試談網(wǎng)絡安全的生態(tài)環(huán)境

網(wǎng)絡安全的生態(tài)環(huán)境—NetEye網(wǎng)絡安全產(chǎn)品的研制開發(fā)和應用

東軟軟件股份有限公司曹

斌生態(tài)環(huán)境的啟示在網(wǎng)絡安全防御與攻擊的斗爭中，防御能力正受到日益增強的挑戰(zhàn)網(wǎng)絡安全的產(chǎn)業(yè)正發(fā)展成為一個復雜的，由多種角色構成的生態(tài)環(huán)境斗爭手段的不斷升級將促進防御技術、防御系統(tǒng)的工作模式的不斷進化網(wǎng)絡安全：復雜的生態(tài)環(huán)境

社會活動：大規(guī)模的安全危機信息系統(tǒng)不斷產(chǎn)生新的缺陷缺陷被用來產(chǎn)生新的攻擊手段攻擊手段產(chǎn)生了可見的效果危機階段1：攻擊手段發(fā)揮作用但是沒有被察覺研究機構根據(jù)發(fā)生的岸例識別出攻擊的特征危機階段2：攻擊特征尚未準確提取防御手段的產(chǎn)生：信息系統(tǒng)廠商提供修補缺陷的辦法安全產(chǎn)品廠商提供防御的手段危機階段3：針對攻擊的原理廠商尚未提供補救措施用戶實施防御措施危機階段4：用戶沒有及時實施防御措施用戶改進安全策略，對該攻擊模式永久免疫

網(wǎng)絡安全：復雜的生態(tài)環(huán)境局部生態(tài)：黑客用來攻擊的武器庫日益龐大，在一個具體的攻擊事件中，任何一個已知的和未知的攻擊工具都有可能在局部安全事件中發(fā)揮作用。

攻擊嘗試階段（掃描和攻擊嘗試）“活動異?！钡拿舾须A段破壞階段“功能異常”敏感階段重復攻擊“功能異?！泵舾须A段破壞擴大“功能異?！泵舾须A段局部安全防御體系中的角色防御的核心：安全管理人員具備攻擊知識庫的預警系統(tǒng)幫助管理人員盡早發(fā)現(xiàn)異常外部提供知識和分析能力的專家隊伍對管理人員提供知識上的幫助并在大規(guī)模的安全事件中獲得“超前預警”診斷和監(jiān)測安全狀況的探察系統(tǒng)幫助由安全管理人員分析問題的工具實施安全防御策略的對攻擊產(chǎn)生防御作用進化的必要性信息系統(tǒng)的復雜性是不斷增加的復雜性的增加導致缺陷和脆弱性的增加永遠存在出現(xiàn)目前的防御體系所不能抵御的攻擊方法的可能性攻擊的破壞代價存在不斷增大的趨勢防御系統(tǒng)必須不斷進化以適應新的安全環(huán)境防御系統(tǒng)中的能力的進化人的因素的加強雇傭軍：借助外力培訓：增強自身力量建立信息網(wǎng)絡：迅速獲取防御的知識產(chǎn)品能力產(chǎn)品通過不斷更新以能夠對新的攻擊產(chǎn)生識別和防御的能力產(chǎn)品與人的結合能力安全產(chǎn)品將包含越來越多的工具特征，使安全技術人員能借助產(chǎn)品的能力對網(wǎng)絡上的異常做出正確的響應網(wǎng)絡安全產(chǎn)品的發(fā)展趨勢核心技術仍有較大的發(fā)展空間防火墻：應用層防御能力急需加強入侵檢測：檢測準確度遠不能滿足要求，對異常事件的鑒別手段仍然不夠，“動態(tài)防御”的概念的實際效果受到挑戰(zhàn)，但是如果從專注于自動防御轉變?yōu)楦幼⒅貙Π踩芾砣藛T的輔助工具的作用，有可能發(fā)展成為網(wǎng)絡安全管理的核心部件VPN：易用性和性能是需要克服的兩個最大問題以設備為中心發(fā)展到以人為中心對抗黑客技術仍需“以人為本”新的網(wǎng)絡安全概念：網(wǎng)絡安全響應中心產(chǎn)品安全事件的應對措施越來越復雜，如何使組織在最短的時間內(nèi)徹底實施有效的應對措施正日益成為新的挑戰(zhàn)東軟在安全產(chǎn)業(yè)的發(fā)展思路為網(wǎng)絡安全工程師提供最佳裝備產(chǎn)品為人服務把最重要的功能做到最好核心產(chǎn)品：防火墻入侵檢測網(wǎng)絡加密通道公共的管理工具：策略編輯工具審計系統(tǒng)監(jiān)控系統(tǒng)東軟在信息安全領域的發(fā)展歷程1995年在東北大學軟件中心成立網(wǎng)絡安全實驗室1996年作為國家計算機軟件工程中心承接國家“九五”攻關項目—“具有信息分析功能的防火墻”1998年在科研項目的基礎上由東大阿爾派完成產(chǎn)品化并投入市場2000年先后推出了NetEye入侵檢測、VPN、CA、安全數(shù)據(jù)庫等系列安全產(chǎn)品，成為信息安全完整解決方案的供應商先后承接了多項國家級的信息安全領域的科研或產(chǎn)業(yè)化項目：九五攻關項目國家“863”項目國家“863”信息安全應急計劃國家計委“信息安全產(chǎn)業(yè)化項目”國家信息安全管理辦公室“網(wǎng)絡安全專題項目”國家教育科研網(wǎng)網(wǎng)絡安全項目東軟股份信息息安全體系的的構成產(chǎn)品定位為企企業(yè)級/電信級的安全全系統(tǒng)產(chǎn)品線主要解解決的問題：：網(wǎng)絡訪問控制制與入侵防御御網(wǎng)絡級的信息息加密傳輸集中控制的安安全管理通過合作和集集成解決的問問題：防病毒引擎身份鑒別部件件應用級加密加密算法可以獨立使用用的安全產(chǎn)品品NetEye防火墻產(chǎn)品NetEyeVPN產(chǎn)品NetEye入侵檢測產(chǎn)品品NetEye企業(yè)個人安全全平臺12/29/2022產(chǎn)品體系企業(yè)邊界防火火墻（VPN集中器）入侵檢測探頭頭個人安全平臺臺個人安全平臺臺審計中心數(shù)據(jù)據(jù)庫集中安全策略略管理監(jiān)控平臺分支機構的邊邊界防火墻和和VPN網(wǎng)管防火墻與VPN：網(wǎng)絡邊界訪訪問控制，數(shù)數(shù)據(jù)加密與通通道入侵侵檢檢測測：：內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡絡監(jiān)監(jiān)測測，，應應用用層層審審計計個人人安安全全平平臺臺：：個個人人主主機機防防御御，，VPN前端端連接接部部件件：：集中中的的審審計計中中心心全局局安安全全策策略略制制訂訂實時時網(wǎng)網(wǎng)絡絡監(jiān)監(jiān)控控產(chǎn)品品設設計計理理念念把安安全全產(chǎn)產(chǎn)品品作作為為網(wǎng)網(wǎng)絡絡安安全全防防御御體體系系的的部部件件進進行行設設計計系統(tǒng)統(tǒng)結結構構清清晰晰具備備與與其其它它系系統(tǒng)統(tǒng)的的互互操操作作性性注重重核核心心安安全全能能力力的的提提高高通過過核核心心架架構構的的優(yōu)優(yōu)化化提提高高安安全全保保護護能能力力和和性性能能充分分注注重重人人在在防防御御體體系系中中的的核核心心作作用用作為為關關鍵鍵的的防防御御部部件件，，為為管管理理員員提提供供策策略略執(zhí)執(zhí)行行、、安安全全審審計計、、實實時時監(jiān)監(jiān)控控的的能能力力防火火墻墻、、入入侵侵檢檢測測、、VPN等產(chǎn)產(chǎn)品品既既是是防防御御部部件件又又是是安安全全管管理理的的有有效效工工具具兼顧顧產(chǎn)產(chǎn)品品的的性性能能、、可可靠靠性性和和易易用用性性所有有產(chǎn)產(chǎn)品品均均為為專專用用的的硬硬件件設設備備，，提提供供高高性性能能高高可可靠靠性性的的保保證證基于于WindowsGUI的圖圖形形化化管管理理工工具具提提供供最最大大程程度度的的易易用用性性NetEye安全全平平臺臺內(nèi)內(nèi)部部結結構構LinuxKernelFW網(wǎng)網(wǎng)絡絡層層部部件件VPN通通道道IDS數(shù)數(shù)據(jù)據(jù)收收集集IOCTL內(nèi)核核接接口口應用用層層控控制制審計計系系統(tǒng)統(tǒng)監(jiān)控控服服務務接接口口管理理服服務務CTLD：設設備備訪訪問問接接口口認證證服服務務NetEyeSocket控件件硬件件平平臺臺核心心產(chǎn)產(chǎn)品品：：NetEye防火火墻墻1996年九九五五攻攻關關項項目目立立項項1998年開開始始產(chǎn)產(chǎn)品品化化1999年5月NetEye1.0問世世（（XKC33014）2000年4月NetEye2.0發(fā)布布（（XKC33048）2001年6月NetEye3.0發(fā)布布（（XKC33113）通過過公公安安部部第第三三研研究究所所的的嚴嚴格格檢檢測測，，NetEye3.0符合合兩兩個個最最新新的的國國家家標標準準：：GB/T18019-1999：包包過過濾濾防防火火墻墻安安全全技技術術要要求求GB/T18020-1999：應應用用級級防防火火墻墻安安全全技技術術要要求求現(xiàn)有有防防火火墻墻產(chǎn)產(chǎn)品品的的局局限限性性體系系結結構構的的局局限限，，訪訪問問控控制制粒粒度度較較粗粗；；對新新出出現(xiàn)現(xiàn)的的漏漏洞洞和和攻攻擊擊方方式式不不能能迅迅速速提提供供有有效效的的防防御御辦辦法法；；管理理困困難難，，容容易易出出現(xiàn)現(xiàn)配配置置的的安安全全誤誤區(qū)區(qū)，，并并且且緊緊急急情情況況下下無無法法做做到到迅迅速速響響應應；；性能能和和穩(wěn)穩(wěn)定定制制約約了了大大范范圍圍的的使使用用?！，F(xiàn)有有防防火火墻墻的的體體系系結結構構主流流防防火火墻墻技技術術：：狀態(tài)態(tài)檢檢測測包包過過濾濾技技術術應用用代代理理技技術術目前前市市場場上上主主流流產(chǎn)產(chǎn)品品的的形形態(tài)態(tài)：：集成成了了狀狀態(tài)態(tài)檢檢測測包包過過濾濾和和應應用用代代理理的的混混合合型型產(chǎn)產(chǎn)品品核心心技技術術——流流過過濾濾以包包過過濾濾的的外外部部形形態(tài)態(tài)實實現(xiàn)現(xiàn)對對應應用用層層信信息息流流的的過過濾濾提供供覆覆蓋蓋應應用用層層和和網(wǎng)網(wǎng)絡絡層層的的完完整整的的訪訪問問控控制制流過過濾濾的的突突出出特特點點：：融合合了了狀狀態(tài)態(tài)檢檢測測包包過過濾濾和和應應用用代代理理安安全全保保護護能能力力具有有包包過過濾濾防防火火墻墻的的透透明明性性：：容容易易部部署署、、對對應應用用透透明明可以以實實現(xiàn)現(xiàn)應應用用防防護護特特性性的的迅迅速速升升級級以以抵抵御御新新出出現(xiàn)現(xiàn)的的攻攻擊擊手手段段專為為防防火火墻墻實實現(xiàn)現(xiàn)的的TCP協(xié)議議棧棧：：拋棄棄了了Socket接口口，，輕輕量量、、高高效效、、極極低低的的內(nèi)內(nèi)存存占占用用，，支支持持大大規(guī)規(guī)模模并并發(fā)發(fā)訪訪問問極強的的抗攻攻擊能能力抵御各各種TCP層的掃掃描NetEyeFW3.0的內(nèi)部部結構構基于信信息流流的安安全策策略狀態(tài)檢檢測模模塊狀態(tài)檢檢測模模塊NetEyeTCP協(xié)議棧棧NetEyeTCP協(xié)議棧棧IP數(shù)據(jù)包包數(shù)據(jù)流流核心多多處理理器平平臺OS核心輸入負荷均衡輸出集中協(xié)議分析訪問控制審計輸出協(xié)議分析訪問控制審計輸出協(xié)議分析訪問控制審計輸出協(xié)議分析訪問控制審計輸出CPU#1CPU#2CPU#3CPU#n站在巨巨人的的肩膀膀上解解決性性能問問題國內(nèi)唯唯一的的提供供多處處理器器核心心的防防火墻墻產(chǎn)品品，并并在中中高端端型號號提供供雙處處理器器的缺缺省配配置主要操操作全全部在在OS內(nèi)核級級進行行，減減少了了進程程切換換和數(shù)數(shù)據(jù)拷拷貝的的開銷銷計算負負荷均均勻分分擔到到多個個處理理器上上，使使系統(tǒng)統(tǒng)能夠夠支持持千兆兆級的的處理理能力力采用IntelPIIIXeon處理器器的SMP架構，，最多多可以以支持持4顆CPU包含策策略編編輯、、安全全審計計、實實時監(jiān)監(jiān)控分分析的的安全全管理理平臺臺NetEye防火墻墻的管管理工工具NetEye入侵檢檢測產(chǎn)產(chǎn)品：：網(wǎng)絡安安全管管理平平臺基于知知識庫庫的攻攻擊預預警網(wǎng)絡層層和應應用層層審計計實時網(wǎng)網(wǎng)絡監(jiān)監(jiān)控NetEyeVPN產(chǎn)品（（SJW20）Ipsec標準協(xié)協(xié)議實實現(xiàn)國產(chǎn)專專用加加密芯芯片支持LANtoLAN的連接接方式式和移移動用用戶對對企業(yè)業(yè)內(nèi)部部網(wǎng)的的虛擬擬接入入方式式支持在在連接接節(jié)點點上制制定訪訪問控控制策策略全局安安全管管理、、集中中審計計、實實時監(jiān)監(jiān)控東軟安安全技技術持持續(xù)發(fā)發(fā)展能能力提供安安全產(chǎn)產(chǎn)品廠廠商的的健康康發(fā)展展是對對用戶戶投資資的最最重要要的保保護保證持持續(xù)發(fā)發(fā)展的的規(guī)模模化的的研發(fā)發(fā)隊伍伍嚴格的的質量量保證證體系系服務能能力研發(fā)