4 p4 L! i* L. t' s% D! N" R; ^
& t) R e' f1 Z* v 8 X1 V1 }8 U2 P$ c
7 c/ Z+ Q' I; g, z- O, Q$ h网络安全8大趋势 3 O$ t7 n+ ^, S: l$ x: k
4 V2 N7 V9 T, W: Q! ^) l
: T3 S; B* n9 G1 o$ x0 z; U " t4 ]) ?4 M8 Q5 B( \/ r
( T n* q8 h8 U: y* h G- q2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 - D4 a9 |1 J8 h9 k5 R
. P! r W" p# L5 f一、物理隔离 . ~9 P* d! Z. A( s+ R8 J
3 s: e) V$ [1 w$ G3 s+ }
解决 . r6 \* X2 _; z
方案:物理隔离网闸
2 ^+ j' n; G1 l+ ?5 V. U* ^3 q5 Q- u
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。 " Z: m$ B$ l: B$ d+ c- c+ H0 V# n; D& E
^# P. z, x- N6 L+ i- O' D& g
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 ( |# j" j; B) n& i. Y
8 i! M0 P2 B1 O二、逻辑隔离
* _; u+ {0 q- k5 u& j6 R2 @
8 [7 ^ c4 L0 U$ g7 {5 }! J解决方案:防火墙 0 z* `$ _+ t4 V3 ~& g l
" A J7 s1 z4 L( R' v0 n {在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
- N1 d Z' R4 s' J7 T+ L8 Z1 R0 s' A/ o" [
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 5 X% R9 Y" B0 O: A7 |8 f
1 a8 Q" B% g9 C5 G$ ]- w3 l
三、防御来自网络的攻击
- l, g6 V+ C& G, c$ D7 f" _* P; X
; w% I- y% F7 Q" z9 Q: a( _解决方案:抗攻击网关
& M7 {0 W* r; d, m4 b$ T
1 C N1 Y0 Q% d- U3 e1 V' |0 ^4 H3 D网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
& y( F- a. A6 y* y0 q2 T! o' ?+ v3 T- W/ Z) u2 ^$ d; V
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 $ Y1 ]; q3 C) @8 S
* y* s' y3 q% i# {8 m2 @& ?
四、防止来自网络上的病毒 : v ]! l' C+ L* v( \
* J- y$ U1 F' O$ O: _! V; X解决方案:防病毒网关
: {# M+ Z4 L3 i. ^! ^% R. m: E! `
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
7 \ Z E) S. u% m% x
! R5 v! O h2 j7 @( k应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 # z- N) F4 ^3 P7 o! H+ w
; j2 i* x, |, h7 f: f
五、身份认证 ) K1 h0 b, A8 x% ~3 q4 l0 h
8 S$ G9 t& `- y |; P0 K3 Z0 L解决方案:网络的鉴别、授权和管理(AAA)系统
1 l9 G6 _ q \2 z7 f( W7 T$ B; w# X# ?0 `( c
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
0 V5 _* J& W5 W5 W' I, v& W. h( p/ z' J8 \7 U1 I" v
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
0 r; }* ~# A) u" L
4 S+ h$ x! k' ?/ n) H六、加密通信和虚拟专用网 8 [6 J6 x, K; C, S3 T
2 I; z) V3 u% L7 f' ^
解决方案:VPN ~* \6 {/ i9 o( Y" Y2 u4 ], _
% Q, F* H# b7 ?
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
: N8 e; _. F. t& Q {
% t# H' X# K# _! ^5 \# |VPN的另外一个方向是向轻量级方向发展。
+ ?0 v: F" k$ B7 {3 o- h! }* W: \3 h
1 a4 \: \( ]7 c5 M- W七、入侵检测和主动防卫(IDS)
6 ?/ [5 l! y% k/ Z1 J, T; S1 D7 y" \7 `7 p P' Q8 ?% K1 w/ r. o/ B
解决方案:IDS 1 J; [* h R5 V' B4 \
0 r& C2 y& E9 _+ u& c+ B3 Z
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 0 J4 Y3 j+ Q! U# `# E% @- O1 U
7 R& n! X5 ^2 o I" `& u( A
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 0 l3 p. L1 B- v, {: C E
7 P6 s, T, c8 g1 B, i8 V八、网管、审计和取证 & \( I9 ~6 {; T8 V+ \
0 u% ^1 ]. ^6 u( s$ j' [7 w解决方案:集中网管 7 r4 G4 b, j+ }
2 o( n9 d+ _8 Z% D网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 4 G N8 X& |" l2 |
O9 j$ y6 J1 z, J从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
" A+ d- K. t: \ ]- o9 ~0 Z' e: G: D$ _' q1 f' N; w( J* q: w
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
& |- a5 P8 l2 Y" G7 J8 [ 9 z4 N3 l& z$ \8 |9 s1 M
d, |! l3 c. M; g! y' ?
9 r, Z2 q. d: F$ L, z9 i2 f
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主