網(wǎng)絡(luò)安全整體解決方案

1、第二部分網(wǎng)絡(luò)安全整體處理方案8月講師：杜旭第1頁框架信息安全整體處理方案信息安全產(chǎn)品信息安全法規(guī)和標(biāo)準(zhǔn)第2頁信息安全整體處理方案信息化進(jìn)程安全方案設(shè)計(jì)怎樣評(píng)價(jià)信息安全第3頁財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) 操作系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)（網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)軟件）信息化進(jìn)程財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) 操作系統(tǒng)平臺(tái)第4頁分析財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) 財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) 操作系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)（網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)軟件） 操作系統(tǒng)平臺(tái)企業(yè)信息化稱度標(biāo)志企業(yè)信息化程度越高企業(yè)對(duì)網(wǎng)絡(luò)、系統(tǒng)依賴越強(qiáng)安全而健壯網(wǎng)絡(luò)是企業(yè)信息化前提和基礎(chǔ)那么怎樣來規(guī)劃和建設(shè)安全網(wǎng)絡(luò)呢？我們今天話題第

2、5頁網(wǎng)絡(luò)系統(tǒng)現(xiàn)實(shí)狀況潛在安全風(fēng)險(xiǎn)安全需求與目標(biāo)安全體系安全處理方案分析后得出進(jìn)行安全集成 / 應(yīng)用開發(fā)安全方案設(shè)計(jì)信息安全方案設(shè)計(jì)思緒 依據(jù)風(fēng)險(xiǎn)制訂出建立對(duì)應(yīng)提出安全服務(wù)第6頁網(wǎng)絡(luò)系統(tǒng)現(xiàn)實(shí)狀況企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)企業(yè)網(wǎng)絡(luò)中應(yīng)用企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)第7頁企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)WWWMailDNS 幀中繼 DDNWWWMailDNSWWWMailDNS 集團(tuán)總部 省市企業(yè) 地市企業(yè) 省市企業(yè)第8頁企業(yè)網(wǎng)絡(luò)中應(yīng)用 操作系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)（網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)軟件） 操作系統(tǒng)平臺(tái)財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) WEB應(yīng)用MAIL應(yīng)用FTP應(yīng)用詳細(xì)業(yè)務(wù)應(yīng)用財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) WEB應(yīng)用MAIL應(yīng)用F

3、TP應(yīng)用常規(guī)應(yīng)用第9頁企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn) 操作系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)（網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)軟件） 操作系統(tǒng)平臺(tái)財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) WEB應(yīng)用MAIL應(yīng)用FTP應(yīng)用安全應(yīng)用財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) WEB應(yīng)用MAIL應(yīng)用FTP應(yīng)用安全網(wǎng)絡(luò)平臺(tái)安全操作系統(tǒng)平臺(tái)安全管理管理平臺(tái)管理平臺(tái)第10頁網(wǎng)絡(luò)面臨安全風(fēng)險(xiǎn)管理平臺(tái)管理平臺(tái) 操作系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)（網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)軟件） 操作系統(tǒng)平臺(tái)財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) WEB應(yīng)用MAIL應(yīng)用FTP應(yīng)用財(cái)務(wù)軟件物流軟件OA系統(tǒng)電子政務(wù) WEB應(yīng)用MAIL應(yīng)用FTP應(yīng)用層次一層次二層次三層次四1.主體身份判別 4 .信息機(jī)密性2.

4、 主體訪問授權(quán) 5.信息完整性3.主體行為不可抵賴 6 .1.系統(tǒng)補(bǔ)丁 4 .數(shù)據(jù)庫配置2. 系統(tǒng)增強(qiáng) 5.數(shù)據(jù)庫增強(qiáng)3.系統(tǒng)配置 6 .1.設(shè)備冗余 3 . 安全路由 5.抗電磁輻射 7.安全訪問2. 線路冗余 4. 安全拓?fù)?6.安全存放 8 1.安全法規(guī) 3 . 安全管理人員 5.安全評(píng)定2. 安全管理制度 4. 安全監(jiān)督制度 6. 第11頁設(shè)計(jì)規(guī)劃整體安全方案安全體系結(jié)構(gòu)安全方案設(shè)計(jì)標(biāo)準(zhǔn)安全機(jī)制和技術(shù)安全模型第12頁安全特征網(wǎng)絡(luò)層次系統(tǒng)單元身份判別訪問控制數(shù)據(jù)完整數(shù)據(jù)保密預(yù)防否定跟蹤審計(jì)可靠可用通信平臺(tái)網(wǎng)絡(luò)平臺(tái)系統(tǒng)平臺(tái)應(yīng)用平臺(tái)安全管理物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層安全體系結(jié)

5、構(gòu)第13頁安全方案設(shè)計(jì)標(biāo)準(zhǔn)需求、風(fēng)險(xiǎn)、代價(jià)平衡分析標(biāo)準(zhǔn)綜合性、整體性標(biāo)準(zhǔn)一致性標(biāo)準(zhǔn)易操作性標(biāo)準(zhǔn)適應(yīng)性及靈活性標(biāo)準(zhǔn)多重保護(hù)標(biāo)準(zhǔn)分布實(shí)施標(biāo)準(zhǔn)第14頁安全機(jī)制和技術(shù)鑒別加密訪問控制安全管理病毒防范數(shù)字簽名鏈路加密機(jī)IP協(xié)議加密機(jī)郵件加密文件加密防火墻遠(yuǎn)程用戶鑒別系統(tǒng)防病毒軟件防病毒制度密鑰管理安全評(píng)定安全服務(wù)入侵檢測遠(yuǎn)程用戶鑒別系統(tǒng)第15頁中科網(wǎng)威時(shí)空防御模型時(shí)間針對(duì)網(wǎng)絡(luò)攻擊空間針對(duì)體系建設(shè)恢復(fù)評(píng)定防護(hù)響應(yīng)偵測前第16頁怎樣評(píng)價(jià)信息安全什么是安全信息安全目標(biāo)第17頁什么是安全？新安全定義及時(shí)檢測就是安全及時(shí)響應(yīng)就是安全第18頁P(yáng)tDtPt : Protection time安全及時(shí)檢測和處理Pt+R

6、tDt : Detection timeRt : Response timeDtRt第19頁說明： 黑客在抵達(dá)攻擊目標(biāo)之前需要攻破很多設(shè)備(路由器，交換機(jī))、系統(tǒng)（NT，UNIX）和放火墻等障礙，在黑客抵達(dá)目標(biāo)之前時(shí)間，我們稱之為防護(hù)時(shí)間Pt； 在黑客攻擊過程中，我們檢測到他活動(dòng)所用時(shí)間稱之為Dt,檢測到黑客行為后，我們需要作出響應(yīng)，這段時(shí)間稱之為Rt.假如能做到Dt+Rt+Rt第20頁信息安全目標(biāo)進(jìn)不來拿不走改不了跑不了看不懂可審查第21頁小結(jié)安全方案設(shè)計(jì)思緒信息安全評(píng)價(jià)準(zhǔn)則第22頁框架信息安全整體處理方案信息安全產(chǎn)品信息安全法規(guī)和標(biāo)準(zhǔn)第23頁中科網(wǎng)威信息安全產(chǎn)品“網(wǎng)威”防火墻“網(wǎng)威”入侵檢

7、測“網(wǎng)威”安全評(píng)定安全服務(wù)第24頁防火墻介紹什么是防火墻？為何需要防火墻？我們需要什么樣防火墻？第25頁傳統(tǒng)概念： 什么是防火墻? 防火墻最早被用于建筑物之間預(yù)防火勢蔓延； 汽車工業(yè)中用于駕駛員與乘客之間進(jìn)行隔離；第26頁什么是防火墻?信任網(wǎng)絡(luò)防火墻非信任網(wǎng)絡(luò) 防火墻是一個(gè)在信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間實(shí)施安全防范系統(tǒng)。防火墻目標(biāo)是在內(nèi)部、外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，經(jīng)過允許、拒絕或重新定向經(jīng)過防火墻數(shù)據(jù)流，對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)服務(wù)和訪問進(jìn)行審計(jì)和控制。 網(wǎng)絡(luò)中概念：第27頁為何需要防火墻不安全原因網(wǎng)絡(luò)協(xié)議(TCP/IP)系統(tǒng)漏洞攻擊方式和攻擊工具泛濫輕易得到輕易使用第28頁第29頁C:xdo

8、s 139 -t 5 -s *一次簡單攻擊第30頁我們需要什么樣防火墻?優(yōu)異抗攻擊能力優(yōu)良性能全方面功效易于使用維護(hù)第31頁中科網(wǎng)威防火墻具備全方面功效防火墻VPN防垃圾郵件模塊防病毒模塊負(fù)載均衡A/A第32頁入侵檢測系統(tǒng)介紹為何需要入侵檢測什么是入侵檢測入侵檢測能處理什么問題入侵檢測分類我們需要什么樣入侵檢測第33頁為何要有入侵檢測？防火墻不足被動(dòng)防御缺乏主動(dòng)檢測能力不是全部威脅來自防火墻外部防火墻只能防御70%左右攻擊數(shù)字：，美國CSI (Computer Security Institute)統(tǒng)計(jì)，在當(dāng)年發(fā)生安全事件中95%擁有防火墻第34頁什么是入侵檢測入侵行為是：入侵行為主要是指對(duì)系

9、統(tǒng)資源非授權(quán)使它能夠造成系統(tǒng)數(shù)據(jù)丟失和破壞能夠造成系統(tǒng)拒絕對(duì)正當(dāng)用戶服務(wù)等危害入侵檢測系統(tǒng)是：抓取網(wǎng)絡(luò)上報(bào)文分析處理報(bào)文匯報(bào)異常網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生事件采取行動(dòng)阻止可能破壞第35頁監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎Card Key形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕捉并統(tǒng)計(jì)網(wǎng)絡(luò)上全部數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑、異常網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙偽裝，抓住實(shí)際內(nèi)容。它還不但僅只是攝象機(jī)，還包含保安員攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行還擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。第36頁IDS能處理什么問題？發(fā)覺攻擊行為，及時(shí)報(bào)警對(duì)攻

10、擊行為主動(dòng)處理防御來自內(nèi)部攻擊實(shí)現(xiàn)主動(dòng)防御第37頁入侵檢測分類網(wǎng)絡(luò)入侵檢測（NIDS）主機(jī)入侵檢測（HIDS）第38頁網(wǎng)絡(luò)入侵檢測(NIDS)安裝在被保護(hù)網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中全部數(shù)據(jù)包實(shí)時(shí)檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)負(fù)載第39頁主機(jī)入侵檢測(HIDS)安裝于被保護(hù)主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng)系統(tǒng)日志系統(tǒng)調(diào)用文件完整性檢驗(yàn)占用一定系統(tǒng)資源第40頁我們需要什么樣IDS?優(yōu)異攻擊發(fā)覺能力分布布署能力集中管理能力易于安裝使用本身安全性好第41頁安全評(píng)定為何需要入侵檢測什么是入侵檢測入侵檢測能處理什么問題入侵檢測分類我們需要什么樣入侵檢測第42頁安全評(píng)定 Internet 區(qū)域Int

11、ernet邊界路由器DMZ區(qū)域WWW Mail DNS 內(nèi)部工作子網(wǎng)管理子網(wǎng)普通子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)掃描路由器掃描交換機(jī)掃描防火墻掃描服務(wù)器掃描內(nèi)部子網(wǎng)第43頁評(píng)定對(duì)象網(wǎng)絡(luò)設(shè)備:交換機(jī)、路由器和防火墻等系統(tǒng)：WINDOWS和UNIX等應(yīng)用：數(shù)據(jù)庫、Notes和郵件等第44頁安全評(píng)定作用掃描整個(gè)網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)和漏洞并提議采取對(duì)應(yīng)補(bǔ)救辦法提前發(fā)覺網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)和漏洞,防患于未然第45頁集團(tuán)企業(yè)病毒管理機(jī)省市企業(yè)A病毒管理機(jī)省市企業(yè)B病毒管理機(jī)地市企業(yè)病毒管理機(jī)地市企業(yè)病毒管理機(jī)地市企業(yè)病毒管理機(jī)地市企業(yè)病毒管理機(jī)1.統(tǒng)一管控2.分步式結(jié)構(gòu)防毒3.網(wǎng)關(guān)防毒4.工作站防毒5.服務(wù)器防毒a)殺毒策略統(tǒng)一制

12、訂b)病毒代碼統(tǒng)一更新c)統(tǒng)一病毒掃描 . 全方面病毒防護(hù)a)郵件服務(wù)器防毒b)文件服務(wù)器防毒c)Notes服務(wù)器防毒 . 第46頁網(wǎng)關(guān)防毒發(fā)覺病毒并馬上采取對(duì)應(yīng)辦法 Internet 區(qū)域Internet邊界路由器DMZ區(qū)域WWW Mail 內(nèi)部工作子網(wǎng)管理子網(wǎng)普通子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)網(wǎng)關(guān)防病毒軟件發(fā)覺病毒第47頁安全服務(wù)為何需要安全服務(wù)產(chǎn)品和服務(wù)關(guān)系第48頁數(shù)字，美國CSI (Computer Security Institute)統(tǒng)計(jì)，在當(dāng)年發(fā)生安全事件中：95%擁有防火墻61%擁有IDS90%擁有訪問控制系統(tǒng)42%擁有Digital ID 第49頁安全產(chǎn)品不足靜態(tài)產(chǎn)品與動(dòng)態(tài)安全實(shí)際單一產(chǎn)品與復(fù)雜客戶環(huán)境安全產(chǎn)品本身存在安全問題安全產(chǎn)品無法處理全部問題分布產(chǎn)品與集中管理要求第50頁產(chǎn)品和服務(wù)關(guān)系相輔相成脫離服務(wù)產(chǎn)品無法發(fā)揮其固有能力脫離產(chǎn)品服務(wù)效率低下、成本過高例子：鋼筋和水泥產(chǎn)品服務(wù)化、服務(wù)產(chǎn)品化第51頁產(chǎn)品服務(wù)化優(yōu)異產(chǎn)品需要有良好服務(wù)支持售前設(shè)計(jì)/咨詢售