網(wǎng)絡(luò)安全的生態(tài)環(huán)境

網(wǎng)絡(luò)安全的生態(tài)環(huán)境第1頁，共28頁，2023年，2月20日，星期六生態(tài)環(huán)境的啟示在網(wǎng)絡(luò)安全防御與攻擊的斗爭中，防御能力正受到日益增強的挑戰(zhàn)網(wǎng)絡(luò)安全的產(chǎn)業(yè)正發(fā)展成為一個復(fù)雜的，由多種角色構(gòu)成的生態(tài)環(huán)境斗爭手段的不斷升級將促進防御技術(shù)、防御系統(tǒng)的工作模式的不斷進化第2頁，共28頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全：復(fù)雜的生態(tài)環(huán)境

社會活動：大規(guī)模的安全危機信息系統(tǒng)不斷產(chǎn)生新的缺陷缺陷被用來產(chǎn)生新的攻擊手段攻擊手段產(chǎn)生了可見的效果危機階段1：攻擊手段發(fā)揮作用但是沒有被察覺研究機構(gòu)根據(jù)發(fā)生的岸例識別出攻擊的特征危機階段2：攻擊特征尚未準(zhǔn)確提取防御手段的產(chǎn)生：信息系統(tǒng)廠商提供修補缺陷的辦法安全產(chǎn)品廠商提供防御的手段危機階段3：針對攻擊的原理廠商尚未提供補救措施用戶實施防御措施危機階段4：用戶沒有及時實施防御措施用戶改進安全策略，對該攻擊模式永久免疫

第3頁，共28頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全：復(fù)雜的生態(tài)環(huán)境局部生態(tài)：黑客用來攻擊的武器庫日益龐大，在一個具體的攻擊事件中，任何一個已知的和未知的攻擊工具都有可能在局部安全事件中發(fā)揮作用。

攻擊嘗試階段（掃描和攻擊嘗試）“活動異常”的敏感階段破壞階段“功能異?！泵舾须A段重復(fù)攻擊“功能異?！泵舾须A段破壞擴大“功能異?！泵舾须A段第4頁，共28頁，2023年，2月20日，星期六局部安全防御體系中的角色防御的核心：安全管理人員具備攻擊知識庫的預(yù)警系統(tǒng)幫助管理人員盡早發(fā)現(xiàn)異常外部提供知識和分析能力的專家隊伍對管理人員提供知識上的幫助并在大規(guī)模的安全事件中獲得“超前預(yù)警”診斷和監(jiān)測安全狀況的探察系統(tǒng)幫助由安全管理人員分析問題的工具實施安全防御策略的對攻擊產(chǎn)生防御作用第5頁，共28頁，2023年，2月20日，星期六進化的必要性信息系統(tǒng)的復(fù)雜性是不斷增加的復(fù)雜性的增加導(dǎo)致缺陷和脆弱性的增加永遠(yuǎn)存在出現(xiàn)目前的防御體系所不能抵御的攻擊方法的可能性攻擊的破壞代價存在不斷增大的趨勢防御系統(tǒng)必須不斷進化以適應(yīng)新的安全環(huán)境第6頁，共28頁，2023年，2月20日，星期六防御系統(tǒng)中的能力的進化人的因素的加強雇傭軍：借助外力培訓(xùn)：增強自身力量建立信息網(wǎng)絡(luò)：迅速獲取防御的知識產(chǎn)品能力產(chǎn)品通過不斷更新以能夠?qū)π碌墓舢a(chǎn)生識別和防御的能力產(chǎn)品與人的結(jié)合能力安全產(chǎn)品將包含越來越多的工具特征，使安全技術(shù)人員能借助產(chǎn)品的能力對網(wǎng)絡(luò)上的異常做出正確的響應(yīng)第7頁，共28頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展趨勢核心技術(shù)仍有較大的發(fā)展空間防火墻：應(yīng)用層防御能力急需加強入侵檢測：檢測準(zhǔn)確度遠(yuǎn)不能滿足要求，對異常事件的鑒別手段仍然不夠，“動態(tài)防御”的概念的實際效果受到挑戰(zhàn)，但是如果從專注于自動防御轉(zhuǎn)變?yōu)楦幼⒅貙Π踩芾砣藛T的輔助工具的作用，有可能發(fā)展成為網(wǎng)絡(luò)安全管理的核心部件VPN：易用性和性能是需要克服的兩個最大問題以設(shè)備為中心發(fā)展到以人為中心對抗黑客技術(shù)仍需“以人為本”新的網(wǎng)絡(luò)安全概念：網(wǎng)絡(luò)安全響應(yīng)中心產(chǎn)品安全事件的應(yīng)對措施越來越復(fù)雜，如何使組織在最短的時間內(nèi)徹底實施有效的應(yīng)對措施正日益成為新的挑戰(zhàn)第8頁，共28頁，2023年，2月20日，星期六東軟在安全產(chǎn)業(yè)的發(fā)展思路為網(wǎng)絡(luò)安全工程師提供最佳裝備產(chǎn)品為人服務(wù)把最重要的功能做到最好核心產(chǎn)品：防火墻入侵檢測網(wǎng)絡(luò)加密通道公共的管理工具：策略編輯工具審計系統(tǒng)監(jiān)控系統(tǒng)第9頁，共28頁，2023年，2月20日，星期六東軟在信息安全領(lǐng)域的發(fā)展歷程1995年在東北大學(xué)軟件中心成立網(wǎng)絡(luò)安全實驗室1996年作為國家計算機軟件工程中心承接國家“九五”攻關(guān)項目—“具有信息分析功能的防火墻”1998年在科研項目的基礎(chǔ)上由東大阿爾派完成產(chǎn)品化并投入市場2000年先后推出了NetEye入侵檢測、VPN、CA、安全數(shù)據(jù)庫等系列安全產(chǎn)品，成為信息安全完整解決方案的供應(yīng)商先后承接了多項國家級的信息安全領(lǐng)域的科研或產(chǎn)業(yè)化項目：九五攻關(guān)項目國家“863”項目國家“863”信息安全應(yīng)急計劃國家計委“信息安全產(chǎn)業(yè)化項目”國家信息安全管理辦公室“網(wǎng)絡(luò)安全專題項目”國家教育科研網(wǎng)網(wǎng)絡(luò)安全項目第10頁，共28頁，2023年，2月20日，星期六東軟股份信息安全體系的構(gòu)成產(chǎn)品定位為企業(yè)級/電信級的安全系統(tǒng)產(chǎn)品線主要解決的問題：網(wǎng)絡(luò)訪問控制與入侵防御網(wǎng)絡(luò)級的信息加密傳輸集中控制的安全管理通過合作和集成解決的問題：防病毒引擎身份鑒別部件應(yīng)用級加密加密算法可以獨立使用的安全產(chǎn)品NetEye防火墻產(chǎn)品NetEyeVPN產(chǎn)品NetEye入侵檢測產(chǎn)品NetEye企業(yè)個人安全平臺第11頁，共28頁，2023年，2月20日，星期六4/23/2023產(chǎn)品體系企業(yè)邊界防火墻（VPN集中器）入侵檢測探頭個人安全平臺個人安全平臺審計中心數(shù)據(jù)庫集中安全策略管理監(jiān)控平臺分支機構(gòu)的邊界防火墻和VPN網(wǎng)管

防火墻與VPN：網(wǎng)絡(luò)邊界訪問控制，數(shù)據(jù)加密與通道

入侵檢測：內(nèi)部網(wǎng)絡(luò)監(jiān)測，應(yīng)用層審計

個人安全平臺：個人主機防御，VPN前端連接部件：

集中的審計中心

全局安全策略制訂

實時網(wǎng)絡(luò)監(jiān)控第12頁，共28頁，2023年，2月20日，星期六產(chǎn)品設(shè)計理念把安全產(chǎn)品作為網(wǎng)絡(luò)安全防御體系的部件進行設(shè)計系統(tǒng)結(jié)構(gòu)清晰具備與其它系統(tǒng)的互操作性注重核心安全能力的提高通過核心架構(gòu)的優(yōu)化提高安全保護能力和性能充分注重人在防御體系中的核心作用作為關(guān)鍵的防御部件，為管理員提供策略執(zhí)行、安全審計、實時監(jiān)控的能力防火墻、入侵檢測、VPN等產(chǎn)品既是防御部件又是安全管理的有效工具兼顧產(chǎn)品的性能、可靠性和易用性所有產(chǎn)品均為專用的硬件設(shè)備，提供高性能高可靠性的保證基于WindowsGUI的圖形化管理工具提供最大程度的易用性第13頁，共28頁，2023年，2月20日，星期六NetEye安全平臺內(nèi)部結(jié)構(gòu)LinuxKernelFW網(wǎng)絡(luò)層部件VPN通道IDS數(shù)據(jù)收集IOCTL內(nèi)核接口應(yīng)用層控制審計系統(tǒng)監(jiān)控服務(wù)接口管理服務(wù)CTLD：設(shè)備訪問接口認(rèn)證服務(wù)NetEyeSocket控件硬件平臺第14頁，共28頁，2023年，2月20日，星期六核心產(chǎn)品：NetEye防火墻1996年九五攻關(guān)項目立項

1998年開始產(chǎn)品化

1999年5月NetEye1.0問世（XKC33014）

2000年4月NetEye2.0發(fā)布（XKC33048）

2001年6月NetEye3.0發(fā)布（XKC33113）通過公安部第三研究所的嚴(yán)格檢測，NetEye3.0符合兩個最新的國家標(biāo)準(zhǔn)：GB/T18019-1999：包過濾防火墻安全技術(shù)要求GB/T18020-1999：應(yīng)用級防火墻安全技術(shù)要求第15頁，共28頁，2023年，2月20日，星期六現(xiàn)有防火墻產(chǎn)品的局限性體系結(jié)構(gòu)的局限，訪問控制粒度較粗；對新出現(xiàn)的漏洞和攻擊方式不能迅速提供有效的防御辦法；管理困難，容易出現(xiàn)配置的安全誤區(qū)，并且緊急情況下無法做到迅速響應(yīng)；性能和穩(wěn)定制約了大范圍的使用。第16頁，共28頁，2023年，2月20日，星期六現(xiàn)有防火墻的體系結(jié)構(gòu)主流防火墻技術(shù)：狀態(tài)檢測包過濾技術(shù)應(yīng)用代理技術(shù)目前市場上主流產(chǎn)品的形態(tài)：集成了狀態(tài)檢測包過濾和應(yīng)用代理的混合型產(chǎn)品第17頁，共28頁，2023年，2月20日，星期六核心技術(shù)—流過濾以包過濾的外部形態(tài)實現(xiàn)對應(yīng)用層信息流的過濾提供覆蓋應(yīng)用層和網(wǎng)絡(luò)層的完整的訪問控制流過濾的突出特點：融合了狀態(tài)檢測包過濾和應(yīng)用代理安全保護能力具有包過濾防火墻的透明性：容易部署、對應(yīng)用透明可以實現(xiàn)應(yīng)用防護特性的迅速升級以抵御新出現(xiàn)的攻擊手段專為防火墻實現(xiàn)的TCP協(xié)議棧：拋棄了Socket接口，輕量、高效、極低的內(nèi)存占用，支持大規(guī)模并發(fā)訪問極強的抗攻擊能力抵御各種TCP層的掃描第18頁，共28頁，2023年，2月20日，星期六NetEyeFW3.0的內(nèi)部結(jié)構(gòu)基于信息流的安全策略狀態(tài)檢測模塊狀態(tài)檢測模塊NetEyeTCP協(xié)議棧NetEyeTCP協(xié)議棧IP數(shù)據(jù)包數(shù)據(jù)流第19頁，共28頁，2023年，2月20日，星期六核心多處理器平臺OS核心輸入負(fù)荷均衡輸出集中協(xié)議分析訪問控制審計輸出協(xié)議分析訪問控制審計輸出協(xié)議分析訪問控制審計輸出協(xié)議分析訪問控制審計輸出CPU#1CPU#2CPU#3CPU#n站在巨人的肩膀上解決性能問題國內(nèi)唯一的提供多處理器核心的防火墻產(chǎn)品，并在中高端型號提供雙處理器的缺省配置主要操作全部在OS內(nèi)核級進行，減少了進程切換和數(shù)據(jù)拷貝的開銷計算負(fù)荷均勻分擔(dān)到多個處理器上，使系統(tǒng)能夠支持千兆級的處理能力采用IntelPIIIXeon處理器的SMP架構(gòu)，最多可以支持4顆CPU第20頁，共28頁，2023年，2月20日，星期六包含策略編輯、安全審計、實時監(jiān)控分析的安全管理平臺NetEye防火墻的管理工具第21頁，共28頁，2023年，2月20日，星期六NetEye入侵檢測產(chǎn)品：網(wǎng)絡(luò)安全管理平臺基于知識庫的攻擊預(yù)警網(wǎng)絡(luò)層和應(yīng)用層審計實時網(wǎng)絡(luò)監(jiān)控第22頁，共28頁，2023年，2月20日，星期六NetEyeVPN產(chǎn)品（SJW20）Ipsec標(biāo)準(zhǔn)協(xié)議實現(xiàn)國產(chǎn)專用加密芯片支持LANtoLAN的連接方式和移動用戶對企業(yè)內(nèi)部網(wǎng)的虛擬接入方式支持在連接節(jié)點上制定訪問控制策略全局安全管理、集中審計、實時監(jiān)控第23頁，共28頁，2023年，2月20日，星期六東軟安全技術(shù)持續(xù)發(fā)展能力提供安全產(chǎn)品廠商的健康發(fā)展是對用戶投資的最重要的保護保證持續(xù)發(fā)展的規(guī)?；难邪l(fā)隊伍嚴(yán)格的質(zhì)量保證體系服務(wù)能力第24頁，共28頁，2023年，2月20日，星期六研發(fā)隊伍70余人的研發(fā)隊伍10%策劃和設(shè)計10%前瞻性研究40%產(chǎn)品開發(fā)25%測試隊伍10%咨詢專家100%本科以上學(xué)歷，其中博士5%，碩士15%第25頁，共28頁，2023年，2月20日，星期六NetEye安全產(chǎn)品的質(zhì)量保證開發(fā)與測試的人員比例為1.5:1在測試環(huán)境和品質(zhì)保證實驗室的充分投資產(chǎn)品質(zhì)量保證網(wǎng)絡(luò)適應(yīng)性測試性能測試嚴(yán)格遵循ISO9001:2000版的質(zhì)量保證體系第26頁，共28頁，2