+ T- ^, {3 c; O# f
; T- E. V* H4 w
; Q2 ]8 d3 H" `! W$ d, n' V! y6 U( x1 y4 N+ g: I% Y
网络安全8大趋势
# p2 }- R& l8 e, v' Y
' e5 _2 N' _- Y1 Q0 `" w % A5 F2 Y0 _5 T+ N7 V
+ O1 I4 C4 t+ l( G0 s; `% I
, b! U" W# \/ q. s9 M/ W
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 ) s1 f5 W0 c2 y' F; C3 F
2 F- C! `: c5 l* x一、物理隔离
" b2 B: g6 f+ a: M0 m9 H$ |5 T5 G% C2 P. L3 A* x
解决 ' L: d( w5 g2 b5 ^) B# ?
方案:物理隔离网闸
4 y4 S5 T9 S/ P8 L* k* s D# v% g* a
; K% Q( u2 S) X. b物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。 & x% v, S; `% x: R9 l; U9 U- c# l
1 ~/ B7 a4 a u, Z3 \7 K& g% B
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
+ O+ U. `+ @* f$ m* d+ v
$ h4 b8 s9 A5 Z/ n8 t% o: t; n0 v二、逻辑隔离 * P2 F7 Q; [+ \- }1 C
* m' S( p! B. U$ \解决方案:防火墙
. ]' s' b; S, Y3 l" O# C- b: M& B% M$ q2 R
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
' m% }9 e7 |$ J& k4 e) m! A: c$ s. q3 p. S4 W# R
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
; U* |' C+ { e% l" c0 D' I& l' f: g; Z) ~3 A6 j8 E- ^/ y
三、防御来自网络的攻击
8 {9 W. }4 H' {# P* L6 t: }3 g5 o( t$ p. S% d6 W: Y; i: s$ @
解决方案:抗攻击网关 / ^/ t. T6 c/ y: R, J
+ {9 _" S' {+ y网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。 7 t$ K1 c8 l# M, L* H2 \
. y7 ^7 ? l3 \/ y8 n' t抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
2 I4 r2 J8 V9 C% `3 k
7 I! L8 E I" Y( e$ L四、防止来自网络上的病毒
" Q) K' D8 z5 @; n- o9 O
- g: {7 n9 R- ]2 y0 Q M4 d解决方案:防病毒网关 : L4 X0 |# x, a
2 z8 M( h8 n. n6 a8 ~% A5 e/ o
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 / y O1 @ o: E w- o* r
* ?- V4 Q: b/ M# q1 w1 U' \
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 8 G. D7 }: G/ D2 |
" t- q3 h. I2 R8 K) }" B/ l
五、身份认证 2 t5 u ?; O5 k% K# L- ~ I) H4 m
) G! B$ O9 l$ h- w8 ?4 ~
解决方案:网络的鉴别、授权和管理(AAA)系统 % t2 z0 C. Q3 s
0 l* \/ e" F* u4 Z+ t, {* w
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
* L) B6 b- P& s# u4 _: w! I+ J4 j- ]& X' I1 l& ~
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
4 l B' x; Y0 k8 t/ ^9 |, Q4 h- y$ C$ @* X; R2 Z7 F* k4 T+ X
六、加密通信和虚拟专用网
- k* J- o9 W- r0 X1 O
. \3 ]9 F2 g) P0 D8 @/ E9 z解决方案:VPN
4 y! S( {3 t7 x, z; U
8 o5 M& s, D1 s0 l单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 . l! a' ?" [) c$ S" o) A% }6 q
) @) L6 Q, q7 |4 T8 u7 e
VPN的另外一个方向是向轻量级方向发展。
+ V) d8 ~5 C- N; L/ T" y
; Q3 n; k% @* }七、入侵检测和主动防卫(IDS) & M7 ^. @( o) t; i
+ p' J& y7 G* @7 ^
解决方案:IDS
/ K, {& M" c: [ d; G8 w5 ^5 d8 }8 N, M4 d c, `% ?
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 9 y% {$ B# W* w; F' ]* B
$ ~, R; G: E8 g6 Z5 c5 C) n H针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 6 v+ ^8 B1 e! {; A' e- ]
, U- y7 O: n4 @) C3 w八、网管、审计和取证
; v% l7 |7 Q' M8 N' a. B* G* O4 J4 b9 Y1 e
解决方案:集中网管 - `) P4 U C+ r: @0 Y0 f' v0 `2 ~; g
( K0 b5 k0 W( }4 d& m0 M网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 / H/ z& F0 q [4 @9 n
9 X4 z! x+ _ D; U
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 / h1 x0 z R4 D- P
2 i( Y9 ]+ f. |9 E7 o) a; q4 Y; ?
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. * r/ q1 B- K9 l+ b; L& A" N. u
6 l4 }/ C* H* `9 O, z* C
1 }& B3 g: e6 \3 ~* `2 x7 H- q b+ b4 i* q0 V. o
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
