: A7 T4 O5 ?" u
5 ~0 V, |+ }! m- z1 V 2 a" t1 y4 @+ h6 M0 y: R
2 h% v& j0 j p( x7 g1 w" x: x网络安全8大趋势 1 ?% x Y/ Z) @9 s% x
& T9 {* i$ [6 E- {7 z
% y8 S4 d7 l$ \, F
$ o& ? L: h! G/ d4 f5 I
4 k) }& g( K6 s% M
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。
) V. s* B# g, P: ~# }
- i3 L* @+ G3 g0 g& z0 m一、物理隔离
+ L' H9 V5 J. _, n3 K9 K* C
: n) q( E( G1 J& G/ _6 E解决
$ l+ d/ {& W1 e3 s! O方案:物理隔离网闸 6 ?0 G- X" m4 X$ ^5 s6 ^. A- k
1 o: y$ s2 ~* m5 i3 R1 Q物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
! l! f, q& _/ @4 L
. C! ~9 q# G6 ?; }+ ?) M$ u物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
8 w" `8 ~5 {0 Z/ Z9 t/ }3 ~$ z
" Z/ j. F% O/ X# x$ |+ y) H二、逻辑隔离 ; q6 p) Z% Y) K8 ?
/ v' n: B0 v# S解决方案:防火墙 $ D% g$ a! z6 {( @6 j, G) ~
4 z) D( `8 z* }% H: A' x \3 H
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 ' U m* x6 W) r4 z6 f1 d
" ]. f T8 R3 x$ B# }6 q6 b$ q3 m* [
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
& v; G( a" b: k. a
8 ^% Z! j) ?( O' m三、防御来自网络的攻击 2 `% g0 W! l0 L5 g/ O
0 |. u7 c" m% |( @! ]9 B解决方案:抗攻击网关
: S6 f* P$ D1 g% j2 E' c0 \$ }6 X: R9 \) x" I
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
5 X! Z! O7 A9 h) a, e. j) ~* l; x
- O0 V- `# \6 b ^8 \抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
( E6 D6 x% K- n: A J. y3 X! \) w$ u, _
四、防止来自网络上的病毒 ( _9 D' f1 _: p( x; M
. h7 U+ f% [. `( F% X0 W
解决方案:防病毒网关
& |, t+ E Z* } b; n$ S+ p: _7 o- z" N5 [
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
0 ]2 s( ^- p, v, J3 E- a
4 l3 ?0 {$ B% V! q! T* g应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
: o; j8 n/ G5 W& t+ w2 h- B
# X6 j6 R# H q4 z5 u, s, H/ x4 S五、身份认证 0 Q8 w6 @! `: ~9 ?
, Z# c: m3 l# @解决方案:网络的鉴别、授权和管理(AAA)系统 1 }6 x3 t6 c% Z Y
+ L9 |- y+ V: h% K' {; U80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
3 K5 B& }4 ?6 f$ k5 K, V2 B+ \
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 r& k+ n' g4 u9 H' B9 l$ I' L
/ `. M3 T5 p2 \$ ^' N" H
六、加密通信和虚拟专用网
; G5 K a5 s8 @0 z: f) V" g6 C- U
解决方案:VPN $ d% S- h8 `) Z% e* G. }, |
) L) Z/ R+ T5 G3 ?# Z" r
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 $ H$ e$ ]+ g, l
, W& }) V+ w* e5 B1 P, h) [. E
VPN的另外一个方向是向轻量级方向发展。 1 p+ q3 N2 [7 S
1 P: L3 o) `3 e: }3 P
七、入侵检测和主动防卫(IDS)
& I7 T1 S1 x/ E. r" W9 }2 {- L9 |6 L* g+ j% I
解决方案:IDS
7 g) S% z7 w4 `, F. f- ]1 y& p. y# n! t' z6 f7 ?+ R; M3 q1 [
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
$ U4 Q! J5 s A5 U$ v/ q
+ O( h( z, f% C z/ i& _针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
$ H+ K( N6 q3 q7 e3 R& S, i" A
! b6 u/ i0 `4 F- J" F$ c八、网管、审计和取证 / n F7 G% T) E- H3 W. O
, k- `9 l/ ]3 A0 U解决方案:集中网管
: o6 D3 q' F+ l+ ~' ^1 ^, }& \1 y O
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 - }) w" X' h- B: e' S8 m K! h
) d* z( s; a& l0 O0 d
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
* ^0 W: T' E# g" i& m2 K, u% ~7 }" Y$ E* x) E
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
6 Y' J3 G1 s8 [! G! Z
$ [7 y# d" i0 c2 f8 i7 f( q% A" e . a) g9 L9 Y2 I4 q
2 J8 k! \+ p: H8 `, V
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
