陈爱锋有关政务网安全的演讲.ppt

政务网安全建议方案,需求、技术、产品、方案介绍,陈爱锋,邮箱：chen_ 网址：,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,政务内网：核心政务网，涉密网 政务专网 政务外网：政府公众信息网,政务网特点,政务内网,政务专网,政务外网,Internet,物理 断开,物理 隔离,逻辑 隔离,三个政务网之间的连通关系,WWW,MAIL,Domino,Data,Data,Data,Data,Modem 池,Extranet,PSTN/ISDN,政务专网、外网与互联网之间的关系,物理隔离,逻辑隔离,县节点1,县节点2,省节点,县节点3,县节点2,市节点1,市节点2,党委、纪委、人大、政协、政府直属单位局域网接入,政务网信息流,10100101,10100101,政务网重要资源,硬件资源：重要网络设备、安全设备、服务器、通讯设备 软件资源：系统软件、网络通讯软件、应用软件、嵌入式软件、网管软件 数据资源：数据采集、存储、传输、处理、访问 用户资源：逻辑用户（通过用户名、IC卡、数字证书、特征信息进行识别）,网络内的具体应用,具体的业务系统 信息发布服务 信息交流服务 信息共享服务 信息自动流转和处理 内部办公系统 会议管理 网络会议 人事管理 资产管理 信访管理 活动安排 . 对外WWW 服务 对外MAIL 服务 ,WWW,MAIL,Domino,Data,Data,Data,Data,Modem 池,Extranet,PSTN/ISDN,政务网邮件应用过程,物理隔离,逻辑隔离,WWW,MAIL,Domino,Data,Data,Data,Data,Modem 池,Extranet,PSTN/ISDN,政务网信息发布过程,物理隔离,逻辑隔离,专网内部信息,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,政务网面临的安全风险,黑客、间谍、恶意攻击、敌对分子,潜在的安全威胁,漏洞、不安全的配置、管理疏忽,自身存在的脆弱性,物理层风险分析,网络传输风险分析,网络边界风险分析,网络设备安全性分析,系统层安全风险分析,应用层安全风险分析,管理层安全风险分析,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,内部管理,信息审计,病毒防范,应用产品,应用系统,边界安全,信息传输安全,主机监控,安全配置,补丁更新,企业级安全,应用级安全,系统级安全,网络级安全,政务网安全需求,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,NGFW 4000（千兆） 业界最新的核检测防火墙：适合于高流量、环境和应用极其复杂的骨干网络环境 NGFW 4000（百兆） 业界最新的核检测防火墙：适合于高流量、环境和应用极其复杂的骨干网络环境 NGFW 3000 复合型多功能防火墙：适合于应用复杂、控制严格的网络环境 NGFW 2000 高效包过滤防火墙：适合于分支机构、小型企业等简单的网络环境 ARES 防火墙 易安装、免维护、价格实惠的防火墙：适合于小型企业、办事处、营业点等简单环境,我公司提供四款防火墙，多个类型的产品用于满足政务网各级网络和各种应用对防火墙的不同要求,根据政务网边界安全的实际需求？,中央政府,省政府 A,省政府 B,市政府 A,市政府 B,天融信边界安全解决方案,Modem 池,F R,PSTN/ISDN,骨干网可以考虑：NGFW4000,县市接入网考虑：ARES防火墙,互联网可以考虑：NGFW3000,网络密码机（VPN网关） 解决固定边界与固定边界之间的信息传输安全问题 VPN客户端产品（VRC） 解决固定边界与移动用户、移动用户与移动用户之间的信息传输安全问题 安全集中管理器（SCM） 解决多个VPN网关、VPN客户端的集中管理问题,我公司提供三类产品满足政务网对信息传输安全的不同需求，最终解决政务网从广域网、局域网、桌面的信息传输安全问题,政务网信息传输安全的实际需求？,VPN 网关,VPN 网关,VPN客户端,VPN 网关,VPN客户端,VPN客户端,VPN客户端,总 部,分支机构A,分支机构B,移动用户A,移动用户B,黑 客,VRC,VRC,SCM,VRC,VRC,Internet,实现安全到桌面,天融信信息传输整体解决方案,PKI/CA解决方案 信息审计解决方案 安全服务解决方案 ,其他解决方案,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,边界安全产品介绍防火墙,产品形态 核心技术 产品功能 产品性能 易管理性 稳定可靠性 安全性,产品形态,标准1U机箱，节省了宝贵的机柜空间，而且外形美观大方 配置3 个 10/100M 自适应接口，内网、外网、SSN 三个接口固定，不可更改 接口数量、类型不可更改 国内标准220V交流电源输入，不需要额外的电源转换设备 内存=128 M 电源=AC90260V，4763Hz，0.15A / 0.25A 主板采用集成化设计，稳定性、可靠性更高,接口属性固定,内 网,外 网,SSN,防火墙连线图,直通线,交叉线,交叉线,串口线,管理机,SSN 区域,外网,内网,先进的核心技术,采用业界最新的核检测技术 基于操作系统内核的会话检测技术 在内核模拟出典型的应用层协议并进行过滤可以大大提供产品的整体性能 必要时可以对高层会话进行部分或者全部还原，因此可以输出深层日志 根据策略需要可以对单个IP包、应用层的会话进行过滤和访问控制 全新的内核保证了产品内核代码的秘密性，从而间接提高了产品自身的安全性 先进的核心技术为产品支持更加丰富的功能提供了保证 支持更加广泛的网络环境：TCP/IP、IPX/SPX、ADSL接入、IP宽带等 支持更加复杂的应用环境：VLAN、PPPoE、DHCP、BOOTP、H.323等 先进的核心技术为产品支持更高的性能提供了保证 更高的吞吐量：100M 大于860M 更低的延迟 零丢包率 强大的缓冲处理能力 极高的并发连接数支持 先进的核心技术采用精简、自有的源代码实现 精简的系统减少了安全漏洞，加固了内核，大大提高了产品自身的安全性 自有的源代码保证了源代码的秘密性，间接提高了产品自身的安全性,丰富的功能,更加灵活的访问控制功能 基于源、目IP地址；源目、端口；协议号；IP旗标的访问控制 基于用户、时间、流量的访问控制 基于文件、MAC地址、网址的访问控制 更加强大的认证功能 支持RADIUS认证 支持OTP认证 支持基于证书的身份认证（管理员登录） 更加细化的信息审计功能 支持通讯日志 支持命令日志 支持访问日志 支持内容日志 更多的附加功能 静态、动态地址转换；一对一、一对多端口映射 扩展支持优先级带宽.、分级带宽管理，支持服务器负载均衡、支持各种动态路由协议 支持VLAN、DHCP、BOOTP、H.323、PPPoE等协议 支持VPN功能，支持与 IDS 的联动，支持与病毒服务器的互动 ,Host C,Host D,Host B,Host A,受保护网络,Internet,IDS,黑客,发起攻击,发送通知报文,验证报文并 采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与 IDS 的安全联动,与病毒服务器的安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,高性能,吞吐量 高吞吐量：参见性能测试报告 100M 860M 延时 低延时：参见性能测试报告 30微妙 丢包率 零丢包率：参见性能测试报告 趋于零 背靠背 强大的缓冲处理能力：参见性能测试报告 MTBF=40000小时 最大策略许可值=8K 条 并发连接数 基于内核的会话检测技术使得该项指标发生质的变化 100万以上,高吞吐量、低延时、零丢包率、强大的缓冲处理能力,易管理性,本地管理 串口管理：通过超级终端实现本地安全管理 通过GUI程序在本地进行管理 通过IE浏览器在本地进行管理 远程管理 远程SSH 管理 远程通过SSL方式进行管理 远程通过SNMP 进行管理 安全集中管理 通过SNMP 管理平台对设备进行管理和监控 通过防火墙集中管理程序对设备进行集中管理 SNMP 管理 支持SNMP V2版本 支持SNMP V3版本：安全性更高 管理平台的特点： 全中文图形管理界面：容易看懂、迅速掌握 基于对象的管理方式：策略设计思路更加清晰 人性化设计的管理平台：更加符合人们的使用习惯 优化的策略库：规则数量变得更少、检索更快,安全集中管理演示,SNMP 管理演示,稳定、可靠性,成熟性 产品经过七年的市场考验 已经在各行各业中得到广泛的应用 适应多种网络环境和应用：VLAN、PPPoE、DHCP、BOOTP、H.323、VOD、NETBEUI 等 符合相应的安全标准：GB/T 18019-1999 GB/T 18020-1999 GB/T 18336-2001 稳定性 采用专业的工控机平台 采用嵌入式模块设计，集成度高 可扩展支持双电源 对于千兆产品采用多处理器、多内存 采用WATCHDOG电路，支持自动恢复和检测 可靠性 支持双机热备 支持负载均衡 支持双FLASH盘,产品自身安全性,自主版权 无后门程序（有自主版权证书） 没有安全漏洞 源代码国家托管 保证了代码的秘密性（有托管证明） 杜绝了针对防火墙系统代码本身的攻击 精简的系统 去掉了许多跟防火墙无关的代码，间接增加了产品自身的安全性 加固了内核 防TCP、UDP端口扫描 抗DOS、DDOS 攻击 可防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击 ,美丽的外观 强大的功能 优异的性能 人性化的管理界面 高稳定性 强安全性 ,防火墙产品小结,一款不错的产品,信息传输安全产品介绍VPN,VPN网关：网络密码机 VRC： VPN客户端 SCM：安全集中管理器,VPN网关形态,系统组成 网络密码机硬件（1U机箱） 一次性口令认证软件 集中管理器软件（用于管理多台密码机） IC卡 标准配置 三个10/100M自适应以太网接口 一个 CONSOLE（ RS232C ）串口 管理方式 支持SSH管理 支持SSL方式管理（通过IE浏览器） 支持SNMP管理,VPN网关简要介绍,1100111001 0100010100 1010100100 0100100100 0001000000,1100111001 0100010100 1010100100 0100100100 0001000000,明文,加密,解密,明文,保证数据在传输途中不被窃取,发起方,接受方,支持IKE密钥协商 支持IPSEC协议 密钥自动刷新 128位对称加密 1024位非对称加密 设备之间采用证书认证 支持CA认证,VPN网关特点一,发起方,接受方,10010001 01010010 10000100 00001101 10001010,10001010,10010001 01010010 10000100 00001101 10001010,Hash,Hash,10001010,10010001 01010010 10000100 00001101 10001010,是否一样？,防止数据被篡改,支持透明模式 支持路由模式,VPN网关特点二,VPN网关的部署,用户保护整个网段 可以实现子网分割 支持明密结合 支持带宽管理,VRC 产品,VRC,安装平台： Windows XP professional ok Windows 2000 server ok Windows 98 ok Windows me Window NT Windows 95 Windows XP home edition 产品形态：软件 可以设定开机后自动运行 可以设定运行程序时提供密码保护 私钥和证书可以设定保存在硬盘或者USB卡中 可以设定提供上下线提示（对方的VRC登录时自动提示）,SCM 产品,SCM系统组成,SCM 服务器 保存管理员配置的安全策略数据库（SPD） 每个SPD针对一条特定的隧道 Agent 登录到 SCM 服务器后可以自动获得 SA SCM 服务器自动生成 SA 并分发给已经登录的 Agent SCM 管理器 用来管理 scm 服务器 可以分别以管理员、审计员的身份登录到 scm 服务器 管理员可以对 scm 系统进行安全管理：修改系统配置、添加设备和通道 审计员只能浏览系统的状态，但不能对系统的参数、配置做任何修改 审计员对日志有完全操作权限，包括管理员的操作日志等 ET-VRC 快捷通道 VRC 自动完成与 scm 服务器的通信 网关代理（Agent）：嵌入在 VPN 网关设备中 客户端代理（Agent）：用户客户端 VRC 与SCM服务器通信,SCM服务器,安装平台 WINDOWS 2000 SERVER 系统 通信安全 采用基于证书的公/私钥体制 与SCM Manager 采用基于 TCP的安全通讯协议 与Agent采用基于UDP的通讯协议 在通信过程中引用加密、认证、抗重播、重传等机制 SCM 服务器的管理 通过专门的SCM 管理器进行管理 SCM Manager 和 SCM Server 可以安装在同一台服务器，也可以分别安装 建议将SCM Server 和 SCM Manager 安装在不同的机器上 管理员通过 SCM Manager 管理 SCM Server,SCM 管理器,安装平台 WINDOWS 2000 SERVER OK WINDOWS XP Professional OK WINDOWS 98 通信安全 与SCM SERVER 采用基于TCP的安全通信协议 具备认证、加密、抗重播、重传等机制 SCM 管理器的保护机制 超时掉线：可以设定SCM管理器与SCM服务器的自动掉线超时时间（1600毫秒）,SCM Server,SCM Manager,申请登录,ET-VRC 1,ET-VRC 2,申请登录,SCM对VPN设备的管理,SCM通过ID来管理和访问VPN设备,配置 SCM 服务器,安全信息,012,安全信息,SCM Server,SCM Manager,申请启动通道,ET-VRC 1,ET-VRC 2,隧道建立过程,建立安全隧道,SPD数据库,SA,SA,一个优秀的信息传输安全解决方案,由VPN网关、客户端、SCM构成的解决方案可以 实现从广域网到局域网、桌面的信息传输解决方案,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,我们是？,作为 国内最早 国内最专业 ,我们是？,作为 主要的安全产品提供商 主要的安全方案提供商 主要的安全服务提供商 ,我们是？,作为 国内安全市场的领导者 12%（CCID）国内厂商之首 10.21%（CCID2001）国内厂商之首 每年的业绩和利润100%以上的增长 ,1996年02月,2000年05月,2000年10月,2001年04月,2001年06月,2001年12月,2002年04月,2002年05月,NG FW2000 高速包过滤防火墙 国内最早市场份额最高；适合于小型企业和分支机构,VPN网关SJW11网络密码机 业界优秀的网路传输安全解决方案,NG FW3