网络安全课件

1、 网络与信息安全总纲（NISS培训）P151网络与信息安全综述 P2中国移动全员安全意识培训 P2611 12 23 3n网络与信息安全概述网络与信息安全概述n安全现状与趋势分析安全现状与趋势分析n安全技术及产品介绍安全技术及产品介绍n安全标准与政策法规安全标准与政策法规n安全工作思路与原则安全工作思路与原则n案例分析案例分析网络与信息安全概述网络与信息安全概述n什么是网络与信息安全？什么是网络与信息安全？n强调信息：强调信息： 对企业具有价值（或能产生价值） 以多种形式存在：纸、电子、影片、交谈等 是一种资产 同其它重要的商业资产一样 需要适合的保护n强调网络：强调网络： 网络是信息的一种载

2、体 是信息存放、使用、交互的重要途径 是一种容易识别的实体 是基础通信运营企业的有形资产n从理论角度从理论角度 信息的范围更大，更广 网络只是信息使用过程的一种载体、一种方式n从实际工作角度从实际工作角度 把信息局限在网络上承载的内容、数据、业务 保障业务连续性、网络正常运行的配置数据等 比理论角度的信息范围要窄，但适合我们的工作实际n两种视角的相同点两种视角的相同点 信息是目标 网络是基础 网络与信息并重n信息安全：信息安全： 保护信息免受各种威胁 确保业务的连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会n网络安全：网络安全： 网络、设备的安全 线路、设备、路由和系统

3、的冗余备份 网络及系统的安全稳定运行 网络及系统资源的合理使用n对应通信网络及信息化对应通信网络及信息化的发展，网络与信息安的发展，网络与信息安全大致包含了信息环境、全大致包含了信息环境、信息网络和通信基础设信息网络和通信基础设施、媒体、数据、信息施、媒体、数据、信息内容、信息应用等多个内容、信息应用等多个方面。方面。n中国移动按企业实际情中国移动按企业实际情况把网络与信息安全划况把网络与信息安全划分为七类分为七类:物理安全、物理安全、传统通信安全、网络与传统通信安全、网络与系统安全、业务安全、系统安全、业务安全、内容安全、信息安全内容安全、信息安全需求需求属性属性状态状态能力能力功能功能工程

4、工程结果结果安全的多维性安全的多维性多角度思考多角度思考信息化社会的需要比如：保密性等对应于信息不安全对应于人们的努力比如：防护、检测等对应于人们努力的时间对应于努力的实力19911989X.800ISO 7498-2“安全” 是指将资产或资源的脆弱性降到最低限度。ISO 154081999当对信息进行正确的控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能. “IT安全”用于概括防御和缓解这些及类似的冒险。2000ISO 17799:20002005ISO 17799:2005信息安全是要在很大的范围内保护信息免受各种威胁，从而确保业务的连续性、减

5、少业务损失并且使投资和商务机会获得最大的回报。特指保护保密性、完整性和可用性。 信息安全保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性.ISO TR 13335-2:199719972004ISO 13335-1:2004定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。Confidentiality 保密性 Data confidentiality数据保密性 Communication security通信安全Integrity完整性Date integrity 数据完整性Availability可用性Non-repudiation

6、抗抵赖性Accountability可核查性Authenticity真实性Reliability可靠性Access Control访问控制Authentication鉴别Privacy私密性13335:2004 17799:2005 X.800 X.805 ISO 17799:2000 信息系统等级保护信息系统等级保护 8080年代的认识年代的认识 9090年代的认识年代的认识 9090年代后期的认识年代后期的认识 通信保密通信保密通信保密通信保密 信息安全信息安全 信息保障信息保障 保密性保密性完整性完整性可用性可用性真实性真实性保密性保密性可核查性可核查性完整性完整性抗抵赖性抗抵赖性可用性

7、可用性可靠性可靠性使信息不泄露给未授权的个人、实体或过程或不使信息为其所利使信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性。用的特性。保护信息及处理方法的准确性和完备性。保护信息及处理方法的准确性和完备性。被授权实体一旦需要就可访问和使用的特性。被授权实体一旦需要就可访问和使用的特性。确保主体或资源的身份正是所声称身份的特性。真实性适用于用确保主体或资源的身份正是所声称身份的特性。真实性适用于用户、过程、系统和信息之类的实体。户、过程、系统和信息之类的实体。确保可将一个实体的行动唯一地追踪到此实体的特性。确保可将一个实体的行动唯一地追踪到此实体的特性。证明某一动作或事件已经发生

8、的能力，以使事后不能抵赖这一动证明某一动作或事件已经发生的能力，以使事后不能抵赖这一动作或事件。作或事件。保密性保密性完整性完整性可用性可用性真实性真实性可核查性可核查性抗抵赖性抗抵赖性可靠性可靠性预期行为和结果相一致的特性。预期行为和结果相一致的特性。n企业为什么要投入大量成本实现网络与信息安全？企业为什么要投入大量成本实现网络与信息安全？n网络与信息安全是国家的需要网络与信息安全是国家的需要 保障国家安全、社会稳定 胡总书记提出“三个坚决”：坚决防止发生危害国家安全和社会稳定的重大政治事件；坚决防止发生暴力恐怖事件；坚决防止发生大规模群体性事件。 企业生存和发展必须遵循外部网络与信息安全强

9、制要求 国家及行业的要求：电信法、增值电信业务网络信息安全保障基本要求、电信网络安全等级保护等； 资本市场：萨班斯法案。国家国家企业企业用户用户n网络与信息安全是企业保持竞争力的内在需要网络与信息安全是企业保持竞争力的内在需要 企业战略转变 做世界一流企业，成为移动信息专家，网络与信息安全是必要条件： 体现了中国移动企业核心观 正德厚生：旨于服务和谐社会，保障客户利益 臻于至善：打造中国移动安全健康的精品网络 实现中国移动对客户及社会的承诺 对客户的承诺：提供卓越品质的移动信息专家 对社会的承诺：承担社会责任做优秀企业公民体现 企业持续发展 市场需求驱动安全发展 安全服务已成为新的业务增长点。

10、如绿色上网、电子商务等安全服务 竞争优势，树立品牌 企业正常运营的需求 避免名誉、信誉受损 避免直接经济损失 避免正常工作中断或受到干扰 避免效率下降国家国家企业企业用户用户n网络与信息安全是用户的需要网络与信息安全是用户的需要 保护个人隐私与财产 威胁信息私秘性 直接影响用户对信息交互的信任度满足用户业务使用需求 客户在业务使用中，对安全的需求越来越强烈。如政府、银行等集团客户对网络运营商提出更高的安全保障要求国家国家企业企业用户用户n相对性相对性 只有相对的安全，没有绝对的安全系统n时效性时效性 新的漏洞与攻击方法不断发现n相关性相关性 日常管理中的不同配置会引入新的问题（安全测评只证明特

11、定环境与特定配置下的安全） 新的系统组件也会引入新的问题n不确定性不确定性 攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性 n复杂性复杂性 信息安全是一项系统工程，需要技术的和非技术的手段，涉及到管理、培训、技术、人员、标准、运行等n必要性必要性 网络与信息安全必须是企业重点并持续关注和解决的威胁永远不会消失！威胁永远不会消失！漏洞漏洞/ /脆弱性客观存在！脆弱性客观存在！n客观上无法避免的因素n技术发展的局限，系统在设计之初不能认识到所有问题，如Tcp/ip协议n人类的能力有限，失误和考虑不周在所难免，如在编码会引入Bugn主观上没有避免的因素n采用了默认配置而未定制和安全优

12、化n新的漏洞补丁跟踪、使用不及时n组织、管理和技术体系不完善n技术发展和环境变化的动态性n国家间的竞争与敌对势力永远不会消失n企业间谍、攻击者、欺诈与偷窃n内部系统的误用、滥用问题长期存在n新的威胁不断出现使原有防护措施失效或新的威胁产生nn随着信息化建设，信息资产的价值在迅速增长n资产的无形价值，如商业情报、声誉、品牌等等已远远超过了购买价格n资产价值多样化增长！资产价值多样化增长！有效保护网络与信息安有效保护网络与信息安全的核心是进行持续、全的核心是进行持续、科学的风险管理！科学的风险管理！风险风险RISKRISKRISKRISK风险风险风险的构成风险的构成风险的降低风险的降低漏洞漏洞安全

13、现状与趋势分析安全现状与趋势分析n事件背景和经过 2001.4.1撞机事件为导火线撞机事件为导火线 4月初，以月初，以PoizonB0 x、pr0phet为代表的美国黑为代表的美国黑客组织对国内站点进行攻击，约客组织对国内站点进行攻击，约300个左右的站点页个左右的站点页面被修改面被修改 4月下旬，国内红（黑）客组织或个人，开始对美国网月下旬，国内红（黑）客组织或个人，开始对美国网站进行小规模的攻击行动，站进行小规模的攻击行动，4月月26日有人发表了日有人发表了 “五五一卫国网战一卫国网战”战前声明，宣布将在战前声明，宣布将在5月月1日至日至8日，对日，对美国网站进行大规模的攻击行动。美国网站

14、进行大规模的攻击行动。 各方都得到第三方支援各方都得到第三方支援 各大媒体纷纷报道，评论，中旬结束大战各大媒体纷纷报道，评论，中旬结束大战中经网数据有限公司中经网数据有限公司中国科学院心理研究所中国科学院心理研究所国内某政府网站国内某政府网站国内某大型商业网站国内某大型商业网站遭遭PoizonB0 xPoizonB0 x、pr0phetpr0phet更改的我国部分网站主页更改的我国部分网站主页美国劳工部网站美国劳工部网站美国某节点网站美国某节点网站美国某大型商业网站美国某大型商业网站美国某政府网站美国某政府网站国内黑客组织更改的网站页面采用采用漏洞漏洞扫描扫描工具工具选择选择会用会用的的方式方

15、式入侵入侵获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装系统系统后门后门获取敏感信息获取敏感信息或者或者其他攻击目的其他攻击目的端口端口判断判断判断判断系统系统选择选择最简最简方式方式入侵入侵分析分析可能可能有漏有漏洞的洞的服务服务获取获取系统系统一定一定权限权限提提升升为为最最高高权权限限安装安装多个多个系统系统后门后门清除清除入侵入侵脚印脚印攻击其攻击其他系统他系统获取替获取替换信息换信息作为其作为其他用途他用途nPing、traceroute等系统自带命令n端口扫描nNmap OS指纹鉴别n漏洞扫描（X-scan、SSS、商业扫描器）n构造特殊的攻击和扫描，如fir

16、ewalkingn社会工程n配置错误内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击欺诈钓鱼欺诈钓鱼信息丢失、篡改、信息丢失、篡改、销毁销毁内部网络滥用内部网络滥用病毒蠕虫木马病毒蠕虫木马黑客攻击黑客攻击信息资产信息资产物理偷窃物理偷窃n以假乱真，视觉陷阱以假乱真，视觉陷阱域名类似 n身份伪装身份伪装 ?n改写改写URLURLhttp:/&item= DNS 劫持劫持+Phishing+Phishingn计算机病毒是指一段具有自我复制和传播功能的计算机代码，这段代计算机病毒是指一段具有自我复制和传播功能的计算机代码，这段代码通常能影响计算机的正常运行，甚至破坏计算机功能和毁坏数据。码通常能

17、影响计算机的正常运行，甚至破坏计算机功能和毁坏数据。n病毒的特点病毒的特点 破坏性强 传播性强 针对性强 扩散面广 传染方式多n病毒的新动向病毒的新动向 传播速度快：以网络和Internet 为主 危害很大的病毒以邮件为载体 病毒的延伸：特洛伊木马 有毒的移动编码-来自Internet网页威胁熊猫烧香熊猫烧香金猪报喜金猪报喜“熊猫烧香熊猫烧香”去年去年11月中旬被首次发现，短短两个月时间，月中旬被首次发现，短短两个月时间，新老变种已达新老变种已达700多种个多种个n红色代码 2001年年6月月18日，微软发布安全公告：日，微软发布安全公告：Microsoft IIS .IDA / .IDQ I

18、SAPI扩展远程缓冲区溢出漏洞。扩展远程缓冲区溢出漏洞。 一个月后，利用此安全漏洞的蠕虫一个月后，利用此安全漏洞的蠕虫“红色代码红色代码” 一夜之间攻击了国外一夜之间攻击了国外36万台电万台电脑，脑，2001年年8月月6日，日， “红色代码红色代码”开始在国内发作，造成很多运营商和企事开始在国内发作，造成很多运营商和企事业单位网络瘫痪。给全球造成了高达业单位网络瘫痪。给全球造成了高达26亿美元的损失。亿美元的损失。nSQL slammer 2002年年7月月24日，微软发布安全公告：日，微软发布安全公告：Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢

19、出漏洞。服务远程栈缓冲区溢出漏洞。 到到2003年年1月月25日，足足日，足足6个月后，利用此安全漏洞的蠕虫个月后，利用此安全漏洞的蠕虫“SQL Slammer”现身互联网，几天之内给全球造成了现身互联网，几天之内给全球造成了12亿美元的损失。亿美元的损失。n冲击波n震荡波n魔波nInternet攻击者的计算机攻击者控制的服务器特洛伊木马攻击的计算机特洛伊木马攻击的计算机 正向连接 反向连接n什么是僵尸网络什么是僵尸网络(BotNet) 是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的

20、信息也都可被黑客随意“取用”。n发现僵尸网络是非常困难的发现僵尸网络是非常困难的 因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。攻击者攻击者就是让就是让你白等你白等伪造地址进行伪造地址进行SYN请求请求SYN （我可以连接吗？）（我可以连接吗？）ACK （可以）（可以）/SYN（请确认！）（请确认！）不能建立正常的连接不能建立正常的连接受害者受害者为何还为何还没回应没回应n攻击类型划分攻击类型划分In堆栈突破型（利用主机堆栈突破型（利用主机/设备设备漏洞）漏洞） 远程溢出拒绝服务攻击n网络流量型（利用网络通

21、讯网络流量型（利用网络通讯协议）协议） SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Floodn攻击类型划分攻击类型划分IIn应用层应用层 垃圾邮件、病毒邮件 DNS Floodn网络层网络层 SYN Flood、ICMP Floodn链路层链路层 ARP 伪造报文n物理层物理层 直接线路破坏 电磁干扰n发起突然发起突然 可能之前毫无征兆n危害巨大危害巨大 极大的破坏了系统和网络的可用性 涉及金钱利益的攻击事件开始出现n极易实施极易实施 广为传播的免费工具软件 人的

22、好奇心或者其他想法n防范困难防范困难 新的攻击形式不断出现 攻击制造的流量日益增大n难于追查难于追查n有意识的攻击有意识的攻击 1999年 Yahoo、ebay 被拒绝服务攻击，DDoS 出现 2001年 CERT 被拒绝服务攻击 2002年 CNNIC 被拒绝服务攻击 2003年 全球13台根 DNS 中有8台被大规模拒绝服务 有组织、有预谋的涉及金钱利益的拒绝攻击出现n无意识的攻击无意识的攻击 蠕虫传播 Exploit (Proof of Concept Code)n社会工程社会工程 假借客户，骗取资料 冒充技术员打电话，询问个人邮件密码 搜集员工个人信息，破解用户口令 收买公司员工，窃取

23、内部机密n黑客入侵跳板或肉鸡：通过一个节点来攻击其他节点。攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据。n电子邮件攻击：邮件炸弹、邮件欺骗n网络监听：获取明文传输的敏感信息n内部网络滥用：BT下载、大附件邮件转发等根据FBI调查统计，位列前五位的威胁分别是内部网络的滥用、病毒和移动设备的偷窃、钓鱼以及即时消息的滥用。来源描述环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用

24、自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益 外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员 内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击GB/T 20894-2007GB/T 20894-2007信息安全技术信息安全技术- -信息安全风险评估规范信息安全风险评估规范n截至2007年12月，网民数已增至2.1亿人。中国网民数增长迅速，比2007年6月增加4800万人，2007年一年则增加了年一

25、年则增加了7300万人，年增长万人，年增长率达到率达到53.3%。在过去一年中平均每天增加网民20万人。目前中国的网民人数略低于美国的2.15亿 ，位于世界第二位。n目前中国4亿手机用户中，在过去半年有过手机接入互联网行为的网民数量是5,040万人。即网民中的24%、手机用户中的12.6%是手机网民，手机上网已经渐成风气。高高低低19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门回话劫持回话劫持擦除痕迹擦除痕迹臭探臭探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服

26、务拒绝服务www 攻击攻击攻击者攻击者入侵者技术入侵者技术攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击SQL注入注入Google hacking2005n网络结构庞大复杂，互联网出入口多网络结构庞大复杂，互联网出入口多n不同安全等级的网络、系统隔离不充分，易导致威胁的扩散不同安全等级的网络、系统隔离不充分，易导致威胁的扩散（生产网、网管网、（生产网、网管网、OAOA等）等）n业务系统自身的脆弱性（应用软件、业务逻辑漏洞、安全补丁业务系统自身的脆弱性（应用软件、业务逻辑漏洞、安全补丁等）等）nIPIP化及业务开放性趋势导致新的弱点：化

27、及业务开放性趋势导致新的弱点：信令网不再封闭不同安全域的互通控制更复杂nATCAATCA平台平台/ /通用操作系统的应用使得设备自身易受攻击通用操作系统的应用使得设备自身易受攻击OABSS/OSSIP Core NetworkIP Access NetworkIPIPCSCFMGCFMRFIMSBTSBTSNodeBNodeBBSCRNCIP BSSIP RANCSMSCMGWSGSNGGSNPSPSTN/PLMNInternetMMSSMSWAP自有业务系统自有业务系统PresenceIMConferenceGaming第三方第三方ASP/ISP终端终端来自用户侧（接入来自用户侧（接入/终端

28、）威胁终端）威胁对用户 窃听/用户机密信息窃取 病毒/蠕虫/木马 中间人或伪基站攻击对网络 业务盗用 非法设备接入 网络攻击/拓扑泄露 DoS攻击，资源耗竭来自来自Internet的威胁的威胁 黑客入侵 DoS/DDos攻击，资源耗竭 非法接入业务系统来自第三方网络的威胁来自第三方网络的威胁 身份欺骗 业务欺诈/盗用来自运营商来自运营商DCN网络的威胁网络的威胁 病毒、蠕虫、木马 非法访问 越权访问、权限滥用 敏感/机密信息泄露StreamHLR/AucHLR/Auc网络网络IP化化业务开放化业务开放化终端智能化终端智能化123在向全IP网络转变过程中，由于IP协议的不安全以及复杂的互联需求，

29、安全风险逐步渗入到电信网络的核心。移动终端处理能力的提高、功能的丰富，同时意味着传统计算机领域的安全问题也会扩散到移动终端领域，并给通信网络带来安全隐患。运营商、SP构成更加紧密的价值链，该此模式对管理和技术控制措施提出更高要求。攻击工具化攻击工具化驱动利益化驱动利益化45安全工具易于获得，攻击成本逐年降低大量自动化、集成度高的攻击工具，可通过互联网下载。随着互联网的发展，网上可供利用的安全漏洞数量逐年增加，成功实施攻击所需时间不断缩短。在经济利益驱动下，安全事件更加难于处理和防范维护人员、第三方技术支持人员利用其了解的信息和掌握的权限谋取非法收入。传统安全防护手段难于对此类情况进行防护。灰鸽

30、子病毒，垃圾邮件等安全事件，反映出利用安全事件获取非法收益的地下产业链已经形成。信息安全问题引起电信业务中断带来极大的社会影响。如：电信4.11断网、北京网通断网信息安全问题导致业务收入损失。如：智能网盗卡事件新业务模式、投资计划等商业秘密泄漏。由于资本市场提出新的监管要求，信息安全问题更加严重影响企业的融资能力。因业务没有充分的安全保障，造成客户对业务的负向感知，引起客户投诉、离网或不选择相应的服务。安全问题可能导致移动多年精心经营的移动信息专家品牌蒙受重大损失。业务数据受到破坏，广东动感地带网站泄漏用户个人信息 香港和黄被起诉n我国信息安全保障工作仍存在一些亟待解决的问题：我国信息安全保障

31、工作仍存在一些亟待解决的问题： 网络与信息系统的防护水平不高，应急处理能力不强； 信息安全的管理和技术人才缺乏，信息安全关键技术整体上比较落后，信息安全产业缺乏核心竞争力； 信息安全法律法规和标准不完善； 全社会的信息安全意识不强，信息安全管理薄弱。国家信息化领导小组关于加强信息安全保障工作国家信息化领导小组关于加强信息安全保障工作的意见的意见 （中办发（中办发200327200327号）号）安全脆弱性美国中国预算限制29%20%执行安全政策不利21%19%高级管理层对此缺乏关注或兴趣19%28%信息安全策略不完善18%42%关键技术产品存在安全漏洞18%34%补丁产品使用不当17%38%采用

32、外包服务13%9%IT架构陈旧过时12%15%安全产品不兼容或互操作性差10%20%安全政策和技术跟不上组织结构的变化10%17%内部开发的软件未对信息安全予以关注10%16%雇用临时员工9%9%其它6%1%InformationWeek研究部和埃森哲咨询公司2007年全球信息安全调查德勤2007年全球信息安全调查应应 用用存在的问题存在的问题上传下载病毒木马传播、身份伪造、机密泄漏邮件收发漏洞利用、病毒木马传播即时通讯病毒木马传播、Bot扩散、信息泄漏信息浏览网络欺诈、网页病毒攻击网络游戏外挂问题、身份伪造、账号装备失窃信息查询敏感信息泄漏在线音视频漏洞利用、身份伪造文件共享病毒木马传播、带

33、宽消耗电子商务身份伪造、网络欺诈、账号失窃安全技术及产品介绍安全技术及产品介绍网络安全网络安全WebWeb安全安全MessageMessage安全安全终端安全终端安全Network FireWallNetwork FireWallNetwork IPSNetwork IPSNGNetwork FirewallNGNetwork FirewallUTMUTMHost FirewallHost FirewallHost IPSHost IPSHost/EndpointHost/EndpointAnti-VirusAnti-VirusHost Anti-SpywareHost Anti-Spywar

34、eEndpiont ComplianceEndpiont ComplianceGateway AntiVirusGateway AntiVirusGatewayGateway Anti-phishing Anti-phishingURL-filteringURL-filteringGatewayGatewayAntispywareAntispywareWebWeb Firewall/IPS Firewall/IPSAnti-SpamAnti-SpamMailServerMailServerAntivirusAntivirusMail EncryptionMail EncryptionOutbo

35、und ContentOutbound Content Compliance ComplianceConverged Client Converged Client Security suitSecurity suitAnti-DDOSAnti-DDOSDPI/DFIDPI/DFIUTMSSL/IPSec VPNUTMSSL/IPSec VPN带宽管理带宽管理用户行为审计用户行为审计安全内容与威胁管理安全内容与威胁管理基础平台管理基础平台管理基于身份的认基于身份的认证与授权管理证与授权管理SIEMSIEMVulnerability Vulnerability managementmanagem

36、entUnify security Unify security network managementnetwork managementPatch managementPatch managementIDMIDMPKIPKISmartCardSmartCardBiometricalBiometrical Identify IdentifySSOSSOAuthorityAuthority management managementProvisioningProvisioningRole managementRole management应用安全应用安全n防火墙防火墙nIDS/IPSn抗抗DDO

37、Sn防病毒防病毒n安全域安全域n帐号口令帐号口令n审计审计n安全管理平台安全管理平台n防火墙是一种高级访问控制设备，是置于不同网络安全域防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制唯一通道，能根据企业有关安全政策控制(允许、拒绝、允许、拒绝、监视、记录监视、记录)进出网络的访问行为。进出网络的访问行为。不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户 DMZ n包过滤技术包过滤技术

38、(Packet Filtering)n状态包过滤技术状态包过滤技术(Stateful Packet Filtering)n应用代理技术应用代理技术(Application Proxy)应用层表示层会话层传输层网络层数据链路层物理层数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据数据TCP报头报头IP报头报头分组过滤判断信息企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包数据包数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPe

39、rmitSource控制策略数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包数据包数据包数据数据3TCP报头报头IP报头报头分组过滤判断信息数据数据2TCP报头报头IP报头报头数据数据1TCP报头报头IP报头报头数据数据1TCP报头报头IP报头报头数据状态检测控制策略控制策略数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数

40、据包数据包数据包数据数据TCP报头报头IP报头报头分组过滤判断信息应用代理判断信息控制策略控制策略n防火墙不能防止通向站点的后门。防火墙不能防止通向站点的后门。n防火墙一般不提供对内部的保护。防火墙一般不提供对内部的保护。n防火墙无法防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。n防火墙不能防止用户由防火墙不能防止用户由Internet上下载被病毒感染的计算上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。机程序或者将该类程序附在电子邮件上传输。确保网络的安全确保网络的安全, ,还要对网络内部进行实时的还要对网络内部进行实时的检测检测 ，对信息内容进行过滤。，对信息内容进行

41、过滤。n入侵检测系统入侵检测系统(IDS：Intrusion detection system)用于监用于监控网络和计算机系统被入侵或滥用的征兆；控网络和计算机系统被入侵或滥用的征兆；nIDS系统以后台进程的形式运行，发现可疑情况，立即通系统以后台进程的形式运行，发现可疑情况，立即通知有关人员；知有关人员；nIDS是监控和识别攻击的标准解决方案，是安防体系的重是监控和识别攻击的标准解决方案，是安防体系的重要组成部分；要组成部分；n假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。幢大楼里的监视系统。监控室监控室=控制中控制中

42、心心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。n主机入侵检测系统主机入侵检测系统(Host Intrusion Detection)n网络入侵检测系统网络入侵检测系统(Network Intrusion Detection) 网络入侵检测系统，它通过抓取网络上的所有报文，分析处理后，

43、报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。n实时检测实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文n安全审计安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据n主动响应主动响应 主动切断连接或与防火墙联动，调用其他程序处理n所在的位置不同所在的位置不同 防火墙是安装在网关上，将可信任区域和非可信任区域分开，对进出网络的数据包进行检测，实现访问控制。一个网段只需要部署一个防火墙。 而NIDS是可以装在局域网内的任何机器上，一个网段内可以装上数台NIDS引

44、擎，由一个总控中心来控制。n防范的方向不同防范的方向不同 防火墙主要是实现对外部网络和内部网络通讯的访问控制，防止外部网络对内部网络的可能存在的攻击。 网络入侵检测系统在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护，防止内外部的恶意攻击和网络资源滥用。n检测的细粒度不同检测的细粒度不同 防火墙为了实现快速的网络包转换，故只能对网络包的IP和端口进行一些防黑检测，比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵，防火墙是毫无办法。 而网络入侵检测系统则可以拥有更多特征的入侵数据特征库，可以对整个网络包进行检查过滤。n入侵防御系统入侵防御系

45、统IPS （Intrusion Prevention System） 提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在传送恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中或安装在服务器上而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉。nIPS的优点的优点 IPS侧重访问控制，注重主动防御。目前，主流的IPS产品都内置了状态包检测防火墙， IPS代表了深度检测和时时防御，IPS是2-7层的检测在加上高性能的硬件的结合体。nIPS的

46、缺点：的缺点： 性能： 设备性能不够稳定，造成网络延迟或丢包； 误报： 存在误检测，对正常业务造成影响； 漏报： 存在漏报现象，影响系统安全性，给企业带来损失。 黑洞黑洞流量全部丢弃,反而达到了DDoS攻击的目的;ACL针对目的IP过滤或限速;无法防御应用攻击;防火墙防火墙性能/扩展差; 对运营商网络的影响；时间时间异常流量监管异常流量监管按需部署方案安全威胁防范电信业务监管网络保值到增值技术技术DDoS流量清洗流量清洗部署在IDC/大用户/运营商网络侧进行DDoS监测和防护;主要针对DDoS流量，其它异常流量防护能力有局限； n防病毒系统防病毒系统 分类： 主机型 网关型 特点： 通过特征规

47、则匹配发现病毒 规则必须定期更新n从发展上看，病毒及恶意代码，包括木马、蠕虫甚至垃圾从发展上看，病毒及恶意代码，包括木马、蠕虫甚至垃圾邮件、间谍软件逐渐被归纳为内容安全的问题，传统防病邮件、间谍软件逐渐被归纳为内容安全的问题，传统防病毒系统也逐渐演变为安全内容管理。毒系统也逐渐演变为安全内容管理。n组网方式随意性强，缺乏统一规划n网络区域之间边界不清晰，互连互通没有统一控制规范n安全防护手段部署原则不明确n扩展性差n无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制n无法有效控制网络病毒的发作区域和影响n不能及时的发现安全事件和响应n第三方维护人员缺乏访问控制和授权n管理员密码和权

48、限的难以管理n关键服务器、信息资产的缺乏重点防护为什么要划分安全域？安全域划分的根本目的是把一个大规模复杂系统的安全问题，安全域划分的根本目的是把一个大规模复杂系统的安全问题，化解为更小区域的简单系统的安全保护问题。这也是实现大规模复化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息的系统安全分等级保护的有效方法。杂信息的系统安全分等级保护的有效方法。安全域是指具有相同或近似安全保护需求的一系列IT要素的逻辑集合。这些要素主要包括：业务应用网络区域主机/系统组织人员物理环境主体、性质、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相

49、同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。n随着当前随着当前IP网络中，不同种类业务和应用的飞速发展，网络的安全性逐渐得网络中，不同种类业务和应用的飞速发展，网络的安全性逐渐得到了人们的认识和重视，因此类如防火墙、到了人们的认识和重视，因此类如防火墙、IDS/IPS、防病毒网关、终端防、防病毒网关、终端防护等安全技术产品在网络中越来越流行起来，从某种程度上解决了一些安全护等安全技术产品在网络中越来越流行起来，从某种程度上解决了一些安全上问题，但是如何确定网络中用户身份的真实性，实现用户授权的可靠性，上问题，但是如何确定网络中用户身份的真实性

50、，实现用户授权的可靠性，对用户网络行为的可追溯性，以及对用户账号管理的易用性，仍然是信息安对用户网络行为的可追溯性，以及对用户账号管理的易用性，仍然是信息安全管理中不得不面对的难题。其常见的问题表现为：全管理中不得不面对的难题。其常见的问题表现为： 1、在网络用户只有IP，没有与之对应的真实身份ID的前提下，发生非法网络行为时，不能及时定位隔离。 2、网络对登录用户进行认证时，每个节点的设备各自配置自己的用户信息、权限、策略及认证，从而难以管理，易出错。 3、网络中不同功能服务区，没有进行按级别访问的权限设制。 4、网络中真实用户身份不能确定，存在仿冒的可能，无法对个人行为进行监控。 5、对网

51、管人员自身的监控力度不够 6、对多种网络接入方式的支持及认证强度不够，不能提供稳定的硬件级别的认证系统 7、目前基于IP进行管理的网络，已不适应网络实名化的趋势n增强内控安全，满足法规遵从增强内控安全，满足法规遵从n梳理系统帐号，增强系统安全梳理系统帐号，增强系统安全n加强对系统的访问控制，提高系加强对系统的访问控制，提高系统安全性统安全性n定制工作流，提供管理规范性技定制工作流，提供管理规范性技术手段支撑术手段支撑n建立安全审计中心，及时发现安建立安全审计中心，及时发现安全问题，追溯违规行为全问题，追溯违规行为n建立管理平台，提高管理效率建立管理平台，提高管理效率n实现单点登录，提高用户便利

52、实现单点登录，提高用户便利通过建立基于4A（Account、Authentication、Authorization、Auditing）的统一身份及访问安全管理平台，使得系统安全管理人员可以对各业务系统中的用户和资源进行集中账户管理、集中认证管理、集中权限分配、集中审计，从而在管理、技术上保证各种业务系统安全策略的实施。 能够发现潜在的威胁和运行问题，未雨绸缪化解安全和运行风险。对于安全事件发生或关键数据遭到严重破坏之前可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行阻止，降低安全事件的最终发生率。定位定位操作系统和应用程序的日志，忠实地记录了操作系统和应用程序的“

53、一举一动”,能够通过审计这些日志定位系统故障、网络问题和入侵攻击行为。举证举证安全审计的日志可以用来法律举证的证据，必要时能帮助进行事故的责任认定。一些行业要求定期对日志进行全面备份并保留相当时间。预警预警操作系统日志操作系统日志登陆与SU日志：异常分析命令操作日志：分析异常操作标准系统日志：非法攻击留下的日志痕迹主机运行状态主机运行状态CPU资源监控内存占用监控磁盘空间监控应用系统日志应用系统日志数据库操作和登陆W3C格式的应用系统分析特定应用系统的定制n保障日志安全保障日志安全 传输加密 第三方存储 访问授权n易于管理易于管理 集中存储 方便支持不同应用系统日志审计的扩展 采用多种直观的显

54、示方式帮助管理员的分析和提供预警 n处理海量日志，提高分析效率处理海量日志，提高分析效率 自动化的日志分析 支持海量日志事件的过滤、分析和处理 更深层的对日志进行分析nISMP不是单纯产品，是承载安全管理与运行工作的平台不是单纯产品，是承载安全管理与运行工作的平台 涵盖安全工作的所有过程（包括预防、评估审计、监控、分析处理、恢复各个环节） 承载安全工作流和信息流，针对各个安全流程的每个环节的工作提供相关信息、任务nISMP是安全保障体系的落实与体现形式，是安全保障体系有效运行的技是安全保障体系的落实与体现形式，是安全保障体系有效运行的技术支撑手段术支撑手段 实现动态、可量化的风险管理 实现网络

55、安全工作从凌乱、零散、粗放向有序、体系化、精细化的管理模式转变 日常的安全运维工作通过ISMP开展，就像网管依赖网管平台开展 ISMP从技术体系采集数据，执行和审计策略体系 各相关部门通过ISMP实现安全工作有序管理和密切协作nISMP体现管理意图，以全面反映安全工作指导思想贯穿始终体现管理意图，以全面反映安全工作指导思想贯穿始终n对领导层的价值：对领导层的价值： 及时掌握各个部门整体安全状况，辅助决策 业务连续性高，绩效好 提高效率，减少人员需求，降低维护成本n对安全管理者的价值：对安全管理者的价值： 安全状态可视化。全面、直观识别和显示各系统和设备的安全风险 及时和全面的发现的安全事件 实

56、现各部门各业务系统的安全产品、网络、主机、应用软件的事件关联分析 实现安全事件精确定位，加快安全事件的响应速度，保障业务的连续性； 智能化处理，降低对安全管理人员需求，提高工作效率；n对系统维护人员、一般员工的价值：对系统维护人员、一般员工的价值： 业务系统安全状况可视化； 安全事件快速定位，并提供处理支持（如补丁加载决策支持），提高生产效率，减少低级劳动n对业务人员的价值：对业务人员的价值： 安全保障水平提高，实现客户SLA；稳定客户，提高客户满意度n 以网元设备为核以网元设备为核心（网管产品发心（网管产品发展）展）n 基于网管系统开发的ISMP产品通常采用这个思想，把固定的安全事件固定到网

57、元管理上n 以资产风险管理为以资产风险管理为核心（目前已应用核心（目前已应用的的ISMPISMP产品）产品）n 以资产为核心视图，比较直观和灵活的管理事件、资产和脆弱性要素，实现了初步的风险管理思想ISMP产品核心技术的发展产品核心技术的发展n 以过程管理为核心以过程管理为核心（未来（未来ISMPISMP发展方发展方向）向）n 主要突出安全运维流程过程管理n 作为安全运行支撑手段，非事件关联分析告警的平台n 以安全事件为核心以安全事件为核心 ( (日志收集与安全日志收集与安全审计产品审计产品) )n 收集多种不同来源的安全事件，进行关联并可设定监控阀值安全标准与政策法规安全标准与政策法规框架标

58、准指南框架标准指南政策政策法律法规法律法规国内相关的政策、法律法规、安全框架及各类适用标准。国际相关国家管理部门标准研究机构企业管理部门行业主管部门发布国家层面的信息战略、信息安全战略、安全相关法律法规等。研究国内外先进标准体系、制订、发布安全国家标准、地方标准等。发布行业安全指南、指引，研究、制订本行业安全相关标准等。发布本企业信息安全政策、策略、制度、指南，以及本企业标准等。研究、制订、发布ISOIECITUIETFPGP开发规范；鉴别防火墙遍历；通用鉴别技术；域名服务系统安全；IP安全协议；一次性口令鉴别)；X.509公钥基础设施；S/MIME邮件安全；安全Shell ；简单公钥基础设施

59、；传输层安全；Web处理安全 。TC56 可靠性；TC74 IT设备安全和功效；TC77 电磁兼容；CISPR 无线电干扰特别委员会。前身是CCITT消息处理系统；目录系统(X.400系列、X.500系列)；安全框架；安全模型等标准。JTC1 SC27，信息技术-安全技术，共个工作组发布，主要信息安全标准；其他子委员会主要有SC6、SC18、SC21、SC22、SC30等等；ISO/TC 68， 银行和有关的金融服务。除以上国际组织外，各个国家均有自己的信息安全标准化组织，如ANSI (美国国家标准) BIS (印度标准) BSI (英国标准) BS标准目录 NF (法国标准) DIN (德国标准) GOST (俄罗斯国家标准) JSA (日本标准) TIS (泰国标准) AS (澳大利亚标准) CSA (加拿大标准协会)等等 nISO的主要工作是制修订与出版国际标准。ISO标准的范围涉及除电工与电子工程以外的所有领域；电工与电子工程标准，由国际电工委员会（IEC）负责制修订；信息技术标准化工作由ISO和IEC共同负责。1987年11月，这两大国际组织成立了ISO/IEC的JTCI联合技术委员会即信息技术委员会，现有50个成员团体参加其工作。SC 02SC 27SC 37WG1WG2WG3WG4WG5Cs47B/83TC971987Product（产品）（产品）System（系