網(wǎng)絡防御安全架構方案.ppt

1、信息系統(tǒng)安全技術 -網(wǎng)絡防御安全架構方案,歐揚傳,用戶網(wǎng)絡安全的需求,用戶系統(tǒng)風險分析,用戶安全目標分析,安全技術管理規(guī)范設計,安全機制集成與服務,用戶網(wǎng)絡結構系統(tǒng)設計,整 體 安 全 解 決 方 案,安全知識培訓,網(wǎng)絡設備組件的加固與維護,日常檢測漏洞/異常攻擊事故報告,應急事故恢復,安全中心風險分析、 制定/實施/維護安全策略,基于角色的培訓 安全動態(tài)知識長期培訓,主機保護產品 組件加固服務,網(wǎng)絡入侵檢測產品 漏洞掃描產品,應急服務小組 攻防實驗室,安全分析工程師,安全知識數(shù)據(jù)庫維護,網(wǎng)絡安全與信息安全, 安全的定義 遠離危險的狀態(tài)或特性，為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的

2、措施。安全不是技術,安全是一個過程。 網(wǎng)絡安全 網(wǎng)絡的組成方式、拓撲結構和網(wǎng)絡應用 信息安全 信息的來源、去向，內容的真實無誤及保證信息的完整性，信息不會被非法泄露擴散保證信息的保密性 網(wǎng)絡信息安全的基本要求 數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可用性、數(shù)據(jù)的可控性,網(wǎng)絡信息安全技術體系,身份認證技術 密碼技術 訪問控制技術 防病毒技術 防火墻技術 漏洞掃描技術 入侵檢測技術 審計技術,INTERNET,案例一：網(wǎng)絡拓撲分析,應用案例一：SVPN典型應用,服務子網(wǎng),代理服務器 郵件服務器,內部子網(wǎng),管理中心網(wǎng)絡,DNS服務器,路由器,分支子網(wǎng)2,路由器,代理服務器,分支子網(wǎng)1,路由器,網(wǎng)絡現(xiàn)狀分

3、析,應用案例一：SVPN典型應用,安全需求分析, 內部與外部的隔離, 實現(xiàn)對子網(wǎng)之間通信的加密傳輸, 用網(wǎng)關設備代替代理服務器, 外部能訪問內部指定區(qū)域提供的服務, 能夠對內部網(wǎng)絡與外部網(wǎng)絡之間的通信進行審計, 其它安全要求,應用案例一：SVPN典型應用,INTERNET,案例一：網(wǎng)絡安全設計,服務子網(wǎng),代理服務器 郵件服務器,內部子網(wǎng),管理中心網(wǎng)絡,DNS服務器,路由器,分支子網(wǎng)2,路由器,代理服務器,分支子網(wǎng)1,路由器,CA,MAN,SG1,SG2,SG3,應用案例一：SVPN典型應用,實現(xiàn)的主要功能,子網(wǎng)之間的通信加密,各子網(wǎng)與外部網(wǎng)絡的訪問控制,實現(xiàn)網(wǎng)絡地址轉換（NAT）,其它,管理中

4、心對各子網(wǎng)安全進行統(tǒng)一管理,應用案例一：SVPN典型應用,安全策略實施,安全策略制定,安全策略實現(xiàn),安全策略修改,其它,安全策略檢驗,應用案例一：SVPN典型應用,電子政務網(wǎng)絡拓撲概述,應用案例二：綜合應用,電子政務網(wǎng)絡拓撲詳細分析,應用案例二：綜合應用,領導層子網(wǎng),分支機構2,業(yè)務處 室子網(wǎng),公共處 室子網(wǎng),服務處 室子網(wǎng),直屬人 事機構 處室子網(wǎng),共享數(shù)據(jù) 庫子網(wǎng),INTERNET,分支機構1,此人正試圖進入網(wǎng)絡監(jiān)聽并竊取敏感信息,電子政務網(wǎng)絡風險及需求分析,分支機構工作人員正試圖在領導層子網(wǎng)安裝木馬,分支機構工作人員正試圖越權訪問業(yè)務子網(wǎng)安裝木馬,非內部人員正試圖篡改公共網(wǎng)絡服務器的數(shù)據(jù)

5、,應用案例二：綜合應用,領導層子網(wǎng),業(yè)務處 室子網(wǎng),公共處 室子網(wǎng),服務處 室子網(wǎng),直屬人 事機構 處室子網(wǎng),共享數(shù)據(jù) 庫子網(wǎng),分支機構2,分支機構1,INTERNET,防火墻FW1,防火墻FW2,防火墻FW3,安全認證服務器,安全管理器,安全網(wǎng)關SG1,安全網(wǎng)關SG2,安全網(wǎng)關SG3,路由器,路由器,路由器,交換機,電子政務網(wǎng)絡內網(wǎng)基礎網(wǎng)絡平臺安全,應用案例二：綜合應用,內網(wǎng)核心網(wǎng)絡與各級子網(wǎng)間的安全設計,分支機構2,INTERNET,分支機構1,交換機,安全網(wǎng)關SG1,安全網(wǎng)關SG2,安全網(wǎng)關SG3,路由器,路由器,路由器,安全管理器,安全認證服務器,網(wǎng)絡漏洞掃描器,內網(wǎng)網(wǎng)絡漏洞掃描系統(tǒng)設

6、計,內網(wǎng)網(wǎng)絡入侵檢測系統(tǒng)設計,INTERNET,辦公廳辦公業(yè)務網(wǎng) （簡稱“內網(wǎng)”）,路由器,交換機,安全管理器,防火墻FW,物理隔離器（K1),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,電子政務外網(wǎng)基礎平臺安全設計,INTERNET,辦公廳辦公業(yè)務網(wǎng) （簡稱“內網(wǎng)”）,路由器,交換機,安全管理器,防火墻FW,物理隔離器（K1),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,網(wǎng)絡漏洞掃描器,外網(wǎng)網(wǎng)絡漏洞掃描系統(tǒng)設計,INTERNET,辦公廳辦公業(yè)務網(wǎng) （簡稱“內網(wǎng)”）,路由器,交換機,安全管理器,物理隔離器（K1),E-MAIL服務器,WWW服務器,應用服務器,數(shù)

7、據(jù)庫服務器,網(wǎng)絡漏洞掃描器,網(wǎng)絡入侵檢測探頭,網(wǎng)絡入侵策略管理器,防火墻FW,外網(wǎng)網(wǎng)絡入侵檢測系統(tǒng)設計,INTERNET,辦公廳辦公業(yè)務網(wǎng) （簡稱“內網(wǎng)”）,路由器,交換機,安全管理器,物理隔離器（K2),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,防火墻FW,物理隔離器（K1),辦公廳辦公業(yè)務網(wǎng) （簡稱“內網(wǎng)”）,政府系統(tǒng)辦公業(yè)務資源網(wǎng)（簡稱“專網(wǎng)”）,Web網(wǎng)站監(jiān)測&自動修復系統(tǒng),外網(wǎng)WEB服務器安全設計,INTERNET,辦公廳辦公業(yè)務網(wǎng) （簡稱“內網(wǎng)”）,路由器,交換機,安全管理器,物理隔離器（K2),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,防火墻FW,物理隔離器（K1),辦公廳辦公業(yè)務網(wǎng) （簡稱“