第12篇章：网络安全发展与未来.ppt

* 网络攻击与防范技术 * 安全技术融合 传统的网络层安全技术，如NAT、状态防火墙、VPN将不再作为专有设备，网络中路由器、交换机性能的提升和硬件构架的换代将直接提供网络层的安全功能，传统意义上的防火墙功能可以集成在路由器中。 而另一方面，随着协议和接口的统一，防火墙也可以取代路由器或者交换机的位置。安全厂商或许会变化成网络设备厂商，网络设备厂商也能变为安全厂商，而由于积累的不同，网络设备厂商具有更大的优势。 * 网络攻击与防范技术 * 安全技术融合(2) 比如，现在的交换机成本和以前的Hub一样，但是抛弃了原来的交换芯片，使用新的硬件，不但提供交换，而且提供安全和业务特性，将来会直接把安全延伸到整个内部网络，彻底解决目前的内网安全问题。那么，传统的安全厂商如何发展？ 把自己融合进网络设备厂商。 向安全的新领域—业务安全(而不是网络安全)进军。 组建安全联盟，形成一个大的安全体系，自己成为其中一个基石。 * 网络攻击与防范技术 * VPN功能集成 从厂商的角度来说，希望一个环境中既使用VPN设备，又使用防火墙。但是，由于VPN设备对数据的隧道封装会导致防火墙设备上对VPN数据检测出现失准的现象，而同时维护两套配置策略也是没有必要的。 为了减少重复处理，降低维护工作，提高防火墙的防护范围，直接在防火墙上集成VPN功能是非常有效的方法。如IPSec VPN、SSL VPN、L2TP VPN直接通过防火墙来支持，应用效果提高，而且降低了用户的投入成本。 * 网络攻击与防范技术 * VPN功能集成(2) 防火墙技术在新的挑战下会继续向前发展，提供越来越多的智能和主动防御功能。 防火墙中各个功能的协调工作，以及和网络中其他硬件、软件组件的配合联动，才能达到真正意义上的智能安全和主动防御。 * 网络攻击与防范技术 * 反间谍技术的应用尝试与发展 与其他网络安全产品相比，反间谍软件可谓后起之秀。应对间谍软件的首要任务就是要有一个清晰的标准来定义什么是间谍软件，然后以此为准绳进行判断和查杀。但难点恰巧是这个标准很难定义。 通常的定义：任何在计算机用户不知不觉的情况下，秘密搜集使用者的相关信息，并将其发给幕后操纵者的软件都可以称之为间谍软件。 但是，很多合法的广告软件实现的也是类似的功能。有人认为，可以通过传送信息的最终结果是否带有恶意来进行判定，但实际上，是否具有“恶意”，人类能够通过智力和直觉来判断，但要没有意识的计算机软件来进行区分，却难以实现。 * 网络攻击与防范技术 * 反间谍技术的应用尝试与发展(2) 反间谍软件和防病毒类似，都需要一种可靠的解决方案和专门的研究及响应机制，来跟踪新的间谍软件风险，并及时提供随威胁变化而变化的升级版本。 虽然恶意软件与传统病毒存在区别，但是防范它们的目标是相同的，即保护客户电脑不受有害软件的侵扰。 * 网络攻击与防范技术 * 反间谍技术的应用尝试与发展(3) 一款好的反间谍软件工具，要给用户提供实时的保护。不仅应该能够检测尽可能多的间谍软件，毫无残留地消除“间谍”在系统每一个角落中留下的残渣余孽，避免死灰复燃，还应该安装和部署简便，可以方便地升级间谍软件特征表。 好的反间谍工具应该提供迅捷明了的状态显示报告，可以让用户及时了解间谍软件给公司造成多大的损害，最大的风险和威胁在哪里。 * 网络攻击与防范技术 * 反间谍技术的应用尝试与发展(3) 目前，“从什么位置阻挡间谍软件是最有效的”这个问题还有争论。 有的厂商认为应当从桌面阻止，保证每一个“内部成员”的可靠性。因为移动技术在企业内的大量应用，使得越来越多的计算设备脱离了由网关所划定的安全疆域，如果用户在网关的保护之外感染了间谍软件，然后又再次接入网络，这台机器本身就成了协助“间谍”潜入的跳板。 而另外一部分厂商则认为，桌面工具始终是被动防线，“更好的”间谍软件总会突破这道防线。因此，应该在网关处采取防护措施。如果资金足够，企业应该采取多层次的防护措施来阻止间谍软件，这样才能收到理想的效果 * 网络攻击与防范技术 * IDS技术的发展趋势 长期以来，IDS的“漏报”和“误报”问题一直困扰着用户。加强攻击检测是减少“漏报”和“误报”现象的首要手段。过去，攻击检测是IDS的全部。 而今天，它只是IDS的一个重要方面。IDS要实现全面关注网络健康，还应该能够做到帮助用户对检测内容进行深层次的分析，主动防御，最终提交给用户一份有意义的报告。 * 网络攻击与防范技术 * IDS技术的发展趋势(2) 在某些IDS产品中已经新增加了内容恢复和应用审计功能，能针对常用的多种应用协议，比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等进行内容恢复，能完全真实地记录通信的全部过程与内容，并将其进行回放