5 W# z+ [4 l& D4 F ^& x$ v! M8 R
3 r, J* a3 p+ }0 Q# s5 E8 M
4 K5 Y: o6 m+ W U; n
6 f# a: [! U ^# H' i% q/ g( _网络安全8大趋势
, H0 G. X1 z* R0 P( P
+ `) m6 D7 v1 W' [) g4 Q8 M & D& h' W# C# H/ ^7 T# l; ^
) x4 G3 [$ F' f ; M: L7 x/ {# t* s5 k, E
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。
2 r, y* d! u1 ^8 G& f2 C# T) y% e! H; [) f* F7 w: m3 S7 D8 ^1 P& t
一、物理隔离 6 k3 m/ @# K# y$ B- K
. `; g: o1 H$ M6 j3 i解决 * t1 N/ q. V4 B3 L) u2 t. o
方案:物理隔离网闸
, H U. Q( H3 b t8 h1 D* v8 X& N( h4 E9 p& K1 s
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。 # c8 O' p2 Y: `( F; r# X
6 g- e$ q) e5 r6 } ^6 g
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 ' D& l* R3 O8 _4 S$ G
- B% n& ^+ B( s$ p# {二、逻辑隔离
! _) Y% f1 i) {, ?! b; F; |- H* O- r2 x
解决方案:防火墙
' P5 I- D" u5 f8 t# |
: c4 j- o8 J0 y3 j3 ?7 M在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 + G3 ]7 r; k7 [8 o' p9 u3 b1 X
3 R# o4 M! k" g0 r% K7 f! ]* d
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 - R" m( U8 ~5 ]& e! f
( A9 P1 d- F6 I i N9 v三、防御来自网络的攻击 ! {1 n$ n( R; D
- g, {( W# s4 ]
解决方案:抗攻击网关
. ?3 H- s( @7 _9 s( @) X" a
: `. Z: ]& M% [" g网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
) D5 e, D, R4 `
7 r# V% g$ t1 @# _) F抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 1 X5 y! Z. y7 A) L% a; B
2 I, G9 R: X \ N. H Q4 n3 i四、防止来自网络上的病毒 ) ?9 m( B2 ]4 @. ?9 n
; }; |. E5 a0 f
解决方案:防病毒网关
4 z6 ?/ N- u0 _! ^
1 P8 _+ H5 J9 B, [/ J% [传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
: }" _2 L! }# l& ?
# ] L7 \/ {, e7 V* E" k! S应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
& G# A' j) v* O) M7 X+ `6 c( _- ^% R# H' f# ]! [" }* E- F
五、身份认证 , _4 k# S# Z f2 Z6 p& c' m
3 ^8 u; t. W# v解决方案:网络的鉴别、授权和管理(AAA)系统
p4 m* I+ B. t6 \4 t$ z7 k8 B5 r# |! v2 w* p9 B& m% S
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 " o2 n- D* o# m7 W. D0 l
# {9 o" a# |% s1 A) M3 T$ w, T在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 " A/ T" }7 D4 S, ~' ] z
) S' R) `( J3 }( |六、加密通信和虚拟专用网
& F* F: G: I% i5 \4 |% |8 b7 X \( z% z8 F) {
解决方案:VPN / s& a9 [0 o3 g& _! S% q9 R6 U
/ h: J9 P: ?4 ^& U5 I* i$ b单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 ( M. b2 e; n7 W
# W- j8 A& |, n- u' d7 m
VPN的另外一个方向是向轻量级方向发展。 7 a$ c# {* G' p" X5 ]* @ t
. E1 }. k P8 s1 F
七、入侵检测和主动防卫(IDS)
* X4 ?4 W$ v0 @; H) v
0 [' J) K2 S9 n% B* F# Z. b8 d解决方案:IDS
. t# T# A0 k- }, w6 q. Y O0 K0 K& ^: {) r3 v3 A. ~
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
2 M% l' Y1 @4 L: x# ^6 U& x. |/ [ M! f+ y# {
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
/ b, I$ b+ J6 f _
$ f# t; ], ?" J4 C' W" L八、网管、审计和取证
f- p/ t+ i2 A! M7 u$ E+ t0 S( Q/ w8 j1 l& i9 o- n' s
解决方案:集中网管
2 |5 \4 h9 H3 `6 |8 [; Y2 \& n4 x4 B2 o5 `2 [
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 , @: s' {0 t! i7 x5 Z7 p# Q
' B% E7 C. ~7 A. n8 X' }5 A& F从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
, F i& u- D e: K$ d" ^6 i# J! w- N! R3 X' p
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
L+ {8 o" ?1 p* e+ {: v d: Z7 l; \+ x/ I" r. p1 {
t* I7 K& X7 b9 ]: M7 V2 K
! ] |6 ?; C# G |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
