信息与网络安全架构与方案.pptx

《信息与网络安全架构与方案.pptx》由会员分享，可在线阅读，更多相关《信息与网络安全架构与方案.pptx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全博士后科研工作站马东平 博士2001-10-25信息与网络安全架构与方案 Version 3Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-2Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-日程安排q安全理念q安全体系架构q安全模型q安全解决方案q全线安全产品q系列安全顾问服务q结束语安全理念Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-4Copyright 2001 X-Exploit TeamX-

2、Exploit Teamhttp:/www.x-信息与网络系统安全理念q安全不是纯粹的技术问题，是一项复杂的系统工程信息安全工程论q安全是策略，技术与管理的综合组织人才政策法规安全技术安全策略管理-5Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-信息安全特性 物理安全 应用安全网络安全系统安全-6Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-信道加密 信源加密身份认证。应网络级系统级用级管理级信息网络系统密级管理。访问控制地址过滤数据加密，线路加密安全操作系统应用安全

3、集成外联业务安全措施安全管理规范网络病毒监控与清除防火墙技术集中访问控制网络系统安全策略入侵检测弱点漏洞检测系统配置检测系统审计教训培育中软VPN安全网关中软B1安全操作系统中软高性能防火墙中软网络安全巡警中软信息监控与取证系统中软入侵检测系统信息与网络系统安全管理模型-7Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-信息与网络系统安全体系架构-8Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-典型企业的信息与网络系统拓扑INSIDE拨号接入服务器企业内部网络WANIN

4、TERNET企业广域网络Web ServerMail ServerDNS ServerAAA Server企业合作伙伴网络Internet出口PSTNINTERNET企业部门数据中心数据库服务器数据库服务器-9Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-图 1-2 信息基础设施元素企业的信息与网络系统的抽象-10Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-企业的信息与网络系统的安全框架IATF-11Copyright 2001 X-Exploit TeamX-Ex

5、ploit Teamhttp:/www.x-安全框架IATF保卫网络和基础设施主干网络的可用性无线网络安全框架系统互连和虚拟私有网（VPN）保卫边界网络登录保护远程访问多级安全保卫计算环境终端用户环境系统应用程序的安全支撑基础设施密钥管理基础设施/公共密钥基础设施（KMI/PKI）检测和响应-12Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-保护计算环境计算环境包括终端用户工作站台式机和笔记本，工作站中包括了周边设备；安全框架的一个基本原则是防止穿透网络并对计算环境的信息的保密性、完整性和可用性造成破坏的计算机攻击；对于那些最终得

6、逞了的攻击来说，早期的检测和有效的响应是很关键的；不断的或周期性的入侵检测、网络扫描以及主机扫描可以验证那些已经配置的保护系统的有效性；系统应用的安全；基于主机的检测与响应。-13Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-保护网络边界一个区域边界之内通常包含多个局域网以及各种计算资源组件，比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂的，比如它可以包含很多物理上分离的系统。绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。边界保护主要关注对流入、流出边界的数据流进行

7、有效的控制和监督。有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的如今检测系统（IDS）、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用，也可以结合使用，从而对边界内的各类系统提供保护。虽然边界的主要作用是防止外来攻击，但它也可以来对付某些恶意的内部人员，这些内部人员有可能利用边界环境来发起攻击，和通过开放后门/隐蔽通道来为外部攻击提供方便。-14Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-保护网络和基础设施网络以及为其提供支撑的相关基础设施（比如管理系统）是必须受到保

8、护的。在网络上，有三种不同的通信流：用户通信流、控制通信流以及管理通信流。保护的策略是，使用经过批准的广域网（WAN）来传输企业的机密数据，加密方式采用国家相关部门批准的算法；为保护非加密局域网上交换的敏感数据，要求使用符合一定条件的商业解决方案。-15Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-支持基础设施给以下情况提供服务：网络；最终用户工作站；网络、应用和文件服务器；单独使用的基础设施机器（即：高级的域名服务器（DNS）服务，高级目录服务器）。框架包括两个方面的内容：密钥管理基础设施(KMI)，其中包括公钥基础设施(PKI

9、)和检测响应基础设施。密钥管理基础设施：KMI 提供一种通用的联合的处理方式，以便于安全创建、分发和管理公共密钥证明和传统的对称密钥，使它们能够安全服务于网络、领地、和计算机环境。这些服务能够对发送者和接收者的身份进行可靠验证，并可以保护信息不会发生未授权泄露和更改。KMI 支持受控制的相互可操作的用户，保持为每个用户团体建立的安全策略。检测和响应：检测和响应基础设施使能够迅速检测和响应入侵。它也提供一个“熔化”能力，以便于可以观察事件与其它相关连。还允许分析员识别潜在的行为模式或新发展。在多数实现检测和响应能力的机构中，本地中心监视本地运行，并输送到大区域或国家中心。需要这个基础设施有技术解

10、决方案，如：入侵检测和监视软件；一些训练有素的专业人员，通常指的是计算机应急响应小组(CERT)。支撑基础设施-16Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-可定制的安全要素和领域网络物理与拓扑安全（CSS-SEC-ARC）访问控制与安全边界（CSS-SEC-CTL）弱点漏洞分析和风险审计（CSS-SEC-ASS）入侵检测与防御（CSS-SEC-IDS）信息监控与取证（CSS-SEC-INF）网络病毒防范（CSS-SEC-VPR）身份认证与授权（CSS-SEC-AAA）通信链路安全（CSS-SEC-LNK）系统安全（CSS-S

11、EC-SYS）数据与数据库安全（CSS-SEC-DBS）应用系统安全（CSS-SEC-APS）个人桌面安全（CSS-SEC-PCS）涉密网的物理隔离（CSS-SEC-PHY）灾难恢复与备份（CSS-SEC-RAB）集中安全管理（CSS-SEC-MAN）-17Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-网络物理与结构安全（CSS-SEC-ARC）网络物理安全 物理安全是保护计算机网络设备、设施、介质和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段犯罪行为导致的破坏、丢失。考虑三个方面：环境安全、设备安全和媒体

12、安全。对于机房环境安全，应符合相关的国家标准：GB50173-93电子计算机机房设计规范；GB2887-89计算站场地技术条件；GB9361-88计算站场地安全要求等。对于设备的物理安全，主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；关键网络设备和应用系统主机设备的冗余设计；员工整体安全意识的提高。对于媒体安全，包括媒体数据的安全及媒体本身的安全，要防止系统信息在空间的扩散。网络安全域结构 核心层（办公应用服务域，应用服务域，企业位内部信息服务域等）安全层（系统内部信息服务域，对相关单位信息服务域）可信任层（内部上下级节点网络，相关单位网络）非安全层（对外

13、信息服务域）危险层（公共Internet）各层安全性逐层递减。-18Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-访问控制与安全边界（CSS-SEC-CTL）根据内部网络的安全域结构，需要在不同安全域间设置边界访问控制，包括内外网连界、内网边界。网络边界访问控制的设计包括网络隔离方案、边界防火墙配置方案、局域网虚拟子网间的访问控制、远程访问控制。网络隔离 根据国家安全主管部门有关规定，党政涉密网要求与因特网物理断开。对于各单位的涉密应用，如涉密办公应用，应单独建立相应的网络。边界防火墙 防火墙是网络安全最基本的安全措施，目的是要在

14、内部、外部两个网络之间建立一个安全隔离带，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。网络隔离 局域网的多个业务系统：办公应用系统，应用系统，数据中心。可通过有效的虚拟子网划分来对无关用户组间实施安全隔离，提供子网间的访问控制:VLAN划分。远程访问控制 通过在广域连接的出入口配置防火墙，使远程用户对内部网服务器的访问受到防火墙的控制，远程内部网用户可按权限访问指定的内部网服务器。另外，通过设置一台安全认证服务器，可进行拨号用户身份、远程拨号路由器身份的认证，从而限制非法单机和局域网用户对内部网的访问。认证服务器可设在防火墙内，连接到内部网的交换机

15、上。-19Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-弱点漏洞分析和风险审计（CSS-SEC-ASS）-20Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-入侵检测与防御（CSS-SEC-IDS）-21Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-信息监控与取证（CSS-SEC-INF）-22Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-网络

16、病毒防范（CSS-SEC-VPR）计算机病毒一段能够自我复制，自行传播的程序。病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。在网络环境下，计算机病毒种类越来越多、危害越来越大、传染速度越来越快。计算机网络病毒具有不可估量的威胁性和破坏力，因而计算机病毒的防范也是网络安全建设的重要环节。考虑内部网络系统运行环境复杂，网上用户数多，同Internet有连接等，需在网络上建立多层次的病毒防护体系，对桌面、服务器和网关等潜在病毒进入点实行全面保护。（1）建立基于桌面的反病毒系统在内部网中的每台桌面机上安装单机版的反病毒软件，实时监测和捕获桌面计算机系统的病毒，防止来自软盘、光盘以及活

17、动驱动器等的病毒来源。（2）建立基于服务器的反病毒系统在网络系统的文件及应用服务器（一些关键的Windows NT服务器）上安装基于服务器的反病毒软件，实时监测和捕获进出服务器的数据文件病毒，使病毒无法在网络中传播。（3）建立基于群件环境的反病毒系统在网络系统的Louts Notes和Ms Exchange服务器上安装基于群件环境的反病毒软件，堵住夹在文档或电子邮件中的病毒。（4）建立基于Internet网关的反病毒系统在代理服务器（Proxy）网关上安装基于网关的反病毒软件，堵住来自Internet通过Http或Ftp等方式进入内部网络的病毒，而且可过滤恶意ActiveX,Java和Java

18、 Applet程序。（5）建立病毒管理控制中心在中心控制台（安全管理控制台）实施策略配置和管理、统一事件和告警处理、保证整个网络范围内病毒防护体系的一致性和完整性。通过自动更新、分发和告警机制，使桌面PC和服务器等设备自动获得最新的病毒特征库，完成终端用户软件及病毒特征信息的自动更新和升级，以实现网络病毒防范系统的集中管理。-23Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-信息与网络系统安全解决方案OUTSIDE INSIDEDMZ拨号接入服务器企业内部网络WANDMZ中立区INTERNET企业广域网络Web ServerMai

19、l ServerDNS ServerAAA Server企业合作伙伴网络Internet出口PSTN企业部门VPN网关构建企业VPN数据中心数据库服务器数据库服务器统一安全管理平台：网络安全巡警系统入侵检测系统控制台信息监控与取证系统控制台Windows审计系统控制台INTERNET-24Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-系统安全产品-25Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-静态网络安全产品-26Copyright 2001 X-Exploit

20、TeamX-Exploit Teamhttp:/www.x-动态网络安全产品-27Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-桌面安全与安全管理产品-28Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-系统安全安全边界通信安全动态安全桌面安全安全管理信息与网络系统全线安全产品-29Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-基于X-Exploit库的安全顾问服务-30Copyright 2001 X-E

21、xploit TeamX-Exploit Teamhttp:/www.x-基于X-Exploit库的安全顾问服务-31Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-基于X-Exploit库的安全顾问服务-32Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-结束语 安全不是技术，而是策略、技术与管理的综合 安全解决方案不是简单产品的堆砌，而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程 本安全解决方案是集安全技术、安全产品与安全服务于一体的整体安全解决

22、方案，是一个国有大型软件企业对社会的承偌。-33Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-关于X-Exploit Teamhttp:/www.x-Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-34Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-X-Exploit Team 一支由信息安全博士、博士后组成的博士团队 一支由专业安全技术人员组成的安全团队 一支不从政，不经商，专注安全学术的学术团队 一支既不高傲自大，也不妄自菲薄，只求扎扎实实作技术的求实团队 一支从事安全体系结构、安全模型、安全策略等基础理论研究的奉献团队 一支专注密码工程、弱点漏洞、攻击模式、攻击方法等工程技术研究的工程团队 一支 欢迎加入X-Exploit Teamhttp:/www.x-