信息系統(tǒng)安全技術 --整體網絡安全解決方案

1、信息系統(tǒng)安全技術 --整體網絡安全解決方案,何長龍 高級工程師,,用戶網絡安全的需求,用戶系統(tǒng)風險分析,用戶安全目標分析,安全技術管理規(guī)范設計,安全機制集成與服務,用戶網絡結構系統(tǒng)設計,,整體安全解決方案,,,產品、服務質量保證體系,安全知識培訓,網絡設備組件的加固與維護,日常檢測——漏洞/異常攻擊事故報告,應急事故恢復,安全中心——風險分析、制定/實施/維護安全策略,利用企業(yè)的資源最

2、大限度地滿足客戶的需求！,,基于角色的培訓安全動態(tài)知識長期培訓,,主機保護產品組件加固服務,,網絡入侵檢測產品漏洞掃描產品,,應急服務小組攻防實驗室,,安全分析工程師,,,,,,安全知識數(shù)據(jù)庫維護,,,網絡安全與信息安全,,◆ 安全的定義 遠離危險的狀態(tài)或特性，為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。安全不是技術,安全是一個過程。 ◆ 網絡安全網絡的組成方式、拓撲結構和網絡應用 ◆ 信息安全信息的

3、來源、去向，內容的真實無誤及保證信息的完整性，信息不會被非法泄露擴散保證信息的保密性 ◆網絡信息安全的基本要求數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可用性、數(shù)據(jù)的可控性,網絡信息安全技術體系,身份認證技術密碼技術訪問控制技術防病毒技術防火墻技術漏洞掃描技術入侵檢測技術審計技術,INTERNET,案例一：網絡拓撲分析,應用案例一：SVPN典型應用,,,,,,,,,,,服務子網,代理服務器郵件服務器,內部子網,管理中心網絡,

4、DNS服務器,,路由器,,,,,,分支子網2,路由器,代理服務器,,,,,,,,,分支子網1,路由器,網絡現(xiàn)狀分析,應用案例一：SVPN典型應用,安全需求分析,? 內部與外部的隔離,? 實現(xiàn)對子網之間通信的加密傳輸,? 用網關設備代替代理服務器,? 外部能訪問內部指定區(qū)域提供的服務,? 能夠對內部網絡與外部網絡之間的通信進行審計,? 其它安全要求,應用案例一：SVPN典型應用,INTERNET,案例一：網絡安全設計,,,,,,,,,,,

5、服務子網,代理服務器郵件服務器,內部子網,管理中心網絡,DNS服務器,,路由器,,,,,,分支子網2,路由器,代理服務器,,,,,,,,,分支子網1,路由器,,,CA,MAN,SG1,SG2,SG3,應用案例一：SVPN典型應用,實現(xiàn)的主要功能,?子網之間的通信加密,?各子網與外部網絡的訪問控制,?實現(xiàn)網絡地址轉換（NAT）,?其它,?管理中心對各子網安全進行統(tǒng)一管理,應用案例一：SVPN典型應用,安全策略實施,?安全策略制定,?安全

6、策略實現(xiàn),?安全策略修改,?其它,?安全策略檢驗,應用案例一：SVPN典型應用,,,,DDN,,,,,,,,,E-MAIL,,,,,省管理中心網絡,WWW,,路由器,路由器,路由器,某尋呼臺信息網絡,DNS,縣網絡中心,縣網絡中心,,其它,應用案例二：防火墻典型應用,網絡現(xiàn)狀分析及需求,? 內部所有網絡采用私有地址，自成體系,?省和縣通過DDN專線進行網絡通信,?使用防火墻的NAT功能使所有用戶能訪問INTERNET，并進行訪問控制,?

7、通過ADSL接入INTERNET,?能對外提供INTERNET服務,應用案例二：防火墻典型應用,,,,DDN,,,,,,,,,E-MAIL,,,,,管理中心網絡,WWW,,路由器,路由器,路由器,,,其它,,,,,,INTERNET,防火墻,ADSL,縣網絡中心,縣網絡中心,省管理中心網絡,應用案例二：防火墻典型應用,主要實現(xiàn)的功能,?提供訪問控制,?提供網絡地址轉換（NAT）內部所有用戶都能夠訪問INTERNET,?提供端口映射功能

8、，使INTERNET用戶能訪問尋呼臺的WWW、E-MAIL和其它服務,?其它,應用案例二：防火墻典型應用,電子政務網絡拓撲概述,應用案例三：綜合應用,電子政務網絡拓撲詳細分析,應用案例三：綜合應用,,領導層子網,,,,,,,,,,,,,,分支機構2,業(yè)務處室子網,公共處室子網,服務處室子網,直屬人事機構處室子網,共享數(shù)據(jù)庫子網,INTERNET,分支機構1,此人正試圖進入網絡監(jiān)聽并竊取敏感信息,電子政務網絡風險及需求分析,

9、分支機構工作人員正試圖在領導層子網安裝木馬,分支機構工作人員正試圖越權訪問業(yè)務子網安裝木馬,非內部人員正試圖篡改公共網絡服務器的數(shù)據(jù),應用案例三：綜合應用,領導層子網,業(yè)務處室子網,公共處室子網,服務處室子網,直屬人事機構處室子網,共享數(shù)據(jù)庫子網,分支機構2,分支機構1,,,INTERNET,,,,,,,,,防火墻FW1,防火墻FW2,防火墻FW3,安全認證服務器,安全管理器,安全網關SG1,安全網關SG2,安全網關SG3,

10、路由器,路由器,路由器,交換機,電子政務網絡內網基礎網絡平臺安全,應用案例三：綜合應用,,,內網核心網絡與各級子網間的安全設計,,,,,,,,,,分支機構2,INTERNET,分支機構1,,,,,,交換機,安全網關SG1,安全網關SG2,安全網關SG3,路由器,路由器,路由器,安全管理器,安全認證服務器,,,網絡漏洞掃描器,內網網絡漏洞掃描系統(tǒng)設計,內網網絡入侵檢測系統(tǒng)設計,,,,,,,INTERNET,,,,,,,辦公廳辦公業(yè)務網

11、 （簡稱“內網”）,路由器,交換機,安全管理器,防火墻FW,,物理隔離器（K1),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,電子政務外網基礎平臺安全設計,,,,,,,INTERNET,,,,,,辦公廳辦公業(yè)務網 （簡稱“內網”）,路由器,交換機,安全管理器,防火墻FW,,物理隔離器（K1),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,,網絡漏洞掃描器,外網網絡漏洞掃描系統(tǒng)設計,,,,,,

12、,INTERNET,,,,,,辦公廳辦公業(yè)務網 （簡稱“內網”）,路由器,交換機,安全管理器,,物理隔離器（K1),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,,網絡漏洞掃描器,網絡入侵檢測探頭,網絡入侵策略管理器,防火墻FW,外網網絡入侵檢測系統(tǒng)設計,,,,,,,INTERNET,,,,,,辦公廳辦公業(yè)務網 （簡稱“內網”）,路由器,交換機,安全管理器,,物理隔離器（K2),E-MAIL服務器,WW

13、W服務器,應用服務器,數(shù)據(jù)庫服務器,防火墻FW,物理隔離器（K1),,,辦公廳辦公業(yè)務網 （簡稱“內網”）,,政府系統(tǒng)辦公業(yè)務資源網（簡稱“專網”）,,,Web網站監(jiān)測&自動修復系統(tǒng),外網WEB服務器安全設計,,,,,,,INTERNET,,,,,,辦公廳辦公業(yè)務網 （簡稱“內網”）,路由器,交換機,安全管理器,,物理隔離器（K2),E-MAIL服務器,WWW服務器,應用服務器,數(shù)據(jù)庫服務器,防火墻FW,物理

14、隔離器（K1),,,辦公廳辦公業(yè)務網 （簡稱“內網”）,,政府系統(tǒng)辦公業(yè)務資源網（簡稱“專網”）,,,內網、外網和專網的隔離系統(tǒng)設計,典型整體解決方案的應用案例,應用案例一：成都市某機關單位應用案例二：北京市某機關單位應用案例三：國家某部委全國信息網絡系統(tǒng)應用案例四：電子政務安全應用平臺,,相對性 綜合性：涉及管理及技術多個層面 網絡安全產品的單一性 動態(tài)性：技術跟進和維護支持的重要性 管理難度大 黑盒性,網絡

15、安全特點,P2DR：動態(tài)安全模型,信息安全產品的平臺化戰(zhàn)略,圍繞COE所提供的關鍵業(yè)務的風險分析形成對各種風險的適度控制機制把各安全控制的功能模塊融合在一個統(tǒng)一的管理、監(jiān)控和響應的平臺中信息安全平臺化戰(zhàn)略是COE的重要組成部分,,對網絡安全現(xiàn)狀作出正確判斷 較為準確地估計特定網絡用戶的風險 建立相應的控制風險的機制,并把這些 機制容為一體形成防護體系 最大限度地提高系統(tǒng)的可用性,并把網 絡帶來的風險減低到可接受程度

16、,網絡信息安全目標,動態(tài)網絡安全防護策略,,,,網絡安全策略,業(yè)務需求,威脅及風險分析,國家,行業(yè),安全相關的法律法規(guī),業(yè)務系統(tǒng)安全策略,個人安全策略,安全技術標準化策略,管理策略,風險評估與安全登記劃分,計算機系統(tǒng)與網絡安全策略,物理安全與環(huán)境保護策略,管理安全規(guī)范,教育與培訓策略,標識,認證策略,信息保密與完整性策略,授權與訪問控制策略,抗抵賴策略,安全審計策略,入侵監(jiān)測策略,病毒防范策略,響應與恢復策略,容錯與備份,用戶角色,級別