网络安全整体解决方案.ppt

第二部分网络安全整体解决方案20042004年年8 8月月讲师：杜旭讲师：杜旭框架u信息安全整体解决方案u信息安全产品u信息安全法规和标准信息安全整体解决方案u信息化进程u安全方案的设计u如何评价信息安全财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络平台（网络设备、网络协议、网络软件）网络平台（网络设备、网络协议、网络软件）信息化的进程财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台分析财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络平台（网络设备、网络协议、网络软件）网络平台（网络设备、网络协议、网络软件）操作系统平台操作系统平台企业信息化称度的标志企业信息化称度的标志企业信息化企业信息化企业信息化企业信息化程度越高程度越高程度越高程度越高企业对网络、企业对网络、企业对网络、企业对网络、系统依赖越强系统依赖越强系统依赖越强系统依赖越强安全而健壮的网络是安全而健壮的网络是安全而健壮的网络是安全而健壮的网络是企业信息化的前提和基础企业信息化的前提和基础企业信息化的前提和基础企业信息化的前提和基础那么怎样来规划和建设那么怎样来规划和建设那么怎样来规划和建设那么怎样来规划和建设安全的网络呢？安全的网络呢？安全的网络呢？安全的网络呢？我们今天的话题我们今天的话题我们今天的话题我们今天的话题网络系统现状网络系统现状网络系统现状网络系统现状潜在的安全风险潜在的安全风险潜在的安全风险潜在的安全风险安全需求与目标安全需求与目标安全需求与目标安全需求与目标安全体系安全体系安全体系安全体系安全解决方案安全解决方案安全解决方案安全解决方案分析后得出分析后得出分析后得出分析后得出进行进行进行进行安全集成安全集成安全集成安全集成/应用开发应用开发应用开发应用开发安全方案设计安全方案设计安全方案设计安全方案设计信息安全方案的设计思路信息安全方案的设计思路 根据风险制定出根据风险制定出建立相应的建立相应的建立相应的建立相应的提出提出提出提出安全服务安全服务安全服务安全服务网络系统现状u企业网络拓扑结构u企业网络中的应用u企业网络的结构特点企业网络拓扑结构WWWMailDNS 帧中继 DDNWWWMailDNSWWWMailDNS 集团总部集团总部 省市公司省市公司 地市公司地市公司 省市公司省市公司企业网络中的应用 操作系统平台操作系统平台网络平台（网络设备、网络协议、网络软件）网络平台（网络设备、网络协议、网络软件）操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用具体的业务应用具体的业务应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用常规应用常规应用企业网络的结构特点 操作系统平台操作系统平台网络平台（网络设备、网络协议、网络软件）网络平台（网络设备、网络协议、网络软件）操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用安全应用安全应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用安全网络平台安全网络平台安全操作系统平台安全操作系统平台安全管理安全管理管理平台管理平台管理平台管理平台网络面临的安全风险管理平台管理平台管理平台管理平台 操作系统平台操作系统平台网络平台（网络设备、网络协议、网络软件）网络平台（网络设备、网络协议、网络软件）操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用层层次次一一层层次次二二层层次次三三层层次次四四1.主体身份鉴别 4.信息的机密性2.主体访问授权 5.信息的完整性3.主体行为不可抵赖 6 .1.系统的补丁 4.数据库的配置2.系统的增强 5.数据库的增强3.系统的配置 6 .1.设备冗余 3.安全路由 5.抗电磁辐射 7.安全访问2.线路冗余 4.安全拓扑 6.安全存储 8 1.安全法规 3.安全管理人员 5.安全评估2.安全管理制度 4.安全监督制度 6.设计规划整体安全方案u安全体系结构u安全方案设计原则u安全机制和技术u安全模型安全特性安全特性安全特性安全特性网络层次网络层次网络层次网络层次系统单元系统单元系统单元系统单元身身身身份份份份鉴鉴鉴鉴别别别别访访访访问问问问控控控控制制制制数数数数据据据据完完完完整整整整数数数数据据据据保保保保密密密密防防防防止止止止否否否否认认认认跟跟跟跟踪踪踪踪审审审审计计计计可可可可靠靠靠靠可可可可用用用用通信平台通信平台通信平台通信平台网络平台网络平台网络平台网络平台系统平台系统平台系统平台系统平台应用平台应用平台应用平台应用平台安全管理安全管理安全管理安全管理物理层物理层物理层物理层链路层链路层链路层链路层网络层网络层网络层网络层传输层传输层传输层传输层会话层会话层会话层会话层表示层表示层表示层表示层应用层应用层应用层应用层安全体系结构安全体系结构安全方案设计原则u需求、风险、代价平衡分析的原则u综合性、整体性原则u一致性原则u易操作性原则u适应性及灵活性原则u多重保护原则u分布实施原则安全机制和技术安全机制和技术鉴鉴鉴鉴别别别别加加加加密密密密访访访访问问问问控控控控制制制制安安安安全全全全管管管管理理理理病病病病毒毒毒毒防防防防范范范范数数数数字字字字签签签签名名名名链链链链路路路路加加加加密密密密机机机机IPIPIPIP协协协协议议议议加加加加密密密密机机机机邮邮邮邮件件件件加加加加密密密密文文文文件件件件加加加加密密密密防防防防火火火火墙墙墙墙远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统防防防防病病病病毒毒毒毒软软软软件件件件防防防防病病病病毒毒毒毒制制制制度度度度密密密密钥钥钥钥管管管管理理理理安安安安全全全全评评评评估估估估安安安安全全全全服服服服务务务务入入入入侵侵侵侵检检检检测测测测远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统中科网威时空防御模型u时间针对网络攻击u空间针对体系建设恢复恢复评估评估防护防护响应响应侦测侦测前如何评价信息安全u什么是安全u信息安全的目的什么是安全？u新的安全定义及时的检测就是安全及时的检测就是安全及时的响应就是安全及时的响应就是安全PtDtP Pt t:Protection time:Protection time安全及时的检测和处理安全及时的检测和处理Pt+RtD Dt t:Detection time:Detection timeR Rt t:Response time:Response timeDtRt说明：说明：黑客在到达攻击目标之前需要攻破很多的设备黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机路由器，交换机)、系统（、系统（NTNT，UNIXUNIX）和放火墙等障碍，在黑客达到目标之前的时间，我们称之为防护时间）和放火墙等障碍，在黑客达到目标之前的时间，我们称之为防护时间PtPt；在黑客攻击过程中，我们检测到他的活动的所用时间称之为在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt,Dt,检测到黑客的行为检测到黑客的行为后，我们需要作出响应，这段时间称之为后，我们需要作出响应，这段时间称之为Rt.Rt.假如能做到假如能做到Dt+RtPt,Dt+Rt+Rt信息安全的目的进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂可可可可审审审审查查查查小结u安全方案的设计思路u信息安全的评价准则框架u信息安全整体解决方案u信息安全产品u信息安全法规和标准中科网威信息安全产品u“网威”防火墙u“网威”入侵检测u“网威”安全评估u安全服务防火墙简介u什么是防火墙？u为什么需要防火墙？u我们需要什么样的防火墙？传统概念：传统概念：什么是防火墙?l 防火墙最早被用于建筑物之间防止火势蔓延；l 汽车工业中用于驾驶员与乘客之间进行隔离；什么是防火墙?信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是一种在信任网络和非信任网络之间实施安全防范的系统。防火墙的目的是在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，对进、出内部网络的服务和访问进行审计和控制。网络中的概念：网络中的概念：为什么需要防火墙u不安全因素网络协议(TCP/IP)系统漏洞u攻击方式和攻击工具的泛滥容易得到容易使用C:xdos 192.168.1.1 139-t 5-s*一次简单的攻击一次简单的攻击我们需要什么样的防火墙?u优秀的抗攻击能力u优良的性能u全面的功能u易于使用维护中科网威的防火墙u具备全面功能的防火墙VPN防垃圾邮件模块防病毒模块负载均衡A/A入侵检测系统简介u为什么需要入侵检测u什么是入侵检测u入侵检测能解决什么问题u入侵检测的分类u我们需要什么样的入侵检测为什么要有入侵检测？u防火墙的局限性被动防御缺乏主动检测能力不是所有的威胁来自防火墙外部防火墙只能防御70%左右的攻击u数字：2001年，美国CSI(Computer Security Institute)统计，在当年发生的安全事件中u95%拥有防火墙什么是入侵检测u入侵行为是：入侵行为主要是指对系统资源的非授权使它可以造成系统数据的丢失和破坏可以造成系统拒绝对合法用户服务等危害u入侵检测系统是：抓取网络上的报文分析处理报文报告异常网络安全管理员清楚地了解网络上发生的事件采取行动阻止可能的破坏监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机=探测引擎Card KeyCard Key形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。IDS能解决什么问题？u发现攻击行为，及时报警u对攻击行为的主动处理u防御来自内部的攻击u实现主动防御入侵检测的分类u网络入侵检测（NIDS）u主机入侵检测（HIDS）网络入侵检测(NIDS)u安装在被保护的网段中u混杂模式监听u分析网段中所有的数据包u实时检测和响应u操作系统无关性u不会增加网络中主机的负载主机入侵检测(HIDS)u安装于被保护的主机中u主要分析主机内部活动系统日志系统调用文件完整性检查u占用一定的系统资源我们需要什么样的IDS?u优秀的攻击发现能力u分布部署能力u集中管理能力u易于安装使用u自身安全性好安全评估u为什么需要入侵检测u什么是入侵检测u入侵检测能解决什么问题u入侵检测的分类u我们需要什么样的入侵检测安全评估 Internet Internet 区域区域InternetInternet边界路由器边界路由器DMZDMZ区域区域WWW Mail DNS 内部工作子网内部工作子网管理子网一般子网内部WWW重点子网扫描路由器扫描交换机扫描防火墙扫描服务器扫描内部子网评估的对象u网络设备:交换机、路由器和防火墙等u系统：WINDOWS和UNIX等u应用：数据库、Notes和邮件等u安全评估的作用u扫描整个网络系统的弱点和漏洞并建议采取相应的补救措施u提前发现网络系统的弱点和漏洞,防患于未然集团公司集团公司病毒管理机病毒管理机省市公司省市公司A病毒管理机病毒管理机省市公司省市公司B病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机1.统一管控统一管控2.分步式结构防毒分步式结构防毒3.网关防毒网关防毒4.工作站防毒工作站防毒5.服务器防毒服务器防毒a)杀毒策略统一制定杀毒策略统一制定b)病毒代码统一更新病毒代码统一更新c)统一病毒扫描统一病毒扫描.全面的病毒防护a)邮件服务器防毒邮件服务器防毒b)文件服务器防毒文件服务器防毒c)Notes服务器防毒服务器防毒.网关防毒发现病毒并立即采取相应的措施 Internet 区域InternetInternet边界路由器DMZDMZ区域区域WWW Mail 内部工作子网内部工作子网管理子网一般子网内部WWW重点子网网关防病毒软件发现病毒安全服务u为什么需要安全服务u产品和服务的关系数字u2001年，美国CSI(Computer Security Institute)统计，在当年发生的安全事件中：95%拥有防火墙61%拥有IDS90%拥有访问控制系统42%拥有Digital ID 安全产品的局限性u静态的产品与动态的安全实际u单一的产品与复杂的客户环境u安全产品自身存在的安全问题u安全产品无法解决所有的问题u分布的产品与集中的管理要求产品和服务的关系u相辅相成脱离服务的产品无法发挥其固有的能力脱离产品的服务效率低下、成本过高例子：钢筋和水泥u产品服务化、服务产品化产品服务化u优秀的产品需要有良好的服务支持售前设计/咨询售中实施/集成售后维护/保修u有了专业的服务，产品可以发挥出更大的效能服务产品化u专业的服务需要有优秀的产品作为辅助u专业的服务需要有专业的服务工具u专业的服务工具自身也是可销售的产品Internetwww内网DMZ外网wwwwww火眼IDSMail身份认证证书的发放、审核、废除数据库服务器网站实时监控信息安全产品分布图VPN 虚拟专用网虚拟专用网防火墙防火墙内容检测内容检测防病毒防病毒入侵探测入侵探测谢谢请提问！请提问！