网络安全的发展趋势

PDCA循环（续）
PDCA循环的特点一
按顺序进行，它靠组织 的力量来推动，像车轮一样 向前进，周而复始，不断循 环
处理
计划
AP
90
CD
检查
执行
PDCA循环（续）
PDCA循环的特点二
组织中的每个部分，甚至个人，均有一个PDCA循环，大 环套小环，一层一层地解决问题。
AP
90
CD
AP
90
CD
AP
90
在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt，检测到黑客的行为 后，我们需要作出响应，这段时间称之为Rt.
假如能做到Dt+Rt<Pt,那么我们可以说我们的目标系统是安全的
网络安全框架体系
从两大角度考虑： 网络安全管理框架 网络安全技术框架
网络安全框架体系
网络安全管理体系
网络安全技术体系
网络安全技术体系框架
区域边界保护 网络内部环境保护 网络基础设施保护 网络安全支持设施
网络安全技术体系框架－区域边界保护
目标：着重对重要的安全区域进行保护 ，包 括支撑系统业务系统、管理系统，如认证和计 费系统、域名服务系统、网管中心、IDC系统 等。
常用的技术: ➢ 防火墙技术 ➢ 入侵检测技术。 ➢ 其他防护技术产品
网络安全 网络安全 网络安全保
组织 策略
障机制
区域 边界 保护
网络内部 环境保护
网络基础设 施
网络安全 支持设施
管 理 和 维 护
队 伍
技 术 支 撑
队 伍
应 急 响 应
队 伍
纲 领 性 策 略
管 理 规 章 制 度
操 作 流 程 和 规 程
风 险 管 理
安 全 预 警
应 急 响 应
安 全 培 训
防 火 墙 技 术
实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系， 是企业或组织安全工作所追求的最终目标
特质： 等级化：突出重点，节省成本，满足不同行业、不同发展阶段、 不同层次的要求 整体性：结构化，内容全面，可持续发展和完善，持续运行 针对性：针对实际情况，符合业务特性和发展战略
等级保护体系安全措施框架
天融信提供的安全服务与解决方案
安全调查与风险评估
等级保护定级咨询
等级保护体系设计
安全规划
方案设计
安全组织体系建设
安全组织与职责设计
安全技术体系建设
安全域划分与边界访问控制平台
安全培训与资质认证
防病毒、补丁和终端管理平台
安全策略体系建设
安 全
统一安全监控与审计平台
管
安全策略体系与流程设计
理
安全策略与流程推广实施
什么是安全
新的安全定义
及时的检测就是安全 及时的响应就是安全
安全＝及时的检测和处理
Pt
Dt
Rt
Pt > Dt + Rt
Pt : Protection time Dt : Detection time Rt : Response time
Pt > Dt + Rt
Pt
Dt
Rt
我们称之为防护时间Pt：黑客在到达攻击目标之前需要攻破很多的设备(路由器， 交换机)、系统（NT，UNIX）和放火墙等障碍，在黑客达到目标之前的时间；
3、审计系统、管理系统 4、新的复杂的安全事件出现
管理问题出现
基本解决管理问题
（管理对网络影响小）
现有的防护系统很难解决
问题：
投资不小但网络安全状况依然不理想
关于网络安全的一些观念误区
网络安全是一次性投资可以完 成的.
网络安全纯粹是技术人员的工 作，重视技术，轻视管理
网络安全只要买一批好产品就 能完成，重视产品，轻视人为
•速度对安全的挑战 •国际安全技术格局 •实力保证创“芯” •小芯片，大内涵 •猎豹出世
网络速度vs摩尔定律
100T 100G
1990－2010年，网速和CPU处理能力对比
网速
100M
CPU
0 1990
1995 2000 2005
2010
网络发展速度远大于CPU速度
高性能网络防火墙越来越迫切
用了防火墙， 没攻击了，可 是网速也慢了
➢ 网络安全告警和响应
TCP/IP模型与网络安全
Telnet FTP DNS SMTP
TCP
UDP
应用程序攻击 数据监听和窃取
IP
拒绝服务攻击
ARPNET SATNET 无线网络 以太网
硬件设备破坏
应用层：应用程序和操作系统的攻击与破坏等 传输层：拒绝服务攻击和数据窃听风险等 网络层：拒绝服务攻击，路由欺骗等 硬件设备与数据链路：物理窃听与破坏等
例：
1、网络出现病毒 2、网络出现攻击
防病毒 防火墙、入侵检测等
3、管理问题出现
审计系统、管理系统
问题：
投资不小但网络安全状况依然不理想
网络安全发展的回顾（管理和建设）
例：
1、防病毒系统 2、防火墙、入侵监测等
网络出现病毒 Biblioteka 络出现攻击基本解决病毒问题 （病毒对网络影响小）
基本解决攻击问题
（攻击对网络影响小）
➢ SOC技术
网络安全技术体系框架－网络安全支持
网络安全支持目标
网络安全支持设施建设
➢ 为网络用户、设备和应 用系统提供安全服务
➢ 密钥管理服务。
➢ PKI技术， ➢ SOC技术 ➢ 网络流量异常检测技术
➢ 网络安全检测服务。 ➢ 网络安全响应服务。
➢ 网络安全事件统一收集 安全事件的关联分析
所以说，虽然“老三样”已经立下了赫赫战功，且仍然发挥着重要作用 ，但是用户已渐渐感觉到其不足之处。其次，从网络安全的整体技术框架来 看，网络安全技术同样面临着很大的问题，“老三样”基本上还是针对数据 、单个系统、软硬件以及程序本身安全的保障。应用层面的安全，需要将侧 重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
北京天融信网络安全有限公司
网络安全及安全技术的发展趋势
目录
网络安全的发展趋势 网络安全技术发展趋势
网络安全发展的回顾
网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学， 它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计 算机安全技术等 。
在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网 络安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用 户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些 公式和法则，它规定了明文和密文之间的变换方法。
设备安全配置与加固
运 行 中
安全运行体系建设
统一身份认证与授权管理平台
心
安全体系推广与常年咨询
数据备份与冗灾平台
常年安全运维外包服务
业务应用系统安全改造
安全托管监控与管家服务
网络与应用加密服务平台
等级保护测评支持与咨询
目录
网络安全的发展趋势 网络安全技术发展趋势
防火墙技术发展趋势
宣讲胶片目录
CD
PDCA循环（续）
PDCA循环的特点三
每通过一次PDCA 循环，都要 进行总结，提出新目标，再进行第 二次PDCA 循环。
改进
计划
AP
90
CD
检查
执行
改进
计划
AP
90
CD
检查
执行
达到新的水平 改进(修订标准)
维持原有水平
总体解决方案－TopSec等级保护体系
遵照国家等级保护制度、满足客户实际需求，采用等级化、体系 化相结合的方法，为客户建设一套覆盖全面、重点突出、节约成 本、持续运行的安全保障体系。
网络安全发展的回顾
谈及网络安全技术，就必须提到网络安全技术的三大主流—防火墙技术、 入侵检测技术以及防病毒技术。
任何一个用户，在刚刚开始面对安全问题的时候，考虑的往往就是这“ 老三样”。可以说，这三种网络安全技术为整个网络安全建设起到了功不可 没的作用，但是传统的安全“老三样”或者说是以其为主的安全产品正面临 着许多新的问题。
安全技术体系框架
1.安全管理
安全管理是确保网络信息安全的重要环节 安全管理包括对信息系统的所有部件和整个生
命周期的安全管理，涵盖上述所有层面， 管理内容应包括
组织和人员、工程管理、运行管理、等级保护管理、 应急处理管理和密码管理等方面。
安全工程活动的生命周期
安全需求建立
安全需求验证
安全系统规划
网络安全发展的回顾（管理和建设）
传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、 突击式、事后纠正式的管理方式，而安全建设停留在静态的防护技术上，更多 采用的是以点概面和就事论事的方法。导致的结果是不能从根本上避免、降低 各类风险，也不能降低信息安全故障导致的综合损失。
网络安全发展的回顾（管理和建设）
系统工程
攻防技术是在对抗中不断 发展的
组织(制订制度),技术,管 理(执行制度)
因素；
根据情况,大的趋势是社
应该由自己单位的技术人员全 部完成
会分工越来越细
重视外部安全，轻视内部安全； 专业安全服务公司
重视局部，忽略整体；
专业安全服务的外包
静态不变；
网络安全发展的趋势
随着信息系统的开放化、网络化、复杂化发展，信息安全建设不再局限于单 个的技术产品，而是需要综合考虑的一个体系。这个体系是一个动态的、协调联 动的、系统化、程序化和文件化的安全防护体系。而这个体系体现预防控制为主 的思想，强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全 控制方式保护组织所拥有的关键信息资产，使信息风险的发生概率和结果降低到 可接受收水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。
网络安全技术体系框架－网络基础设施
目标：
➢ 提高网络拓扑的安全 可靠性。
➢ 提高网络设备特别是 骨干设备的安全性。
➢ 保证网络设备远程管 理的安全性。
保护技术
➢ 网络基础实施的设备、物 理链路、路由的冗余和备 份。
➢ 网络设备的安全设置、安 全扫描与加固。
➢ 网络设备远程安全管理： SSH、多因素认证密码系 统（如RSA令牌）、VPN
首先，从用户角度来看，虽然系统中安装了防火墙，但是仍避免不了蠕 虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次，未经大规模部署的入侵检测单个产品在提前预警方面存在着先天 的不足，且在精确定位和全局管理方面还有很大的空间。
网络安全发展的回顾
再次,虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的 安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补 丁管理以及合规管理等方面。
网络安全发展的回顾
安全协议方面，众多标准化组织制定了许多标准和草案，尤其是以RFC 文稿出现的协议标准更是成了网络安全设备的基础。举例说，VPN技术就是 建立在安全隧道基础上的，点对点的隧道协议（PPTP：RFC2637）和第2层隧 道协议（L2TP：RFC2661）提供远程PPP客户到LAN的安全隧道，因此，网络 安全要不断发展和开发满足新的需求的安全协议。
安全策略体系
管理制度
信息安全政策
组织职责
技术标准规范
安全组织体系
安全 组织
人员 职责
教育 培训
人员 安全
安全技术体系
身份 认证
加固
访问 控制
监控
加密
审核 跟踪
防恶意 代码
备份 恢复
安
全
安全体系建设
运 行
体
项目建设安全管理 系
安全风险管理 与控制
安全运行与维护
等级保护阶段 定级阶段 规划阶段
实施与 运维阶段
网络安全技术体系框架－网络内部环境保护
目标：
➢ 减少内部环境中存在的安 全漏洞。
➢ 防止计算机病毒在内部环 境的传播。
➢ 提高对网络攻击的发现能 力以及在安全事件发生后 的跟踪和追查能力。
➢ 提高网络安全事件发生后 的恢复能力。
对应保护技术
➢ 系统安全加固 ➢ 本地安全扫描 ➢ 防病毒 ➢ 日志与备份技术
安全系统确认
安全系统实施
PDCA循环
PDCA循环：Plan — Do—Check—Act
改进
计划
AP
CD
检查
实施
PDCA循环（续）
又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序: ➢ P：计划，方针和目标的确定以及活动计划的制定； ➢ D：执行，具体运作，实现计划中的内容； ➢ C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确 效果，找出问题； ➢ A：改进（或处理）,对总结检查的结果进行处理，成功的经验加以 肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循； 对于失败的教训也要总结，以免重现。 ➢ 对于没有解决的问题，应提给下一个PDCA循环中去解决。
入 侵 检 测 技 术
评 估 、 修 补 、 加 固
防 病 毒 技 术
日 志 和 备 份 技 术
防 源 地 址 欺 骗
路 由 安 全
安 全 网 管
反 垃 圾 邮 件
密 钥 管 理 设 施
检测 和响 应设 施
网络安全管理体系框架
建立完善的安全组织结构 建立层次化的网络安全策略
包括纲领性策略 各种安全制度、安全规范和操作流程 应用各种安全机制 包括网络安全预警机制 安全风险识别和控制机制 应急响应机制 安全培训机制