系統(tǒng)安全部內部培訓-網絡安全

系統(tǒng)安全部內部培訓——網絡安全系統(tǒng)安全部內部培訓-網絡安全第1頁Contents安全概念客戶安全需求當前主要處理方案我們重點

系統(tǒng)安全部內部培訓-網絡安全第2頁網絡安全概念業(yè)務運做IT基礎設施關鍵業(yè)務IT處理方案1-1互通互聯(lián)全球貿易平臺GTW電子商務基礎條件電子商務價值表現(xiàn)第一階段第二階段第三階段第四階段網絡基礎平臺B-B網絡社會企業(yè)信息化網絡層面安全業(yè)務層面安全用戶整體安全考慮下游安全整體考慮系統(tǒng)安全部內部培訓-網絡安全第3頁網絡安全概念

“3”個安全問題

怎樣確保？——用戶業(yè)務運行安全目標安全價值安全意義？系統(tǒng)安全部內部培訓-網絡安全第4頁網絡安全概念安全是什么?確保網絡及其中資源能夠在需要時候被需要人正常使用。這不是定義系統(tǒng)安全部內部培訓-網絡安全第5頁客戶安全需求用戶信息化級別：（一）信息化級別較低處于用戶信息化早期，停留在OA等初級使用層面?zhèn)€人數據安全；防病毒需要；系統(tǒng)宕機后恢復無專員管理其它系統(tǒng)安全部內部培訓-網絡安全第6頁客戶安全需求（二）具備一定信息化條件信息化基礎很好，已建有內部專門應用網絡。但還未將業(yè)務與此掛鉤。各種應用系統(tǒng)（財務，人事等）安全；關注內部網絡可用性和可靠性專門人員管理或分管管理層對信息安全有一定思緒和投入計劃企業(yè)規(guī)模適中系統(tǒng)安全部內部培訓-網絡安全第7頁客戶安全需求（三）較高信息化企業(yè)有較完整網絡基礎設施業(yè)務運行需要依靠現(xiàn)有網絡基礎設施且業(yè)務信息化程度較高。對現(xiàn)有運行數據比較敏感企業(yè)規(guī)模較大相對較穩(wěn)定有著較明確安全策略并在一定程度上落實執(zhí)行業(yè)務可能外包。系統(tǒng)安全部內部培訓-網絡安全第8頁客戶安全需求（四）另類用戶——運行商或大型企業(yè)服務性部門特點：服務對象為普通不是本身。主要是確保其提供服務對象網絡安全。對于運行網絡技術性考慮較為全方面，周全。但對于本身網絡安全欠考慮。對設備穩(wěn)定性要求和性能考慮更多；更能行考慮較少。普通存在主機安全、網絡安全兩種聲音存在重復投資系統(tǒng)安全部內部培訓-網絡安全第9頁當前主要網絡安全處理方案為何有網絡安全問題：最初面向研究Internet和它通信協(xié)議群是為比現(xiàn)在良好得多環(huán)境而設計。應該說,那是一個君子環(huán)境,用戶和主機之間相互信任,志在進行自由開放信息交換。在這么環(huán)境里,使用Internet人實際上就是創(chuàng)建Internet人。伴隨時間推移,Internet變得愈加有用和可靠,別人也就參雜了進來。人越來越多,共同目標卻越來越少,Internet初衷漸漸地被扭曲了.……系統(tǒng)安全部內部培訓-網絡安全第10頁當前主要網絡安全處理方案為何有網絡安全問題：造成網絡安全問題原因有方方面面。國家機密、商業(yè)競爭、對顧主單位不滿、對網絡安全技術挑戰(zhàn)、對企業(yè)關鍵機密企望、網絡接入帳號、信用卡號等金錢利益誘惑、利用攻擊網絡站點而知名、對網絡好奇心（這方面主要是孩子們）等，當然其它一些原因也都可能引發(fā)攻擊者蓄意攻擊行為。不過從已見報道網絡犯罪案件來看，多數網絡犯罪者都很年輕，它們表示原來并不知道這么做是犯罪。另外，當前國內多數網絡系統(tǒng)管理人員和工程施工人員對網絡安全問題重視不夠，意識冷淡，建設中或建設后在沒有采取足夠安全防護辦法情況下，將網絡接入因特網上，也為計算機犯罪打開了方便之門。使得一些青少年利用從網絡上學來簡單入侵伎倆就能在網絡上通行無阻，在滿足自己好奇心同時，觸犯了國家法律。系統(tǒng)安全部內部培訓-網絡安全第11頁當前主要網絡安全處理方案現(xiàn)有網絡安全為何會失效？網絡安全概念中有一個"木桶"理論……從技術角度分析，網絡安全體系失敗原因有以下幾個原因：首先，從芯片、操作系統(tǒng)到應用程序，任何一個步驟都可能被開發(fā)者留下“后門”。

其次，網絡設備和軟件不可能是完美，在設計開發(fā)過程中必定會出現(xiàn)缺點和漏洞。這些漏洞和缺陷恰恰是黑客進行攻擊目標。再次，對于網絡企業(yè)網或者ISP公網來說，管理失敗是網絡安全體系失敗非常主要原因。系統(tǒng)安全部內部培訓-網絡安全第12頁當前主要網絡安全處理方案完整網絡處理方案應包含哪些？有效安全策略網絡安全目標范圍、培養(yǎng)安全意識，制訂安全制度研究技術方案方案/產品選型分期實施計劃資金設備系統(tǒng)安全部內部培訓-網絡安全第13頁當前主要網絡安全處理方案不一樣行業(yè)要求需要對應不一樣安全策略！電信行業(yè)—基礎電信運行商增值電信運行商增值內容提供商增值服務提供商移動業(yè)務，固網，新增寬帶數據運行所對應安全策略各有側重！其它行業(yè)，各有行業(yè)特點：金融、政府、軍隊、能源、交通等依據行業(yè)特點對于安全要求也各有不一樣。系統(tǒng)安全部內部培訓-網絡安全第14頁當前主要網絡安全處理方案技術方向：技術融合，突出整體。

防火墻、入侵檢測、網絡掃描、安全評定、認證及授權等各項原本基于主機或網絡技術正走向融合。以往被動防護結合主動防護技術，凸現(xiàn)整體防護意識。

處理能力和可用性顯著增強，安全設備級別逐步提升到電信級別。

安全設備和其它網絡設備結合使用或基于原有網絡設備，性能獲重大提升。如CISCO新一代硬件防火墻。由網絡邊緣向骨干提升，成為網絡設計中不可缺乏步驟。分布式系統(tǒng)結構開始作為一個提升性能和可靠性關鍵原因取得使用。系統(tǒng)安全部內部培訓-網絡安全第15頁當前主要網絡安全處理方案處理方案組成：

網絡防火墻、入侵檢測、網絡掃描、流量監(jiān)控/分析、主機防火墻、身份認證/鑒權、數據加/解密、物理隔離、防病毒……怎樣選取系統(tǒng)安全部內部培訓-網絡安全第16頁當前主要網絡安全處理方案分清目標??？當前安全問題？未來安全考慮？重點業(yè)務安全問題/隱患賣方案賣產品未來問題，賣VISION！系統(tǒng)安全部內部培訓-網絡安全第17頁當前主要網絡安全處理方案產品篇一、防火墻1、硬件防火墻NETSCREEN、NORTEL、CISCO2、基于專用PC結構防火墻CISCO、NOKIA、WATCHGUARD、SAMSUNG3、軟件防火墻CHECKPOINT、NORTON系統(tǒng)安全部內部培訓-網絡安全第18頁當前主要網絡安全處理方案4、其它LinkTrustCyberWall防火墻LinkTrustCyberWall-100防火墻屬于固態(tài)專用防火墻，外觀大方漂亮，帶有三個不一樣管理界面：WebGUI、命令行和前面板小鍵盤。集成有狀態(tài)檢驗包過濾、應用代理、NAT、VPN、HA等特征IBM防火墻IBM全球網絡數十年安全運行，是因為使用了IBM防火墻?，F(xiàn)在IBM愿意和自己客戶一道分享技術超群IBM防火墻帶來安全（這是IBM自己宣傳）NetChina中網防火墻簡單地說話，NetChina中網防火墻屬于軟硬結合、包過濾、應用代理混合防火墻。系統(tǒng)安全部內部培訓-網絡安全第19頁當前主要網絡安全處理方案Gaunlet(NAI)

Gauntlet防火墻、PGP加密、Macfee反病毒、Cybercops風險評定和入侵探測是NAI企業(yè)四大旗艦產品。當前GauntletFirewall和GauntletVPN特征包含：1網絡過濾和應用層代理2內置業(yè)界優(yōu)異反病毒產品Macfee，保護內部網不受病毒和惡意代碼（如java和activexapplet侵擾3包含VPN模塊，快速建立廣域范圍內VPN。

另外，NAI企業(yè)利用PGP軟件威力即將推出桌面?zhèn)€人防火墻產品PGP-DesktopSecurity（個人防火墻）。該個人防火墻將包含入侵探測、VPN、集中管理等功效。運行平臺包含windows9x/nt/等。CA企業(yè)GuardIT防火墻

CA企業(yè)緊鑼密鼓，加班加點，連買帶寫，產品線越來越長。中聯(lián)綠盟“綠色警戒”個人防火墻當前產品包含win/和win/nt兩個版本?！毒G色警戒》1.1版是中聯(lián)綠盟信息技術企業(yè)開發(fā)Win下個人防火墻軟件。該版本在1.0版本基礎上增加了以下功效：1)前瞻性木馬程序檢測。2)先進基于服務防護概念。3)靈活IP過濾策略。4)端口描述。系統(tǒng)安全部內部培訓-網絡安全第20頁當前主要網絡安全處理方案諾頓個人防火墻諾頓是著名防病毒廠家。當前推出個人防火墻NortonPersonalFirewall2.0版能夠與其Anti-Virus緊密集成。含有下面一些特點：

-識別并預防黑客攻擊，

-含有一定“網絡隱身”能力

-保護個人隱私信息

-選擇甄別“cookie”等網站追蹤個人網上行動伎倆

-輕易與Anti-Virus集成，提供全方面保護

-工作于Win9x/NT/平臺之上朗訊LucentManagedFirewallv4.0

業(yè)界巨人新推出包含VPN、防火墻、IDS等在內一攬子安全處理方案。當前，其詳細性能及應用情況尚不得而知。其防火墻LucentManagedFirewallv4.0防火墻功效與防火墻管理分離開來，防火墻部分使用小巧、有效lucent專有操作系統(tǒng)Inferno（TM）之上，而管理部分能夠工作于NT或者solaris之上。防火墻硬件采取飛躍體系（PentiumII333)黑盒子結構...

系統(tǒng)安全部內部培訓-網絡安全第21頁當前主要網絡安全處理方案Firewall-1(CheckPoint)

業(yè)界最為流行、市場擁有率最高一個。支持網絡地址翻譯（NAT）、流量分擔、VPN、加密認證等功效。

PIX(Cisco)

經典網絡層包過濾專用防火墻，支持網絡地址翻譯（NAT），在國內163/169網絡上面應用很多。不過沒有能力防御應用層攻擊、無法進行內容過濾，比如Java、ActiveX以及病毒過濾等。NetScreen

硬件級黑盒子方式防火墻，在163/169網絡中有部分應用。最近，其新推出G比特防火墻引人注目。

系統(tǒng)安全部內部培訓-網絡安全第22頁當前主要網絡安全處理方案天融信“網絡衛(wèi)士”防火墻

天融信是一家資格較深國內防火墻廠家，當前在國內政府、企業(yè)中有不少應用。下面是摘自其網站相關“網絡衛(wèi)士”系統(tǒng)組成簡明介紹。防火墻模塊（硬件）：是一個基于安全操作系統(tǒng)平臺自主版權高級訪問控制系統(tǒng)。

管理器模塊（軟件）：一個集中式防火墻管理系統(tǒng)（運行于WIN95、WIN98環(huán)境下）。

一次性口令用戶客戶端模塊（軟件）：運行于WIN95、WIN98環(huán)境下

入侵檢測監(jiān)控臺模塊（軟件）：運行于WIN95、WIN98環(huán)境下NetPolice（西安信利）

國內開發(fā)，基于Linux內核，黑盒子方式。系統(tǒng)安全部內部培訓-網絡安全第23頁當前主要網絡安全處理方案S(天網安全)

國內開發(fā)，總部位于廣州，近期內北京分企業(yè)即將開張。防火墻產品包含黑盒子方式高速防火墻以及最近推出單機版?zhèn)€人防火墻。其中高速防火墻在國內若干主要場所取得應用。中科網威“長城”防火墻

國內自主開發(fā)，與網威掃描軟件等同出于中科院高能所網威工作室。當前，該工作室產品已逐步形成系列，包含“長城”防火墻、“火眼”網絡安全掃描系統(tǒng)、“金睛”系統(tǒng)安全掃描系統(tǒng)、“磐石”網站監(jiān)控系統(tǒng)、“天眼”網絡偵測系統(tǒng)。系統(tǒng)安全部內部培訓-網絡安全第24頁當前主要網絡安全處理方案清華紫光UNISECURE系列防火墻

北京清華紫光股份有限企業(yè)控股與四川順風通信有限責任企業(yè)參股共同組建了一個專業(yè)化信息安全企業(yè)-紫光順風企業(yè)，專門開發(fā)經營網絡安全產品，當前安全產品包含UF3100、UF3500防火墻、安全路由器、SecMail安全電子郵件、同時加密機、WebGateWeb安全訪問系統(tǒng)、異步加密機、SFeCA數字證書管理系統(tǒng)、密鑰管理中心、SEM安全保密模塊等。Raptor(Axent）

在業(yè)界口碑很好，在國內市場還未打開。NetShine（實達郎新）

國內開發(fā)，基于Linux內核，黑盒子方式。系統(tǒng)安全部內部培訓-網絡安全第25頁當前主要網絡安全處理方案系統(tǒng)安全部內部培訓-網絡安全第26頁當前主要網絡安全處理方案二、入侵檢測設備主要產品、廠家系統(tǒng)安全部內部培訓-網絡安全第27頁當前主要網絡安全處理方案市場情況（1999年）系統(tǒng)安全部內部培訓-網絡安全第28頁當前主要網絡安全處理方案國內網絡安全領域特點：“天下大勢，分久必合，合久必分”。

系統(tǒng)安全部內部培訓-網絡安全第29頁當前主要網絡安全處理方案

網絡安全產品市場這一二年中增加得非?？焖伲渲蟹阑饓Ξa品占了很大份額。于是，大家從商業(yè)眼光角度出發(fā)希望占領市場熱情都無可厚非。不過，簡單算一筆帳，開發(fā)一個新產品、建立完整文檔、周密測試、市場推廣與技術支持、繼續(xù)開發(fā)。。。需要維持多少個工程師呢？按照我現(xiàn)在了解，大約每種國內防火墻廠家大約開發(fā)與測試與文檔工程師在20人上下，還要加上更多市場人員。按照北京差不多工資水平，大約平均一個工程師年開支最少10萬元，工資、租金、廣告、差旅費等等下來差不多要上千萬元。而普通防火墻定價大約也在10萬元左右。假如想要收回成本，即要每年賣到上百套。數十種產品，前面幾個名牌要分掉大部分，排在后面廠家只好進入“ST”版塊了，繼續(xù)尋找“風投”青睞。更不要說，同時開發(fā)、維護、推廣幾個安全產品。

這么情況很輕易讓人聯(lián)想到當前“數也數不清”、在“今年網站企業(yè)會尸橫遍野”預測中奮力沖向股市網站們。YAHOO在盈利，但更多網站都在“ST”。

掃描器、入侵探測、防火墻等作出一個產品都不難，難處于于能夠讓自己產品表達出自己個性，保持“性能”、“手法”等方面先進性，比喻說關鍵“攻擊特征庫”。ISS在維護其掃描器、入侵探測兩個產品人力超出千人，CHECKPOINT在其單純防火墻一個產品上面工程師也到達了數百人。當然，人數眾寡不能簡單代表產品優(yōu)劣。我在這里想說是“網絡安全產品市場也需要一個規(guī)模效應”。

所以，經過一番激烈市場競爭后，在1-2年內，國內可能會出現(xiàn)相當程度安全企業(yè)之間吞并、聯(lián)合。防止重復開發(fā)，提升開發(fā)效率，更有效地利用資金。這么，在競爭中生存下來幾個國內品牌在國家政策方面支持下，在企業(yè)規(guī)模方面、產品完整性方面、市場和技術支持