網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)

CISP＆TCSP哈分公司技術(shù)總監(jiān)：李文學(xué)北京天融信網(wǎng)絡(luò)安全有限公司網(wǎng)絡(luò)安全及安全技術(shù)的發(fā)展趨勢(shì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)目錄網(wǎng)絡(luò)安全發(fā)展的回顧網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等。在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對(duì)信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。網(wǎng)絡(luò)安全發(fā)展的回顧安全協(xié)議方面，眾多標(biāo)準(zhǔn)化組織制定了許多標(biāo)準(zhǔn)和草案，尤其是以RFC文稿出現(xiàn)的協(xié)議標(biāo)準(zhǔn)更是成了網(wǎng)絡(luò)安全設(shè)備的基礎(chǔ)。舉例說，VPN技術(shù)就是建立在安全隧道基礎(chǔ)上的，點(diǎn)對(duì)點(diǎn)的隧道協(xié)議（PPTP：RFC2637）和第2層隧道協(xié)議（L2TP：RFC2661）提供遠(yuǎn)程PPP客戶到LAN的安全隧道，因此，網(wǎng)絡(luò)安全要不斷發(fā)展和開發(fā)滿足新的需求的安全協(xié)議。

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶，在剛剛開始面對(duì)安全問題的時(shí)候，考慮的往往就是這“老三樣”。可以說，這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。

首先，從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次，未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

網(wǎng)絡(luò)安全發(fā)展的回顧

再次,雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。所以說，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡(luò)安全的整體技術(shù)框架來看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全，需要將側(cè)重點(diǎn)集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。網(wǎng)絡(luò)安全發(fā)展的回顧

傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式、事后糾正式的管理方式，而安全建設(shè)停留在靜態(tài)的防護(hù)技術(shù)上，更多采用的是以點(diǎn)概面和就事論事的方法。導(dǎo)致的結(jié)果是不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失。網(wǎng)絡(luò)安全發(fā)展的回顧（管理和建設(shè)）防病毒例：1、網(wǎng)絡(luò)出現(xiàn)病毒防火墻、入侵檢測(cè)等2、網(wǎng)絡(luò)出現(xiàn)攻擊審計(jì)系統(tǒng)、管理系統(tǒng)3、管理問題出現(xiàn)投資不小但網(wǎng)絡(luò)安全狀況依然不理想問題：網(wǎng)絡(luò)安全發(fā)展的回顧（管理和建設(shè)）例：2、防火墻、入侵監(jiān)測(cè)等網(wǎng)絡(luò)出現(xiàn)攻擊3、審計(jì)系統(tǒng)、管理系統(tǒng)管理問題出現(xiàn)投資不小但網(wǎng)絡(luò)安全狀況依然不理想問題：基本解決病毒問題（病毒對(duì)網(wǎng)絡(luò)影響小）基本解決攻擊問題（攻擊對(duì)網(wǎng)絡(luò)影響?。┗窘鉀Q管理問題（管理對(duì)網(wǎng)絡(luò)影響?。?、防病毒系統(tǒng)網(wǎng)絡(luò)出現(xiàn)病毒4、新的復(fù)雜的安全事件出現(xiàn)現(xiàn)有的防護(hù)系統(tǒng)很難解決網(wǎng)絡(luò)安全發(fā)展的回顧（管理和建設(shè)）關(guān)于網(wǎng)絡(luò)安全的一些觀念誤區(qū)網(wǎng)絡(luò)安全是一次性投資可以完成的.網(wǎng)絡(luò)安全純粹是技術(shù)人員的工作，重視技術(shù)，輕視管理網(wǎng)絡(luò)安全只要買一批好產(chǎn)品就能完成，重視產(chǎn)品，輕視人為因素；應(yīng)該由自己單位的技術(shù)人員全部完成重視外部安全，輕視內(nèi)部安全；重視局部，忽略整體；靜態(tài)不變；系統(tǒng)工程攻防技術(shù)是在對(duì)抗中不斷發(fā)展的組織(制訂制度),技術(shù),管理(執(zhí)行制度)根據(jù)情況,大的趨勢(shì)是社會(huì)分工越來越細(xì)專業(yè)安全服務(wù)公司專業(yè)安全服務(wù)的外包隨著著信信息息系系統(tǒng)統(tǒng)的的開開放放化化、、網(wǎng)網(wǎng)絡(luò)絡(luò)化化、、復(fù)復(fù)雜雜化化發(fā)發(fā)展展，，信信息息安安全全建建設(shè)設(shè)不不再再局局限限于于單單個(gè)的的技技術(shù)術(shù)產(chǎn)產(chǎn)品品，，而而是是需需要要綜綜合合考考慮慮的的一一個(gè)個(gè)體體系系。。這這個(gè)個(gè)體體系系是是一一個(gè)個(gè)動(dòng)動(dòng)態(tài)態(tài)的的、、協(xié)協(xié)調(diào)調(diào)聯(lián)聯(lián)動(dòng)的、系統(tǒng)化化、程序化和和文件化的安安全防護(hù)體系系。而這個(gè)體體系體現(xiàn)預(yù)防防控制為主的思想，強(qiáng)調(diào)調(diào)全過程和動(dòng)動(dòng)態(tài)控制，本本著控制費(fèi)用用與風(fēng)險(xiǎn)平衡衡的原則合理理選擇安全控制方式保護(hù)護(hù)組織所擁有有的關(guān)鍵信息息資產(chǎn)，使信信息風(fēng)險(xiǎn)的發(fā)發(fā)生概率和結(jié)結(jié)果降低到可接受收水平平，確保信息息的保密性、、完整性和可可用性，保持持組織業(yè)務(wù)運(yùn)運(yùn)作的持續(xù)性性。網(wǎng)絡(luò)安全發(fā)展展的趨勢(shì)什么是安全新的安全定義義及時(shí)的檢測(cè)就就是安全及時(shí)的響應(yīng)就就是安全PtDtPt:ProtectiontimePt>+RtDt:DetectiontimeRt:ResponsetimeDtRt安全＝及時(shí)的的檢測(cè)和處理理我們稱之為防防護(hù)時(shí)間Pt：黑客在到到達(dá)攻擊目標(biāo)標(biāo)之前需要攻攻破很多的設(shè)設(shè)備(路由器器，交換機(jī))、系統(tǒng)（NT，UNIX）和放火火墻等障礙，，在黑客達(dá)到到目標(biāo)之前的的時(shí)間；在黑客攻擊過過程中，我們們檢測(cè)到他的的活動(dòng)的所用用時(shí)間稱之為為Dt，檢測(cè)測(cè)到黑客的行行為后，我們們需要作出響響應(yīng)，這段時(shí)時(shí)間稱之為Rt.假如能做到Dt+Rt<Pt,那么么我們可以說說我們的目標(biāo)標(biāo)系統(tǒng)是安全全的PtDtRtDtPt>+Rt網(wǎng)絡(luò)安全框架架體系從兩大角度考考慮：網(wǎng)絡(luò)安全管理理框架網(wǎng)絡(luò)安全技術(shù)術(shù)框架網(wǎng)絡(luò)安全框架架體系網(wǎng)絡(luò)安全管理理體系網(wǎng)絡(luò)安全技術(shù)術(shù)體系網(wǎng)絡(luò)安全組織織網(wǎng)絡(luò)安全策略略網(wǎng)絡(luò)安全保障障機(jī)制管理和維護(hù)隊(duì)伍技術(shù)支撐隊(duì)伍應(yīng)急響應(yīng)隊(duì)伍綱領(lǐng)性策略管理規(guī)章制度度操作流程和規(guī)規(guī)程應(yīng)急響應(yīng)風(fēng)險(xiǎn)管理安全預(yù)警安全培訓(xùn)區(qū)域邊界保護(hù)護(hù)網(wǎng)絡(luò)內(nèi)部環(huán)境境保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施施網(wǎng)絡(luò)安全支持持設(shè)施防火墻技術(shù)入侵檢測(cè)技術(shù)術(shù)日志和備份技技術(shù)防病毒技術(shù)評(píng)估、修補(bǔ)、、加固防源地址欺騙騙路由安全安全網(wǎng)管反垃圾郵件密鑰管理設(shè)施施檢測(cè)和響應(yīng)設(shè)設(shè)施網(wǎng)絡(luò)安全管理理體系框架建立完善的安安全組織結(jié)構(gòu)構(gòu)建立層次化的的網(wǎng)絡(luò)安全策策略包括綱領(lǐng)性策策略各種安全制度度、安全規(guī)范范和操作流程程應(yīng)用各種安全全機(jī)制包括網(wǎng)絡(luò)安全全預(yù)警機(jī)制安全風(fēng)險(xiǎn)識(shí)別別和控制機(jī)制制應(yīng)急響應(yīng)機(jī)制制安全培訓(xùn)機(jī)制制網(wǎng)絡(luò)安全技術(shù)術(shù)體系框架區(qū)域邊界保護(hù)護(hù)網(wǎng)絡(luò)內(nèi)部環(huán)境境保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施施保護(hù)網(wǎng)絡(luò)安全支持持設(shè)施網(wǎng)絡(luò)安全技術(shù)術(shù)體系框架－－區(qū)域邊界保保護(hù)目標(biāo)：著重對(duì)對(duì)重要的安全全區(qū)域進(jìn)行保保護(hù)，包括括支撐系統(tǒng)業(yè)業(yè)務(wù)系統(tǒng)、管管理系統(tǒng)，如如認(rèn)證和計(jì)費(fèi)費(fèi)系統(tǒng)、域名名服務(wù)系統(tǒng)、、網(wǎng)管中心、、IDC系統(tǒng)統(tǒng)等。常用的技術(shù):防火墻技術(shù)入侵檢測(cè)技術(shù)術(shù)。其他防護(hù)技術(shù)術(shù)產(chǎn)品網(wǎng)絡(luò)安全技術(shù)術(shù)體系框架－－網(wǎng)絡(luò)內(nèi)部環(huán)環(huán)境保護(hù)目標(biāo)：減少內(nèi)部環(huán)境境中存在的安安全漏洞。防止計(jì)算機(jī)病病毒在內(nèi)部環(huán)環(huán)境的傳播。。提高對(duì)網(wǎng)絡(luò)攻攻擊的發(fā)現(xiàn)能能力以及在安安全事件發(fā)生生后的跟蹤和和追查能力。。提高網(wǎng)絡(luò)安全全事件發(fā)生后后的恢復(fù)能力力。對(duì)應(yīng)保護(hù)技術(shù)術(shù)系統(tǒng)安全加固固本地安全掃描描防病毒日志與備份技技術(shù)網(wǎng)絡(luò)安全技術(shù)術(shù)體系框架－－網(wǎng)絡(luò)基礎(chǔ)設(shè)設(shè)施目標(biāo)：提高網(wǎng)絡(luò)拓?fù)鋼涞陌踩煽靠啃?。提高網(wǎng)絡(luò)設(shè)備備特別是骨干干設(shè)備的安全全性。保證網(wǎng)絡(luò)設(shè)備備遠(yuǎn)程管理的的安全性。保護(hù)技術(shù)網(wǎng)絡(luò)基礎(chǔ)實(shí)施施的設(shè)備、物物理鏈路、路路由的冗余和和備份。網(wǎng)絡(luò)設(shè)備的安安全設(shè)置、安安全掃描與加加固。網(wǎng)絡(luò)設(shè)備遠(yuǎn)程程安全管理：：SSH、多多因素認(rèn)證密密碼系統(tǒng)（如如RSA令牌牌）、VPNSOC技術(shù)網(wǎng)絡(luò)安全技術(shù)術(shù)體系框架－－網(wǎng)絡(luò)安全支支持網(wǎng)絡(luò)安全支持持目標(biāo)為網(wǎng)絡(luò)用戶、、設(shè)備和應(yīng)用用系統(tǒng)提供安安全服務(wù)密鑰管理服務(wù)務(wù)。網(wǎng)絡(luò)安全檢測(cè)測(cè)服務(wù)。網(wǎng)絡(luò)安全響應(yīng)應(yīng)服務(wù)。網(wǎng)絡(luò)安全支持持設(shè)施建設(shè)PKI技術(shù)，，SOC技術(shù)網(wǎng)絡(luò)流量異常常檢測(cè)技術(shù)網(wǎng)絡(luò)安全事件件統(tǒng)一收集安安全事件的關(guān)關(guān)聯(lián)分析網(wǎng)絡(luò)安全告警警和響應(yīng)TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNETTCP/IP模型與網(wǎng)絡(luò)絡(luò)安全應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞應(yīng)用層：應(yīng)用用程序和操作作系統(tǒng)的攻擊擊與破壞等傳輸層：拒絕絕服務(wù)攻擊和和數(shù)據(jù)竊聽風(fēng)風(fēng)險(xiǎn)等網(wǎng)絡(luò)層：拒絕絕服務(wù)攻擊，，路由欺騙等等硬件設(shè)備與數(shù)數(shù)據(jù)鏈路：物物理竊聽與破破壞等安全技術(shù)體系系框架1.安全管理理安全管理是確確保網(wǎng)絡(luò)信息息安全的重要要環(huán)節(jié)安全管理包括括對(duì)信息系統(tǒng)統(tǒng)的所有部件件和整個(gè)生命命周期的安全全管理，涵蓋蓋上述所有層層面，管理內(nèi)容應(yīng)包包括組織和人員、、工程管理、、運(yùn)行管理、、等級(jí)保護(hù)管管理、應(yīng)急處處理管理和密密碼管理等方方面。安全工程活動(dòng)動(dòng)的生命周期期安全需求建立立安全系統(tǒng)規(guī)劃劃安全系統(tǒng)確認(rèn)認(rèn)安全系統(tǒng)實(shí)施施安全需求驗(yàn)證證PDCA循環(huán)環(huán)：Plan—Do—Check—Act計(jì)劃實(shí)施檢查改進(jìn)PDACPDCA循環(huán)PDCA循環(huán)（續(xù)）又稱“戴明環(huán)環(huán)”,PDCA循環(huán)是能能使任何一項(xiàng)項(xiàng)活動(dòng)有效進(jìn)進(jìn)行的工作程程序:P：計(jì)劃，方方針和目標(biāo)的的確定以及活活動(dòng)計(jì)劃的制制定；D：執(zhí)行，具具體運(yùn)作，實(shí)實(shí)現(xiàn)計(jì)劃中的的內(nèi)容；C：檢查，總總結(jié)執(zhí)行計(jì)劃劃的結(jié)果，分分清哪些對(duì)了了，哪些錯(cuò)了了，明確效果果，找出問題題；A：改進(jìn)（或或處理）,對(duì)對(duì)總結(jié)檢查的的結(jié)果進(jìn)行處處理，成功的的經(jīng)驗(yàn)加以肯肯定，并予以以標(biāo)準(zhǔn)化，或或制定作業(yè)指指導(dǎo)書，便于于以后工作時(shí)時(shí)遵循；對(duì)于于失敗的教訓(xùn)訓(xùn)也要總結(jié)，，以免重現(xiàn)。。對(duì)于沒有解決決的問題，應(yīng)應(yīng)提給下一個(gè)個(gè)PDCA循循環(huán)中去解決決。PDCA循環(huán)環(huán)的特點(diǎn)一按順序進(jìn)行，，它靠組織的的力量來推動(dòng)動(dòng)，像車輪一一樣向前進(jìn)，，周而復(fù)始，，不斷循環(huán)PDCA循環(huán)（續(xù)）PDCA循環(huán)環(huán)的特點(diǎn)二組織中的每個(gè)個(gè)部分，甚至至個(gè)人，均有有一個(gè)PDCA循環(huán)，大大環(huán)套小環(huán)，，一層一層地地解決問題。。PDCA循環(huán)（續(xù)）PDCA循環(huán)環(huán)的特點(diǎn)三每通過一次PDCA循循環(huán)，都要進(jìn)進(jìn)行總結(jié)，提提出新目標(biāo)，，再進(jìn)行第二二次PDCA循環(huán)。90909090改進(jìn)執(zhí)行計(jì)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090改進(jìn)執(zhí)行計(jì)劃檢查CADPPDCA循環(huán)（（續(xù)））總體解解決方方案－－TopSec等級(jí)級(jí)保護(hù)護(hù)體系系遵照國國家等等級(jí)保保護(hù)制制度、、滿足足客戶戶實(shí)際際需求求，采用用等級(jí)級(jí)化、、體系系化相相結(jié)合合的方方法，，為客客戶建建設(shè)一一套覆覆蓋全全面、、重點(diǎn)點(diǎn)突出出、節(jié)節(jié)約成成本、、持續(xù)續(xù)運(yùn)行行的安安全保保障體體系。。實(shí)施后后狀態(tài)態(tài)：一一套持持續(xù)運(yùn)運(yùn)行、、涵蓋蓋所有有安全全內(nèi)容容的安安全保保障體體系，，是企企業(yè)或或組織織安全全工作作所追追求的的最終終目標(biāo)標(biāo)特質(zhì)：：等級(jí)化化：突突出重重點(diǎn)，，節(jié)省省成本本，滿滿足不不同行行業(yè)、、不同同發(fā)展展階段段、不不同層層次的的要求求整體性性：結(jié)結(jié)構(gòu)化化，內(nèi)內(nèi)容全全面，，可持持續(xù)發(fā)發(fā)展和和完善善，持持續(xù)運(yùn)運(yùn)行針對(duì)性性：針針對(duì)實(shí)實(shí)際情情況，，符合合業(yè)務(wù)務(wù)特性性和發(fā)發(fā)展戰(zhàn)戰(zhàn)略等級(jí)保保護(hù)體體系安安全措措施框框架安全策略體系安全技術(shù)體系身份認(rèn)證加密加固審核跟蹤訪問控制防惡意代碼監(jiān)控備份恢復(fù)管理制度組織職責(zé)技術(shù)標(biāo)準(zhǔn)規(guī)范信息安全政策安全組織教育培訓(xùn)人員職責(zé)人員安全安全組織體系安全體系建設(shè)項(xiàng)目建設(shè)安全管理安全風(fēng)險(xiǎn)管理與控制安全運(yùn)行與維護(hù)安全運(yùn)行體系安全管理運(yùn)行中心技術(shù)體體系安全組組織設(shè)設(shè)置和和崗位位職責(zé)責(zé)安全教教育、、培訓(xùn)訓(xùn)與資資質(zhì)認(rèn)認(rèn)證組織體體系安全策策略體體系設(shè)設(shè)計(jì)安全策策略與與流程程推廣廣實(shí)施施策略體體系項(xiàng)目建建設(shè)的的安全全管理理安全風(fēng)風(fēng)險(xiǎn)管管理與與控制制保護(hù)對(duì)對(duì)象框框架內(nèi)部與與第三三方人人員安安全管管理日常安安全運(yùn)運(yùn)行與與維護(hù)護(hù)安全體體系推推廣與與落實(shí)實(shí)運(yùn)作體體系全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)統(tǒng)一監(jiān)控與審計(jì)管理平臺(tái)終端管理和防病毒集中管理平臺(tái)安全域和網(wǎng)絡(luò)訪問控制平臺(tái)終端管理和防病毒集中管理平臺(tái)防病毒、補(bǔ)丁和終端管理平臺(tái)設(shè)備安全配置與加固基礎(chǔ)設(shè)施安全第三方統(tǒng)一安全接入平臺(tái)應(yīng)用加密平臺(tái)第三方統(tǒng)一安全接入平臺(tái)統(tǒng)一鑒別認(rèn)證平臺(tái)數(shù)據(jù)備份與冗災(zāi)平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)應(yīng)用系統(tǒng)安全增強(qiáng)應(yīng)用安全等級(jí)保保護(hù)體體系的的實(shí)現(xiàn)現(xiàn)安全組組織與與職責(zé)責(zé)設(shè)計(jì)計(jì)安全培培訓(xùn)與與資質(zhì)質(zhì)認(rèn)證證安全策策略體體系與與流程程設(shè)計(jì)計(jì)網(wǎng)絡(luò)與與應(yīng)用用加密密服務(wù)務(wù)平臺(tái)臺(tái)業(yè)務(wù)應(yīng)應(yīng)用系系統(tǒng)安安全改改造數(shù)據(jù)備備份與與冗災(zāi)災(zāi)平臺(tái)臺(tái)統(tǒng)一身身份認(rèn)認(rèn)證與與授權(quán)權(quán)管理理平臺(tái)臺(tái)設(shè)備安安全配配置與與加固固安全域劃劃分與邊邊界訪問問控制平平臺(tái)安全管理理運(yùn)行中中心安全策略略與流程程推廣實(shí)實(shí)施安全體系系推廣與與常年咨咨詢防病毒、、補(bǔ)丁和和終端管管理平臺(tái)臺(tái)統(tǒng)一安全全監(jiān)控與與審計(jì)平平臺(tái)安全技術(shù)術(shù)體系建建設(shè)安全組織織體系建建設(shè)安全策略略體系建建設(shè)安全運(yùn)行行體系建建設(shè)安全規(guī)劃劃安全調(diào)查查與風(fēng)險(xiǎn)險(xiǎn)評(píng)估等級(jí)保護(hù)護(hù)定級(jí)咨咨詢等級(jí)保護(hù)護(hù)體系設(shè)設(shè)計(jì)方案設(shè)計(jì)計(jì)等級(jí)保護(hù)護(hù)測(cè)評(píng)支支持與咨咨詢定級(jí)階段段規(guī)劃階段段實(shí)施與運(yùn)維階段段常年安全全運(yùn)維外外包服務(wù)務(wù)安全托管管監(jiān)控與與管家服服務(wù)等級(jí)保護(hù)護(hù)階段天融信提提供的安安全服務(wù)務(wù)與解決決方案網(wǎng)絡(luò)安全全的發(fā)展展趨勢(shì)網(wǎng)絡(luò)安全全技術(shù)發(fā)發(fā)展趨勢(shì)勢(shì)目錄錄防火墻技技術(shù)發(fā)展展趨勢(shì)速度對(duì)安安全的挑挑戰(zhàn)國際安全全技術(shù)格格局實(shí)力保證證創(chuàng)“芯芯”小芯片，，大內(nèi)涵涵獵豹出世世宣講膠片片目錄網(wǎng)絡(luò)速度度vs摩摩爾定律律網(wǎng)絡(luò)發(fā)展展速度遠(yuǎn)遠(yuǎn)大于CPU速速度0100M100G100T19901995200020052010網(wǎng)速CPU1990－2010年年，網(wǎng)速速和CPU處理理能力對(duì)對(duì)比高性能網(wǎng)網(wǎng)絡(luò)防火火墻越來來越迫切切用戶到底底缺什么么高性能防防火墻只只能用國國外這幾幾家？用了防火火墻，沒沒攻擊了了，可是是網(wǎng)速也也慢了網(wǎng)絡(luò)延遲遲太大，，視頻會(huì)會(huì)議沒法法進(jìn)行我們要的的是又有有安全性性，又穩(wěn)穩(wěn)定的產(chǎn)產(chǎn)品速度對(duì)安安全的挑挑戰(zhàn)國際安全全技術(shù)格格局實(shí)力保證證創(chuàng)“芯芯”小芯片，，大內(nèi)涵涵獵豹出世世宣講膠片片目錄安全產(chǎn)業(yè)業(yè)技術(shù)格格局ASICNP構(gòu)架架X86、、通用CPU構(gòu)構(gòu)架只有世界級(jí)前幾名安全廠家擁有ASIC自有產(chǎn)權(quán)國內(nèi)前幾名廠商，選擇了NP構(gòu)架的防火墻國內(nèi)以百計(jì)的小廠商依舊采用X86構(gòu)架防火墻天融信技術(shù)定位哪個(gè)層面？

TopASICTM

PowerNP4GS3IXP2400技術(shù)架構(gòu)ASICPowerPCBasedNPXscaleBasedNP處理層次2－7層的數(shù)據(jù)和安全處理2-4層數(shù)據(jù)轉(zhuǎn)發(fā)2-4層數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡(luò)加速強(qiáng)強(qiáng)強(qiáng)安全加速強(qiáng)弱弱應(yīng)用層過濾強(qiáng)弱弱廠商性質(zhì)中國自主美國(IBM賣給Hifn)美國(Intel賣給Marvell)下代產(chǎn)品TopASICTMII無前途不明TopASICvsNP分析在安全領(lǐng)領(lǐng)域，NP將何何去何從從？穩(wěn)定的性性能：無無策略轉(zhuǎn)轉(zhuǎn)發(fā)對(duì)比比無策略路路由轉(zhuǎn)發(fā)發(fā)ASIC性能千千兆100％NP性能能千兆100％％X86小小包千兆兆無法達(dá)達(dá)到線速速ASICNPX86穩(wěn)定的性性能：模模擬攻擊擊模擬攻擊擊下ASIC性能千千兆100％NP在小小包下性性能降低低X86性性能快速速下降A(chǔ)SICNPX86構(gòu)架對(duì)比比：性能能－功能能ASICTopASICx86CPU性能安全功能能嵌入式CPU高低高NP性能-功功能：綜綜合對(duì)比比TopASICTM最佳構(gòu)架對(duì)比比：安全全－穩(wěn)定定ASICTopASICx86CPU穩(wěn)定性安全性嵌入式CPU低高NP高安全性-穩(wěn)穩(wěn)定性：綜綜合ASIC或者TopASICTM最佳安全加速技技術(shù)的演進(jìn)進(jìn)NP架構(gòu)通訊加速ASIC架構(gòu)通訊加速安全加速性能時(shí)間通用平臺(tái)，，無網(wǎng)絡(luò)、、安全加速速網(wǎng)絡(luò)處理器器，對(duì)通訊訊專項(xiàng)加速速定制安全芯芯片，對(duì)通通訊和安全全處理都加加速x86架構(gòu)TopASICTM特點(diǎn)……NAT交換七層過濾VPN路由QoS狀態(tài)

核檢測(cè)可編程模塊TopASICTM特性芯片內(nèi)置多多模塊，全全功能硬加加速預(yù)留編程空空間，持續(xù)續(xù)升級(jí)線速轉(zhuǎn)發(fā)，，超低時(shí)延延，無瓶頸頸防火墻TopASICTM芯片內(nèi)部結(jié)結(jié)構(gòu)GMIIGMIIMII×8rsvdrsvd…GMIIGMIIJTAGCFGwithPROMPCIInterfaceXCF32PConfigConnectorEEPROMPHYPHYPHY×8PCIData[63:0]Ctl&ClkSignalAddr[12:0]SDRAMControllerSRAMPDMANATVPNQoSSLUSwitchRouteParserFilterL2EQMUCDURegExrsvdrsvdrsvdrsvdI2CInterface管理通道數(shù)據(jù)通道處理流程固定單元可修改單元可編程單元TopASIC性能能指標(biāo)5Gbps的芯片轉(zhuǎn)轉(zhuǎn)發(fā)容量千兆端口吞吞吐率：100％（（64Byte小包包）最大并發(fā)連連接>200萬每秒新建連連接>30000轉(zhuǎn)發(fā)延遲<10us支持2GE端口＋8FE端口口產(chǎn)品硬件構(gòu)構(gòu)架ASICCPU一級(jí)緩存二級(jí)緩存內(nèi)存FlashNVRam接口控制TAPF技技術(shù)，減少少CPU干干預(yù)數(shù)據(jù)處處理，報(bào)文文快速轉(zhuǎn)發(fā)發(fā)大容量二級(jí)級(jí)緩存，充充分提高性性能網(wǎng)絡(luò)數(shù)據(jù)策略授權(quán)高性能CPU，動(dòng)態(tài)態(tài)管理和策策略授權(quán)。。完全內(nèi)容檢檢測(cè)CCI19902000垃圾郵件病毒木馬蠕蟲處理能力拒絕服務(wù)攻攻擊19952005社會(huì)學(xué)攻擊擊1101001000完全內(nèi)容檢檢測(cè)CCI深度包檢測(cè)測(cè)DPI狀態(tài)檢測(cè)SI狀態(tài)檢測(cè)只只檢查數(shù)據(jù)據(jù)包的包頭頭；深度包檢測(cè)測(cè)可對(duì)數(shù)據(jù)據(jù)包內(nèi)容進(jìn)進(jìn)行檢查；；而CCI則則可實(shí)時(shí)將將網(wǎng)絡(luò)層數(shù)數(shù)據(jù)還原為為完整的應(yīng)應(yīng)用層對(duì)象象（如文件件、網(wǎng)頁、、郵件等）），并對(duì)這這些完整內(nèi)內(nèi)容進(jìn)行全全面檢查，，實(shí)現(xiàn)徹底底的內(nèi)容防防護(hù)。SI——StatefulInspectionDPI—DeepPacketInspectionCCI—CompleteContentInspection多級(jí)多路負(fù)載均衡SSL全網(wǎng)接入CCICleanVPN可編程專用芯片應(yīng)用還原技術(shù)黑匣子高速捕包技術(shù)TAPF轉(zhuǎn)發(fā)技術(shù)TOS內(nèi)核多層次狀態(tài)表防病毒攻擊防御漏洞掃描技術(shù)防火墻無縫穿透具有很大的的未知風(fēng)險(xiǎn)險(xiǎn)沒有辦法對(duì)對(duì)操作系統(tǒng)統(tǒng)做更多優(yōu)優(yōu)化發(fā)生安全問問題后沒辦辦法第一時(shí)時(shí)間解決問問題具有知識(shí)產(chǎn)產(chǎn)權(quán)風(fēng)險(xiǎn)安全性高充分優(yōu)化掌握所有操操作系統(tǒng)技技術(shù)，控制制所有核心心技術(shù)獨(dú)立發(fā)展自自己的知識(shí)識(shí)產(chǎn)權(quán)TOS：通用操作系系統(tǒng)：防火墻OS系統(tǒng)的發(fā)發(fā)展廠家操作系統(tǒng)CISCOIOSNokiaIPSOJuniper（Netscreen）ScreenOsFoundryTrafficWorksIronWareNortelAlteonOSLucentTAOSTopsecTOS防火墻OS系統(tǒng)的發(fā)發(fā)展硬件：ASIC,NPU,MIPS,X86，，ARM……TopsecOS架架構(gòu)IPSSSLVPN監(jiān)控報(bào)警管理QOSHA接入OS層基礎(chǔ)層安全引擎層層AntispamIPSEC服務(wù)層健壯中心文件系統(tǒng)交換FW硬件抽象層層OS核認(rèn)證路由日志配置GTAAV硬件TOS應(yīng)用入侵檢測(cè)技技術(shù)發(fā)展趨趨勢(shì)入侵檢測(cè)技技術(shù)將從簡簡單的事件件報(bào)警逐步步向趨勢(shì)預(yù)預(yù)測(cè)和深入入的行為分分析方向過渡。IMS（IntrusionManagementSystem，入侵管管理系統(tǒng)））具有大規(guī)規(guī)模部署、入侵預(yù)預(yù)警、精確確定位以及及監(jiān)管結(jié)合合四大典型型特征，將將逐步成為為安全檢測(cè)測(cè)技術(shù)的發(fā)展展方向。IMS體系系的一個(gè)核核心技術(shù)就就是對(duì)漏洞洞生命周期期