網(wǎng)絡(luò)安全及安全技術(shù)的發(fā)展趨勢(shì)

CISP＆TCSP哈分公司技術(shù)總監(jiān)：李文學(xué)北京天融信網(wǎng)絡(luò)安全有限公司網(wǎng)絡(luò)安全及安全技術(shù)的發(fā)展趨勢(shì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)目錄網(wǎng)絡(luò)安全發(fā)展的回顧網(wǎng)絡(luò)安全經(jīng)過(guò)了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等。在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對(duì)信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡(jiǎn)單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。網(wǎng)絡(luò)安全發(fā)展的回顧安全協(xié)議方面，眾多標(biāo)準(zhǔn)化組織制定了許多標(biāo)準(zhǔn)和草案，尤其是以RFC文稿出現(xiàn)的協(xié)議標(biāo)準(zhǔn)更是成了網(wǎng)絡(luò)安全設(shè)備的基礎(chǔ)。舉例說(shuō)，VPN技術(shù)就是建立在安全隧道基礎(chǔ)上的，點(diǎn)對(duì)點(diǎn)的隧道協(xié)議（PPTP：RFC2637）和第2層隧道協(xié)議（L2TP：RFC2661）提供遠(yuǎn)程PPP客戶到LAN的安全隧道，因此，網(wǎng)絡(luò)安全要不斷發(fā)展和開發(fā)滿足新的需求的安全協(xié)議。

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶，在剛剛開始面對(duì)安全問題的時(shí)候，考慮的往往就是這“老三樣”?？梢哉f(shuō)，這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說(shuō)是以其為主的安全產(chǎn)品正面臨著許多新的問題。

首先，從用戶角度來(lái)看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次，未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

網(wǎng)絡(luò)安全發(fā)展的回顧

再次,雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來(lái)非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。所以說(shuō)，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡(luò)安全的整體技術(shù)框架來(lái)看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全，需要將側(cè)重點(diǎn)集中在信息語(yǔ)義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。網(wǎng)絡(luò)安全發(fā)展的回顧

傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式、事后糾正式的管理方式，而安全建設(shè)停留在靜態(tài)的防護(hù)技術(shù)上，更多采用的是以點(diǎn)概面和就事論事的方法。導(dǎo)致的結(jié)果是不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失。網(wǎng)絡(luò)安全發(fā)展的回顧（管理和建設(shè)）防病毒例：1、網(wǎng)絡(luò)出現(xiàn)病毒防火墻、入侵檢測(cè)等2、網(wǎng)絡(luò)出現(xiàn)攻擊審計(jì)系統(tǒng)、管理系統(tǒng)3、管理問題出現(xiàn)投資不小但網(wǎng)絡(luò)安全狀況依然不理想問題：網(wǎng)絡(luò)安全發(fā)展的回顧（管理和建設(shè)）例：2、防火墻、入侵監(jiān)測(cè)等網(wǎng)絡(luò)出現(xiàn)攻擊3、審計(jì)系統(tǒng)、管理系統(tǒng)管理問題出現(xiàn)投資不小但網(wǎng)絡(luò)安全狀況依然不理想問題：基本解決病毒問題（病毒對(duì)網(wǎng)絡(luò)影響?。┗窘鉀Q攻擊問題（攻擊對(duì)網(wǎng)絡(luò)影響?。┗窘鉀Q管理問題（管理對(duì)網(wǎng)絡(luò)影響?。?、防病毒系統(tǒng)網(wǎng)絡(luò)出現(xiàn)病毒4、新的復(fù)雜的安全事件出現(xiàn)現(xiàn)有的防護(hù)系統(tǒng)很難解決網(wǎng)絡(luò)安全發(fā)展的回顧（管理和建設(shè)）關(guān)于網(wǎng)絡(luò)安全的一些觀念誤區(qū)網(wǎng)絡(luò)安全是一次性投資可以完成的.網(wǎng)絡(luò)安全純粹是技術(shù)人員的工作，重視技術(shù)，輕視管理網(wǎng)絡(luò)安全只要買一批好產(chǎn)品就能完成，重視產(chǎn)品，輕視人為因素；應(yīng)該由自己?jiǎn)挝坏募夹g(shù)人員全部完成重視外部安全，輕視內(nèi)部安全；重視局部，忽略整體；靜態(tài)不變；系統(tǒng)工程攻防技術(shù)是在對(duì)抗中不斷發(fā)展的組織(制訂制度),技術(shù),管理(執(zhí)行制度)根據(jù)情況,大的趨勢(shì)是社會(huì)分工越來(lái)越細(xì)專業(yè)安全服務(wù)公司專業(yè)安全服務(wù)的外包隨著信息息系統(tǒng)的的開放化化、網(wǎng)絡(luò)絡(luò)化、復(fù)復(fù)雜化發(fā)發(fā)展，信信息安全全建設(shè)不不再局限限于單個(gè)的技術(shù)術(shù)產(chǎn)品，，而是需需要綜合合考慮的的一個(gè)體體系。這這個(gè)體系系是一個(gè)個(gè)動(dòng)態(tài)的的、協(xié)調(diào)調(diào)聯(lián)動(dòng)的、系系統(tǒng)化、、程序化化和文件件化的安安全防護(hù)護(hù)體系。。而這個(gè)個(gè)體系體體現(xiàn)預(yù)防防控制為為主的思想，，強(qiáng)調(diào)全全過(guò)程和和動(dòng)態(tài)控控制，本本著控制制費(fèi)用與與風(fēng)險(xiǎn)平平衡的原原則合理理選擇安安全控制方式式保護(hù)組組織所擁?yè)碛械年P(guān)關(guān)鍵信息息資產(chǎn)，，使信息息風(fēng)險(xiǎn)的的發(fā)生概概率和結(jié)結(jié)果降低低到可接受收收水平，，確保信信息的保保密性、、完整性性和可用用性，保保持組織織業(yè)務(wù)運(yùn)運(yùn)作的持持續(xù)性。。網(wǎng)絡(luò)安全全發(fā)展的的趨勢(shì)什么是安安全新的安全全定義及時(shí)的檢檢測(cè)就是是安全及時(shí)的響響應(yīng)就是是安全PtDtPt:ProtectiontimePt>+RtDt:DetectiontimeRt:ResponsetimeDtRt安全＝及及時(shí)的檢檢測(cè)和處處理我們稱之之為防護(hù)護(hù)時(shí)間Pt：黑黑客在到到達(dá)攻擊擊目標(biāo)之之前需要要攻破很很多的設(shè)設(shè)備(路路由器，，交換機(jī)機(jī))、系系統(tǒng)（NT，UNIX）和放放火墻等等障礙，，在黑客客達(dá)到目目標(biāo)之前前的時(shí)間間；在黑客攻攻擊過(guò)程程中，我我們檢測(cè)測(cè)到他的的活動(dòng)的的所用時(shí)時(shí)間稱之之為Dt，檢測(cè)測(cè)到黑客客的行為為后，我我們需要要作出響響應(yīng)，這這段時(shí)間間稱之為為Rt.假如能做做到Dt+Rt<Pt,那么么我們可可以說(shuō)我我們的目目標(biāo)系統(tǒng)統(tǒng)是安全全的PtDtRtDtPt>+Rt網(wǎng)絡(luò)安全全框架體體系從兩大角角度考慮慮：網(wǎng)絡(luò)安全全管理框框架網(wǎng)絡(luò)安全全技術(shù)框框架網(wǎng)絡(luò)安全全框架體體系網(wǎng)絡(luò)安全全管理體體系網(wǎng)絡(luò)安全全技術(shù)體體系網(wǎng)絡(luò)安全全組織網(wǎng)絡(luò)安全全策略網(wǎng)絡(luò)安全全保障機(jī)機(jī)制管理和維維護(hù)隊(duì)伍技術(shù)支撐撐隊(duì)伍應(yīng)急響應(yīng)應(yīng)隊(duì)伍綱領(lǐng)性策策略管理規(guī)章章制度操作流程程和規(guī)程程應(yīng)急響應(yīng)應(yīng)風(fēng)險(xiǎn)管理理安全預(yù)警警安全培訓(xùn)訓(xùn)區(qū)域邊界界保護(hù)網(wǎng)絡(luò)內(nèi)部部環(huán)境保保護(hù)網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)設(shè)施網(wǎng)絡(luò)安全全支持設(shè)設(shè)施防火墻技技術(shù)入侵檢測(cè)測(cè)技術(shù)日志和備備份技術(shù)術(shù)防病毒技技術(shù)評(píng)估、修修補(bǔ)、加加固防源地址址欺騙路由安全全安全網(wǎng)管管反垃圾郵郵件密鑰管理理設(shè)施檢測(cè)和響響應(yīng)設(shè)施施網(wǎng)絡(luò)安全全管理體體系框架架建立完善善的安全全組織結(jié)結(jié)構(gòu)建立層次次化的網(wǎng)網(wǎng)絡(luò)安全全策略包括綱領(lǐng)領(lǐng)性策略略各種安全全制度、、安全規(guī)規(guī)范和操操作流程程應(yīng)用各種種安全機(jī)機(jī)制包括網(wǎng)絡(luò)絡(luò)安全預(yù)預(yù)警機(jī)制制安全風(fēng)險(xiǎn)險(xiǎn)識(shí)別和和控制機(jī)機(jī)制應(yīng)急響應(yīng)應(yīng)機(jī)制安全培訓(xùn)訓(xùn)機(jī)制網(wǎng)絡(luò)安全全技術(shù)體體系框架架區(qū)域邊界界保護(hù)網(wǎng)絡(luò)內(nèi)部部環(huán)境保保護(hù)網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)設(shè)施保保護(hù)網(wǎng)絡(luò)安全全支持設(shè)設(shè)施網(wǎng)絡(luò)安全全技術(shù)體體系框架架－區(qū)域域邊界保保護(hù)目標(biāo)：著著重對(duì)重重要的安安全區(qū)域域進(jìn)行保保護(hù)，，包括支支撐系統(tǒng)統(tǒng)業(yè)務(wù)系系統(tǒng)、管管理系統(tǒng)統(tǒng)，如認(rèn)認(rèn)證和計(jì)計(jì)費(fèi)系統(tǒng)統(tǒng)、域名名服務(wù)系系統(tǒng)、網(wǎng)網(wǎng)管中心心、IDC系統(tǒng)統(tǒng)等。常用的技技術(shù):防火墻技技術(shù)入侵檢測(cè)測(cè)技術(shù)。。其他防護(hù)護(hù)技術(shù)產(chǎn)產(chǎn)品網(wǎng)絡(luò)安全全技術(shù)體體系框架架－網(wǎng)絡(luò)絡(luò)內(nèi)部環(huán)環(huán)境保護(hù)護(hù)目標(biāo)：減少內(nèi)部部環(huán)境中中存在的的安全漏漏洞。防止計(jì)算算機(jī)病毒毒在內(nèi)部部環(huán)境的的傳播。。提高對(duì)網(wǎng)網(wǎng)絡(luò)攻擊擊的發(fā)現(xiàn)現(xiàn)能力以以及在安安全事件件發(fā)生后后的跟蹤蹤和追查查能力。。提高網(wǎng)絡(luò)絡(luò)安全事事件發(fā)生生后的恢恢復(fù)能力力。對(duì)應(yīng)保護(hù)護(hù)技術(shù)系統(tǒng)安全全加固本地安全全掃描防病毒日志與備備份技術(shù)術(shù)網(wǎng)絡(luò)安全全技術(shù)體體系框架架－網(wǎng)絡(luò)絡(luò)基礎(chǔ)設(shè)設(shè)施目標(biāo)：提高網(wǎng)絡(luò)絡(luò)拓?fù)涞牡陌踩煽煽啃?。。提高網(wǎng)絡(luò)絡(luò)設(shè)備特特別是骨骨干設(shè)備備的安全全性。保證網(wǎng)絡(luò)絡(luò)設(shè)備遠(yuǎn)遠(yuǎn)程管理理的安全全性。保護(hù)技術(shù)術(shù)網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)實(shí)施的的設(shè)備、、物理鏈鏈路、路路由的冗冗余和備備份。網(wǎng)絡(luò)設(shè)備備的安全全設(shè)置、、安全掃掃描與加加固。網(wǎng)絡(luò)設(shè)備備遠(yuǎn)程安安全管理理：SSH、多多因素認(rèn)認(rèn)證密碼碼系統(tǒng)（（如RSA令牌牌）、VPNSOC技技術(shù)網(wǎng)絡(luò)安全全技術(shù)體體系框架架－網(wǎng)絡(luò)絡(luò)安全支支持網(wǎng)絡(luò)安全全支持目目標(biāo)為網(wǎng)絡(luò)用用戶、設(shè)設(shè)備和應(yīng)應(yīng)用系統(tǒng)統(tǒng)提供安安全服務(wù)務(wù)密鑰管理理服務(wù)。。網(wǎng)絡(luò)安全全檢測(cè)服服務(wù)。網(wǎng)絡(luò)安全全響應(yīng)服服務(wù)。網(wǎng)絡(luò)安全全支持設(shè)設(shè)施建設(shè)設(shè)PKI技技術(shù)，SOC技技術(shù)網(wǎng)絡(luò)流量量異常檢檢測(cè)技術(shù)術(shù)網(wǎng)絡(luò)安全全事件統(tǒng)統(tǒng)一收集集安全事事件的關(guān)關(guān)聯(lián)分析析網(wǎng)絡(luò)安全全告警和和響應(yīng)TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)SATNETARPNETTCP/IP模模型與網(wǎng)網(wǎng)絡(luò)安全全應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞應(yīng)用層：：應(yīng)用程程序和操操作系統(tǒng)統(tǒng)的攻擊擊與破壞壞等傳輸層：：拒絕服服務(wù)攻擊擊和數(shù)據(jù)據(jù)竊聽風(fēng)風(fēng)險(xiǎn)等網(wǎng)絡(luò)層：：拒絕服服務(wù)攻擊擊，路由由欺騙等等硬件設(shè)備備與數(shù)據(jù)據(jù)鏈路：：物理竊竊聽與破破壞等安全技術(shù)術(shù)體系框框架1.安全全管理安全管理理是確保保網(wǎng)絡(luò)信信息安全全的重要要環(huán)節(jié)安全管理理包括對(duì)對(duì)信息系系統(tǒng)的所所有部件件和整個(gè)個(gè)生命周周期的安安全管理理，涵蓋蓋上述所所有層面面，管理內(nèi)容容應(yīng)包括括組織和人人員、工工程管理理、運(yùn)行行管理、、等級(jí)保保護(hù)管理理、應(yīng)急急處理管管理和密密碼管理理等方面面。安全工程程活動(dòng)的的生命周周期安全需求求建立安全系統(tǒng)統(tǒng)規(guī)劃安全系統(tǒng)統(tǒng)確認(rèn)安全系統(tǒng)統(tǒng)實(shí)施安全需求求驗(yàn)證PDCA循環(huán)：Plan—Do—Check—Act計(jì)劃實(shí)施檢查改進(jìn)PDACPDCA循環(huán)PDCA循環(huán)（續(xù)續(xù)）又稱“戴戴明環(huán)””,PDCA循循環(huán)是能能使任何何一項(xiàng)活活動(dòng)有效效進(jìn)行的的工作程程序:P：計(jì)劃劃，方針針和目標(biāo)標(biāo)的確定定以及活活動(dòng)計(jì)劃劃的制定定；D：執(zhí)行行，具體體運(yùn)作，，實(shí)現(xiàn)計(jì)計(jì)劃中的的內(nèi)容；；C：檢查查，總結(jié)結(jié)執(zhí)行計(jì)計(jì)劃的結(jié)結(jié)果，分分清哪些些對(duì)了，，哪些錯(cuò)錯(cuò)了，明明確效果果，找出出問題；；A：改進(jìn)進(jìn)（或處處理）,對(duì)總結(jié)結(jié)檢查的的結(jié)果進(jìn)進(jìn)行處理理，成功功的經(jīng)驗(yàn)驗(yàn)加以肯肯定，并并予以標(biāo)標(biāo)準(zhǔn)化，，或制定定作業(yè)指指導(dǎo)書，，便于以以后工作作時(shí)遵循循；對(duì)于于失敗的的教訓(xùn)也也要總結(jié)結(jié)，以免免重現(xiàn)。。對(duì)于沒有有解決的的問題，，應(yīng)提給給下一個(gè)個(gè)PDCA循環(huán)環(huán)中去解解決。PDCA循環(huán)的特點(diǎn)一一按順序進(jìn)進(jìn)行，它它靠組織織的力量量來(lái)推動(dòng)動(dòng)，像車車輪一樣樣向前進(jìn)進(jìn)，周而而復(fù)始，，不斷循循環(huán)PDCA循環(huán)（（續(xù)））PDCA循循環(huán)的特點(diǎn)點(diǎn)二組織中中的每每個(gè)部部分，，甚至至個(gè)人人，均均有一一個(gè)PDCA循循環(huán)，，大環(huán)環(huán)套小小環(huán)，，一層層一層層地解解決問問題。。PDCA循環(huán)（（續(xù)））PDCA循循環(huán)的特點(diǎn)點(diǎn)三每通過(guò)過(guò)一次次PDCA循循環(huán)，，都要要進(jìn)行行總結(jié)結(jié)，提提出新新目標(biāo)標(biāo)，再再進(jìn)行行第二二次PDCA循循環(huán)環(huán)。90909090改進(jìn)執(zhí)行計(jì)劃?rùn)z查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090改進(jìn)執(zhí)行計(jì)劃?rùn)z查CADPPDCA循環(huán)（（續(xù)））總體解解決方方案－－TopSec等級(jí)級(jí)保護(hù)護(hù)體系系遵照國(guó)國(guó)家等等級(jí)保保護(hù)制制度、、滿足足客戶戶實(shí)際際需求求，采用用等級(jí)級(jí)化、、體系系化相相結(jié)合合的方方法，，為客客戶建建設(shè)一一套覆覆蓋全全面、、重點(diǎn)點(diǎn)突出出、節(jié)節(jié)約成成本、、持續(xù)續(xù)運(yùn)行行的安安全保保障體體系。。實(shí)施后后狀態(tài)態(tài)：一一套持持續(xù)運(yùn)運(yùn)行、、涵蓋蓋所有有安全全內(nèi)容容的安安全保保障體體系，，是企企業(yè)或或組織織安全全工作作所追追求的的最終終目標(biāo)標(biāo)特質(zhì)：：等級(jí)化化：突突出重重點(diǎn)，，節(jié)省省成本本，滿滿足不不同行行業(yè)、、不同同發(fā)展展階段段、不不同層層次的的要求求整體性性：結(jié)結(jié)構(gòu)化化，內(nèi)內(nèi)容全全面，，可持持續(xù)發(fā)發(fā)展和和完善善，持持續(xù)運(yùn)運(yùn)行針對(duì)性性：針針對(duì)實(shí)實(shí)際情情況，，符合合業(yè)務(wù)務(wù)特性性和發(fā)發(fā)展戰(zhàn)戰(zhàn)略等級(jí)保保護(hù)體體系安安全措措施框框架安全策略體系安全技術(shù)體系身份認(rèn)證加密加固審核跟蹤訪問控制防惡意代碼監(jiān)控備份恢復(fù)管理制度組織職責(zé)技術(shù)標(biāo)準(zhǔn)規(guī)范信息安全政策安全組織教育培訓(xùn)人員職責(zé)人員安全安全組織體系安全體系建設(shè)項(xiàng)目建設(shè)安全管理安全風(fēng)險(xiǎn)管理與控制安全運(yùn)行與維護(hù)安全運(yùn)行體系安全管理運(yùn)行中心技術(shù)體體系安全組組織設(shè)設(shè)置和和崗位位職責(zé)責(zé)安全教教育、、培訓(xùn)訓(xùn)與資資質(zhì)認(rèn)認(rèn)證組織體體系安全策策略體體系設(shè)設(shè)計(jì)安全策策略與與流程程推廣廣實(shí)施施策略體體系項(xiàng)目建建設(shè)的的安全全管理理安全風(fēng)風(fēng)險(xiǎn)管管理與與控制制保護(hù)對(duì)對(duì)象框框架內(nèi)部與與第三三方人人員安安全管管理日常安安全運(yùn)運(yùn)行與與維護(hù)護(hù)安全體體系推推廣與與落實(shí)實(shí)運(yùn)作體體系全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)統(tǒng)一監(jiān)控與審計(jì)管理平臺(tái)終端管理和防病毒集中管理平臺(tái)安全域和網(wǎng)絡(luò)訪問控制平臺(tái)終端管理和防病毒集中管理平臺(tái)防病毒、補(bǔ)丁和終端管理平臺(tái)設(shè)備安全配置與加固基礎(chǔ)設(shè)施安全第三方統(tǒng)一安全接入平臺(tái)應(yīng)用加密平臺(tái)第三方統(tǒng)一安全接入平臺(tái)統(tǒng)一鑒別認(rèn)證平臺(tái)數(shù)據(jù)備份與冗災(zāi)平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)應(yīng)用系統(tǒng)安全增強(qiáng)應(yīng)用安全等級(jí)保保護(hù)體體系的的實(shí)現(xiàn)現(xiàn)安全組組織與與職責(zé)責(zé)設(shè)計(jì)計(jì)安全培培訓(xùn)與與資質(zhì)質(zhì)認(rèn)證證安全策策略體體系與與流程程設(shè)計(jì)計(jì)網(wǎng)絡(luò)與與應(yīng)用用加密密服務(wù)務(wù)平臺(tái)臺(tái)業(yè)務(wù)應(yīng)應(yīng)用系系統(tǒng)安安全改改造數(shù)據(jù)備備份與與冗災(zāi)災(zāi)平臺(tái)臺(tái)統(tǒng)一身份認(rèn)認(rèn)證與授權(quán)權(quán)管理平臺(tái)臺(tái)設(shè)備安全配配置與加固固安全域劃分分與邊界訪訪問控制平平臺(tái)安全管理運(yùn)運(yùn)行中心安全策略與與流程推廣廣實(shí)施安全體系推推廣與常年年咨詢防病毒、補(bǔ)補(bǔ)丁和終端端管理平臺(tái)臺(tái)統(tǒng)一安全監(jiān)監(jiān)控與審計(jì)計(jì)平臺(tái)安全技術(shù)體體系建設(shè)安全組織體體系建設(shè)安全策略體體系建設(shè)安全運(yùn)行體體系建設(shè)安全規(guī)劃安全調(diào)查與與風(fēng)險(xiǎn)評(píng)估估等級(jí)保護(hù)定定級(jí)咨詢等級(jí)保護(hù)體體系設(shè)計(jì)方案設(shè)計(jì)等級(jí)保護(hù)測(cè)測(cè)評(píng)支持與與咨詢定級(jí)階段規(guī)劃階段實(shí)施與運(yùn)維階段常年安全運(yùn)運(yùn)維外包服服務(wù)安全托管監(jiān)監(jiān)控與管家家服務(wù)等級(jí)保護(hù)階階段天融信提供供的安全服服務(wù)與解決決方案網(wǎng)絡(luò)安全的的發(fā)展趨勢(shì)勢(shì)網(wǎng)絡(luò)安全技技術(shù)發(fā)展趨趨勢(shì)目錄錄防火墻技術(shù)術(shù)發(fā)展趨勢(shì)勢(shì)速度對(duì)安全全的挑戰(zhàn)國(guó)際安全技技術(shù)格局實(shí)力保證創(chuàng)創(chuàng)“芯”小芯片，大大內(nèi)涵獵豹出世宣講膠片目目錄網(wǎng)絡(luò)速度vs摩爾定定律網(wǎng)絡(luò)發(fā)展速速度遠(yuǎn)大于于CPU速速度0100M100G100T19901995200020052010網(wǎng)速CPU1990－－2010年，網(wǎng)速速和CPU處理能力力對(duì)比高性能網(wǎng)絡(luò)絡(luò)防火墻越越來(lái)越迫切切用戶到底缺缺什么高性能防火火墻只能用用國(guó)外這幾幾家？用了防火墻墻，沒攻擊擊了，可是是網(wǎng)速也慢慢了網(wǎng)絡(luò)延遲太太大，視頻頻會(huì)議沒法法進(jìn)行我們要的是是又有安全全性，又穩(wěn)穩(wěn)定的產(chǎn)品品速度對(duì)安全全的挑戰(zhàn)國(guó)際安全技技術(shù)格局實(shí)力保證創(chuàng)創(chuàng)“芯”小芯片，大大內(nèi)涵獵豹出世宣講膠片目目錄安全產(chǎn)業(yè)技技術(shù)格局ASICNP構(gòu)架X86、通通用CPU構(gòu)架只有世界級(jí)前幾名安全廠家擁有ASIC自有產(chǎn)權(quán)國(guó)內(nèi)前幾名廠商，選擇了NP構(gòu)架的防火墻國(guó)內(nèi)以百計(jì)的小廠商依舊采用X86構(gòu)架防火墻天融信技術(shù)定位哪個(gè)層面？

TopASICTM

PowerNP4GS3IXP2400技術(shù)架構(gòu)ASICPowerPCBasedNPXscaleBasedNP處理層次2－7層的數(shù)據(jù)和安全處理2-4層數(shù)據(jù)轉(zhuǎn)發(fā)2-4層數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡(luò)加速?gòu)?qiáng)強(qiáng)強(qiáng)安全加速?gòu)?qiáng)弱弱應(yīng)用層過(guò)濾強(qiáng)弱弱廠商性質(zhì)中國(guó)自主美國(guó)(IBM賣給Hifn)美國(guó)(Intel賣給Marvell)下代產(chǎn)品TopASICTMII無(wú)前途不明TopASICvsNP分析在安全領(lǐng)域域，NP將將何去何從從？穩(wěn)定的性能能：無(wú)策略略轉(zhuǎn)發(fā)對(duì)比比無(wú)策略路由由轉(zhuǎn)發(fā)ASIC性性能千兆100％NP性能千千兆100％X86小包包千兆無(wú)法法達(dá)到線速速ASICNPX86穩(wěn)定的性能能：模擬攻攻擊模擬攻擊下下ASIC性性能千兆100％NP在小包包下性能降降低X86性能能快速下降降A(chǔ)SICNPX86構(gòu)架對(duì)比：：性能－功功能ASICTopASICx86CPU性能安全功能嵌入式CPU高低高NP性能-功能能：綜合對(duì)對(duì)比TopASICTM最佳構(gòu)架對(duì)比：安安全－穩(wěn)定ASICTopASICx86CPU穩(wěn)定性安全性嵌入式CPU低高NP高安全性-穩(wěn)定定性：綜合ASIC或者者TopASICTM最佳安全加速技術(shù)術(shù)的演進(jìn)NP架構(gòu)通訊加速ASIC架構(gòu)通訊加速安全加速性能時(shí)間通用平臺(tái)，無(wú)無(wú)網(wǎng)絡(luò)、安全全加速網(wǎng)絡(luò)處理器，，對(duì)通訊專項(xiàng)項(xiàng)加速定制安全芯片片，對(duì)通訊和和安全處理都都加速x86架構(gòu)TopASICTM特點(diǎn)……NAT交換七層過(guò)濾VPN路由QoS狀態(tài)

核檢測(cè)可編程模塊TopASICTM特性芯片內(nèi)置多模模塊，全功能能硬加速預(yù)留編程空間間，持續(xù)升級(jí)級(jí)線速轉(zhuǎn)發(fā)，超超低時(shí)延，無(wú)無(wú)瓶頸防火墻墻TopASICTM芯片內(nèi)部結(jié)構(gòu)構(gòu)GMIIGMIIMII×8rsvdrsvd…GMIIGMIIJTAGCFGwithPROMPCIInterfaceXCF32PConfigConnectorEEPROMPHYPHYPHY×8PCIData[63:0]Ctl&ClkSignalAddr[12:0]SDRAMControllerSRAMPDMANATVPNQoSSLUSwitchRouteParserFilterL2EQMUCDURegExrsvdrsvdrsvdrsvdI2CInterface管理通道數(shù)據(jù)通道處理流程固定單元可修改單元可編程單元TopASIC性能指標(biāo)標(biāo)5Gbps的的芯片轉(zhuǎn)發(fā)容容量千兆端口吞吐吐率：100％（64Byte小包包）最大并發(fā)連接接>200萬(wàn)萬(wàn)每秒新建連接接>30000轉(zhuǎn)發(fā)延遲<10us支持2GE端端口＋8FE端口產(chǎn)品硬件構(gòu)架架ASICCPU一級(jí)緩存二級(jí)緩存內(nèi)存FlashNVRam接口控制TAPF技術(shù)術(shù)，減少CPU干預(yù)數(shù)據(jù)據(jù)處理，報(bào)文文快速轉(zhuǎn)發(fā)大容量二級(jí)緩緩存，充分提提高性能網(wǎng)絡(luò)數(shù)據(jù)策略授權(quán)高性能CPU，動(dòng)態(tài)管理理和策略授權(quán)權(quán)。完全內(nèi)容檢測(cè)測(cè)CCI19902000垃圾郵件病毒木馬蠕蟲處理能力拒絕服務(wù)攻擊擊19952005社會(huì)學(xué)攻擊1101001000完全內(nèi)容檢測(cè)測(cè)CCI深度包檢測(cè)DPI狀態(tài)檢測(cè)SI狀態(tài)檢測(cè)只檢檢查數(shù)據(jù)包的的包頭；深度包檢測(cè)可可對(duì)數(shù)據(jù)包內(nèi)內(nèi)容進(jìn)行檢查查；而CCI則可可實(shí)時(shí)將網(wǎng)絡(luò)絡(luò)層數(shù)據(jù)還原原為完整的應(yīng)應(yīng)用層對(duì)象（（如文件、網(wǎng)網(wǎng)頁(yè)、郵件等等），并對(duì)這這些完整內(nèi)容容進(jìn)行全面檢檢查，實(shí)現(xiàn)徹徹底的內(nèi)容防防護(hù)。SI——StatefulInspectionDPI—DeepPacketInspectionCCI—CompleteContentInspection多級(jí)多路負(fù)載均衡SSL全網(wǎng)接入CCICleanVPN可編程專用芯片應(yīng)用還原技術(shù)黑匣子高速捕包技術(shù)TAPF轉(zhuǎn)發(fā)技術(shù)TOS內(nèi)核多層次狀態(tài)表防病毒攻擊防御漏洞掃描技術(shù)防火墻無(wú)縫穿透具有很大的未未知風(fēng)險(xiǎn)沒有辦法對(duì)操操作系統(tǒng)做更更多優(yōu)化發(fā)生安全問題題后沒辦法第第一時(shí)間解決決問題具有知識(shí)產(chǎn)權(quán)權(quán)風(fēng)險(xiǎn)安全性高充分優(yōu)化掌握所有操作作系統(tǒng)技術(shù)，，控制所有核核心技術(shù)獨(dú)立發(fā)展自己己的知識(shí)產(chǎn)權(quán)權(quán)TOS：通用操作系統(tǒng)統(tǒng)：防火墻OS系系統(tǒng)的發(fā)展廠家操作系統(tǒng)CISCOIOSNokiaIPSOJuniper（Netscreen）ScreenOsFoundryTrafficWorksIronWareNortelAlteonOSLucentTAOSTopsecTOS防火墻OS系系統(tǒng)的發(fā)展硬件：ASIC,NPU,MIPS,X86，，ARM……TopsecOS架構(gòu)構(gòu)IPSSSLVPN監(jiān)控報(bào)警管理QOSHA接入OS層基礎(chǔ)層安全引擎層AntispamIPSEC服務(wù)層健壯中心文件系統(tǒng)交換FW硬件抽象層OS核認(rèn)證路由日志配置GTAAV硬件TOS應(yīng)用入侵檢測(cè)技術(shù)術(shù)發(fā)展趨勢(shì)入侵檢測(cè)技術(shù)術(shù)將從簡(jiǎn)單的的事件報(bào)警逐逐步向趨勢(shì)預(yù)預(yù)測(cè)和深入的的行為分析方方向過(guò)渡。IMS（IntrusionManagementSystem，入侵侵管理系統(tǒng)））具有大規(guī)模模部