信息与网络安全架构与方案.ppt

信息安全博士后科研工作站马东平博士2001 10 25 信息与网络安全架构与方案Version3 日程安排 安全理念安全体系架构安全模型安全解决方案全线安全产品系列安全顾问服务结束语 安全理念 信息与网络系统安全理念 安全不是纯粹的技术问题 是一项复杂的系统工程 信息安全工程论安全是策略 技术与管理的综合 组织人才 政策法规 安全技术 安全策略 管理 信息安全特性 层次性 动态性 过程性 生命周期性 全面性 相对性 信道加密 信源加密 身份认证 应 网 络 级 系 统 级 用 级 管 理 级 信息 网络 系统 密级管理 访问控制 地址过滤 数据加密 线路加密 安全操作系统应用安全集成外联业务安全措施安全管理规范网络病毒监控与清除 防火墙技术集中访问控制 网络系统安全策略 入侵检测 弱点漏洞检测 系统配置检测 系统审计 教 训 培 育 中软VPN安全网关 中软B1安全操作系统 中软高性能防火墙 中软网络安全巡警 中软信息监控与取证系统 中软入侵检测系统 信息与网络系统安全管理模型 企业信息与网络系统统一安全策略Policy 安全技术标准Management 安全管理规范Administrator 企业信息与网络系统主要安全实施领域 信息与网络系统安全体系架构 企业信息与网络系统具体安全解决方案 基于具体安全解决方案的安全产品功能规范 典型企业的信息与网络系统拓扑 INSIDE 拨号接入服务器 企业内部网络 WAN INTERNET 企业广域网络 WebServer MailServer DNSServer AAAServer 企业合作伙伴网络 Internet出口 PSTN INTERNET 企业部门 数据中心 数据库服务器 数据库服务器 图1 2信息基础设施元素 企业的信息与网络系统的抽象 企业的信息与网络系统的安全框架IATF 安全框架IATF 保卫网络和基础设施主干网络的可用性无线网络安全框架系统互连和虚拟私有网 VPN 保卫边界网络登录保护远程访问多级安全保卫计算环境终端用户环境系统应用程序的安全支撑基础设施密钥管理基础设施 公共密钥基础设施 KMI PKI 检测和响应 保护计算环境 计算环境包括终端用户工作站 台式机和笔记本 工作站中包括了周边设备 安全框架的一个基本原则是防止穿透网络并对计算环境的信息的保密性 完整性和可用性造成破坏的计算机攻击 对于那些最终得逞了的攻击来说 早期的检测和有效的响应是很关键的 不断的或周期性的入侵检测 网络扫描以及主机扫描可以验证那些已经配置的保护系统的有效性 系统应用的安全 基于主机的检测与响应 保护网络边界 一个区域边界之内通常包含多个局域网以及各种计算资源组件 比如用户平台 网络 应用程序 通信服务器 交换机等 边界环境是比较复杂的 比如它可以包含很多物理上分离的系统 绝大多数边界环境都拥有通向其它网络的外部连接 它与所连接的网络可以在密级等方面有所不同 边界保护主要关注对流入 流出边界的数据流进行有效的控制和监督 有效地控制措施包括防火墙 门卫系统 VPN 标识和鉴别 访问控制等 有效的监督措施包括基于网络的如今检测系统 IDS 脆弱性扫描器 局域网上的病毒检测器等 这些机制可以单独使用 也可以结合使用 从而对边界内的各类系统提供保护 虽然边界的主要作用是防止外来攻击 但它也可以来对付某些恶意的内部人员 这些内部人员有可能利用边界环境来发起攻击 和通过开放后门 隐蔽通道来为外部攻击提供方便 保护网络和基础设施 网络以及为其提供支撑的相关基础设施 比如管理系统 是必须受到保护的 在网络上 有三种不同的通信流 用户通信流 控制通信流以及管理通信流 保护的策略是 使用经过批准的广域网 WAN 来传输企业的机密数据 加密方式采用国家相关部门批准的算法 为保护非加密局域网上交换的敏感数据 要求使用符合一定条件的商业解决方案 支持基础设施给以下情况提供服务 网络 最终用户工作站 网络 应用和文件服务器 单独使用的基础设施机器 即 高级的域名服务器 DNS 服务 高级目录服务器 框架包括两个方面的内容 密钥管理基础设施 KMI 其中包括公钥基础设施 PKI 和检测响应基础设施 密钥管理基础设施 KMI提供一种通用的联合的处理方式 以便于安全创建 分发和管理公共密钥证明和传统的对称密钥 使它们能够安全服务于网络 领地 和计算机环境 这些服务能够对发送者和接收者的身份进行可靠验证 并可以保护信息不会发生未授权泄露和更改 KMI支持受控制的相互可操作的用户 保持为每个用户团体建立的安全策略 检测和响应 检测和响应基础设施使能够迅速检测和响应入侵 它也提供一个 熔化 能力 以便于可以观察事件与其它相关连 还允许分析员识别潜在的行为模式或新发展 在多数实现检测和响应能力的机构中 本地中心监视本地运行 并输送到大区域或国家中心 需要这个基础设施有技术解决方案 如 入侵检测和监视软件 一些训练有素的专业人员 通常指的是计算机应急响应小组 CERT 支撑基础设施 可定制的安全要素和领域 网络物理与拓扑安全 CSS SEC ARC 访问控制与安全边界 CSS SEC CTL 弱点漏洞分析和风险审计 CSS SEC ASS 入侵检测与防御 CSS SEC IDS 信息监控与取证 CSS SEC INF 网络病毒防范 CSS SEC VPR 身份认证与授权 CSS SEC AAA 通信链路安全 CSS SEC LNK 系统安全 CSS SEC SYS 数据与数据库安全 CSS SEC DBS 应用系统安全 CSS SEC APS 个人桌面安全 CSS SEC PCS 涉密网的物理隔离 CSS SEC PHY 灾难恢复与备份 CSS SEC RAB 集中安全管理 CSS SEC MAN 网络物理与结构安全 CSS SEC ARC 网络物理安全物理安全是保护计算机网络设备 设施 介质和信息免遭自然灾害 环境事故以及人为物理操作失误或错误及各种以物理手段犯罪行为导致的破坏 丢失 考虑三个方面 环境安全 设备安全和媒体安全 对于机房环境安全 应符合相关的国家标准 GB50173 93 电子计算机机房设计规范 GB2887 89 计算站场地技术条件 GB9361 88 计算站场地安全要求 等 对于设备的物理安全 主要包括设备的防盗 防毁 防电磁信息辐射泄漏 防止线路截获 抗电磁干扰及电源保护等 关键网络设备和应用系统主机设备的冗余设计 员工整体安全意识的提高 对于媒体安全 包括媒体数据的安全及媒体本身的安全 要防止系统信息在空间的扩散 网络安全域结构核心层 办公应用服务域 应用服务域 企业位内部信息服务域等 安全层 系统内部信息服务域 对相关单位信息服务域 可信任层 内部上下级节点网络 相关单位网络 非安全层 对外信息服务域 危险层 公共Internet 各层安全性逐层递减 访问控制与安全边界 CSS SEC CTL 根据内部网络的安全域结构 需要在不同安全域间设置边界访问控制 包括内外网连界 内网边界 网络边界访问控制的设计包括网络隔离方案 边界防火墙配置方案 局域网虚拟子网间的访问控制 远程访问控制 网络隔离根据国家安全主管部门有关规定 党政涉密网要求与因特网物理断开 对于各单位的涉密应用 如涉密办公应用 应单独建立相应的网络 边界防火墙防火墙是网络安全最基本的安全措施 目的是要在内部 外部两个网络之间建立一个安全隔离带 通过允许 拒绝或重新定向经过防火墙的数据流 实现对进 出内部网络的服务和访问的审计和控制 网络隔离局域网的多个业务系统 办公应用系统 应用系统 数据中心 可通过有效的虚拟子网划分来对无关用户组间实施安全隔离 提供子网间的访问控制 VLAN划分 远程访问控制通过在广域连接的出入口配置防火墙 使远程用户对内部网服务器的访问受到防火墙的控制 远程内部网用户可按权限访问指定的内部网服务器 另外 通过设置一台安全认证服务器 可进行拨号用户身份 远程拨号路由器身份的认证 从而限制非法单机和局域网用户对内部网的访问 认证服务器可设在防火墙内 连接到内部网的交换机上 弱点漏洞分析和风险审计 CSS SEC ASS 入侵检测与防御 CSS SEC IDS 信息监控与取证 CSS SEC INF 网络病毒防范 CSS SEC VPR 计算机病毒一段能够自我复制 自行传播的程序 病毒运行后能够损坏文件 使系统瘫痪 从而造成各种难以预料的后果 在网络环境下 计算机病毒种类越来越多 危害越来越大 传染速度越来越快 计算机网络病毒具有不可估量的威胁性和破坏力 因而计算机病毒的防范也是网络安全建设的重要环节 考虑内部网络系统运行环境复杂 网上用户数多 同Internet有连接等 需在网络上建立多层次的病毒防护体系 对桌面 服务器和网关等潜在病毒进入点实行全面保护 1 建立基于桌面的反病毒系统在内部网中的每台桌面机上安装单机版的反病毒软件 实时监测和捕获桌面计算机系统的病毒 防止来自软盘 光盘以及活动驱动器等的病毒来源 2 建立基于服务器的反病毒系统在网络系统的文件及应用服务器 一些关键的WindowsNT服务器 上安装基于服务器的反病毒软件 实时监测和捕获进出服务器的数据文件病毒 使病毒无法在网络中传播 3 建立基于群件环境的反病毒系统在网络系统的LoutsNotes和MsExchange服务器上安装基于群件环境的反病毒软件 堵住夹在文档或电子邮件中的病毒 4 建立基于Internet网关的反病毒系统在代理服务器 Proxy 网关上安装基于网关的反病毒软件 堵住来自Internet通过Http或Ftp等方式进入内部网络的病毒 而且可过滤恶意ActiveX Java和JavaApplet程序 5 建立病毒管理控制中心在中心控制台 安全管理控制台 实施策略配置和管理 统一事件和告警处理 保证整个网络范围内病毒防护体系的一致性和完整性 通过自动更新 分发和告警机制 使桌面PC和服务器等设备自动获得最新的病毒特征库 完成终端用户软件及病毒特征信息的自动更新和升级 以实现网络病毒防范系统的集中管理 信息与网络系统安全解决方案 OUTSIDE INSIDE DMZ 拨号接入服务器 企业内部网络 WAN DMZ中立区 INTERNET 企业广域网络 WebServer MailServer DNSServer AAAServer 企业合作伙伴网络 Internet出口 PSTN 企业部门 VPN网关构建企业VPN 数据中心 数据库服务器 数据库服务器 统一安全管理平台 网络安全巡警系统入侵检测系统控制台信息监控与取证系统控制台Windows审计系统控制台 INTERNET 系统安全产品 中软安全操作系统COSIX64 中软LinuxB1级安全操作系统 中软操作系统安全加固系统 系统安全 系统安全 系统安全 静态网络安全产品 动态网络安全产品 集中安全管理平台 个人桌面系统审计系统 桌面安全与安全管理产品 系统安全 系统安全 系统安全 安全边界 通信安全 动态安全 桌面安全 安全管理 信息与网络系统全线安全产品 基于X Exploit库的安全顾问服务 企业信息与网络系统风险分析与评估 企业信息与网络系统安全需求分析 企业信息与网络系统安全策略制定 基于X Exploit库的安全顾问服务 企业信息与网络系统安全体系设计 企业信息与网络系统工程实施与监理 企业信息与网络系统安全产品测试与选型 基于X Exploit库的安全顾问服务 企业信息与网络系统安全教育与培训 企业信息与网络系统安全应急响应 结束语 安全不是技术 而是策略 技术与管理的综合安全解决方案不是简单产品的堆砌 而是从风险分析 需求分析 安