安全设备的部署和选择课件

联想网御-熊春华2010年7月网络工程信息安全解决方案设计与规划

网络安全背景情况常见网络安全威胁网络安全基础框架信息安全解决方案与设计Q&A

提纲信息网络安全的意义安全保障的需要；网络与信息的安全关系到国家的基础设施安全，关系到企业用户的经济运行安全，关系到个人的隐私安全。市场发展的需要；随着网络应用的普及深入，人们的安全意识和对网络攻击破坏严重性认识的不断提高，对信息网络安全方面的需求也越来越多。技术发展的需要；随着信息网络整体技术的迅速发展，网络攻击手段的不断变化，产生了新的网络安全防御技术。网络安全背景情况常见网络安全威胁网络安全基础框架信息安全解决方案与设计Q&A

提纲信息网络安全的主要问题

垃圾邮件的泛滥

邮件服务器运行缓慢服务质量下降；黑客的攻击

网络黑客针对服务和网络设备的DDOS攻击；用蠕虫病毒等新的攻击方式；内部用户网络攻击网络带宽被占用；内部用户网络攻击泛滥；其他安全问题

内部用户的访问内容监控与过滤；终端用户的桌面安全。常见网络安全威胁恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞进而发起攻击；数据驱动攻击：攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标。数据篡改：攻击者可通过截获并修改数据、重放数据等方式破坏数据的完整性；服务拒绝：攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标；网络窃听：网络的开放性使攻击者可通过直接或间接方式，窃听获取所需信息；常见网络安全威胁口令破解：攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令；地址欺骗：攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任；基础设施破坏：攻击者可通过破坏DNS或路由信息等基础设施使目标陷于孤立；连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方，来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信；社会工程：攻击者可通过各种社交渠道获得有关目标的结构使用情况、安全防范措施等有用信息，从而提高攻击成功率；网络系统安全设计模型PMRRDManagement安全管理Protect安全保护Detection入侵检测Reaction安全响应Recovery安全恢复网络安全模型MPDRR$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全备份Management安全管理统一管理、协调PDRR之间的行动网络系统安全设计模型解析网络安全背景情况常见网络安全威胁网络安全基础框架信息安全解决方案与设计Q&A

提纲物理安全技术系统安全技术网络安全技术应用安全技术数据加密技术认证授权技术访问控制技术扫描评估技术审计跟踪技术病毒防护技术备份恢复技术安全管理技术

信息安全技术基础安全组件：防火墙传输加密系统（VPN）入侵检测系统（IDS）入侵防御系统（IPS）网络防病毒系统物理隔离系统

增强安全组件：内容安全审计系统日志信息审计系统内网安全管理系统信息安全技术基础安全组件：防火墙（FW）传输加密系统（IPSEC/SSLVPN）入侵检测系统（IDS）入侵防御系统（IPS）网络防病毒系统(防病毒网关、网络版防病毒软件)安全隔离与信息交换系统（网闸）

内容安全审计系统日志信息审计系统内网安全管理系统漏洞扫描系统数据库审计系统数据备份系统Web应用防火墙(WAF)网页防篡改系统安全管理平台（SOC）……

信息安全技术增强安全组件：NSA的实践之等级保护

标准参与者政策起草者

配合国信办执笔编写《电子政务信息安全等级保护实施指南（试行）》配合公安部参与编写《信息系统安全等级保护定级指南》、《信息系统安全等级保护实施指南》试点实施者

多次承担国家信息安全试点和信息系统等级保护试点工作，为部委、政府、金融、电信等行业，提供了包括系统定级、系统建设系统测评、系统运维等等级保护服务工作。互联网服务解决方案防火墙新亮点多操作系统虚拟防火墙主动防御VRRP漏洞扫描VPN隧道备份ISP智能选路整合SAG支持IPV6网络接入整合ISM联动策略代理服务器负载均衡多路ADSL快速配置向导流量统计日志中文化细节成就专业内部安全域解决方案纵向级联解决方案产品功能和趋势推荐开启全部功能防病毒引擎防火墙/VPN入侵防护防病毒绿色上网反垃圾邮件采用主动云防御技术一键配置式的简化管理防范方法防范装置主动防御云防御病毒、蠕虫、木马、间谍软件等高、中、低三个快速配置键病毒库级联式升级服务23移动接入解决方案IPSecVPN与SSLVPN的区别项目IPSecVPNSSLVPN客户端安装费用高无安装费用大量用户使用培训困难、成本高无需培训与现有基础设施整合困难容易系统可扩展性具备容易软件升级困难容易系统管理与维护难度大小客户端易用性较差极佳网络安全等级具备高使用对象移动或LAN用户移动或LAN用户客户端环境安装客户端软件的PC任意设备被认证对象电脑使用者（既用户）客户端软件IPSec客户端标准浏览器修改防火墙策略需要不需要NAT环境下链路状态不稳定十分稳定支持的应用各种基于TCP/IP协议的应用丰富的B/S、C/S、NC应用★协议IPSec网络层SSL应用层业务外联解决方案业务受理解决方案虚拟专网解决方案产品在商务部分的选择（一）证书名称发证机关测试机构是否为强制计算机信息系统安全专用产品销售许可证，最高为通过三级检测公安部公共信息网络安全监察局防病毒产品：计算机病毒防治产品检测中心

其它产品：公安部计算机系统安全产品质量监督检验中心非密码类的安全产品销售必须具有商用密码产品生产定点单位证书国家密码管理局

国家密码管理局商密产品生产必须具备商用密码产品销售许可证商密产品销售必须具有商用密码产品型号证书商密产品型号销售必须具有涉密信息系统产品检测证书国家保密局涉密信息系统安全保密评测中心国家保密局涉密信息系统安全保密评测中心产品在涉密网络使用时必须具有产品在商务部分的选择（二）证书名称发证机关测试机构是否为强制军用信息安全产品认证证书，最高级为军B+中国人民解放军信息安全评测认证中心中国人民解放军信息安全评测认证中心产品在军队网络使用时必须具有中国强制性产品认证（CCC认证）中国信息安全认证中心可以有多家机构按照国家产品检测标准进行测试。

上海市信息安全测评认证中心

北京信息安全测评中心

中国信息安全产品测评认证中心实验室

公安部计算机信息系统安全产品质量监督检验中心

国家保密局涉密信息系统安全保密测评中心

中国信息安全产品测评认证中心计算机测评中心国家对产品的强制认证，自2010年5月1日之后防火墙、IDS、网闸产品必须具有，其他产品无评测标准为要求电信设备进网管理工信部泰尔实验室国家对接入公用电信网使用的电信终端设备、无线电通信设备和涉及网间互联的电信设备实行进网许可制度。上述的电信设备必须获得工业和信息化部颁发的进网许可证。计算机软件著作权登记证书中华人民共和国国家版权局无非强制产品生产厂家在商务部分的选择信息产业部颁发的《计算机信息系统集成资质证书》（壹级）中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证