2 N: O' U! z. ], e& W, U3 ]+ x
+ g7 Z/ X# f% u9 w: c
% S) B) `7 D7 j% P, |
: K0 f5 f( o9 k7 [$ L网络安全8大趋势
' n8 v, \7 y7 E A$ ^9 J( q( w " `$ V4 Q6 d+ K+ t: E9 P/ [- z
# t! E1 z4 h( v. p% b9 }; e
8 S/ u0 t1 t1 b: ^) n* E
. i" e; S( K5 a/ w5 Z2 p& U7 B2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 - F0 B, K1 u/ c3 F0 _
' l$ R7 H# a# I" y
一、物理隔离
; T6 H2 k$ | f
0 ^) q3 A4 ~# \9 |) I8 M5 }* {" Z$ u解决
; Q2 l: l5 G9 G8 G4 G- W方案:物理隔离网闸 + i" V- f2 M& @/ B" m0 Z7 d1 n# K4 g
5 [; J* L, O0 `& R1 w( X
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。 , N& z$ k' |1 n+ D0 T
8 l2 Z4 F' W* f- x% y; S" z物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 + |9 ~; ~# r4 E( n, d/ j4 a
' r+ [! q" U: b& c0 `$ c: c
二、逻辑隔离 + p* k5 S! d% g& t+ `. t
. D+ y# }( Q" W0 W' Q; y! v7 n3 X7 A4 E解决方案:防火墙 ) k3 \2 x! I- @) G
& f- |7 _8 H4 c4 u/ e% t4 ?
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 5 U2 Z) f" W6 L; d/ X) t( U' Q
, T& f' [3 ~2 w; o6 r
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
0 R. Y$ b% ]" Z& L" u" J! h2 F- _
三、防御来自网络的攻击 8 {: M7 R$ C$ S* y
6 n( {4 h9 n2 l3 ^( _% L解决方案:抗攻击网关
3 [5 j$ [; c5 K/ M
( B1 K" K0 v4 y" g% m% i网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。 , ~$ `1 q% T( O% ?; d- U
+ i# ~- E/ L4 Q _7 S抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
) \ l+ `" N# Z" Z( l6 ^
: S; {- P; r" D. ?7 f) C. g四、防止来自网络上的病毒
0 U1 [: v% w2 m" a
8 X. Q% D1 a; g s5 D& K解决方案:防病毒网关 & g; M% u5 l& h
( s/ M2 E& e0 ~, h+ g' b7 J! ~传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 $ V" V# X% f3 O; c! r' K, p5 f
+ K* G# m+ g& E) _5 v/ z应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 9 n/ Y0 m- A' E& e2 K4 { n
$ j& v- N: ?" P2 u$ J( W! E; _
五、身份认证 4 U' G, N. d: y) U# r* m8 v' h
: r8 f& A, P: Y* _$ A4 U6 l4 o解决方案:网络的鉴别、授权和管理(AAA)系统
3 t5 q. y1 j+ g3 z7 n
7 ?' T' @# b7 l4 O. {80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 " V* G6 p6 h# n
3 ~3 R2 i7 b Q7 {- }9 A; m在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
7 @+ [8 Z3 r& |
" i7 _: L: R6 u$ T六、加密通信和虚拟专用网
; s4 Y4 ~; ?' h+ A+ v- K; ^9 P5 V( ]- ]
解决方案:VPN " J1 `/ U+ Q5 `9 b2 T' _
% e7 {' {1 J" [' M$ V1 [; Y; r0 ?
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 2 B. C$ ~) k; r$ M8 K
. v$ {: w1 U! S$ G
VPN的另外一个方向是向轻量级方向发展。
; Q; G W3 u0 b. o4 R5 P' f1 l3 p H) U$ G }4 u0 M' `
七、入侵检测和主动防卫(IDS) * M9 ^1 j) [8 b
4 d2 f8 \. c2 O9 U0 J$ ~! }解决方案:IDS # [+ U. u! F0 a4 S+ I4 c
( o2 { h& J. m w6 Q互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
( h) N4 l( R! e! V% a
* N. ?8 _$ M- ], a- o6 `8 Q2 |针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
$ \6 q( I$ f. S, q+ ~$ O( @6 f+ z8 @* b# a
八、网管、审计和取证
/ ~: V9 R) ^4 d1 f$ d6 ~+ \9 V( V5 \* l9 V
解决方案:集中网管
5 G1 f, c1 L8 _/ c2 W! c0 G3 Y0 w9 `
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 % S# u2 Y( S; [( h, T& ^4 H: v3 w
/ N% B3 n/ }& Y; S
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
4 L# b1 K8 [! |9 {$ W; R/ }# B8 P! S; D& e1 A0 d) m R9 D
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
# n$ {: X2 |. O* X" H
3 U x% U5 j. S, T% U- _! q 1 U" u. C9 b4 W
! v a, ~* n. o% `
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
