天融信信息安全体系建设技术部分

信息安全保障体系建设目录信息安全体系建设信息安全常见的技术手段122安全设备保障系统安全加固应急响应措施全员安全意识形成日常安全管理制度一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。信息安全的基本常识信息安全的实质

采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。ConfidentialityIntegrityAvailabilityInformation信息安全需要考虑哪些因素安全管理物理层面物理访问控制门禁系统电力供应双路供电UPS电源温湿度控制防水、防潮防盗窃和防破坏机房监控系统防火灭火设备火灾自动报警系统……信息安全常见的技术手段网络层面访问控制防火墙攻击防护病毒防护入侵检测/防御系统WEB防火墙病毒过滤网关传输加密IPSECVPNSSLVPN安全审计网络审计系统日志审计系统事前事中事后漏洞管理漏洞扫描系统信息安全常见的技术手段主机层面服务器安全加固强化身份鉴别强化访问控制病毒防护强化日志记录杀毒软件补丁管理补丁管理系统终端外设管控终端管理审计系统终端准入控制日志审计系统终端行为监控信息安全常见的技术手段应用层面账号管理访问控制身份鉴别安全审计数据加密数据灾备应用灾备数据层面数据容灾堡垒主机CA认证中心信息安全常见的技术手段4A统一安全管理平台完善的产品和服务7大类40余种安全产品，覆盖终端、网络和云端专业安全服务，业内最佳实践边界安全下一代防火墙应用安全网关UTM虚拟化安全网关VPN入侵检测和防御IDS/IPSAPT防御无线入侵防御抗拒绝服务防病毒网关网闸有线无线交换机业务交付上网行为管理应用流量管理负载均衡广域网加速应用交付用户与终端安全用户身份认证集中身份管理终端安全管理桌面虚拟化移动设备管理合规管理日志审计网络审计数据库审计运维审计WEB安全WEB应用防火墙网页防篡改WEB漏洞扫描数据安全数据库防火墙数据库安全加固文档安全管理数据防泄漏DLP存储备份数据容灾安全管理脆弱性管理安全运营管理IT运维管理网络管理安全策略管理等保自测管理安全专家服务安全风险评估安全体系建设咨询合规性安全咨询安全监控、加固及应急响应安全集成及安全管理软件定制安全云服务远程评估咨询周期安全巡检安全设备租赁安全设备远程监控网络应用系统监控驻场安全运维安全培训服务CISP培训CISSP培训TCSP培训信息安全定制培训信息安全公益课程……目录信息息安安全全体体系系建建设设信息息安安全全常常见见的的技技术术手手段段122信息息安安全全体体系系建建设设等级保护分级保护职责部门公安机关国家保密工作部门标准体系国家标准（GB、GB/T）国家保密标准（BMB，强制执行）适用对象非涉密信息系统涉密信息系统级别划分第一级（自主保护）第二级（指导保护）第三级（监督保护）第四级（强制保护）第五级（专控保护）秘密级机密级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接，三个等级的防护水平不低于国家等级保护的第三、四、五级要求。国家家标标准准信息息安安全全体体系系建建设设等级级保保护护如如何何做做?-三步步走走1、““差差距距分分析析，，确确定定安安全全需需求求””。。通过过系系统统定定级级、、等等级级评评估估等等识识别别系系统统的的安安全全风风险险，，确确定定系系统统的的安安全全等等级级，，并找找出出系系统统安安全全现现状状与与等等级级要要求求的的差差距距，，形形成成完完整整准准确确的的等等级级化化的的安安全全需需求求。。2、““体体系系化化建建设设，，实实现现纵纵深深安安全全防防御御””。。采用用“体系系化化”的分分析析和和控控制制方方法法，，横横向向把把保保护护对对象象分分成成安安全全计计算算环环境境、、安安全区区域域边边界界和和安安全全通信信网络络；；纵纵向向把把控控制制体体系系分分成成安安全全管管理理、、安安全全技技术术和和安安全全运维维的控控制制体体系系框框架架，，同同时时通通过过三三个个体体系系，，一一个个中中心心，，三三重重防防护护”的安安全全管管理理概念念和和模模式式，，建建立立满满足足等等级级保保护护整整体体安安全全控控制制要要求求的的安安全全保保障障体体系系。3、““安安全全运运维维，，确确保保持持续续安安全全运运行行””。。通过过安安全全预预警警、、安安全全监监控控、、安安全全加加固固、、安安全全审审计计、、应应急急响响应应等等服服务务组组件件，，从事事前前、、事事中中、、事事后后三三个个方方面面进进行行安安全全运运行行维维护护，，确确保保系系统统的的持持续续安安全全，，满满足持持续续性性纵纵深深防防御御的的安安全全需需求求。。二级级、、三三级级系系统统建建设设整整改改措措施施对对比比(2)安全类别控制项主要安全措施二级保护措施三级保护措施物理安全物理访问控制机房安排专人负责，来访人员须审批和陪同■■重要区域配置门禁系统

■防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施■■主机房安装监控报警系统

■防雷击机房计算机系统接地符合GB500571994《建筑物防雷设计规范》中的计算机机房防雷要求■■机房电源、网络信号线、重要设备安装有资质的防雷装置

■防火机房设置灭火设备和火灾自动报警系统■■机房配置自动灭火装置

■电力供应机房及关键设备应配置UPS备用电力供应■■医院重要科室应采用双回路电源供电■■环境监控机房设置温、湿度自动调节设施■■机房设置防水检测和报警设施

■对机房关键设备和磁介质实施电磁屏蔽

■持续续改改进进的的框框架架-PDCA信息息安安全全体体系系建建设设信息息安安全全体体系系建建设设寻找找差差距距风险险隐隐患患等级级保保护护安全全需需求求方案案设设计计安全全集集成成安全全服服务务依据据分析析确定定检查查进行行实施施物理理安安全全网络络安安全全主机机安安全全应用用安安全全数据据安安全全身份份鉴鉴别别（（S）安全全标标记记（（S）访问问控控制制（（S）可信信路路径径（（S）安全全审审计计（（G）剩余余信信息息保保护护（（S）物理理位位置置的的选选择择（（G）物理理访访问问控控制制（（G）防盗盗窃窃和和破破坏坏（G）防雷雷/火/水（G）温湿湿度度控控制制（G）电力力供供应应（A）数据据完完整整性性（（S）数据据保保密密性性（（S）备份份与与恢恢复复（（A）防静静电电（G）电磁磁防防护护（S）入侵侵防防范范（（G）资源源控控制制（（A）恶意意代代码码防防范范（（G）结构构安安全全（（G）访问问控控制制（（G）安全全审审计计（（G）边界界完完整整性性检检查查（（S）入侵侵防防范范（（G）恶意意代代码码防防范范（（G）网络络设设备备防防护护（（G）身份份鉴鉴别别（（S）剩余余信信息息保保护护（（S）安全全标标记记（（S）访问问控控制制（（S）可信路径（S）安全审计（G）通信完整性（（S）通信保密性（（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求防火墙UTM流量控制网络审计日志审计终端安全管理理IDS/IPS防病毒网关堡垒机安全加固服务务网管系统数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统统安全加固服务务网管系统病毒软件PKI/CAWeb防火墙Web防篡改VPN安全加固服务务VPN数据安全产品品数据存储、备备份提供等保合规性安全产品天融信全线安全产品7大类30余种安全产品品，覆盖终端端、网络和云云端专业安全服务务，业内最佳佳实践用户与终端安全终端安全管理移动设备管理网络准入系统4A系统边界安全下一代防火墙IPSECVPNSSLVPN网闸入侵检测IDS入侵防御IPS抗拒绝服务防病毒网关综合安全网关业务交付负载均衡广域网加速应用交付应用流量管理上网行为管理合规管理日志审计网络审计数据库审计运维管理与审计系统WEB安全WEB防火墙网页防篡改数据安全存储备份一体机容灾备份软件网络存储文档加密系统数据库防火墙数据库加密及加固系统安全管理IT运维管理脆弱性管理安全信息管理安全策略管理等保管理平台安全专家服务安全风险评估安全体系建设咨询合规性安全咨询安全监控、加固及应急响应安全增值合作计划安全集成及安全管理软件定制安全云服务安全设备远程监控网络应用系统监控远程评估咨询周期安全巡检安全设备租赁安全培训服务CISP培训CISSP培训TCSP培训信息安全定制培训信息安全公益课程用通俗的方式式表达就是安安全要实现：：进不去、窃不不走、看不懂懂、改不了、、打不乱、赖赖不了、跑不不掉信息安全体系系建设谢谢！天融信河北办办事处高海明漏洞管理－漏漏洞扫描系统统漏洞管理的重重要性漏洞管理能够够对预防已知知安全漏洞的的攻击起到很很好的作用，，做到真正的的“未雨绸缪缪”。通过漏洞管理理产品，集中中、及时找出出漏洞并详细细了解漏洞相相关信息。漏洞管理产品品根据评估结结果定性、定定量分析网络络资产风险，，反映用户网网络安全问题题，并把问题题的重要性和和优先级进行行分类，方便便用户有效地地落实漏洞修修补和风险规规避的工作流流程，并为补补丁管理产品品提供相应的的接口。漏洞扫描系统统架构漏洞管理－漏漏洞扫描系统统扫描任务漏洞管理－漏漏洞扫描系统统扫描配置管理理漏洞管理－漏漏洞扫描系统统结果统计分析析漏洞管理－漏漏洞扫描系统统知识库查询访问控制－防防火墙两个安全域之之间通信流的的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为基本概念一种高级访问问控制设备，，置于不同网络安全全域之间，它通过过相关的安全策略来控制（允许许、拒绝、监监视、记录））进出网络的的访问行为。访问控制－防防火墙防火墙的访问问控制HostCHostD数据包数据包数据包数据包数据包查找对应的控控制策略拆开数据包进行分析根据策略决定定如何处理该该数据包数据包控制策略基于IP地址基于MAC地址基于端口基于用户名基于时间基于网址基于邮件地址址基于关键字基于流量可以灵活的制制定的控制策略访问控制－防防火墙访问控制配置置界面访问控制－防防火墙访问控制规则则列表需要注注意的问题规则的方向性性：只需要考虑发发起访问方到到被访问方的的数据流方向向规则作用有顺顺序访问控制列表表遵循第一匹匹配规则规则的一致性性和逻辑性访问控制－防防火墙动态端口协议议支持对于多连接协协议，除了建建立一个主连连接外，还会会动态建立一一些子连接进进行通信。绑定后防火火墙可以识别别这些子连接接，并按照主主连接的策略略去执行，无无需管理员再再添加策略。。访问控制－防防火墙防火墙、路由由器对比共性：都属于网关设设备，可以支支持网络的各各种应用差异性设计思路：Router是作为一种““网络连通手手段”；保证证网络互连互互通为主；Firewall是作为一种““网络隔离手手段”，隔离离网络异常数数据为主。实现方式：Router：能正确转发发包的设备是是路由器；Firewall：能正确丢包包的设备是防防火墙；无法查緝以夹带方式闯关的非法违禁品您发现这瓶「漂白水」了吗？访问控制－防防火墙防火墙办不到到的事...攻击过滤－入入侵检测及入入侵防御系统统入侵检测系统统：IDS，是通过从计计算机网络或或计算机系统统中的若干关关键点收集信信息并对其进进行分析，从从中发现网络络或系统中是是否有违反安安全策略的行行为和遭到袭袭击的迹象的的一种安全技技术。是一套套监控和识别别计算机系统统或网络系统统中发生的事事件，根据规规则进行入侵侵检测和响应应的软件系统统或软件与硬硬件组合的系系统入侵防御系统统：IPS，对流经设备备的流量进行行分析，从中中发现网络或或系统中是否否有违反安全全策略的行为为和遭到袭击击的迹象的一一种安全技术术，并可以实实时阻断攻击击的系统。攻击过滤－入侵检测及入入侵防御系统统入侵防御与入入侵检测的异异同点相同点工作层次相同同、都可以工工作在7层，对应用层层进行深度解解析，发现应应用层威胁不同点IDS旁路部署、IPS在线串接攻击阻止时效效性攻击过滤－入侵检测及入入侵防御系统统入侵防御与入入侵检测的检检测原理误用检测（特特征检测）：：这种检测方方法是收集非非正常操作（（入侵）行为为的特征，建建立相关的特特征库；在后后续的检测过过程中，将收收集到的数据据与特征库中中的特征代码码进行比较，，得出是否有有入侵行为。。异常检测：这这种检测方法法是首先总结结正常操作应应该具有的特特征；在得出出正常操作的的模型之后，，对后续的操操作进行监视视，一旦发现现偏离正常统统计学意义上上的操作模式式，即进行报报警。攻击过滤－入侵检测及入入侵防御系统统误用检测（特特征检测）前提：所有的的入侵行为都都有可被检测测到的特征攻击特征库:当监测的用户户或系统行为为与库中的记记录相匹配时时，系统就认认为这种行为为是入侵过程特点：误报低低、漏报高用户行为模式匹配入侵特征知识库发现入侵！监控特征提取匹配判定不匹配攻击过滤－入侵检测及入入侵防御系统统异常检测前提：入侵是是异常活动的的子集用户轮廓(Profile):通常定义为各各种行为参数数及其阀值的的集合，用于于描述正常行行为范围；检检查实际用户户行为和系统统的运行情况况是否偏离预预设的门限？？过程：特点:漏报率低,误报率高行为尺度可能的入侵用户行为监控量化比较判定修正攻击过滤－入侵检测及入入侵防御系统统异常检测实例例黑客得知FTPServer存在用户名admin使用字典程序序对admin用户暴力猜密密码入侵检测系统统会发现在很很短的时间内内会出现大量量如下数据包包：user**pass***，此时入侵检检测系统就会会发出Alert，表明FTP服务器正在遭遭受暴力破解解的攻击。NIDS攻击过滤－入侵检测及入入侵防御系统统入侵防御与防防火墙的异同同点相同点网关方式在线线部署实时处理流经经设备的数据据报文，要求求性能和稳定定性不同点防火墙是工作作在L3或L4层的安全防护护设备，而IPS是工作在L7层上的安全防防护设备防火墙也有L7层的功能但是是基于内容的的访问控制，，而IPS是基于攻击特特征的发现和和防护攻击过滤－入侵检测及入入侵防御系统统在组网中，入入侵检测系统统与防火墙的的关系防火墙一般部部署在外界，，入侵检测系系统一般旁路路部署在内部部网络，当入入侵检测系统统发现了透过过防火墙的入入侵行为时，，可以通过联联动协议通知知防火墙，由由防火墙生成成一条动态的的阻断策略，，阻断掉相应应的网络连接接，中断入侵侵行为。在组网中，入入侵防御系统统与防火墙