使用或基于原有的網絡設備，性能獲重大提高。如CISCO的新一代硬件防火墻。由網絡邊緣向骨干提升，成為網絡設計中不可缺少的環(huán)節(jié)。分布式系統(tǒng)結構開始作為一個提高性能和可靠性的關鍵因素獲得使用。當前的主要網絡安全解決方案解決方案的組成：

網絡防火墻、入侵檢測、網絡掃描、流量監(jiān)控/分析、主機防火墻、身份認證/鑒權、數(shù)據加/解密、物理隔離、防病毒……如何選用當前的主要網絡安全解決方案分清目標！？當前的安全問題？未來的安全考慮？重點業(yè)務的安全問題/隱患賣方案賣產品將來的問題，賣VISION！當前的主要網絡安全解決方案產品篇一、防火墻1、硬件防火墻NETSCREEN、NORTEL、CISCO2、基于專用PC結構的防火墻CISCO、NOKIA、WATCHGUARD、SAMSUNG3、軟件防火墻CHECKPOINT、NORTON當前的主要網絡安全解決方案4、其他LinkTrustCyberWall防火墻LinkTrustCyberWall-100防火墻屬于固態(tài)專用防火墻，外觀大方漂亮，帶有三個不同的管理界面：WebGUI、命令行和前面板的小鍵盤。集成有狀態(tài)檢查包過濾、應用代理、NAT、VPN、HA等特性IBM防火墻IBM全球網絡數(shù)十年的安全運行，是因為使用了IBM防火墻?，F(xiàn)在IBM愿意和自己的客戶一道分享技術超群的IBM防火墻帶來的安全（這是IBM自己的宣傳）NetChina中網防火墻簡單地說的話，NetChina中網防火墻屬于軟硬結合、包過濾、應用代理混合的防火墻。當前的主要網絡安全解決方案Gaunlet(NAI)

Gauntlet防火墻、PGP加密、Macfee反病毒、Cybercops的風險評估和入侵探測是NAI公司的四大旗艦產品。當前的GauntletFirewall和GauntletVPN的特性包括：1網絡過濾和應用層代理2內置業(yè)界優(yōu)秀的反病毒產品Macfee，保護內部網不受病毒和惡意代碼（如java和activexapplet的侵擾3包含VPN模塊，迅速建立廣域范圍內的VPN。

另外，NAI公司利用PGP軟件的威力即將推出桌面?zhèn)€人防火墻產品PGP-DesktopSecurity（個人防火墻）。該個人防火墻將包含入侵探測、VPN、集中管理等功能。運行平臺包括windows9x/nt/2000等。CA公司GuardIT防火墻

CA公司緊鑼密鼓，加班加點，連買帶寫，產品線越來越長。中聯(lián)綠盟“綠色警戒”個人防火墻當前產品包括win/2000和win/nt兩個版本。《綠色警戒》1.1版是中聯(lián)綠盟信息技術公司開發(fā)的Win2000下個人防火墻軟件。該版本在1.0版本的基礎上增加了以下功能：1)前瞻性的木馬程序檢測。2)先進的基于服務的防護概念。3)靈活的IP過濾策略。4)端口描述。當前的主要網絡安全解決方案諾頓個人防火墻諾頓是著名的防病毒廠家。當前推出的個人防火墻NortonPersonalFirewall20002.0版能夠與其Anti-Virus2000緊密集成。具有下面一些特點：

-識別并防止黑客攻擊，

-具有一定的“網絡隱身”能力

-保護個人隱私信息

-選擇甄別“cookie”等網站追蹤個人網上行動的手段

-容易與Anti-Virus2000集成，提供全面保護

-工作于Win9x/NT/2000平臺之上朗訊LucentManagedFirewallv4.0

業(yè)界巨人新推出包括VPN、防火墻、IDS等在內的一攬子安全解決方案。目前，其具體性能及應用情況尚不得而知。其防火墻LucentManagedFirewallv4.0防火墻功能與防火墻的管理分離開來，防火墻部分使用小巧、有效的lucent專有操作系統(tǒng)Inferno（TM）之上，而管理部分可以工作于NT或者solaris之上。防火墻硬件采用奔騰體系（PentiumII333)的黑盒子結構...

當前的主要網絡安全解決方案Firewall-1(CheckPoint)

業(yè)界最為流行、市場占有率最高的一種。支持網絡地址翻譯（NAT）、流量分擔、VPN、加密認證等功能。

PIX(Cisco)

典型的網絡層包過濾專用防火墻，支持網絡地址翻譯（NAT），在國內的163/169網絡上面應用很多。但是沒有能力防御應用層的攻擊、無法進行內容過濾，例如Java、ActiveX以及病毒過濾等。NetScreen

硬件級黑盒子方式防火墻，在163/169網絡中有部分應用。最近，其新推出的G比特防火墻引人注目。

當前的主要網絡安全解決方案天融信“網絡衛(wèi)士”防火墻

天融信是一家資格較深的國內防火墻廠家，目前在國內的政府、企業(yè)中有不少應用。下面是摘自其網站的有關“網絡衛(wèi)士”系統(tǒng)組成的簡要介紹。防火墻模塊（硬件）：是一個基于安全的操作系統(tǒng)平臺的自主版權的高級訪問控制系統(tǒng)。

管理器模塊（軟件）：一個集中式防火墻管理系統(tǒng)（運行于WIN95、WIN98環(huán)境下）。

一次性口令用戶客戶端模塊（軟件）：運行于WIN95、WIN98環(huán)境下

入侵檢測監(jiān)控臺模塊（軟件）：運行于WIN95、WIN98環(huán)境下NetPolice（西安信利）

國內開發(fā)，基于Linux內核，黑盒子方式。當前的主要網絡安全解決方案S(天網安全)

國內開發(fā)，總部位于廣州，近期內北京分公司即將開張。防火墻產品包括黑盒子方式高速防火墻以及最近推出的單機版?zhèn)€人防火墻。其中的高速防火墻在國內若干重要場合獲得應用。中科網威“長城”防火墻

國內自主開發(fā)，與網威掃描軟件等同出于中科院高能所網威工作室。目前，該工作室產品已逐漸形成系列，包括“長城”防火墻、“火眼”網絡安全掃描系統(tǒng)、“金睛”系統(tǒng)安全掃描系統(tǒng)、“磐石”網站監(jiān)控系統(tǒng)、“天眼”網絡偵測系統(tǒng)。當前的主要網絡安全解決方案清華紫光UNISECURE系列防火墻

北京清華紫光股份有限公司控股與四川順風通信有限責任公司參股共同組建了一個專業(yè)化信息安全公司-紫光順風公司，專門開發(fā)經營網絡安全產品，目前的安全產品包括UF3100、UF3500防火墻、安全路由器、SecMail安全電子郵件、同步加密機、WebGateWeb安全訪問系統(tǒng)、異步加密機、SFeCA數(shù)字證書管理系統(tǒng)、密鑰管理中心、SEM安全保密模塊等。Raptor(Axent）

在業(yè)界口碑很好，在國內市場尚未打開。NetShine（實達郎新）

國內開發(fā)，基于Linux內核，黑盒子方式。當前的主要網絡安全解決方案當前的主要網絡安全解決方案二、入侵檢測設備主要產品、廠家當前的主要網絡安全解決方案市場情況（1999年）當前的主要網絡安全解決方案國內網絡安全領域的特點：“天下大勢，分久必合，合久必分”。

當前的主要網絡安全解決方案

網絡安全產品的市場這一二年中增長得非常迅速，其中防火墻產品占了很大的份額。于是，大家從商業(yè)的眼光角度出發(fā)希望占領市場的熱情都無可厚非。但是，簡單算一筆帳，開發(fā)一個新產品、建立完整的文檔、周密的測試、市場推廣與技術支持、繼續(xù)開發(fā)。。。需要維持多少個工程師呢？按照我現(xiàn)在的了解，大概每種國內的防火墻廠家大概的開發(fā)與測試與文檔的工程師在20人上下，還要加上更多的市場人員。按照北京差不多的工資水平，大概平均一個工程師年開支至少10萬元，工資、租金、廣告、差旅費等等下來差不多要上千萬元。而一般防火墻的定價大概也在10萬元左右。如果想要收回成本，即要每年賣到上百套。數(shù)十種產品，前面幾種名牌要分掉大部分，排在后面的廠家只好進入“ST”版塊了，繼續(xù)尋找“風投”的青睞。更不要說，同時開發(fā)、維護、推廣幾種安全產品。

這樣的狀況很容易讓人聯(lián)想到當前的“數(shù)也數(shù)不清”的、在“今年的網站企業(yè)會尸橫遍野”的預測中奮力沖向股市的網站們。YAHOO在賺錢，但更多的網站都在“ST”。

掃描器、入侵探測、防火墻等作出一個產品都不難，難處在于能夠讓自己的產品體現(xiàn)出自己的個性，保持“性能”、“手法”等方面的先進性，比方說關鍵的“攻擊特征庫”。ISS在維護其掃描器、入侵探測兩個產品的人力超過千人，CHECKPOINT在其單純防火墻一個產品上面的工程師也達到了數(shù)百人。當然，人數(shù)的眾寡不能簡單的代表產品的優(yōu)劣。我在這里想說的是“網絡安全產品市場也需要一個規(guī)模效應”。

因此，經過一番激烈的市場競爭后，在1-2年內，國內可能會出現(xiàn)相當程度的安全企業(yè)之間的兼并、聯(lián)合。避免重復開發(fā)，提高開發(fā)效率，更有效地利用資金。這樣，在競爭中生存下來的幾個國內品牌在國家政策方面的支持下，在企業(yè)規(guī)模方面、產品完整性方面、市場和技術支持方面將會具有更多的機會贏得中國的網絡安全產品市場。我們的重點充分利用現(xiàn)有的資源Cisco的戰(zhàn)略從長遠角度更符合重新規(guī)劃或建設大規(guī)模新項目的用戶需要。Netscreen更傾向于解決現(xiàn)有問題。Radware等廠商的邊緣解決方案未來的技術發(fā)展方向將出現(xiàn)分歧！與其他業(yè)務/應用、項目規(guī)劃建設相結合結合其他的網絡基礎設施結合應用服務（軟硬件）結合企業(yè)內外部考慮結合其他的解決辦法我們的重點需要注意的是：產品&服務的結合突出整體解決方案一個都不能少!ReliabilityInvestmentProtectionPerformanceServiceProductSolution我們的重點優(yōu)勢整體實力強，根基好關注業(yè)務相對資源豐富不足在安全方面缺乏專業(yè)資質和相應的研究如CISSP（CertificationInformationServiceSecurityProfessional）由ISC組織發(fā)起的面對安全管理方面的專門認證。CIW面對安全技術方面的專門的專門認證。缺乏研究環(huán)境，對此方面不十分關注。我們的解決方案解決