從
1995
年開始,中國的網際網路商業化之後,網際網路產業已經取得了很大的發展。**和企業紛紛上網,電子政務和電子商務如火如荼,網際網路和內部網路的安全問題被提上議程。網路安全市場在
2002
年開始高度成熟,競爭日益激烈。
2001
年,加密、防火牆和防病毒是我國網路安全市場的三大支柱。
2002
年,中國網路安全市場進入高速成長期,防火牆、入侵檢測、防病毒、加密四大產品成為市場的主流。從目前的市場需求來看,預計物理隔離網閘、抗攻擊閘道器、防火牆、防病毒閘道器、身份認證、加密、入侵檢測和集中網管,將成為
2003
年安全市場的八大趨勢。
一、物理隔離
解決方案:物理隔離網閘
物理隔離與邏輯隔離有很大的不同。物理隔離的哲學是不安全就不連網,要絕對保證安全。邏輯隔離的哲學
: 在保證網路正常使用的情況下,盡可能安全。兩者是完全不同的產品。
物理隔離的思路,源於兩台完全不相連的計算機,使用者通過軟盤從一台計算機向另一台計算機拷貝資料,有時候大家形象地稱為
「資料擺渡
」。由於兩台計算機沒有直接連線,就不會有基於網路的攻擊威脅。
二、邏輯隔離
解決方案:防火牆
在技術上,實現邏輯隔離的方式有很多,但主要是防火牆。防火牆在體系結構上有不同的型別
: 有雙網口、有多網口、
dmz和
ssn。不同的型別在
osi的
7層模型上工作機理有明顯的不同。
防火牆的主要評價體系包括:效能、安全性和功能。實際上,這三者是相互矛盾、相互制約的。功能多、安全性好的技術,往往效能受影響
; 功能多也影響到系統的安全性。
三、防禦來自網路的攻擊
解決方案:抗攻擊閘道器
網路攻擊特別是拒絕服務攻擊(
dos),利用
tcp/ip
協議的缺陷,有些
dos攻擊是消耗頻寬,有些是消耗網路裝置的
cpu和記憶體。其中,具有代表性的攻擊手段包括
syn flood
、icmp flood
、udp flood
等,其原理是使用大量偽造的連線請求報文攻擊網路服務所在的埠,比如80,
造成伺服器的資源耗盡,系統停止響應甚至崩潰。而連線耗盡攻擊,則使用真實的
ip位址,發起針對網路服務的大量的真實連線來搶占頻寬,也可以造成
web
伺服器的資源耗盡,導致服務中止。其他一些利用網路協議缺陷進行攻擊的
dos技術包括
land
、winnuke
、ping of death
、teardrop
等。抗攻擊閘道器能識別正常服務的包,區分攻擊包。目前
ddos
的攻擊能力可達到
10萬以上的併發攻擊,因此抗攻擊閘道器的防禦能力必須達到
10萬以上。
四、防止來自網路上的病毒
解決方案:防病毒閘道器
傳統的病毒檢測和殺病毒是在客戶端完成。但是這種方式存在致命的缺點,如果某台計算機發現病毒,說明病毒已經在單位內部幾乎所有的計算機感染了。如果病毒是新的,舊的殺病毒軟體一般不能檢測和清除。
應在單位內部的計算機網路和網際網路的連線處放置防病毒閘道器。如果出現新病毒,只需要更新防病毒閘道器,而不用更新每乙個終端軟體。
五、身份認證
解決方案:網路的鑑別、授權和管理(
aaa)系統
80%的攻擊發生在內部,而不是外部。內部網的管理和訪問控制,相對外部的隔離來講要複雜得多。外部網的隔離,基本上是禁止和放行,是一種粗顆粒的訪問控制。內部的網路管理,要針對使用者來設定,你是誰?怎麼確認你是誰?你屬於什麼組?該組的訪問許可權是什麼?這是一種細顆粒的訪問控制。
在一般人的心目中,基於
radius
的鑑別、授權和管理(
aaa)系統是乙個非常龐大的安全體系,主要用於大的網路運營商,企業內部不需要這麼複雜的東西。這種看法越來越過時,實際上單位內部網同樣需要一套強大的
aaa系統。根據
idc的報告,單位內部的
aaa系統是目前安全市場增長最快的部分。
六、加密通訊和虛擬專用網
解決方案:
vpn
單位的員工外出、移動辦公、單位和合作夥伴之間、分支機構之間通過公用的網際網路通訊是必需的。因此加密通訊和虛擬專用網(
vpn)有很大的市場需求。
ipsec
已經成為市場的主流和標準,不是
ipsec
的vpn
在國際上已經基本退出了市場。
vpn的另外乙個方向是向輕量級方向發展。
七、入侵檢測和主動防衛(
ids)
解決方案:
ids
網際網路的發展,已經暴露出不可避免的缺點
: 易被攻擊,技術人員的好奇和技術恐怖主義使金融機構、企業、學校等單位很難避免。
針對黑客的攻擊,從技術路線上來講,早期的思路是加強內部的網路安全、系統安全和應用安全,安全掃瞄工具就是這樣一類產品。但是,掃瞄是一種被動檢測的方式,入侵檢測和主動防衛(
ids)則不同,是一種實時互動的監測和主動防衛手段。
八、網管、審計和取證
解決方案:集中網管
網路安全越完善,體系架構就越複雜。管理網路的多台安全裝置,需要集中網管。集中網管是目前安全市場的一大趨勢。
從來就沒有一種技術可以絕對保證網路安全。如果執行人員出現失誤,實際的網路安全也就存在問題。因此,技術越先進,審計功能就變得越重要。
審計並不完全是檢查安全問題。對審計的資料進行系統的挖掘,還具有非常特殊的意義,比如,可了解內部人員使用網路的情況,或對外部使用者感興趣的公司產品和內容進行總結,了解使用者的興趣和需求等。
從2000
年的三大主流產品,
2001
年的四大產品,到目前的八大安全產品,反映出使用者對網路安全的重視和安全市場的成熟。
網路安全八大趨勢
一 物理隔離 解決方案 物理隔離網閘 物理隔離與邏輯隔離有很大的不同。物理隔離的哲學是不安全就不連網,要絕對保證安全。邏輯隔離的哲學 在保證網路正常使用的情況下,盡可能安全。兩者是完全不同的產品。物理隔離的思路,源於兩台完全不相連的計算機,使用者通過軟盤從一台計算機向另一台計算機拷貝資料,有時候大家...
未來網路安全十大趨勢
2006年9月在馬來西亞kuala lumpur舉行的網路安全會議上,counterpane 網路安全公司的首席技術官官bruce schneier列舉了影響當今資訊保安的十種趨勢。趨勢一 資訊將比以往更有價值 網路成為關鍵的基礎設施,但這並不是設計的初衷,它就是這樣發生了 schneier說。網際...
AI世界 2023年八大趨勢
摘要 本文展望了人工智慧未來一年的發展趨勢,希望能給相關從業者一點參考。以下是譯文。從計算上來講,大資料分析這股潮流並不會像是流星那樣轉瞬即逝。隨著資料量的不斷增加,對大資料分析的改進也不會停止。對於 分析方面的應用,我們只看到了冰山一角。一些機構正在使用資料探勘 機器學習和人工智慧技術來分析當前的...