电信安全集成介绍.ppt

1、电信安全集成方案介绍,北京艾科网信科技有限公司 周玉龙 10/28/2020,目录,简述 建设框架与原则 安全集成方案介绍 安全域划分 系统定级 安全评估 安全加固 系统评测 日常维护 技术服务体系 远景规划 总结,简述,随着电信事业迅猛发展，应用与数据量也成几何上升趋势，而电信承载网担负着越来越多的责任。 网络风险也从终端到网络发展，安全建设的重点随着迈入网络时代。因此，新的网络安全建设要以全面规划、综合利用为目的，以稳定和安全为要求，最终实现平台共享、资源共享、数据共享的新一代电信业务系统。 电信网络安全建设将结合国家等级保护与电总集团企业信息化战略目标（CTG-MBOSS体系）的相关要求

2、，结合自身网络与应用的特点，利用先进技术，走一条适合自己的道路。,目录,简述 建设框架与原则 安全集成方案介绍 安全域划分 系统定级 安全评估 安全加固 系统评测 日常维护 技术服务体系 远景规划 总结,建设框架与原则,传统的安全建设 用户以安全事故出发、厂商以新产品和新技术来推动安全建设。存在的问题是缺乏安全的远景设计、明确的实施计划，系统间安全建设比较独立，容易发生重复投资。 现在的安全建设原则 主动安全规划，全面规划、按需建设。,电信网络安全建设的原则,达标（满足等保标准） 实用（帮助解决问题） 好用（管理员轻松、用户简单） 长期用（适应发展）,电信网络安全建设规范有6个要点,安全需求导

3、出，通过全面的风险评估了解电信系统的安全现状，分析系统中存在的安全风险； 以系统为单位根据安全要求的不同进行安全域划分，设计安全域划分方案； 结合业界成熟的安全技术和产品，对安全域进行安全域改造，对存在安全隐患的系统进行安全加固； 针对各个业务系统制定安全防护原则，制定整体安全政策、安全策略，以及相关的流程规范； 引入支持型的安全服务，为电信系统实现真正的整体安全运维提供保障，主要包括安全预警通告、紧急事件响应服务、高级安全运维服务； 通过相关的培训，提高安全管理、维护人员的安全技能和普通办公人员的安全防范意识；,电信网安全建设框架,信息系统安全等级保护标准是我们信息安全建设指导性纲领。 通过

4、标准，我们知道安全的要求和需要。,电总集团CTG-MBOSS体系,电总集团应对等保制定了企业信息化战略目标（CTG-MBOSS体系）,建设方针,根据要求，结合现有的网络，完成安全体系建设，指导思想是“突出重点，确保核心，依据标准，建设整改，技管并重，全面保障”。 我们用安全域的概念进行网络边缘的划分，结合网络与应用逻辑图确定核心域、管理域、接入域和安全域，根据安全风险导出安全需求，配置安全设备。,建设流程,我们将按照业务系统逻辑结构来进行安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,目录,简述 建设框架与原则 安全

5、集成方案介绍 安全域划分 系统定级 安全评估 安全加固 系统评测 日常维护 技术服务体系 远景规划 总结,安全集成概述,电信网是一个复杂的大型网络，安全集成将针对各个业务子系统进行。 为了方便实施，我们将每个系统分别分为一个项目，分别进行安全集成。安全评估基于系统进行体现了系统的逻辑结构，业务的流程，更准确的描述安全状况。 下面，我将以一个电信子系统为例介绍安全集成方案。,建设流程,我们将按照业务系统逻辑结构来进行安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,业务系统结构调研 业务功能及流程调研,业务系统划分,10

6、0M光纤(经光电),安全域划分示例,安全评估以业务子系统为单位,建设流程,我们将按照业务系统逻辑结构来进行安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,建设流程,根据电信和国家要求，针对电信内部系统等级划分，要求普遍要达到等保二级标准，重点系统要达到等保三级标准。,系统 定级,互联网 接入域,核心交换区,核心服务器区,内部互联域,业务互联域,外部互 联区,等保要求,技术要求/网络安全,等保要求,技术要求/网络安全,等保要求,技术要求/网络安全,等保要求,技术要求/网络安全,建设流程,我们将按照业务系统逻辑结构来进行

7、安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,风险评估的目的,用户获得的收益,ISO13335以风险为核心的安全模型,风险,防护措施,信息资产,威胁,漏洞,防护需求,价值,风险评估内容技术层安全,信息系统安全管理,安全评估流程,信息系统安全风险评估项目实施过程,业务影响分析 资产属性：可用性、完整性、保密性 影响分析：经济损失、业务影响、系统破坏、信誉影响、商机泄露、法律责任、人身安全、公共秩序、商业利益 划分边界 区分子系统 辅助定级 信息资产识别 物理资产 软件资产 硬件资产 其他资产,资产识别与影响分析,威胁

8、分类,参考信息安全风险评估规范,威胁评估手段,问卷调查 顾问访谈 入侵检测,有高风险的蠕虫频繁活动，网络内有信息收集类攻击出现。 SQL Slammer Nimda P2P软件网络资源占用较多。,远程评估系统 安全检测包（LSAS） Microsoft安全基准分析器 风险评估分析工具 风险信息库软件,脆弱性评估工具,粒度不同，采取的手段不同,结合信息安全等级保护管理办法 技术：物理安全、网络安全、主机系统安全、应用安全、数据安全 管理：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理 根据不同的安全域采取二级或三级评估策略,脆弱性评估问卷,风险计算：RF（A，T，V）,安全

9、风险计算,风险分析,建设流程,我们将按照业务系统逻辑结构来进行安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,核心建设思路,核心建设思路建立基于实名制的安全域的防护体系 以安全管理和安全技术为手段，注重围绕操作行为，实现风险管理理念。,安全DNA理念,安全是矛盾的，越安全的系统越复杂。建设成本高、维护复杂、使用麻烦。 结合现状，贴近需求、是网络安全首要要考虑的。,40,MSS/BSS/OSS区域防护要点,MSS区域： 关注统一Internet出口的安全防护。 加强内容过滤和检测机制的建设。 应用系统及数据库的入侵防护

10、及审计监控。 BSS区域： 关注网络可用性。 关注Extranet边界的安全防护。 逐步建立数据容灾备份系统。 应用系统及数据库的入侵防护及审计监控。 OSS区域： 关注内部各专业网管间的数据隔离保护。 关注Intranet数据交换安全。 加强网络维护的认证、授权和审计机制。 应用系统及数据库的入侵防护及审计监控。,建设流程,根据电信和国家要求，针对电信内部系统等级划分，要求普遍要达到等保二级标准，重点系统要达到等保三级标准。,系统 定级,互联网 接入域,核心交换区,核心服务器区,内部互联域,业务互联域,外部互 联区,实名制网管 防火墙 内容过滤 网络行为审计 数据库审计 内控安全管理 入侵检

11、测 入侵保护 异常流量分析 病毒防护 DDOS攻击防护 VPN（含数据加密） ,安全加固以安全域为单位,建设流程,我们将按照业务系统逻辑结构来进行安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,系统评测,在完成系统安全加固后，还将对系统进行一次检测，确定是否安全达标，满足即定的要求。,系统 评测,建设流程,我们将按照业务系统逻辑结构来进行安全集成和立项。核心是基于实名制的安全域防护体系。,安全 评估,安全 加固,系统 评测,安全域 划分,日常 维护,系统 定级,日常维护,良好的安全保护得益于日常的运维，从管理和技术两

12、方面入手，从计算机的掌握到社会工程学缺一不可。,日常 维护,管理分册 组织安全管理分册 人员安全管理分册 运维安全管理分册 应用开发安全管理分册 技术分册 安全审计分册 访问认证分册 网络安全分册 用户管理分册 终端安全分册 主机安全分册 灾备分册,目录,简述 建设框架与原则 安全集成方案介绍 安全域划分 系统定级 安全评估 安全加固 系统评测 日常维护 技术服务体系 远景规划 总结,ACK networks技术服务体系,厂家支持中心,厂家产品研发中心,现场服务,电话支持服务,提供除标准体系外的专人VIP服务,安全运维,用户,目录,简述 建设框架与原则 安全集成方案介绍 安全域划分 系统定级

13、安全评估 安全加固 系统评测 日常维护 技术服务体系 远景规划 总结,真实的网络,实名制网络,电信网络安全建设是以实名制网络为基础 实名制网络是等保要求与技术体现的结合 将IP网络转化为ID网络，实现以人为本的管理 以实名制理论为线，贯穿所有的网络、安全、审计与应用 实名制网络带来更人性化、更准确的管理,远景展望,一期：基础安全技术保障措施建设，子系统级基础安全管理体系建设,二期：增强性安全技术保障措施， 子系统级安全管理体系完善建设,三期：安全管理中心建设，完善的安全技术、安全管理测评体系建设,目录,简述 建设框架与原则 安全集成方案介绍 安全域划分 系统定级 安全评估 安全加固 系统评测 日常维护 技术服务体系