系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全

系統(tǒng)安全部內(nèi)部培訓(xùn)——網(wǎng)絡(luò)安全系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第1頁Contents安全概念客戶安全需求當(dāng)前主要處理方案我們重點(diǎn)

系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第2頁網(wǎng)絡(luò)安全概念業(yè)務(wù)運(yùn)做IT基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)IT處理方案1-1互通互聯(lián)全球貿(mào)易平臺(tái)GTW電子商務(wù)基礎(chǔ)條件電子商務(wù)價(jià)值表現(xiàn)第一階段第二階段第三階段第四階段網(wǎng)絡(luò)基礎(chǔ)平臺(tái)B-B網(wǎng)絡(luò)社會(huì)企業(yè)信息化網(wǎng)絡(luò)層面安全業(yè)務(wù)層面安全用戶整體安全考慮下游安全整體考慮系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第3頁網(wǎng)絡(luò)安全概念

“3”個(gè)安全問題

怎樣確保？——用戶業(yè)務(wù)運(yùn)行安全目標(biāo)安全價(jià)值安全意義？系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第4頁網(wǎng)絡(luò)安全概念安全是什么?確保網(wǎng)絡(luò)及其中資源能夠在需要時(shí)候被需要人正常使用。這不是定義系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第5頁客戶安全需求用戶信息化級(jí)別：（一）信息化級(jí)別較低處于用戶信息化早期，停留在OA等初級(jí)使用層面?zhèn)€人數(shù)據(jù)安全；防病毒需要；系統(tǒng)宕機(jī)后恢復(fù)無專員管理其它系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第6頁客戶安全需求（二）具備一定信息化條件信息化基礎(chǔ)很好，已建有內(nèi)部專門應(yīng)用網(wǎng)絡(luò)。但還未將業(yè)務(wù)與此掛鉤。各種應(yīng)用系統(tǒng)（財(cái)務(wù)，人事等）安全；關(guān)注內(nèi)部網(wǎng)絡(luò)可用性和可靠性專門人員管理或分管管理層對(duì)信息安全有一定思緒和投入計(jì)劃企業(yè)規(guī)模適中系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第7頁客戶安全需求（三）較高信息化企業(yè)有較完整網(wǎng)絡(luò)基礎(chǔ)設(shè)施業(yè)務(wù)運(yùn)行需要依靠現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施且業(yè)務(wù)信息化程度較高。對(duì)現(xiàn)有運(yùn)行數(shù)據(jù)比較敏感企業(yè)規(guī)模較大相對(duì)較穩(wěn)定有著較明確安全策略并在一定程度上落實(shí)執(zhí)行業(yè)務(wù)可能外包。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第8頁客戶安全需求（四）另類用戶——運(yùn)行商或大型企業(yè)服務(wù)性部門特點(diǎn)：服務(wù)對(duì)象為普通不是本身。主要是確保其提供服務(wù)對(duì)象網(wǎng)絡(luò)安全。對(duì)于運(yùn)行網(wǎng)絡(luò)技術(shù)性考慮較為全方面，周全。但對(duì)于本身網(wǎng)絡(luò)安全欠考慮。對(duì)設(shè)備穩(wěn)定性要求和性能考慮更多；更能行考慮較少。普通存在主機(jī)安全、網(wǎng)絡(luò)安全兩種聲音存在重復(fù)投資系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第9頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案為何有網(wǎng)絡(luò)安全問題：最初面向研究Internet和它通信協(xié)議群是為比現(xiàn)在良好得多環(huán)境而設(shè)計(jì)。應(yīng)該說,那是一個(gè)君子環(huán)境,用戶和主機(jī)之間相互信任,志在進(jìn)行自由開放信息交換。在這么環(huán)境里,使用Internet人實(shí)際上就是創(chuàng)建Internet人。伴隨時(shí)間推移,Internet變得愈加有用和可靠,別人也就參雜了進(jìn)來。人越來越多,共同目標(biāo)卻越來越少,Internet初衷漸漸地被扭曲了.……系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第10頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案為何有網(wǎng)絡(luò)安全問題：造成網(wǎng)絡(luò)安全問題原因有方方面面。國家機(jī)密、商業(yè)競爭、對(duì)顧主單位不滿、對(duì)網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)、對(duì)企業(yè)關(guān)鍵機(jī)密企望、網(wǎng)絡(luò)接入帳號(hào)、信用卡號(hào)等金錢利益誘惑、利用攻擊網(wǎng)絡(luò)站點(diǎn)而知名、對(duì)網(wǎng)絡(luò)好奇心（這方面主要是孩子們）等，當(dāng)然其它一些原因也都可能引發(fā)攻擊者蓄意攻擊行為。不過從已見報(bào)道網(wǎng)絡(luò)犯罪案件來看，多數(shù)網(wǎng)絡(luò)犯罪者都很年輕，它們表示原來并不知道這么做是犯罪。另外，當(dāng)前國內(nèi)多數(shù)網(wǎng)絡(luò)系統(tǒng)管理人員和工程施工人員對(duì)網(wǎng)絡(luò)安全問題重視不夠，意識(shí)冷淡，建設(shè)中或建設(shè)后在沒有采取足夠安全防護(hù)辦法情況下，將網(wǎng)絡(luò)接入因特網(wǎng)上，也為計(jì)算機(jī)犯罪打開了方便之門。使得一些青少年利用從網(wǎng)絡(luò)上學(xué)來簡單入侵伎倆就能在網(wǎng)絡(luò)上通行無阻，在滿足自己好奇心同時(shí)，觸犯了國家法律。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第11頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案現(xiàn)有網(wǎng)絡(luò)安全為何會(huì)失效？網(wǎng)絡(luò)安全概念中有一個(gè)"木桶"理論……從技術(shù)角度分析，網(wǎng)絡(luò)安全體系失敗原因有以下幾個(gè)原因：首先，從芯片、操作系統(tǒng)到應(yīng)用程序，任何一個(gè)步驟都可能被開發(fā)者留下“后門”。

其次，網(wǎng)絡(luò)設(shè)備和軟件不可能是完美，在設(shè)計(jì)開發(fā)過程中必定會(huì)出現(xiàn)缺點(diǎn)和漏洞。這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊目標(biāo)。再次，對(duì)于網(wǎng)絡(luò)企業(yè)網(wǎng)或者ISP公網(wǎng)來說，管理失敗是網(wǎng)絡(luò)安全體系失敗非常主要原因。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第12頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案完整網(wǎng)絡(luò)處理方案應(yīng)包含哪些？有效安全策略網(wǎng)絡(luò)安全目標(biāo)范圍、培養(yǎng)安全意識(shí)，制訂安全制度研究技術(shù)方案方案/產(chǎn)品選型分期實(shí)施計(jì)劃資金設(shè)備系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第13頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案不一樣行業(yè)要求需要對(duì)應(yīng)不一樣安全策略！電信行業(yè)—基礎(chǔ)電信運(yùn)行商增值電信運(yùn)行商增值內(nèi)容提供商增值服務(wù)提供商移動(dòng)業(yè)務(wù)，固網(wǎng)，新增寬帶數(shù)據(jù)運(yùn)行所對(duì)應(yīng)安全策略各有側(cè)重！其它行業(yè)，各有行業(yè)特點(diǎn)：金融、政府、軍隊(duì)、能源、交通等依據(jù)行業(yè)特點(diǎn)對(duì)于安全要求也各有不一樣。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第14頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案技術(shù)方向：技術(shù)融合，突出整體。

防火墻、入侵檢測、網(wǎng)絡(luò)掃描、安全評(píng)定、認(rèn)證及授權(quán)等各項(xiàng)原本基于主機(jī)或網(wǎng)絡(luò)技術(shù)正走向融合。以往被動(dòng)防護(hù)結(jié)合主動(dòng)防護(hù)技術(shù)，凸現(xiàn)整體防護(hù)意識(shí)。

處理能力和可用性顯著增強(qiáng)，安全設(shè)備級(jí)別逐步提升到電信級(jí)別。

安全設(shè)備和其它網(wǎng)絡(luò)設(shè)備結(jié)合使用或基于原有網(wǎng)絡(luò)設(shè)備，性能獲重大提升。如CISCO新一代硬件防火墻。由網(wǎng)絡(luò)邊緣向骨干提升，成為網(wǎng)絡(luò)設(shè)計(jì)中不可缺乏步驟。分布式系統(tǒng)結(jié)構(gòu)開始作為一個(gè)提升性能和可靠性關(guān)鍵原因取得使用。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第15頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案處理方案組成：

網(wǎng)絡(luò)防火墻、入侵檢測、網(wǎng)絡(luò)掃描、流量監(jiān)控/分析、主機(jī)防火墻、身份認(rèn)證/鑒權(quán)、數(shù)據(jù)加/解密、物理隔離、防病毒……怎樣選取系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第16頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案分清目標(biāo)??？當(dāng)前安全問題？未來安全考慮？重點(diǎn)業(yè)務(wù)安全問題/隱患賣方案賣產(chǎn)品未來問題，賣VISION！系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第17頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案產(chǎn)品篇一、防火墻1、硬件防火墻NETSCREEN、NORTEL、CISCO2、基于專用PC結(jié)構(gòu)防火墻CISCO、NOKIA、WATCHGUARD、SAMSUNG3、軟件防火墻CHECKPOINT、NORTON系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第18頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案4、其它LinkTrustCyberWall防火墻LinkTrustCyberWall-100防火墻屬于固態(tài)專用防火墻，外觀大方漂亮，帶有三個(gè)不一樣管理界面：WebGUI、命令行和前面板小鍵盤。集成有狀態(tài)檢驗(yàn)包過濾、應(yīng)用代理、NAT、VPN、HA等特征IBM防火墻IBM全球網(wǎng)絡(luò)數(shù)十年安全運(yùn)行，是因?yàn)槭褂昧薎BM防火墻?，F(xiàn)在IBM愿意和自己客戶一道分享技術(shù)超群IBM防火墻帶來安全（這是IBM自己宣傳）NetChina中網(wǎng)防火墻簡單地說話，NetChina中網(wǎng)防火墻屬于軟硬結(jié)合、包過濾、應(yīng)用代理混合防火墻。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第19頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案Gaunlet(NAI)

Gauntlet防火墻、PGP加密、Macfee反病毒、Cybercops風(fēng)險(xiǎn)評(píng)定和入侵探測是NAI企業(yè)四大旗艦產(chǎn)品。當(dāng)前GauntletFirewall和GauntletVPN特征包含：1網(wǎng)絡(luò)過濾和應(yīng)用層代理2內(nèi)置業(yè)界優(yōu)異反病毒產(chǎn)品Macfee，保護(hù)內(nèi)部網(wǎng)不受病毒和惡意代碼（如java和activexapplet侵?jǐn)_3包含VPN模塊，快速建立廣域范圍內(nèi)VPN。

另外，NAI企業(yè)利用PGP軟件威力即將推出桌面?zhèn)€人防火墻產(chǎn)品PGP-DesktopSecurity（個(gè)人防火墻）。該個(gè)人防火墻將包含入侵探測、VPN、集中管理等功效。運(yùn)行平臺(tái)包含windows9x/nt/等。CA企業(yè)GuardIT防火墻

CA企業(yè)緊鑼密鼓，加班加點(diǎn)，連買帶寫，產(chǎn)品線越來越長。中聯(lián)綠盟“綠色警戒”個(gè)人防火墻當(dāng)前產(chǎn)品包含win/和win/nt兩個(gè)版本?！毒G色警戒》1.1版是中聯(lián)綠盟信息技術(shù)企業(yè)開發(fā)Win下個(gè)人防火墻軟件。該版本在1.0版本基礎(chǔ)上增加了以下功效：1)前瞻性木馬程序檢測。2)先進(jìn)基于服務(wù)防護(hù)概念。3)靈活I(lǐng)P過濾策略。4)端口描述。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第20頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案諾頓個(gè)人防火墻諾頓是著名防病毒廠家。當(dāng)前推出個(gè)人防火墻NortonPersonalFirewall2.0版能夠與其Anti-Virus緊密集成。含有下面一些特點(diǎn)：

-識(shí)別并預(yù)防黑客攻擊，

-含有一定“網(wǎng)絡(luò)隱身”能力

-保護(hù)個(gè)人隱私信息

-選擇甄別“cookie”等網(wǎng)站追蹤個(gè)人網(wǎng)上行動(dòng)伎倆

-輕易與Anti-Virus集成，提供全方面保護(hù)

-工作于Win9x/NT/平臺(tái)之上朗訊LucentManagedFirewallv4.0

業(yè)界巨人新推出包含VPN、防火墻、IDS等在內(nèi)一攬子安全處理方案。當(dāng)前，其詳細(xì)性能及應(yīng)用情況尚不得而知。其防火墻LucentManagedFirewallv4.0防火墻功效與防火墻管理分離開來，防火墻部分使用小巧、有效lucent專有操作系統(tǒng)Inferno（TM）之上，而管理部分能夠工作于NT或者solaris之上。防火墻硬件采取飛躍體系（PentiumII333)黑盒子結(jié)構(gòu)...

系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第21頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案Firewall-1(CheckPoint)

業(yè)界最為流行、市場擁有率最高一個(gè)。支持網(wǎng)絡(luò)地址翻譯（NAT）、流量分擔(dān)、VPN、加密認(rèn)證等功效。

PIX(Cisco)

經(jīng)典網(wǎng)絡(luò)層包過濾專用防火墻，支持網(wǎng)絡(luò)地址翻譯（NAT），在國內(nèi)163/169網(wǎng)絡(luò)上面應(yīng)用很多。不過沒有能力防御應(yīng)用層攻擊、無法進(jìn)行內(nèi)容過濾，比如Java、ActiveX以及病毒過濾等。NetScreen

硬件級(jí)黑盒子方式防火墻，在163/169網(wǎng)絡(luò)中有部分應(yīng)用。最近，其新推出G比特防火墻引人注目。

系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第22頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案天融信“網(wǎng)絡(luò)衛(wèi)士”防火墻

天融信是一家資格較深國內(nèi)防火墻廠家，當(dāng)前在國內(nèi)政府、企業(yè)中有不少應(yīng)用。下面是摘自其網(wǎng)站相關(guān)“網(wǎng)絡(luò)衛(wèi)士”系統(tǒng)組成簡明介紹。防火墻模塊（硬件）：是一個(gè)基于安全操作系統(tǒng)平臺(tái)自主版權(quán)高級(jí)訪問控制系統(tǒng)。

管理器模塊（軟件）：一個(gè)集中式防火墻管理系統(tǒng)（運(yùn)行于WIN95、WIN98環(huán)境下）。

一次性口令用戶客戶端模塊（軟件）：運(yùn)行于WIN95、WIN98環(huán)境下

入侵檢測監(jiān)控臺(tái)模塊（軟件）：運(yùn)行于WIN95、WIN98環(huán)境下NetPolice（西安信利）

國內(nèi)開發(fā)，基于Linux內(nèi)核，黑盒子方式。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第23頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案S(天網(wǎng)安全)

國內(nèi)開發(fā)，總部位于廣州，近期內(nèi)北京分企業(yè)即將開張。防火墻產(chǎn)品包含黑盒子方式高速防火墻以及最近推出單機(jī)版?zhèn)€人防火墻。其中高速防火墻在國內(nèi)若干主要場所取得應(yīng)用。中科網(wǎng)威“長城”防火墻

國內(nèi)自主開發(fā)，與網(wǎng)威掃描軟件等同出于中科院高能所網(wǎng)威工作室。當(dāng)前，該工作室產(chǎn)品已逐步形成系列，包含“長城”防火墻、“火眼”網(wǎng)絡(luò)安全掃描系統(tǒng)、“金睛”系統(tǒng)安全掃描系統(tǒng)、“磐石”網(wǎng)站監(jiān)控系統(tǒng)、“天眼”網(wǎng)絡(luò)偵測系統(tǒng)。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第24頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案清華紫光UNISECURE系列防火墻

北京清華紫光股份有限企業(yè)控股與四川順風(fēng)通信有限責(zé)任企業(yè)參股共同組建了一個(gè)專業(yè)化信息安全企業(yè)-紫光順風(fēng)企業(yè)，專門開發(fā)經(jīng)營網(wǎng)絡(luò)安全產(chǎn)品，當(dāng)前安全產(chǎn)品包含UF3100、UF3500防火墻、安全路由器、SecMail安全電子郵件、同時(shí)加密機(jī)、WebGateWeb安全訪問系統(tǒng)、異步加密機(jī)、SFeCA數(shù)字證書管理系統(tǒng)、密鑰管理中心、SEM安全保密模塊等。Raptor(Axent）

在業(yè)界口碑很好，在國內(nèi)市場還未打開。NetShine（實(shí)達(dá)郎新）

國內(nèi)開發(fā)，基于Linux內(nèi)核，黑盒子方式。系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第25頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第26頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案二、入侵檢測設(shè)備主要產(chǎn)品、廠家系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第27頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案市場情況（1999年）系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第28頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域特點(diǎn)：“天下大勢，分久必合，合久必分”。

系統(tǒng)安全部內(nèi)部培訓(xùn)-網(wǎng)絡(luò)安全第29頁當(dāng)前主要網(wǎng)絡(luò)安全處理方案

網(wǎng)絡(luò)安全產(chǎn)品市場這一二年中增加得非?？焖?，其中防火墻產(chǎn)品占了很大份額。于是，大家從商業(yè)眼光角度出發(fā)希望占領(lǐng)市場熱情都無可厚非。不過，簡單算一筆帳，開發(fā)一個(gè)新產(chǎn)品、建立完整文檔、周密測試、市場推廣與技術(shù)支持、繼續(xù)開發(fā)。。。需要維持多少個(gè)工程師呢？按照我現(xiàn)在了解，大約每種國內(nèi)防火墻廠家大約開發(fā)與測試與文檔工程師在20人上下，還要加上更多市場人員。按照北京差不多工資水平，大約平均一個(gè)工程師年開支最少10萬元，工資、租金、廣告、差旅費(fèi)等等下來差不多要上千萬元。而普通防火墻定價(jià)大約也在10萬元左右。假如想要收回成本，即要每年賣到上百套。數(shù)十種產(chǎn)品，前面幾個(gè)名牌要分掉大部分，排在后面廠家只好進(jìn)入“ST”版塊了，繼續(xù)尋找“風(fēng)投”青睞。更不要說，同時(shí)開發(fā)、維護(hù)、推廣幾個(gè)安全產(chǎn)品。

這么情況很輕易讓人聯(lián)想到當(dāng)前“數(shù)也數(shù)不清”、在“今年網(wǎng)站企業(yè)會(huì)尸橫遍野”預(yù)測中奮力沖向股市網(wǎng)站們。YAHOO在盈利，但更多網(wǎng)站都在“ST”。

掃描器、入侵探測、防火墻等作出一個(gè)產(chǎn)品都不難，難處于于能夠讓自己產(chǎn)品表達(dá)出自己個(gè)性，保持“性能”、“手法”等方面先進(jìn)性，比喻說關(guān)鍵“攻擊特征庫”。ISS在維護(hù)其掃描器、入侵探測兩個(gè)產(chǎn)品人力超出千人，CHECKPOINT在其單純防火墻一個(gè)產(chǎn)品上面工程師也到達(dá)了數(shù)百人。當(dāng)然，人數(shù)眾寡不能簡單代表產(chǎn)品優(yōu)劣。我在這里想說是“網(wǎng)絡(luò)安全產(chǎn)品市場也需要一個(gè)規(guī)模效應(yīng)”。

所以，經(jīng)過一番激烈市場競爭后，在1-2年內(nèi)，國內(nèi)可能會(huì)出現(xiàn)相當(dāng)程度安全企業(yè)之間吞并、聯(lián)合。防止重復(fù)開發(fā)，提升開發(fā)效率，更有效地利用資金。這么，在競爭中生存下來幾個(gè)國內(nèi)品牌在國家政策方面支持下，在企業(yè)規(guī)模方面、產(chǎn)品完整性方面、市場和技術(shù)支持