网络安全威胁的现状及发展趋势
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3. 网络安全技术
• 防火墙技术 • 安全保密网关技术 • 安全路由技术 • VPN技术
4. 入侵检测技术
5. 风险管理技术
6. 防病毒技术
7. 。。。。。。
Keberos认证)
❖这些安全技术通过相应的安全产品来实现
三、安全产品类型:
1. 防火墙/VPN产品 2. 入侵检测产品 3. 风险评估产品 4. 内容安全产品 5. 防病毒产品 6. 数据备份产品 7. 身份认证产品 8. 加密产品 9. ……
Windows 3.1x/95/98
Windows NT/2000
1997 21 7 0 4 0 3 5 9 28 0 0 0 2 1 1 6 3 4 24 0 0 2
3
10
1998 38 5 0 3 0 2 2 5 15 1 0 0 4 0 2 10 3 8 33 1 0 3
1
8
1999 10 4 0 14 0 31 17 11 9 5 1 2 10 4 4 47 10 11 34 23 2 14
✓社会工程 ✓入侵攻击 ✓网络欺骗 ✓邮件炸弹 ✓偷听
安全漏洞
▪应用和操作系统 (CERT/SANS) ▪密码强度 ▪协议的设置 (堆栈攻击、 IP 地址欺骗、同步洪流) ▪Telnet ▪FTP (明文认证) ▪命令暴露用户数据 (Finger, Rexec) ▪非同步传输、帧中继 ▪设备管理 ▪Modems 和无线网
网络安全威胁的现状以及发展趋势
赛门铁克公司
专家
引入安全考虑的问题
▪ 如何找到计算机安全的惯例和实施方法? ▪ 如何在组织内评估计算机安全风险? ▪ 如何在计算机安全方面接受培训? ▪ 如何建立计算机安全事故的响应队伍? (CSIRT)? ▪ 如何得出安全改进过程的概观?
安全基础的根本概念
1. 安全和复杂性成正比 2. 安全和可用性通常也成反比 3. 现在好的安全比从来没有完美的安全要好 4. 错误的安全概念比正确的不安全概念更糟糕 5. 安全性只有您最弱的地方那样强壮 6. 集中处理已知的和最可能的威胁比花费精力处理未知的和不大可能
的威胁更有用 7. 安全是一项投资,不是花费
威胁、漏洞和风险
▪你在保护什么? ▪什么攻击可能发生? ▪你的弱点在哪里? ▪什么是你关注要保持的? ▪你的资产和其他的相比有多贵重? ▪攻击者攻击我们要花费多少代价? ▪要抵抗攻击要花费多少? ▪有什么安全措施?
你在保护什么?
您的资产
机密性
客户和业务信息的保护
3、其他:
• 病毒防治 • 预防内部犯罪
❖其中信息安全就是:
---信息安全就是为了保证信息和资源在存 储、传输和存取过程中的:
1、机密性
2、完整性
信息安全
3、可用性
4、抗否认性
二、通过什么技术和手段?
1. 密码技术
• 信息加密算法(对称、非对称) • 数字签名算法
2. 系统安全技术
• 身份认证(口令认证 挑战/应答方式 • 访问控制和授权 • 审计
❖只有靠相应的பைடு நூலகம்段来降低企业风险
资产
资产
风险
威胁
漏洞
基本的威胁
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的威胁
攻击 = 动机 + 方法 + 漏洞
动机
▪可能是情绪因素 ▪企业间谍 ▪国家之间的竞争 ▪为了证实一个东西 ▪纯粹的偷窃
▪无论是什么….
攻击方法种种
✓病毒 ✓特洛伊木马 ✓蠕虫 ✓密码破解 ✓拒绝服务攻击 ✓E.mail 攻击 ✓伪装
同安全相关的99.99%无错的程序可以确信会被人利用那0.01% 的错误
0.01%安全问题等于100%的失败
❖为什么安全问题很难解决?
近几年操作系统报告的漏洞数量
OS AIX BSD/OS BeOS Caldera Connectiva Debian FreeBSD HP-UX IRIX MacOS MacOS X Server Mandrake NetBSD Netware OpenBSD RedHat SCO Unix Slackware Solaris SuSE TurboLinux Unixware
四、在实际环境中没有绝对的安全
❖网络的开放性
–越来越多的基于网络应用
–企业的业务要求网络连接的不间断性
❖糟糕的设计
–OS存在的安全漏洞 –应用存在的安全漏洞 –协议(Protocol)在设计时存在的安全漏洞
❖错误的实现、错误的安全配置 ❖糟糕的管理和培训 ❖黑客的攻击
❖为什么安全问题很难解决?
所有软件都是有错的 通常情况下99.99%无错的程序很少会出问题
根本的安全策略
风险评估
业务需 求评估
实施计划 根本安全策略
安全结构 指导
事件响应 处理
可接受的 使用策略 系统管理
过程
定期评估
Number of Users
Number of Reported Incidents
安全事件正在上升
35000
30000
25000
20000
15000
10000
5000
可用性
员工和客户访问资源
完整性
客户和业务信息的可信赖性
一、什么是网络/信息安全?
1、网络安全:
• 保障各种网络资源 • 稳定、可靠地运行 • 受控、合法地使用
2、信息安全:
• 机密性(confidentiality) • 完整性(integrity) • 抗否认性(non-repudiation) • 可用性(availability)
46
78
2000 15 1 5 28 0 55 36 26 14 1 0 46 20 3 17 95 2 11 22 31 20 4
40
97
2001 6 3 1 27 0 28 17 16 7 4 0 36 9 1 14 54 21 10 33 21 2 9
14
42
五、企业应根据自己的情况寻找平衡点:
哪里是平衡点?
•确定要保护的对象(网络设备?企业内部服务器?应 用系统?)。 •确定要达到的防护级别。
❖ TCSEC 安全标准
1985年,美国国防部推出《可信计算机系统评价标准》 ( Trusted Computer System Evaluation Criteria)
•D 最低的安全性 •C1 自主存取控制 •C2 较完善的自主存取控制(DAC)、审计 •B1 强制存取控制 •B2 良好的结构化设计、形式化安全策略模型 •B3 全面的访问控制、可信恢复 •A1 形式化认证
• 防火墙技术 • 安全保密网关技术 • 安全路由技术 • VPN技术
4. 入侵检测技术
5. 风险管理技术
6. 防病毒技术
7. 。。。。。。
Keberos认证)
❖这些安全技术通过相应的安全产品来实现
三、安全产品类型:
1. 防火墙/VPN产品 2. 入侵检测产品 3. 风险评估产品 4. 内容安全产品 5. 防病毒产品 6. 数据备份产品 7. 身份认证产品 8. 加密产品 9. ……
Windows 3.1x/95/98
Windows NT/2000
1997 21 7 0 4 0 3 5 9 28 0 0 0 2 1 1 6 3 4 24 0 0 2
3
10
1998 38 5 0 3 0 2 2 5 15 1 0 0 4 0 2 10 3 8 33 1 0 3
1
8
1999 10 4 0 14 0 31 17 11 9 5 1 2 10 4 4 47 10 11 34 23 2 14
✓社会工程 ✓入侵攻击 ✓网络欺骗 ✓邮件炸弹 ✓偷听
安全漏洞
▪应用和操作系统 (CERT/SANS) ▪密码强度 ▪协议的设置 (堆栈攻击、 IP 地址欺骗、同步洪流) ▪Telnet ▪FTP (明文认证) ▪命令暴露用户数据 (Finger, Rexec) ▪非同步传输、帧中继 ▪设备管理 ▪Modems 和无线网
网络安全威胁的现状以及发展趋势
赛门铁克公司
专家
引入安全考虑的问题
▪ 如何找到计算机安全的惯例和实施方法? ▪ 如何在组织内评估计算机安全风险? ▪ 如何在计算机安全方面接受培训? ▪ 如何建立计算机安全事故的响应队伍? (CSIRT)? ▪ 如何得出安全改进过程的概观?
安全基础的根本概念
1. 安全和复杂性成正比 2. 安全和可用性通常也成反比 3. 现在好的安全比从来没有完美的安全要好 4. 错误的安全概念比正确的不安全概念更糟糕 5. 安全性只有您最弱的地方那样强壮 6. 集中处理已知的和最可能的威胁比花费精力处理未知的和不大可能
的威胁更有用 7. 安全是一项投资,不是花费
威胁、漏洞和风险
▪你在保护什么? ▪什么攻击可能发生? ▪你的弱点在哪里? ▪什么是你关注要保持的? ▪你的资产和其他的相比有多贵重? ▪攻击者攻击我们要花费多少代价? ▪要抵抗攻击要花费多少? ▪有什么安全措施?
你在保护什么?
您的资产
机密性
客户和业务信息的保护
3、其他:
• 病毒防治 • 预防内部犯罪
❖其中信息安全就是:
---信息安全就是为了保证信息和资源在存 储、传输和存取过程中的:
1、机密性
2、完整性
信息安全
3、可用性
4、抗否认性
二、通过什么技术和手段?
1. 密码技术
• 信息加密算法(对称、非对称) • 数字签名算法
2. 系统安全技术
• 身份认证(口令认证 挑战/应答方式 • 访问控制和授权 • 审计
❖只有靠相应的பைடு நூலகம்段来降低企业风险
资产
资产
风险
威胁
漏洞
基本的威胁
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的威胁
攻击 = 动机 + 方法 + 漏洞
动机
▪可能是情绪因素 ▪企业间谍 ▪国家之间的竞争 ▪为了证实一个东西 ▪纯粹的偷窃
▪无论是什么….
攻击方法种种
✓病毒 ✓特洛伊木马 ✓蠕虫 ✓密码破解 ✓拒绝服务攻击 ✓E.mail 攻击 ✓伪装
同安全相关的99.99%无错的程序可以确信会被人利用那0.01% 的错误
0.01%安全问题等于100%的失败
❖为什么安全问题很难解决?
近几年操作系统报告的漏洞数量
OS AIX BSD/OS BeOS Caldera Connectiva Debian FreeBSD HP-UX IRIX MacOS MacOS X Server Mandrake NetBSD Netware OpenBSD RedHat SCO Unix Slackware Solaris SuSE TurboLinux Unixware
四、在实际环境中没有绝对的安全
❖网络的开放性
–越来越多的基于网络应用
–企业的业务要求网络连接的不间断性
❖糟糕的设计
–OS存在的安全漏洞 –应用存在的安全漏洞 –协议(Protocol)在设计时存在的安全漏洞
❖错误的实现、错误的安全配置 ❖糟糕的管理和培训 ❖黑客的攻击
❖为什么安全问题很难解决?
所有软件都是有错的 通常情况下99.99%无错的程序很少会出问题
根本的安全策略
风险评估
业务需 求评估
实施计划 根本安全策略
安全结构 指导
事件响应 处理
可接受的 使用策略 系统管理
过程
定期评估
Number of Users
Number of Reported Incidents
安全事件正在上升
35000
30000
25000
20000
15000
10000
5000
可用性
员工和客户访问资源
完整性
客户和业务信息的可信赖性
一、什么是网络/信息安全?
1、网络安全:
• 保障各种网络资源 • 稳定、可靠地运行 • 受控、合法地使用
2、信息安全:
• 机密性(confidentiality) • 完整性(integrity) • 抗否认性(non-repudiation) • 可用性(availability)
46
78
2000 15 1 5 28 0 55 36 26 14 1 0 46 20 3 17 95 2 11 22 31 20 4
40
97
2001 6 3 1 27 0 28 17 16 7 4 0 36 9 1 14 54 21 10 33 21 2 9
14
42
五、企业应根据自己的情况寻找平衡点:
哪里是平衡点?
•确定要保护的对象(网络设备?企业内部服务器?应 用系统?)。 •确定要达到的防护级别。
❖ TCSEC 安全标准
1985年,美国国防部推出《可信计算机系统评价标准》 ( Trusted Computer System Evaluation Criteria)
•D 最低的安全性 •C1 自主存取控制 •C2 较完善的自主存取控制(DAC)、审计 •B1 强制存取控制 •B2 良好的结构化设计、形式化安全策略模型 •B3 全面的访问控制、可信恢复 •A1 形式化认证