( _5 _: _2 d- A4 H) @- ]
' C0 Q3 f- X0 }" V% ?8 |+ N4 ]9 \
$ C% S9 C4 ~& @; m0 F$ M" k, B5 U/ I4 H8 O: ?6 v# v
网络安全8大趋势
% e* t2 W, t. E! g / o" w7 g7 A; \* B- E5 u2 c
5 y# K& z/ ~/ F! \
) A+ L% P7 g: k2 S/ ~. n r; G : V' w! {! A4 L0 h2 ` Y- c
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。
& I7 c) g* D6 ]. p5 |/ d* G
* s$ i! @" b7 g8 n9 J' N$ N+ c/ J# H f一、物理隔离 # h# i2 K# L6 ?% T: [, |" R: Q( ^6 J9 b
4 I, v. ?( K, u; Q' X$ t解决
: T1 y$ d* ^" s5 r$ \! i6 W+ N方案:物理隔离网闸 2 C2 r$ R" K8 \- p$ p6 |. ]5 G3 Q
% P2 G; R5 w+ J4 A物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
! I1 ?, I( D% |: j A* U2 Q0 ]: ^2 H( t9 @* P: B
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 ; t# [; z9 G) f: d+ J
; M& s d" b% h6 A* h) J二、逻辑隔离 : d5 {) L {% C% c) ]& G
( v3 T9 o W/ \0 W2 z v$ U/ [
解决方案:防火墙
8 U, S/ c2 l1 \0 |8 h+ ^ ~' L8 B* r7 V) ~% R: T: l
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
, j' ]! t4 b; R* D' l$ d6 i) A) m, p+ F8 e( Q
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 7 P5 k) t+ X- C) E! O- A- W
6 b/ X4 X7 b9 n: K1 I& {4 p
三、防御来自网络的攻击 # F( M& ^" k+ z8 e @" k6 n
0 s# x0 x6 J% {7 W( f
解决方案:抗攻击网关
! o" @, o" Q7 J9 }; m* x4 H: P& `" f, M
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
{6 V2 `" T/ O2 q6 B
( V0 d; J2 C9 ?抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
7 `0 X6 M+ ]' I9 e5 }' G' A% K/ T, l4 Q& p
四、防止来自网络上的病毒 1 C% p7 T+ c! J% s2 B& u% a/ a3 w
. v: k9 s# @* G* {6 X# b
解决方案:防病毒网关
: Y! a9 i4 z' B4 V: b5 z3 H2 _! H" X" U5 l8 e
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 - ?% B) x. E/ Y B- F' ?, a; Q3 A- @
3 n2 u" ?) |8 x5 o' z8 m; D/ G
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
8 K9 B: i8 X2 s1 z8 _+ j+ c
: d/ E; p9 ^0 r五、身份认证 Q3 P: c" t! g& v( C
" f1 [- u8 P; H( w解决方案:网络的鉴别、授权和管理(AAA)系统 ( `7 v% [$ A: t$ J4 U+ H
# p8 M) \0 x6 _0 c( o" p7 q
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 8 h4 o( @5 ~: i) [, Y: I
: i$ ~0 ]' w' R! @; n' e在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 5 N8 i/ F) n- Y, ]$ ^
8 J6 a7 i5 T" Q8 G$ p5 v/ ^' y六、加密通信和虚拟专用网
% U2 H" U" p) v; R6 o) }" _) b" n7 `8 E6 c/ I& l: ]5 x
解决方案:VPN # T; [$ L( G6 S+ f2 g
* u* I4 S" n2 a3 V/ u# t单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
- {& Z% g8 L7 C ], ?
- B. |6 c; g. R$ YVPN的另外一个方向是向轻量级方向发展。
$ Y0 ]: K( y* \; F8 W9 {/ F0 S% F2 D4 ]+ P1 B# ?- z- m( X1 m0 J+ h
七、入侵检测和主动防卫(IDS)
- q2 s9 f. L* y8 ` m
* n& Q1 N6 x+ D% q解决方案:IDS
+ l# y T! G$ s: u( b" V9 j* p2 t8 O+ e9 A4 g! Z
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 x9 P: X) C0 t0 M. G
7 M0 @- ~5 R4 I" g3 ?+ D# R
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
& D% a F. c2 Y8 _* u; C T& G$ c$ a- a( e* r% `
八、网管、审计和取证 # S' u) p$ F5 E
1 K" B1 N6 P$ y' |解决方案:集中网管 ( L: f3 H- t: d8 \3 S8 ^
, w/ K- T8 T' {/ }2 D
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
& K* y# o; W9 [" [6 D
9 [/ o: V) n s g: z- T从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 ) [/ ]( l7 J4 i% ~/ v7 w ]
9 P+ c ?2 B5 A审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
( [1 H4 `5 c7 P/ G& \- \& V
; k% B& r9 Q/ x3 I
5 z' V/ z5 r. P9 _
! i0 q7 p1 S7 M# ]' y0 d, x1 Y9 R |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
IP卡
狗仔卡
楼主
