系統(tǒng)安全部內(nèi)部高效培訓(xùn)-網(wǎng)絡(luò)安全

1、系統(tǒng)安全部內(nèi)部高效培訓(xùn)-網(wǎng)絡(luò)安全Contents 安全概念 客戶安全需求當(dāng)前的主要解決方案 我們的重點 網(wǎng)絡(luò)安全概念業(yè)務(wù)運做的IT基礎(chǔ)設(shè)施核心業(yè)務(wù)IT解決方案1-1的互通互聯(lián)全球貿(mào)易平臺GTW電子商務(wù)基礎(chǔ)條件電子商務(wù)價值表現(xiàn)第一階段第二階段第三階段第四階段網(wǎng)絡(luò)基礎(chǔ)平臺 B-B 網(wǎng)絡(luò)社會 企業(yè)信息化網(wǎng)絡(luò)層面的安全 業(yè)務(wù)層面的安全 用戶整體的安全考慮 下游的安全整體考慮網(wǎng)絡(luò)安全的概念 “3”個安全問題 如何保證？用戶業(yè)務(wù)運營安全的目的安全的價值安全的意義？網(wǎng)絡(luò)安全的概念安全是什么?保證網(wǎng)絡(luò)及其中的資源能夠在需要的時候被需要的人正常的使用。這不是定義客戶的安全需求用戶的信息化級別：（一）信息化級別較

2、低處于用戶信息化初期，停留在OA等初級使用層面?zhèn)€人數(shù)據(jù)安全；防病毒需要；系統(tǒng)宕機(jī)后恢復(fù)無專人管理其它客戶的安全需求（二）具備一定信息化條件信息化基礎(chǔ)較好，已建有內(nèi)部專門的應(yīng)用網(wǎng)絡(luò)。但還未將業(yè)務(wù)與此掛鉤。各種應(yīng)用系統(tǒng)（財務(wù)，人事等）的安全；關(guān)注內(nèi)部網(wǎng)絡(luò)的可用性和可靠性專門的人員管理或分管管理層對信息安全有一定思路和投入計劃企業(yè)規(guī)模適中客戶的安全需求（三）較高信息化的企業(yè)有較完整的網(wǎng)絡(luò)基礎(chǔ)設(shè)施業(yè)務(wù)運行需要依靠現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施且業(yè)務(wù)的信息化程度較高。對現(xiàn)有運營數(shù)據(jù)比較敏感企業(yè)規(guī)模較大相對較穩(wěn)定有著較明確的安全策略并在一定程度上貫徹執(zhí)行業(yè)務(wù)可能外包?？蛻舻陌踩枨螅ㄋ模┝眍愑脩暨\營商或大型企業(yè)的服務(wù)

3、性部門特點：服務(wù)的對象為一般不是自身。主要是保證其提供服務(wù)的對象的網(wǎng)絡(luò)安全。對于運營網(wǎng)絡(luò)的技術(shù)性考慮較為全面，周全。但對于自身的網(wǎng)絡(luò)安全欠考慮。對設(shè)備的穩(wěn)定性要求和性能考慮更多；更能行考慮較少。一般存在主機(jī)安全、網(wǎng)絡(luò)安全兩種聲音存在重復(fù)投資當(dāng)前的主要網(wǎng)絡(luò)安全解決方案為什么有網(wǎng)絡(luò)安全問題：最初面向研究的Internet和它的通信協(xié)議群是為比現(xiàn)在良好得多的環(huán)境而設(shè)計的。應(yīng)該說, 那是一個君子的環(huán)境, 用戶和主機(jī)之間互相信任, 志在進(jìn)行自由開放的信息交換。在這樣的環(huán)境里, 使用Internet的人實際上就是創(chuàng)建Internet的人。隨著時間的推移, Internet變得更加有用和可靠, 別的人也就參

4、雜了進(jìn)來。人越來越多, 共同目標(biāo)卻越來越少, Internet的初衷漸漸地被扭曲了.當(dāng)前的主要網(wǎng)絡(luò)安全解決方案為什么有網(wǎng)絡(luò)安全問題：導(dǎo)致網(wǎng)絡(luò)安全問題的原因有方方面面。國家機(jī)密、商業(yè)競爭、對顧主單位的不滿、對網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)、對企業(yè)核心機(jī)密的企望、網(wǎng)絡(luò)接入帳號、信用卡號等金錢利益的誘惑、利用攻擊網(wǎng)絡(luò)站點而出名、對網(wǎng)絡(luò)的好奇心（這方面主要是孩子們）等，當(dāng)然其它一些原因也都可能引起攻擊者的蓄意攻擊行為。但是從已見報道的網(wǎng)絡(luò)犯罪案件來看，多數(shù)網(wǎng)絡(luò)犯罪者都很年輕，它們表示原來并不知道這樣做是犯罪。另外，目前國內(nèi)多數(shù)網(wǎng)絡(luò)系統(tǒng)管理人員和工程施工人員對網(wǎng)絡(luò)安全問題重視不夠，意識淡漠，建設(shè)中或建設(shè)后在沒有采取

5、足夠的安全防護(hù)措施的情況下，將網(wǎng)絡(luò)接入因特網(wǎng)上，也為計算機(jī)犯罪打開了方便之門。使得一些青少年利用從網(wǎng)絡(luò)上學(xué)來的簡單入侵手段就能在網(wǎng)絡(luò)上通行無阻，在滿足自己好奇心的同時，觸犯了國家法律。 當(dāng)前的主要網(wǎng)絡(luò)安全解決方案現(xiàn)有網(wǎng)絡(luò)安全為什么會失效？網(wǎng)絡(luò)安全概念中有一個木桶理論從技術(shù)角度分析，網(wǎng)絡(luò)安全體系失敗的原因有以下幾種原因：首先，從芯片、操作系統(tǒng)到應(yīng)用程序，任何一個環(huán)節(jié)都可能被開發(fā)者留下“后門”。 其次，網(wǎng)絡(luò)設(shè)備和軟件不可能是完美的，在設(shè)計開發(fā)過程中必然會出現(xiàn)缺陷和漏洞。這些漏洞和缺 陷恰恰是黑客進(jìn)行攻擊的目標(biāo)。再次，對于網(wǎng)絡(luò)企業(yè)網(wǎng)或者ISP的公網(wǎng)來說，管理的失敗是網(wǎng)絡(luò)安全體系失敗的非常重要的原因。

6、 當(dāng)前的主要網(wǎng)絡(luò)安全解決方案完整的網(wǎng)絡(luò)解決方案應(yīng)包括哪些？有效的安全策略網(wǎng)絡(luò)安全的目標(biāo)范圍、培養(yǎng)安全意識，制定安全制度研究技術(shù)方案方案/產(chǎn)品選型分期實施計劃資金設(shè)備當(dāng)前的主要網(wǎng)絡(luò)安全解決方案不同的行業(yè)要求需要對應(yīng)不同的安全策略！電信行業(yè)基礎(chǔ)電信運營商 增值電信運營商 增值內(nèi)容提供商 增值服務(wù)提供商移動業(yè)務(wù)，固網(wǎng)，新增寬帶數(shù)據(jù)運營所對應(yīng)的安全策略各有側(cè)重！其它的行業(yè)，各有行業(yè)特點：金融、政府、軍隊、能源、交通等根據(jù)行業(yè)的特點對于安全的要求也各有不同。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案 技術(shù)方向：技術(shù)融合，突出整體。 防火墻、入侵檢測、網(wǎng)絡(luò)掃描、安全評估、認(rèn)證及授權(quán)等各項原本基于主機(jī)或網(wǎng)絡(luò)的技術(shù)正走向融合

7、。以往的被動防護(hù)結(jié)合主動防護(hù)技術(shù)，凸現(xiàn)整體防護(hù)意識。處理能力和可用性明顯增強(qiáng)，安全設(shè)備的級別逐漸提高到電信級別。 安全設(shè)備和其它的網(wǎng)絡(luò)設(shè)備結(jié)合使用或基于原有的網(wǎng)絡(luò)設(shè)備，性能獲重 大提高。 如CISCO的新一代硬件防火墻。由網(wǎng)絡(luò)邊緣向骨干提升，成為網(wǎng)絡(luò)設(shè)計中不可缺少的環(huán)節(jié)。分布式系統(tǒng)結(jié)構(gòu)開始作為一個提高性能和可靠性的關(guān)鍵因素獲得使用。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案解決方案的組成： 網(wǎng)絡(luò)防火墻、入侵檢測、網(wǎng)絡(luò)掃描、流量監(jiān)控/分析、主機(jī)防火墻、身份認(rèn)證/鑒權(quán)、數(shù)據(jù)加/解密、物理隔離、防病毒如何選用當(dāng)前的主要網(wǎng)絡(luò)安全解決方案分清目標(biāo)?。慨?dāng)前的安全問題？未來的安全考慮？重點業(yè)務(wù)的安全問題/隱患賣方案賣產(chǎn)品將

8、來的問題，賣VISION！當(dāng)前的主要網(wǎng)絡(luò)安全解決方案產(chǎn)品篇一、防火墻1、硬件防火墻NETSCREEN、NORTEL、CISCO2、基于專用PC結(jié)構(gòu)的防火墻CISCO、NOKIA、WATCHGUARD、SAMSUNG3、軟件防火墻CHECKPOINT、NORTON當(dāng)前的主要網(wǎng)絡(luò)安全解決方案4、其他LinkTrust CyberWall防火墻 LinkTrust CyberWall-100防火墻屬于固態(tài)專用防火墻，外觀大方漂亮，帶有三個不同的管理界面： WebGUI、命令行和前面板的小鍵盤。集成有狀態(tài)檢查包過濾、應(yīng)用代理、NAT、VPN、HA等特性 IBM防火墻 IBM全球網(wǎng)絡(luò)數(shù)十年的安全運行，是

9、因為使用了IBM防火墻。現(xiàn)在IBM愿意和自己的客戶一道分享技術(shù)超群的IBM防火墻帶來的安全（這是IBM自己的宣傳）NetChina中網(wǎng)防火墻 簡單地說的話，NetChina中網(wǎng)防火墻屬于軟硬結(jié)合、包過濾、應(yīng)用代理混合的防火墻。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案Gaunlet (NAI) Gauntlet防火墻、PGP加密、Macfee反病毒、Cybercops的風(fēng)險評估和入侵探測是NAI公司的四大旗艦產(chǎn)品。當(dāng)前的Gauntlet Firewall 和Gauntlet VPN的特性包括：1 網(wǎng)絡(luò)過濾和應(yīng)用層代理 2 內(nèi)置業(yè)界優(yōu)秀的反病毒產(chǎn)品Macfee，保護(hù)內(nèi)部網(wǎng)不受病毒和惡意代碼（如java和acti

10、vex applet的侵?jǐn)_ 3 包含VPN模塊，迅速建立廣域范圍內(nèi)的VPN。 另外，NAI公司利用PGP軟件的威力即將推出桌面?zhèn)€人防火墻產(chǎn)品PGP-Desktop Security（個人防火墻）。該個人防火墻將包含入侵探測、VPN、集中管理等功能。運行平臺包括windows 9x/nt/2000等。CA公司GuardIT防火墻 CA公司緊鑼密鼓，加班加點，連買帶寫，產(chǎn)品線越來越長。中聯(lián)綠盟“綠色警戒”個人防火墻 當(dāng)前產(chǎn)品包括win/2000和win/nt兩個版本。綠色警戒1.1版是中聯(lián)綠盟信息技術(shù)公司開發(fā)的Win2000下個人防火墻軟件。該版本在1.0版本的基礎(chǔ)上增加了以下功能：1)前瞻性的木

11、馬程序檢測。2)先進(jìn)的基于服務(wù)的防護(hù)概念。3)靈活的IP過濾策略。4)端口描述。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案諾頓個人防火墻諾頓是著名的防病毒廠家。當(dāng)前推出的個人防火墻 Norton Personal Firewall 2000 2.0版能夠與其Anti-Virus 2000緊密集成。具有下面一些特點：- 識別并防止黑客攻擊，- 具有一定的“網(wǎng)絡(luò)隱身”能力- 保護(hù)個人隱私信息- 選擇甄別“cookie”等網(wǎng)站追蹤個人網(wǎng)上行動的手段- 容易與Anti-Virus 2000集成，提供全面保護(hù)- 工作于Win9x/NT/2000平臺之上 朗訊Lucent Managed Firewall v4.0 業(yè)界

12、巨人新推出包括VPN、防火墻、IDS等在內(nèi)的一攬子安全解決方案。目前，其具體性能及應(yīng)用情況尚不得而知。其防火墻Lucent Managed Firewall v4.0防火墻功能與防火墻的管理分離開來，防火墻部分使用小巧、有效的lucent專有操作系統(tǒng)Inferno（TM）之上，而管理部分可以工作于NT或者solaris之上。防火墻硬件采用奔騰體系（PentiumII333)的黑盒子結(jié)構(gòu).當(dāng)前的主要網(wǎng)絡(luò)安全解決方案Firewall-1 (CheckPoint) 業(yè)界最為流行、市場占有率最高的一種。支持網(wǎng)絡(luò)地址翻譯（NAT）、流量分擔(dān)、VPN、加密認(rèn)證等功能。PIX (Cisco) 典型的網(wǎng)絡(luò)層包

13、過濾專用防火墻，支持網(wǎng)絡(luò)地址翻譯（NAT），在國內(nèi)的163/169網(wǎng)絡(luò)上面應(yīng)用很多。但是沒有能力防御應(yīng)用層的攻擊、無法進(jìn)行內(nèi)容過濾，例如Java、ActiveX以及病毒過濾等。NetScreen 硬件級黑盒子方式防火墻，在163/169網(wǎng)絡(luò)中有 部分應(yīng)用。最近，其新推出的G比特防火墻引人注目。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案天融信“網(wǎng)絡(luò)衛(wèi)士”防火墻 天融信是一家資格較深的國內(nèi)防火墻廠家，目前在國內(nèi)的政府、企業(yè)中有不少應(yīng)用。下面是摘自其網(wǎng)站的有關(guān)“網(wǎng)絡(luò)衛(wèi)士”系統(tǒng)組成的簡要介紹。 防火墻模塊（硬件）：是一個基于安全的操作系統(tǒng)平臺的自主版權(quán)的高級訪問控制系統(tǒng)。管理器模塊（軟件）：一個集中式防火墻管理系統(tǒng)（

14、運行于WIN95、WIN98環(huán)境下）。一次性口令用戶客戶端模塊（軟件）：運行于WIN95、WIN98環(huán)境下入侵檢測監(jiān)控臺模塊（軟件）：運行于WIN95、WIN98環(huán)境下NetPolice （西安信利） 國內(nèi)開發(fā)，基于Linux內(nèi)核，黑盒子方式。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案S (天網(wǎng)安全) 國內(nèi)開發(fā)，總部位于廣州，近期內(nèi)北京分公司即將開張。防火墻產(chǎn)品包括黑盒子方式高速防火墻以及最近推出的單機(jī)版?zhèn)€人防火墻。其中的高速防火墻在國內(nèi)若干重要場合獲得應(yīng)用。中科網(wǎng)威“長城”防火墻 國內(nèi)自主開發(fā)，與網(wǎng)威掃描軟件等同出于中科院高能所網(wǎng)威工作室。目前，該工作室產(chǎn)品已逐漸形成系列，包括“長城”防火墻、“火眼”網(wǎng)絡(luò)安

15、全掃描系統(tǒng)、“金睛”系統(tǒng)安全掃描系統(tǒng)、“磐石”網(wǎng)站監(jiān)控系統(tǒng)、“天眼”網(wǎng)絡(luò)偵測系統(tǒng)。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案清華紫光UNISECURE系列防火墻 北京清華紫光股份有限公司控股與四川順風(fēng)通信有限責(zé)任公司參股共同組建了一個專業(yè)化信息安全公司-紫光順風(fēng)公司，專門開發(fā)經(jīng)營網(wǎng)絡(luò)安全產(chǎn)品，目前的安全產(chǎn)品包括UF3100、UF3500防火墻、安全路由器、SecMail安全電子郵件、同步加密機(jī)、WebGate Web安全訪問系統(tǒng)、異步加密機(jī)、SFeCA 數(shù)字證書管理系統(tǒng)、密鑰管理中心、SEM安全保密模塊等。Raptor (Axent） 在業(yè)界口碑很好，在國內(nèi)市場尚未打開。NetShine （實達(dá)郎新） 國內(nèi)開

16、發(fā)，基于Linux內(nèi)核，黑盒子方式。當(dāng)前的主要網(wǎng)絡(luò)安全解決方案當(dāng)前的主要網(wǎng)絡(luò)安全解決方案二、入侵檢測設(shè)備主要產(chǎn)品、廠家當(dāng)前的主要網(wǎng)絡(luò)安全解決方案市場情況（1999年）當(dāng)前的主要網(wǎng)絡(luò)安全解決方案國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域的特點： “天下大勢， 分久必合， 合久必分”。 當(dāng)前的主要網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)安全產(chǎn)品的市場這一二年中增長得非常迅速，其中防火墻產(chǎn)品占了很大的份額。于是，大家從商業(yè)的眼光角度出發(fā)希望占領(lǐng)市場的熱情都無可厚非。但是，簡單算一筆帳，開發(fā)一個新產(chǎn)品、建立完整的文檔、周密的測試、市場推廣與技術(shù)支持、繼續(xù)開發(fā)。需要維持多少個工程師呢？按照我現(xiàn)在的了解，大概每種國內(nèi)的防火墻廠家大概的開發(fā)與測試與文

17、檔的工程師在20人上下，還要加上更多的市場人員。按照北京差不多的工資水平，大概平均一個工程師年開支至少10萬元，工資、租金、廣告、差旅費等等下來差不多要上千萬元。而一般防火墻的定價大概也在10萬元左右。如果想要收回成本，即要每年賣到上百套。數(shù)十種產(chǎn)品，前面幾種名牌要分掉大部分，排在后面的廠家只好進(jìn)入“ST”版塊了，繼續(xù)尋找“風(fēng)投”的青睞。更不要說，同時開發(fā)、維護(hù)、推廣幾種安全產(chǎn)品。 這樣的狀況很容易讓人聯(lián)想到當(dāng)前的“數(shù)也數(shù)不清”的、在“今年的網(wǎng)站企業(yè)會尸橫遍野”的預(yù)測中奮力沖向股市的網(wǎng)站們。YAHOO在賺錢，但更多的網(wǎng)站都在“ST”。 掃描器、入侵探測、防火墻等作出一個產(chǎn)品都不難，難處在于能夠

18、讓自己的產(chǎn)品體現(xiàn)出自己的個性，保持“性能”、“手法”等方面的先進(jìn)性，比方說關(guān)鍵的“攻擊特征庫”。ISS在維護(hù)其掃描器、入侵探測兩個產(chǎn)品的人力超過千人，CHECKPOINT在其單純防火墻一個產(chǎn)品上面的工程師也達(dá)到了數(shù)百人。當(dāng)然，人數(shù)的眾寡不能簡單的代表產(chǎn)品的優(yōu)劣。我在這里想說的是“網(wǎng)絡(luò)安全產(chǎn)品市場也需要一個規(guī)模效應(yīng)”。 因此，經(jīng)過一番激烈的市場競爭后，在1-2年內(nèi)，國內(nèi)可能會出現(xiàn)相當(dāng)程度的安全企業(yè)之間的兼并、聯(lián)合。避免重復(fù)開發(fā)，提高開發(fā)效率，更有效地利用資金。這樣，在競爭中生存下來的幾個國內(nèi)品牌在國家政策方面的支持下，在企業(yè)規(guī)模方面、產(chǎn)品完整性方面、市場和技術(shù)支持方面將會具有更多的機(jī)會贏得中國的網(wǎng)絡(luò)安全產(chǎn)品市場。我們的重點充分利用現(xiàn)有的資源Cisco的戰(zhàn)略從長遠(yuǎn)角度更符合重新規(guī)劃或建設(shè)大規(guī)模新項目的用戶需要。Netscreen更傾向于解決現(xiàn)有問題。Radware等廠商的邊緣解決方案未來的技術(shù)發(fā)展方向?qū)⒊霈F(xiàn)分歧！與其他業(yè)務(wù)/應(yīng)用、項目規(guī)劃建設(shè)相結(jié)合結(jié)合其他的網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合應(yīng)用服務(wù)（軟硬件）結(jié)合企業(yè)內(nèi)外部考慮結(jié)合其他的解決辦法我們的重點需要注意的是：產(chǎn)品&服務(wù)的結(jié)合突出整體解決方案一個都不能少!ReliabilityInvestment Protectio