安全與管理(黃志遠(yuǎn))

神州數(shù)碼網(wǎng)絡(luò)公司黃志遠(yuǎn)把握應(yīng)用關(guān)注安全構(gòu)建新一代安全、管理、融合的企業(yè)網(wǎng)絡(luò)提綱企業(yè)信息化的網(wǎng)絡(luò)需求面向應(yīng)用的網(wǎng)絡(luò)技術(shù)發(fā)展全方位的網(wǎng)絡(luò)安全建設(shè)新一代D2SMP網(wǎng)絡(luò)提綱企業(yè)信息化的網(wǎng)絡(luò)需求面向應(yīng)用的網(wǎng)絡(luò)技術(shù)發(fā)展全方位的網(wǎng)絡(luò)安全建設(shè)新一代D2SMP網(wǎng)絡(luò)中國網(wǎng)絡(luò)應(yīng)用發(fā)展的總體趨勢第一階段第二階段第三階段主機(jī)/SNA，或主機(jī)/終端多用戶結(jié)構(gòu)私有協(xié)議的連接客戶機(jī)/服務(wù)器、網(wǎng)絡(luò)結(jié)構(gòu)統(tǒng)一標(biāo)準(zhǔn)的以太網(wǎng)協(xié)議的企業(yè)局域網(wǎng)基于TCP/IP利用傳統(tǒng)電信數(shù)據(jù)網(wǎng)實(shí)現(xiàn)企業(yè)網(wǎng)窄帶互聯(lián)瀏覽器/服務(wù)器、INTERNET/INTRANET結(jié)構(gòu)好的應(yīng)用需要好的網(wǎng)絡(luò)平臺來支撐——

我們需要重新定義什么是好的網(wǎng)絡(luò)應(yīng)用

我們需要真正了解中國網(wǎng)絡(luò)應(yīng)用的特征第四階段基于寬帶的企業(yè)網(wǎng)互聯(lián)銀行的基于IBM主機(jī)的業(yè)務(wù)系統(tǒng)，單一數(shù)據(jù)傳輸功能網(wǎng)絡(luò)形式應(yīng)用特征建網(wǎng)成本大幅下降；訂制專門的客戶端軟件，限制應(yīng)用推廣通用瀏覽器取代專用客戶端軟件，應(yīng)用推廣極為簡單；窄帶WAN成為應(yīng)用新瓶頸基于寬帶的應(yīng)用，比如視訊會議、多媒體傳輸?shù)?，打破帶寬瓶頸、突破地域限制企業(yè)網(wǎng)企業(yè)事務(wù)處理和應(yīng)用架構(gòu)在網(wǎng)絡(luò)之上，企業(yè)網(wǎng)絡(luò)市場與應(yīng)用的結(jié)合更加緊密。以IP為基礎(chǔ)，在統(tǒng)一的軟硬件平臺上，提供語音、視頻、存儲、路由交換等多業(yè)務(wù)，并提供安全、可管理的服務(wù)。提綱企業(yè)信息化的網(wǎng)絡(luò)需求面向應(yīng)用的網(wǎng)絡(luò)技術(shù)發(fā)展全方位的網(wǎng)絡(luò)安全建設(shè)新一代D2SMP網(wǎng)絡(luò)企業(yè)網(wǎng)技術(shù)發(fā)展趨勢企業(yè)網(wǎng)業(yè)務(wù)已經(jīng)全面IP化移動、安全、寬帶、增值服務(wù)、技術(shù)融合成為2004年發(fā)展趨勢客戶更需要的是解決應(yīng)用問題的完整網(wǎng)絡(luò)解決方案IP網(wǎng)絡(luò)已成為現(xiàn)今全球商務(wù)通訊的主流工具商務(wù)通訊

寬帶Broadband電郵即時短訊網(wǎng)絡(luò)安全及VPN網(wǎng)絡(luò)語音VoIPIP

電話會議統(tǒng)一合成通訊Unified

MessagingSMS短訊技術(shù)發(fā)展：安全（Security）管理（Management）融合（Convergence）方案提供：D2SMP－分布式安全域管理策略（DistributedDomainofSecurityManagementPolicy）神州數(shù)碼網(wǎng)絡(luò)面向應(yīng)用的IP發(fā)展面向應(yīng)用的IP技術(shù)發(fā)展－安全系列安全產(chǎn)品線DCFW-1800S/E防火墻IPS系統(tǒng)個人安全產(chǎn)品DCNLogView審計日志系統(tǒng)交換路由產(chǎn)品的安全特性防攻擊防病毒Internet神州數(shù)碼DCFW-1800S/E系列防火墻網(wǎng)絡(luò)入侵檢測引擎郵件防病毒網(wǎng)關(guān)DCNLogView防火墻審計日志系統(tǒng)WANLANDMZ主機(jī)入侵檢測系統(tǒng)服務(wù)器/客戶機(jī)防病毒軟件神州數(shù)碼安全解決方案MAIL/WWW等對外公開服務(wù)器DDP個人桌面保護(hù)系統(tǒng)面向應(yīng)用的IP技術(shù)發(fā)展－管理IP網(wǎng)絡(luò)的歷史IP成功的原因?qū)Φ取⒆杂蓻]有人知道對方是人、是狗適用于：少數(shù)人用、非關(guān)鍵非實(shí)時應(yīng)用大規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)人、組織成為網(wǎng)絡(luò)末梢節(jié)點(diǎn)無約束、無秩序的自由IP網(wǎng)絡(luò)現(xiàn)在的問題無QoS，不可記錄，不可跟蹤，不可控制、黑客、病毒泛濫在一定范圍內(nèi)QoS、安全得到一定控制但跨域的QoS、安全等無法保證下一代IP網(wǎng)絡(luò)更多的管理更多的秩序，一定的自由機(jī)制IPv6MPLS分布式智能和安全I(xiàn)P網(wǎng)絡(luò)：簡單網(wǎng)絡(luò)＋智能終端電信網(wǎng)絡(luò)：智能網(wǎng)絡(luò)＋簡單終端未來：分布智能＋中央管理控制神州數(shù)碼網(wǎng)絡(luò)管理產(chǎn)品設(shè)備管理性能管理用戶管理認(rèn)證計費(fèi)管理內(nèi)容管理不良網(wǎng)站網(wǎng)絡(luò)游戲安全管理面向應(yīng)用的IP技術(shù)發(fā)展－融合三網(wǎng)合一:數(shù)據(jù)：交換機(jī)、路由器語音：VoIP網(wǎng)關(guān)、IPPBX、IPPhone視頻：視訊會議系統(tǒng)功能融合產(chǎn)品：FW、Voice、VPN等神州數(shù)碼網(wǎng)絡(luò)產(chǎn)品技術(shù)與客戶方案產(chǎn)品聯(lián)動細(xì)分行業(yè)的基于D2SMP架構(gòu)的解決方案安全管理交換路由平臺（DCNOS）及產(chǎn)品基于ASIC、NP的基礎(chǔ)開發(fā)基礎(chǔ)協(xié)議、新技術(shù)研究融合提綱企業(yè)信息化的網(wǎng)絡(luò)需求面向應(yīng)用的網(wǎng)絡(luò)技術(shù)發(fā)展全方位的網(wǎng)絡(luò)安全建設(shè)新一代D2SMP網(wǎng)絡(luò)安全已經(jīng)不再是指增加一個設(shè)備以保護(hù)某個特定區(qū)域的安全，也不再是防止黑客攻擊或病毒蠕蟲攻擊。正如社會的復(fù)雜性一樣，由網(wǎng)絡(luò)所構(gòu)成虛擬社會也存在各個層次、各種各樣的安全問題。當(dāng)很多的業(yè)務(wù)應(yīng)用系統(tǒng)而不僅僅是核心業(yè)務(wù)系統(tǒng)依賴于網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，安全保障機(jī)制便延伸到各個結(jié)點(diǎn)、各個應(yīng)用。可以分3個維度來看整個網(wǎng)絡(luò)的安全。一個維度是網(wǎng)絡(luò)層次結(jié)構(gòu)，分別是基礎(chǔ)設(shè)施層（包括主機(jī)、接入、匯聚、核心），服務(wù)層和應(yīng)用層；

一個維度是網(wǎng)絡(luò)活動平面，分別是：管理平面、控制平面和傳輸平面；

一個維度是威脅類別.

最后再看安全問題可采用的靜態(tài)和動態(tài)防范措施（探測、識別、報警、動態(tài)調(diào)整、取證）

全方位網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全維度－網(wǎng)絡(luò)層次結(jié)構(gòu)一個維度是網(wǎng)絡(luò)層次結(jié)構(gòu)，分別是基礎(chǔ)設(shè)施層（包括主機(jī)、接入、匯聚、核心），服務(wù)層和應(yīng)用層

基礎(chǔ)設(shè)施層：提供基礎(chǔ)網(wǎng)絡(luò)傳輸服務(wù)；服務(wù)層：提供支撐性服務(wù)（指為實(shí)現(xiàn)接入網(wǎng)絡(luò)所必須的服務(wù)，如AAA、DHCP、DNS）和增值服務(wù)（如QoS、VPN、VoIP）的管理系統(tǒng)；應(yīng)用層：指各種網(wǎng)絡(luò)應(yīng)用，如email,WEB,文件共享，VOIP，視頻會議、網(wǎng)管。

網(wǎng)絡(luò)安全維度－網(wǎng)絡(luò)活動平面一個維度是網(wǎng)絡(luò)活動平面，分別是：管理平面、控制平面和傳輸平面；

1）管理平面：指對網(wǎng)絡(luò)的各種管理行為，如配置、網(wǎng)管、日志2）控制平面：指對網(wǎng)絡(luò)的各種控制行為，如STP、路由、H323的呼叫連接、DHCP的地址租借配置表、AAA的認(rèn)證用戶數(shù)據(jù)庫；3）數(shù)據(jù)平面：指信息在網(wǎng)元間的傳輸和在網(wǎng)元上的存儲行為

網(wǎng)絡(luò)安全維度－威脅類別一個維度是威脅類別，由CCITTX.800定義如下：1）信息或資源的破壞；2）信息誤用或篡改；3）信息或資源的竊取、刪除或丟失；4）信息泄漏；5）服務(wù)中斷

靜態(tài)防范措施1)

訪問控制：防止對網(wǎng)絡(luò)資源、信息的非授權(quán)使用；2)

認(rèn)證：確認(rèn)通信實(shí)體的身份；3)通信安全：保證信息只在授權(quán)端點(diǎn)之間流動。telnet時的口令相當(dāng)于首次訪問時身份鑒別，SSH或IPSEC則相當(dāng)于保證信息只在兩點(diǎn)之間流動，其他端點(diǎn)插進(jìn)來的telnet包不管用?；蛘撸赫J(rèn)證相當(dāng)于同意為兩點(diǎn)之間建一個通道，通信安全則保證這個通道不會被其他端點(diǎn)侵入。4)

數(shù)據(jù)保密性：保護(hù)數(shù)據(jù)內(nèi)容不被非授權(quán)實(shí)體理解；5)數(shù)據(jù)完整性：保證數(shù)據(jù)的正確性，防止被非法修改、創(chuàng)建、復(fù)制；6)

非否認(rèn)：防止銷毀證據(jù)；7)分級服務(wù)：由于服務(wù)能力有限，為防止一種服務(wù)量特別大時阻礙其他服務(wù)，提供分級服務(wù)。8)

備份：用于信息破壞后的恢復(fù)。

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞網(wǎng)元上存儲的管理信息

1．非法用戶破壞網(wǎng)元上存儲的控制信息（路由表、ARP表等）2．虛假源、目的IP/MAC的包淹沒MAC表、主機(jī)表等資源1．網(wǎng)線差，線序錯

信息誤用或篡改1．非法用戶篡改存儲的網(wǎng)元配置信息2．非法用戶篡改傳輸?shù)木W(wǎng)元管理信息3．非法用戶管理非法路由、STP、DHCP、ARP、1X、RADIUS響應(yīng)接收或傳輸非法數(shù)據(jù)流（組播數(shù)據(jù)流）信息或資源竊取、刪除、丟失非法用戶讀取網(wǎng)元上或傳輸中的管理信息非法用戶讀取網(wǎng)元上或傳輸中的控制信息非法用戶讀取網(wǎng)元上或傳輸中的應(yīng)用信息信息泄漏管理信息（IP、端口、內(nèi)容）被監(jiān)聽控制信息（IP、端口、內(nèi)容）被監(jiān)聽組播數(shù)據(jù)流泄漏服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．虛假路由、BPDU等包淹沒CPU；

1.廣播風(fēng)暴2．突發(fā)異常流量導(dǎo)致正常用戶不能使用對基礎(chǔ)設(shè)施層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞服務(wù)層的管理信息

1．非法用戶破壞網(wǎng)元上存儲的控制信息（如AAA的認(rèn)證用戶數(shù)據(jù)庫、DHCP的地址租借表）2．虛假服務(wù)申請（ARP、DHCP、AAA等）消耗這些資源1．網(wǎng)線差，線序錯

信息誤用或篡改1．非法用戶篡改存儲的服務(wù)層配置信息2．非法用戶篡改傳輸?shù)姆?wù)層管理信息3．非法用戶管理非法篡改用戶認(rèn)證數(shù)據(jù)庫等信息、接收非法VOIP會話控制信息非法DHCP、ARP、1X、RADIUS響應(yīng)信息或資源竊取、刪除、丟失非法用戶讀取服務(wù)層存儲或傳輸中的管理信息非法用戶讀取存儲或傳輸中的用戶認(rèn)證數(shù)據(jù)庫信息非法用戶讀取傳輸中的服務(wù)信息信息泄漏由于廣播或組播，管理信息（IP、端口、內(nèi)容）被監(jiān)聽由于廣播或組播，服務(wù)的控制信息泄漏由于廣播或組播，服務(wù)信息泄漏服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．虛假會話控制請求淹沒H323控制信息處理能力

1.廣播風(fēng)暴2．突發(fā)大量服務(wù)申請導(dǎo)致正常用戶不能使用對服務(wù)層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞應(yīng)用的管理信息

1．非法用戶破壞網(wǎng)元上存儲的應(yīng)用層控制信息（URL黑名單等）2．虛假URL黑名單的控制信息包淹沒黑名單表等資源網(wǎng)頁內(nèi)容被篡改

信息誤用或篡改1．非法用戶篡改存儲的應(yīng)用配置信息2．非法用戶篡改傳輸中的應(yīng)用管理信息3．非法用戶管理非法URL黑名單信息、非法SMTP控制信息

信息或資源竊取、刪除、丟失非法用戶讀取應(yīng)用層存儲或傳輸中的管理信息非法用戶讀取網(wǎng)元上或傳輸中的URL黑名單、SMTP等控制信息提供或訪問非法地址和內(nèi)容信息泄漏管理信息（IP、端口、進(jìn)程名、版本）被監(jiān)聽控制信息（IP、端口、內(nèi)容）被監(jiān)聽

服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．感染病毒3．系統(tǒng)漏洞攻擊垃圾郵件攻擊

對應(yīng)用層的安全威脅措施管理平面控制平面數(shù)據(jù)平面訪問控制管理用戶分不同權(quán)限管理用戶分不同權(quán)限IP/MAC/PORT是否有權(quán)限發(fā)路由、DHCP、ARP、1X、RADIUS包(DHCPsnooping,ARP檢測)組播源、目的ACL認(rèn)證AAA管理用戶認(rèn)證AAA管理認(rèn)證未1X認(rèn)證的IP/MAC不學(xué)組播源、目的認(rèn)證通信安全SSH,SSL,IPSECSSH,SSL,IPSEC

數(shù)據(jù)保密配置/日志加密,SNMPv3路由加密

數(shù)據(jù)完整

非否認(rèn)行為記錄行為記錄DHCPsnooping

分級服務(wù)1．為管理服務(wù)預(yù)留CPU2．管理信息QOS高限制端口可學(xué)習(xí)的IP/MAC數(shù)量QOS備份配置信息備份路由、ARP等信息備份

對基礎(chǔ)設(shè)施層的靜態(tài)防范措施

基礎(chǔ)設(shè)施層服務(wù)層應(yīng)用層探測應(yīng)用類型、地址設(shè)置、網(wǎng)關(guān)設(shè)置、防毒設(shè)置、網(wǎng)卡設(shè)置、ping響應(yīng)、關(guān)鍵詞檢測、關(guān)鍵進(jìn)程檢測、補(bǔ)丁檢測、TCP連接數(shù)檢測網(wǎng)線質(zhì)量、流量檢測、廣播速率檢測、DHCP監(jiān)測、ARP監(jiān)測、URL檢測、

識別故障？攻擊？正常故障？攻擊？正常故障？攻擊？正常報警向網(wǎng)管服務(wù)器報警主動切斷

動態(tài)調(diào)整控制帶寬、切換端口、過濾指定數(shù)據(jù)流

取證（非否認(rèn)）

時間、SIP、DIP、URL、user…動