《企业网络安全方案》课件

构建安全的网络----企业网络安全方案设计1精选PPT

对网络安全现状作出正确判断较为准确地估计特定网络用户的风险建立相应的控制风险的机制,并把这些机制容为一体形成防护体系最大限度地提高系统的可用性,并把网络带来的风险减低到可接受程度网络信息安全目标2精选PPT文化安全信息安全网络系统安全物理安全网络信息安全涉及哪些因素?3精选PPT网络信息安全涉及哪些因素?系统安全信息安全文化安全物理安全又称实体安全又称运行安全又称数据安全又称内容安全4精选PPT关于物理安全 作用点：

对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境、盗窃等方面。 外显行为：

通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境，入户盗窃 防范措施：

抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份。保安系统5精选PPT关于网络系统安全

作用点：

对计算机网络与计算机系统可用性与可控性进行攻击。 外显行为：

网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。 防范措施：

防火墙、病毒防范、授权控制、入侵检测、，网络审计、网络备份、系统容错与恢复。6精选PPT关于信息安全作用点：

对所处理的信息机密性与完整性的威胁。 外显行为：

窃取信息，篡改信息，冒充信息，信息抵赖。 防范措施：

加密，完整性鉴别，认证，数字签名。7精选PPT 作用点：

有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。 外显行为：

淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击等。 防范措施：

设置因特网关，监测、控管。关于文化安全8精选PPT网络信息安全模型审计

监控加密授权增强的用户认证政策、法律、法规9精选PPT企业安全防护体系的构成人

制度技术安全防护体系企业安全防护体系的主要构成因素人制度技术10精选PPT人：安防体系的根本因素人是安防体系中的最薄弱环节对安全防护工作重视的领导是安防工作顺利推进的主要动力；有强烈安全防护意识的员工是企业安防体系得以切实落实的基础；杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。11精选PPT人：安防体系的根本因素加强安全教育、提高网络安全意识启蒙——为安全培训工作打基础，端正对企业的态度，让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。培训——传授安全技巧，使其更好的完成自己的工作。教育——目标是培养IT安防专业人才，重点在于拓展应付处理复杂多变的攻击活动的能力和远见。12精选PPT制度：安防体系的基础美国萨班斯法案国家的信息安全和网络管理法规政策中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法中华人民共和国电子签名法计算机信息系统安全保护等级划分准则互联网信息服务管理办法企业内部管理制度13精选PPT制度：安防体系的基础明确员工和第三方的法律责任对保密信息和无形资产加以保护防止浪费企业的计算机资源安防制度的定义和作用

安防制度是这样一份或一套文档，它从整体上规划出在企业内部实施的各项安防控制措施。安防制度的作用主要有：14精选PPT制度：安防体系的基础安防制度的生命周期

安防制度的生命周期包括制度的制定、推行和监督实施。第一阶段：规章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、减轻和转移风险所需要的安防控制措施。第二阶段：企业发布执行的规章制度，以及配套的奖惩措施。第三阶段：规章制度的监督实施。制度的监督实施应常抓不懈、反复进行，保证制度能够跟上企业的发展和变化制度的监督实施制度的制定制度的推行15精选PPT制度：安防体系的基础计算机上机管理制度用户账户管理制度远程访问管理制度信息保护管理制度防火墙管理制度特殊访问权限管理制度网络连接设备管理制度……安防制度的主要组成部分16精选PPT技术：安防体系的基本保证信息加密技术身份鉴别技术资源使用授权技术访问审计技术备份与恢复技术防病毒技术网络安防需要先进的信息安全技术17精选PPT技术：安防体系的基本保证网络防火墙VPN设备入侵检测设备漏洞评估产品网络防病毒产品网络安防需要先进的安全产品18精选PPT技术：安防体系的基本保证单一的安全保护往往效果不理想目前的趋势——应用和实施一个基于多层次安全系统的全面信息安全策略网络安防需要采用多层防护策略在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险，达到安全防护的目标。19精选PPT如果将计算机网络比作城堡：技术：安防体系的基本保证防火墙就是城堡的护城桥（河）——只允许己方的队伍通过。入侵监测系统就是城堡中的了望哨——监视有无敌方或其他误入城堡的人出现。VPN就是城褒外到城堡内的一个安全地道——有时城堡周围遍布敌军而内外需要联络。漏洞评估就是巡锣——检测城堡是否坚固以及是否存在潜在隐患。防病毒产品就是城堡中的将士——想方设法把发现的敌人消灭。20精选PPT技术：安防体系的基本保证网络安防更需要完善的整体防卫架构防火墙访问控制防病毒入侵检测

虚拟专用网

漏洞评估21精选PPT安全方案设计建立安全模型(MDPRR)MManagement安全管理DDetection入侵检测RReaction安全响应RRecovery安全恢复PProtect安全保护安全模型MPDRR22精选PPT$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全恢复Management安全管理统一管理、协调PDRR之间的行动安全方案设计建立安全模型(MDPRR)23精选PPT安全方案设计建立安全模型(PPDRR)P

Policy安全策略DDetection入侵检测RReaction安全响应RRecovery安全恢复PProtect安全保护安全模型PPDRR24精选PPT$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全恢复Policy安全策略统一管理、协调PDRR之间的行动安全方案设计建立安全模型(PPDRR)25精选PPT安全模型(MDPRR/PPDRR)MDPRR/

PPDRR风险控制需求风险控制措施管理Management或策略（Policy）设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则26精选PPT检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。安全模型(MDPRR/PPDRR)27精选PPT安全模型(MDPRR/PPDRR)保护Protection机房严格按照GB50174-1993《电子计算机机房设计规范》、GB9361-1988《计算站场地安全要求》、GB2887-1982《计算机站场地技术要求》和GB/T2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。28精选PPT响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。安全模型(MDPRR/PPDRR)29精选PPT建立安全的企业网络网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出依照风险制定出进行安全集成/应用开发安全服务进行

安全方案设计建立相应的建立安全网络的一般步骤：30精选PPT网络系统现状分析

网络的拓扑结构网络中的应用网络结构的自身特点网络系统现状分析

网络系统现状分析主要包括下面几个方面：31精选PPT安全风险分析的作用网络系统安全风险分析风险分析是建立安防体系过程中极其关键的一步，它连接着安防重点和商业需求。它揭示了关键性的商业活动对资源的保密性、集成性和可用性等方面的影响。进行风险分析，有助于制定消除、减轻或转移风险的安防控制措施并加以实施。消除风险：采取措施彻底消除网络威胁。减轻风险：通过某种安防措施减轻威胁的危害。转移风险：把风险的后果从自己的企业转移到第三方去。32精选PPT网络系统安全风险分析物理风险网络风险系统风险信息风险应用风险其他风险管理风险安全风险分析的主要内容33精选PPT网络系统安全风险分析安全检测与评估可靠性检测与评估操作系统检测与评估保密性检测与评估网络系统安全检测与评估34精选PPT提出需求，建立目标安全需求——提出适合的安全需求。安全目标——制定相应的安全目标。提出安全需求，建立安全目标 根据网络现状和风险分析的结果，这一步骤提出安全需求，确定安全目标。35精选PPT安全方案设计设计安全体系结构确定安全方案设计原则明确安全机制选择安全技术建立安全模型安全方案设计的主要步骤36精选PPT可用性审计管理不可抵赖数据完整数据保密访问控制身份鉴别应用层表示层会话层传输层网络层链路层物理层信息处理单元通信网络三维安全体系结构框架物理环境安全管理结构层次安全特性系统单元安全方案设计设计安全体系结构37精选PPT安全方案设计需求、风险、代价平衡分析的原则综合性、整体性原则一致性原则有效、实用和易操作性原则适应性及灵活性原则动态化原则权责分割、互相制约和最小化原则自主和可控的原则多重保护原则分布实施原则确定安全方案设计原则38精选PPT安全方案设计明确网络安全机制加密机制数字签名机制访问控制机制数据完整性机制交换鉴别机制业务流量填充机制路由控制机制公证机制 ISO提出了八种安全机制，分别如下：39精选PPT安全方案设计选择网络安全技术防火墙技术加密技术鉴别技术数字签名技术入侵检测技术审计监控技术病毒防治技术备份与恢复技术 本课程前面介绍的各种网络安全技术均可用来建立安全的网络。设计者可从中选择需要的技术。40精选PPT是不是所有的网络安全解决方案都需要建立在这样一个完整的体系之上呢？可用性审计管理不可抵赖数据完整数据保密访问控制身份鉴别应用层表示层会话层传输层网络层链路层物理层信息处理单元通信网络三维安全体系结构框架物理环境安全管理结构层次安全特性系统单元网络现状安全需求安全代价安全体系安全威胁分析具体的网络，了解网络系统中潜在的安全风险根据具体的安全风险，提出相应的安全需求根据实际的安全需求，确定要建立一个什么样的安全体系依照确定的安全体系，决定付出多大的安全代价来实现安全体系的建立41精选PPT提出安全解决方案身份鉴别访问控制数据加密病毒防护入侵检测安全评估备份与恢复提出安全解决方案 安全网络的建设者应针对前面设计中提出的各种安全需求，提出可行的安全解决方案。一般安全网络设计项目均会涉及到下述安全需求：42精选PPT安全产品集成及应用软件开发安全产品的集成安全应用软件的开发安全产品集成及应用软件开发 安全网络的建设者应针对前面设计中提出的各种安全需求，提出可行的安全解决方案。一般安全网络设计项目均会涉及到下述安全需求：43精选PPT购买安全服务网络安全咨询网络安全培训网络安全检测网络安全管理应急响应服务购买安全服务 安全是一个动态的过程，静态的安全网络架构并不能完全抵御住新的安全威胁。专业的安全服务可以帮助客户不断调整安全策略、提高网络的安全水平。常见的安全服务有：44精选PPT安防工作是一个过程没有100%安全的网络成本风险性能安防工作是风险、性能和成本之间的折衷安防的成本应该小于系统受损后可能造成的损失45精选PPT安防工作是一个过程没有一成不变的安防系统网络安全防御系统是个动态的系统，攻防技术都在不断发展。安防系统必须同时发展与更新。定期的风险评估是保证系统安全的有效手段。系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念，以便对现有的安防系统及时提出改进意见。安防工作是一个循序渐进不断完善的过程。46精选PPT安防工作是一个过程没有一劳永逸的安防系统攻防技术的不断发展决定了安防系统必须同时发展与更新。安全产品只是安全体系的一个部分，完善的安防体系应是技术和管理的结合。安全管理需要常抓不懈。对员工的安全教育必须持之以恒。47精选PPT安防工作是一个过程安防工作是一个周而复始、循环上升的过程100%安全的网络是不存在的；安防系统需要不断的变化和调整；安防工作是循序渐进、不断完善的过程。48精选PPT用户网络安全的需求用户系统风险分析用户安全目标分析安全技术管理规范设计安全机制集成与服务用户网络结构系统设计整体安全解决方案整体安全解决方案49精选PPT领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1电子政务网络拓扑详细分析应用案例:

综合应用50精选PPT领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息电子政务网络风险及需求分析分支机构工作人员正试图在领导层子网

安装木马分支机构工作人员正试图越权访问业务子网安装木马非内部人员正试图篡改公共网络服务器的数据51精选PPT领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源INTERNETNEsec300FW2035968?告警内网接口外网接口电源防火墙FW1防火墙FW2防火墙FW3安全认证服务器安全管理器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机电子政务网络内网基础网络平台安全NEsec300FW2035968?告警内网接口外网接口电源应用案例:

综合应用52精选PPT分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器内网核心网络与各级子网间的安全设计53精选PPT分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络漏洞扫描器内网网络漏洞扫描系统设计54精选PPT分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?