网络安全发展回顾 - 网络信息中心.ppt

网络安全的发展趋势 网络安全技术发展趋势 关于网络安全的一些观念误区 网络安全是一次性投资可以完成的. 网络安全纯粹是技术人员的工作，重视技术，轻视管理 网络安全只要买一批好产品就能完成，重视产品，轻视人为因素； 应该由自己单位的技术人员全部完成 重视外部安全，轻视内部安全； 重视局部，忽略整体； 静态不变； 系统工程 攻防技术是在对抗中不断发展的 组织(制订制度),技术,管理(执行制度) 根据情况,大的趋势是社会分工越来越细 专业安全服务公司 专业安全服务的外包 什么是安全 新的安全定义 及时的检测就是安全 及时的响应就是安全 我们称之为防护时间Pt：黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机)、系统（NT，UNIX）和放火墙等障碍，在黑客达到目标之前的时间； 在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt，检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt. 假如能做到Dt+RtPt,那么我们可以说我们的目标系统是安全的 网络安全框架体系 从两大角度考虑： 网络安全管理框架 网络安全技术框架 网络安全管理体系框架 建立完善的安全组织结构 建立层次化的网络安全策略 包括纲领性策略 各种安全制度、安全规范和操作流程 应用各种安全机制 包括网络安全预警机制 安全风险识别和控制机制 应急响应机制 安全培训机制 区域边界保护 网络内部环境保护 网络基础设施保护 网络安全支持设施 网络安全技术体系框架－区域边界保护 目标：着重对重要的安全区域进行保护 ，包括支撑系统业务系统、管理系统，如认证和计费系统、域名服务系统、网管中心、IDC系统等。 常用的技术: 防火墙技术 入侵检测技术。 其他防护技术产品 网络安全技术体系框架－网络内部环境保护 目标： 减少内部环境中存在的安全漏洞。 防止计算机病毒在内部环境的传播。 提高对网络攻击的发现能力以及在安全事件发生后的跟踪和追查能力。 提高网络安全事件发生后的恢复能力。 目标： 提高网络拓扑的安全可靠性。 提高网络设备特别是骨干设备的安全性。 保证网络设备远程管理的安全性。 网络安全支持目标 为网络用户、设备和应用系统提供安全服务 密钥管理服务。 网络安全检测服务。 网络安全响应服务。 应用层：应用程序和操作系统的攻击与破坏等 传输层：拒绝服务攻击和数据窃听风险等 网络层：拒绝服务攻击，路由欺骗等 硬件设备与数据链路：物理窃听与破坏等 安全技术体系框架 1.安全管理 安全管理是确保网络信息安全的重要环节 安全管理包括对信息系统的所有部件和整个生命周期的安全管理，涵盖上述所有层面， 管理内容应包括 组织和人员、工程管理、运行管理、等级保护管理、应急处理管理和密码管理等方面。 PDCA循环（续） 又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序: P：计划，方针和目标的确定以及活动计划的制定； D：执行，具体运作，实现计划中的内容； C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题； A：改进（或处理）,对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。 对于没有解决的问题，应提给下一个PDCA循环中去解决。 等级保护体系安全措施框架 等级保护体系的实现 网络安全的发展趋势 网络安全技术发展趋势 网络速度vs摩尔定律 高性能网络防火墙越来越迫切 用户到底缺什么 安全产业技术格局 稳定的性能：无策略转发对比 稳定的性能：模拟攻击 构架对比：性能－功能 构架对比：安全－稳定 安全加速技术的演进 TopASICTM 特点 TopASIC性能指标 产品硬件构架 具有很大的未知风险 没有办法对操作系统做更多优化 发生安全问题后没办法第一时间解决问题 具有知识产权风险 PDCA循环的特点三 每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。 90 90 90 90 改进 执行 计划 检查 C A D P 达到新的水平 改进(修订标准) 维持原有水平 90 90 90 90 改进 执行 计划 检查 C A D P PDCA循环（续） 总体解决方案－TopSec等级保护体系 遵照国家等级保护制度、满足客户实际需求，采用等级化、体系化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。 实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标 特质： 等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求 整体性：结构化，内容全面，可持续发展和完善，持续运行 针对性：针对实际情况，符合业务特