信息系统安全技术整体安全解决方案V

信息系统安全技术

--整体网络安全解决方案何长龙高级工程师用户网络安全的需求用户系统风险分析用户安全目标分析安全技术管理规范设计安全机制集成与服务用户网络结构系统设计整体安全解决方案产品、服务质量保证体系安全知识培训网络设备组件的加固与维护日常检测——漏洞/异常攻击事故报告应急事故恢复安全中心——风险分析、制定/实施/维护安全策略利用企业的资源最大限度地满足客户的需求！基于角色的培训安全动态知识长期培训主机保护产品组件加固服务

网络入侵检测产品漏洞扫描产品应急服务小组攻防实验室安全分析工程师安全知识数据库维护网络安全与信息安全◆安全的定义

远离危险的状态或特性，为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。安全不是技术,安全是一个过程。

◆网络安全网络的组成方式、拓扑结构和网络应用

◆信息安全信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性

◆网络信息安全的基本要求数据的保密性、数据的完整性、数据的可用性、数据的可控性

网络信息安全技术体系身份认证技术密码技术访问控制技术防病毒技术防火墙技术漏洞扫描技术入侵检测技术审计技术INTERNET案例一：网络拓扑分析应用案例一：SVPN典型应用服务子网代理服务器邮件服务器内部子网管理中心网络DNS服务器路由器分支子网2路由器代理服务器分支子网1路由器网络现状分析内部子网采用私有地址，通过代理服务器访问INTERNET服务子网对外提供WWW服务和电子邮件服务服务子网和内部子网与INTERNET之间无任何保护措施,无网络安全管理手段中心子网与分支子网通过INTERNET网络连接并有重要信息传递应用案例一：SVPN典型应用安全需求分析内部与外部的隔离实现对子网之间通信的加密传输用网关设备代替代理服务器外部能访问内部指定区域提供的服务能够对内部网络与外部网络之间的通信进行审计其它安全要求应用案例一：SVPN典型应用INTERNET案例一：网络安全设计服务子网代理服务器邮件服务器内部子网管理中心网络DNS服务器路由器分支子网2路由器代理服务器分支子网1路由器NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源CAMANSG1SG2SG3应用案例一：SVPN典型应用实现的主要功能子网之间的通信加密各子网与外部网络的访问控制实现网络地址转换（NAT）其它管理中心对各子网安全进行统一管理应用案例一：SVPN典型应用安全全策策略略实实施施安全全策策略略制制定定安全全策策略略实实现现安全全策策略略修修改改其它它安全全策策略略检检验验应用用案案例例一一：：SVPN典典型型应应用用DDNE-MAIL省管管理理中中心心网网络络路由由器器路由由器器路由由器器某寻寻呼呼台台信信息息网网络络DNS县网网络络中中心心县网网络络中中心心其它它应用用案案例例二二：：防防火火墙墙典典型型应应用用网络络现现状状分分析析及及需需求求内部部所所有有网网络络采采用用私私有有地地址址，，自自成成体体系系省省和和县县通通过过DDN专专线线进进行行网网络络通通信信使使用用防防火火墙墙的的NAT功功能能使使所所有有用用户户能能访访问问INTERNET，，并并进进行行访访问问控控制制通通过过ADSL接接入入INTERNET能对外外提供INTERNET服务务应用案例例二：防防火墙典典型应用用DDNE-MAIL管理中心心网络路由器路由器路由器其它NEsec300FW2035968?告警内网接口外网接口电源INTERNET防火墙ADSL县网络中中心县网络中中心省管理中中心网络络应用案例例二：防防火墙典典型应用用主要实现现的功能能提供访问问控制提供网络络地址转转换（NAT））内部所所有用户户都能够访问INTERNET其它应用案例例二：防防火墙典典型应用用内部核心子网INTERNET分支机构1分支机构2电子政务务网络拓拓扑概述述应用案例例三：综综合应用用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1电子政务务网络拓拓扑详细细分析应用案例例三：综综合应用用领导层子子网分支机构构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网网共享数据据库子网INTERNET分支机构构1此人正试试图进入入网络监监听并窃窃取敏感感信息电子政务务网络风风险及需需求分析析分支机构构工作人人员正试试图在领领导层子子网安装装木马分支机构构工作人人员正试试图越权权访问业业务子网网安装木木马非内部人人员正试试图篡改改公共网网络服务务器的数数据应用案例例三：综综合应用用领导层子子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源INTERNETNEsec300FW2035968?告警内网接口外网接口电源防火墙FW1防火墙FW2防火墙FW3安全认证服服务器安全管理器器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机电子政务网网络内网基基础网络平平台安全应用案例三三：综合应应用NEsec300FW2035968?告警内网接口外网接口电源分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器内网核心网网络与各级级子网间的的安全设计计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器器安全认证服服务器网络漏洞扫扫描器内网网络漏漏洞扫描系系统设计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器内网网络入入侵检测系系统设计INTERNET办公厅办公公业务网（（简称称“内网””）路由器交换机安全管理器器防火墙FW物理隔离器器（K1)E-MAIL服务器器应用服务器器数据库服务务器电子政务外外网基础平平台安全设设计INTERNET办公厅办公公业务网（（简称称“内网””）路由器交换机安全管理器器防火墙FW物理隔离器器（K1)E-MAIL服务器器应用服务器器数据库服务务器网络漏洞扫扫描器外网网络漏漏洞扫描系系统设计INTERNET办公厅办公公业务网（（简称称“内网””）路由器交换机安全管理器器物理隔离器器（K1)E-MAIL服务器器应用服务器器数据库服务务器网络漏洞扫扫描器网络入侵检检测探头网络入侵策策略管理器器防火墙FW外网网络入入侵检测系系统设计INTERNET办公厅办公公业务网（（简称称“内网””）路由器交换机安全管理器器物理隔离器器（K2)E-MAIL服务器器应用服务器器数据库服务务器防火墙FW物理隔离器器（K1)办公厅办公公业务网（（简称称“内网””）政府系统办办公业务资资源网（简简称“专网网”）Web网站站监测&自自动修复系系统外网WEB服务器安安全设计INTERNET办公厅办公公业务网（（简称称“内网””）路由器交换机安全管理器器物理隔离器器（K2)E-MAIL服务器器应用服务器器数据库服务务器防火墙FW物理隔离器器（K1)办公厅办公公业务网（（简称称“内网””）政府系统办办公业务资资源网（简简称“专网网”）内网、外网网和专网的的隔离系统统设计典型整体解解决方案的的应用案例例应用案例一一：成都市市某机关单单位应用案案例二二：北北京市市某机机关单单位应用案案例三三：国国家某某部委委全国国信息息网络络系统统应用案案例四四：电电子政政务安安全应应用平平台相对性性综合性性：涉涉及管管理及及技术术多个个层面面网络安安全产产品的的单一一性动态性性：技技术跟跟进和和维护护支持持的重重要性性管理难难度大大黑盒性性网络安安全特特点P2DR：：动态态安全全模型型信息安安全产产品的的平台台化战战略围绕COE所提提供的的关键键业务务的风风险分分析形成对对各种种风险险的适适度控控制机机制把各安安全控控制的的功能能模块块融合合在一一个统统一的的管理理、监监控和和响应应的平平台中中信息安安全平平台化化战略略是COE的重重要组组成部部分对网络络安全全现状状作出出正确确判断断较为准准确地地估计计特定定网络络用户户的风风险建立相相应的的控制制风险险的机机制,并把把这些些机制容容为一一体形形成防防护体体系