! N! S$ g6 c2 e# K8 C
8 X' D, w) A1 }3 k5 W9 m$ `6 b' W
3 g- \- y/ h4 j4 Y9 w+ g& M
% @. T0 G6 a' @# ~ \* g7 C网络安全8大趋势 # x( |+ N% Z& _; E; ?
" w! N/ q/ t/ q! u _ 1 [5 ^2 w- d% K' A
6 ~1 j2 p+ R2 E2 w- l M
$ q" b' k( v) ^5 `+ U$ l" N5 K2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 6 G3 |+ w$ U# F0 @% t( p1 z( Z
* h- {, B, J& L$ C0 F- c5 }0 b
一、物理隔离 s) X- c6 m/ s& d$ |
- X% {. p) _$ D' y4 [解决
9 Q: [0 R7 {& N d' P8 S& ]! C方案:物理隔离网闸 3 e7 ~# ]. F$ `# y j
2 n" y' z0 n5 C$ Z% k) i, t$ q$ ?物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
2 k0 I; ?% C& b1 H* R/ x, X) M2 R6 _6 O- V& ^% X: W! r$ t
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 , J3 ~2 w+ y- y5 c
1 j, _( b, f! N8 g8 @
二、逻辑隔离 ! E4 t) p1 }' t" W
/ c3 p4 G7 H& J0 b/ t
解决方案:防火墙 5 m4 S* i- h$ Z m, S+ e; X8 G
" Y' Z; E" ~: S2 s在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 7 I8 Y. J4 H$ h/ R0 z
7 i( I; G( W) w) Q* L1 g; f! {防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 5 f$ p& V7 R: y$ I! ?2 m
8 q5 a% x4 v- c' D
三、防御来自网络的攻击 3 u5 C9 ]) c8 J8 J# D
) J6 d, m. ^1 L: H+ t& S解决方案:抗攻击网关 7 D, E: c! O2 D3 b( D1 m
( q: V/ ^ }& L$ ^5 q" w* |
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
( y! w1 `5 \6 o# T- x8 Y# O8 S
$ v0 B+ K. `# o抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 6 K8 x. m+ e/ l
0 p/ C# u$ f" V/ V2 e8 ]
四、防止来自网络上的病毒
' ^: Q3 D0 G& z# d7 Q* m6 Y3 }+ }2 R8 k+ _8 P9 E
解决方案:防病毒网关 # d& U8 R* E P$ m# {$ u8 c
3 p1 G# C j5 C% P4 w4 |
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
5 h- |+ Q2 E) d0 i8 j. F8 q* @ ?5 l' g9 u+ E% M' i- C. G' P
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 ! r) r* }( `* {$ A4 i4 ?
+ p. D# a: X- g d/ @2 B' G3 L五、身份认证
* \. C( w# E7 {' X- y3 U( a! Z( w/ p4 x$ X# i7 J
解决方案:网络的鉴别、授权和管理(AAA)系统 # q, K& r3 T F
1 M z- V% F) [. ^6 G* M# X
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
, V1 A) h' D- s6 s4 T
/ t0 ?$ }" }7 {, R. E0 f4 j2 }在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 2 n: k2 I8 B* A9 {% x
& I, B4 I/ S& x9 m六、加密通信和虚拟专用网
9 Q) Q1 m( k$ I% D% z5 Q" h/ h6 x; A; `2 _4 h3 `$ p
解决方案:VPN
" D4 _# W, E' z/ r: s+ o3 ~4 X: O) X; k. d8 [5 n
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
" L# g# ~7 H/ D4 q9 O0 L7 {! ~
N ]/ g3 Q* GVPN的另外一个方向是向轻量级方向发展。
5 E. K6 n+ Z. k2 Q, k" M- B _; w& f$ `2 J
七、入侵检测和主动防卫(IDS) 5 j- W) N7 v- f& W. |/ n; Z
. ^0 P5 a$ _2 n' ` `0 Q
解决方案:IDS
8 w5 d4 |8 r% Q& Z6 Q
$ H q$ H1 X8 d4 d互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 ( \0 O- ^) X. d8 B4 A
/ J3 v* p. U+ Z+ n0 T
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
' W9 j S2 \2 q5 |! I
# g3 e% Q3 O- P9 I6 f) f八、网管、审计和取证
7 O* w5 m' O* g5 Y1 b V% ?( a
" b6 V9 }6 |( P* h9 q' F7 X I8 u解决方案:集中网管
# t5 E( i, P+ h r+ e; X9 j5 p8 m9 ]+ a7 ]- {7 g1 |
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 : _0 c, j: H2 V4 p' ~) |
, n, a$ F- F" a! x/ ~# w, z6 y
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
) B4 v) q) j2 F, G$ s* D7 D# I1 ]9 y& L6 T7 v
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. 4 G5 G5 s, R( m9 x7 d) ^! u o6 S
) j& l, F; u3 H" @( f6 H
5 D' o: O1 Y! n! e# \# w
* u# [2 x3 L+ A4 ^8 n
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
