网络安全整体解决方案

1、第二部分网络安全整体处理方案8月讲师：杜旭第1页框架信息安全整体处理方案信息安全产品信息安全法规和标准第2页信息安全整体处理方案信息化进程安全方案设计怎样评价信息安全第3页财务软件物流软件OA系统电子政务 操作系统平台网络平台（网络设备、网络协议、网络软件）信息化进程财务软件物流软件OA系统电子政务 操作系统平台第4页分析财务软件物流软件OA系统电子政务 财务软件物流软件OA系统电子政务 操作系统平台网络平台（网络设备、网络协议、网络软件） 操作系统平台企业信息化称度标志企业信息化程度越高企业对网络、系统依赖越强安全而健壮网络是企业信息化前提和基础那么怎样来规划和建设安全网络呢？我们今天话题第

2、5页网络系统现实状况潜在安全风险安全需求与目标安全体系安全处理方案分析后得出进行安全集成 / 应用开发安全方案设计信息安全方案设计思绪 依据风险制订出建立对应提出安全服务第6页网络系统现实状况企业网络拓扑结构企业网络中应用企业网络结构特点第7页企业网络拓扑结构WWWMailDNS 帧中继 DDNWWWMailDNSWWWMailDNS 集团总部 省市企业 地市企业 省市企业第8页企业网络中应用 操作系统平台网络平台（网络设备、网络协议、网络软件） 操作系统平台财务软件物流软件OA系统电子政务 WEB应用MAIL应用FTP应用详细业务应用财务软件物流软件OA系统电子政务 WEB应用MAIL应用F

3、TP应用常规应用第9页企业网络结构特点 操作系统平台网络平台（网络设备、网络协议、网络软件） 操作系统平台财务软件物流软件OA系统电子政务 WEB应用MAIL应用FTP应用安全应用财务软件物流软件OA系统电子政务 WEB应用MAIL应用FTP应用安全网络平台安全操作系统平台安全管理管理平台管理平台第10页网络面临安全风险管理平台管理平台 操作系统平台网络平台（网络设备、网络协议、网络软件） 操作系统平台财务软件物流软件OA系统电子政务 WEB应用MAIL应用FTP应用财务软件物流软件OA系统电子政务 WEB应用MAIL应用FTP应用层次一层次二层次三层次四1.主体身份判别 4 .信息机密性2.

4、 主体访问授权 5.信息完整性3.主体行为不可抵赖 6 .1.系统补丁 4 .数据库配置2. 系统增强 5.数据库增强3.系统配置 6 .1.设备冗余 3 . 安全路由 5.抗电磁辐射 7.安全访问2. 线路冗余 4. 安全拓扑 6.安全存放 8 1.安全法规 3 . 安全管理人员 5.安全评定2. 安全管理制度 4. 安全监督制度 6. 第11页设计规划整体安全方案安全体系结构安全方案设计标准安全机制和技术安全模型第12页安全特征网络层次系统单元身份判别访问控制数据完整数据保密预防否定跟踪审计可靠可用通信平台网络平台系统平台应用平台安全管理物理层链路层网络层传输层会话层表示层应用层安全体系结

5、构第13页安全方案设计标准需求、风险、代价平衡分析标准综合性、整体性标准一致性标准易操作性标准适应性及灵活性标准多重保护标准分布实施标准第14页安全机制和技术鉴别加密访问控制安全管理病毒防范数字签名链路加密机IP协议加密机邮件加密文件加密防火墙远程用户鉴别系统防病毒软件防病毒制度密钥管理安全评定安全服务入侵检测远程用户鉴别系统第15页中科网威时空防御模型时间针对网络攻击空间针对体系建设恢复评定防护响应侦测前第16页怎样评价信息安全什么是安全信息安全目标第17页什么是安全？新安全定义及时检测就是安全及时响应就是安全第18页PtDtPt : Protection time安全及时检测和处理Pt+R

6、tDt : Detection timeRt : Response timeDtRt第19页说明： 黑客在抵达攻击目标之前需要攻破很多设备(路由器，交换机)、系统（NT，UNIX）和放火墙等障碍，在黑客抵达目标之前时间，我们称之为防护时间Pt； 在黑客攻击过程中，我们检测到他活动所用时间称之为Dt,检测到黑客行为后，我们需要作出响应，这段时间称之为Rt.假如能做到Dt+Rt+Rt第20页信息安全目标进不来拿不走改不了跑不了看不懂可审查第21页小结安全方案设计思绪信息安全评价准则第22页框架信息安全整体处理方案信息安全产品信息安全法规和标准第23页中科网威信息安全产品“网威”防火墙“网威”入侵检

7、测“网威”安全评定安全服务第24页防火墙介绍什么是防火墙？为何需要防火墙？我们需要什么样防火墙？第25页传统概念： 什么是防火墙? 防火墙最早被用于建筑物之间预防火势蔓延； 汽车工业中用于驾驶员与乘客之间进行隔离；第26页什么是防火墙?信任网络防火墙非信任网络 防火墙是一个在信任网络和非信任网络之间实施安全防范系统。防火墙目标是在内部、外部两个网络之间建立一个安全控制点，经过允许、拒绝或重新定向经过防火墙数据流，对进、出内部网络服务和访问进行审计和控制。 网络中概念：第27页为何需要防火墙不安全原因网络协议(TCP/IP)系统漏洞攻击方式和攻击工具泛滥轻易得到轻易使用第28页第29页C:xdo

8、s 139 -t 5 -s *一次简单攻击第30页我们需要什么样防火墙?优异抗攻击能力优良性能全方面功效易于使用维护第31页中科网威防火墙具备全方面功效防火墙VPN防垃圾邮件模块防病毒模块负载均衡A/A第32页入侵检测系统介绍为何需要入侵检测什么是入侵检测入侵检测能处理什么问题入侵检测分类我们需要什么样入侵检测第33页为何要有入侵检测？防火墙不足被动防御缺乏主动检测能力不是全部威胁来自防火墙外部防火墙只能防御70%左右攻击数字：，美国CSI (Computer Security Institute)统计，在当年发生安全事件中95%拥有防火墙第34页什么是入侵检测入侵行为是：入侵行为主要是指对系

9、统资源非授权使它能够造成系统数据丢失和破坏能够造成系统拒绝对正当用户服务等危害入侵检测系统是：抓取网络上报文分析处理报文汇报异常网络安全管理员清楚地了解网络上发生事件采取行动阻止可能破坏第35页监控室=控制中心后门保安=防火墙摄像机=探测引擎Card Key形象地说，它就是网络摄象机，能够捕捉并统计网络上全部数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑、异常网络数据，它还是X光摄象机，能够穿透一些巧妙伪装，抓住实际内容。它还不但仅只是摄象机，还包含保安员摄象机，能够对入侵行为自动地进行还击：阻断连接、关闭道路（与防火墙联动）。第36页IDS能处理什么问题？发觉攻击行为，及时报警对攻

10、击行为主动处理防御来自内部攻击实现主动防御第37页入侵检测分类网络入侵检测（NIDS）主机入侵检测（HIDS）第38页网络入侵检测(NIDS)安装在被保护网段中混杂模式监听分析网段中全部数据包实时检测和响应操作系统无关性不会增加网络中主机负载第39页主机入侵检测(HIDS)安装于被保护主机中主要分析主机内部活动系统日志系统调用文件完整性检验占用一定系统资源第40页我们需要什么样IDS?优异攻击发觉能力分布布署能力集中管理能力易于安装使用本身安全性好第41页安全评定为何需要入侵检测什么是入侵检测入侵检测能处理什么问题入侵检测分类我们需要什么样入侵检测第42页安全评定 Internet 区域Int

11、ernet边界路由器DMZ区域WWW Mail DNS 内部工作子网管理子网普通子网内部WWW重点子网扫描路由器扫描交换机扫描防火墙扫描服务器扫描内部子网第43页评定对象网络设备:交换机、路由器和防火墙等系统：WINDOWS和UNIX等应用：数据库、Notes和邮件等第44页安全评定作用扫描整个网络系统弱点和漏洞并提议采取对应补救办法提前发觉网络系统弱点和漏洞,防患于未然第45页集团企业病毒管理机省市企业A病毒管理机省市企业B病毒管理机地市企业病毒管理机地市企业病毒管理机地市企业病毒管理机地市企业病毒管理机1.统一管控2.分步式结构防毒3.网关防毒4.工作站防毒5.服务器防毒a)杀毒策略统一制

12、订b)病毒代码统一更新c)统一病毒扫描 . 全方面病毒防护a)邮件服务器防毒b)文件服务器防毒c)Notes服务器防毒 . 第46页网关防毒发觉病毒并马上采取对应办法 Internet 区域Internet边界路由器DMZ区域WWW Mail 内部工作子网管理子网普通子网内部WWW重点子网网关防病毒软件发觉病毒第47页安全服务为何需要安全服务产品和服务关系第48页数字，美国CSI (Computer Security Institute)统计，在当年发生安全事件中：95%拥有防火墙61%拥有IDS90%拥有访问控制系统42%拥有Digital ID 第49页安全产品不足静态产品与动态安全实际单一产品与复杂客户环境安全产品本身存在安全问题安全产品无法处理全部问题分布产品与集中管理要求第50页产品和服务关系相辅相成脱离服务产品无法发挥其固有能力脱离产品服务效率低下、成本过高例子：钢筋和水泥产品服务化、服务产品化第51页产品服务化优异产品需要有良好服务支持售前设计/咨询售