信息与网络安全架构与方案.ppt

1、信息系统安全技术信息系统安全技术 -整体网络安全解决方案整体网络安全解决方案产品、服务质量保证体系产品、服务质量保证体系安全知识培训安全知识培训安全知识培训安全知识培训网络设备组件的加固与维护网络设备组件的加固与维护网络设备组件的加固与维护网络设备组件的加固与维护日常检测日常检测日常检测日常检测漏洞漏洞漏洞漏洞/异常攻击事故报告异常攻击事故报告异常攻击事故报告异常攻击事故报告应急事故恢复应急事故恢复应急事故恢复应急事故恢复安全中心安全中心安全中心安全中心风险分析、风险分析、风险分析、风险分析、制定制定制定制定/实施实施实施实施/维护安全策略维护安全策略维护安全策略维护安全策略利用企业的资源最大

2、限度地满足客户的需求！利用企业的资源最大限度地满足客户的需求！利用企业的资源最大限度地满足客户的需求！利用企业的资源最大限度地满足客户的需求！基于角色的培训基于角色的培训基于角色的培训基于角色的培训安全动态知识长期培训安全动态知识长期培训安全动态知识长期培训安全动态知识长期培训主机保护产品主机保护产品主机保护产品主机保护产品组件加固服务组件加固服务组件加固服务组件加固服务 网络入侵检测产品网络入侵检测产品网络入侵检测产品网络入侵检测产品漏洞扫描产品漏洞扫描产品漏洞扫描产品漏洞扫描产品应急服务小组应急服务小组应急服务小组应急服务小组攻防实验室攻防实验室攻防实验室攻防实验室安全分析工程师安全分析工

3、程师安全分析工程师安全分析工程师安全知识数据库维护安全知识数据库维护安全知识数据库维护安全知识数据库维护网络安全与信息安全网络安全与信息安全网络安全与信息安全网络安全与信息安全 安全的定义安全的定义 远离危险的状态或特性，为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。安全不是技术安全不是技术安全不是技术安全不是技术,安全是一个过程。安全是一个过程。安全是一个过程。安全是一个过程。网络安全网络安全网络的组成方式、拓扑结构和网络应用 信息安全信息安全信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性 网络信息安全的基本要求网络信息安全的基本要求数据

4、的保密性、数据的完整性、数据的可用性、数据的可控性 网络信息安全技术体系网络信息安全技术体系身份认证技术身份认证技术密码技术密码技术访问控制技术访问控制技术防病毒技术防病毒技术防火墙技术防火墙技术漏洞扫描技术漏洞扫描技术入侵检测技术入侵检测技术审计技术审计技术INTERNET案例一：网络拓扑分析应用案例一：SVPN典型应用服务子网服务子网服务子网服务子网代理服务器代理服务器邮件服务器邮件服务器内部子网内部子网管理中心网络管理中心网络管理中心网络管理中心网络DNS服务器服务器路由器路由器路由器路由器分支子网分支子网分支子网分支子网2 2路由器路由器路由器路由器代理服务器代理服务器代理服务器代理服

5、务器分支子网分支子网分支子网分支子网1 1路由器路由器路由器路由器网络现状分析 内部子网采用私有地址，通过代理服务器访问内部子网采用私有地址，通过代理服务器访问INTERNET 服务子网对外提供服务子网对外提供WWW服务和电子邮件服务服务和电子邮件服务 服务子网和内部子网与服务子网和内部子网与INTERNET之间无之间无任何保护措任何保护措 施施,无网络安全管理手段无网络安全管理手段 中心子网与分支子网通过中心子网与分支子网通过INTERNET网络连接并有重要信网络连接并有重要信息传递息传递应用案例一：SVPN典型应用安全需求分析 内部与外部的隔离内部与外部的隔离 实现对子网之间通信的加密传输

6、实现对子网之间通信的加密传输 用网关设备代替代理服务器用网关设备代替代理服务器 外部能访问内部指定区域提供的服务外部能访问内部指定区域提供的服务 能够对内部网络与外部网络之间的通信进行审计能够对内部网络与外部网络之间的通信进行审计 其它安全要求其它安全要求应用案例一：SVPN典型应用INTERNET案例一：网络安全设计服务子网服务子网服务子网服务子网代理服务器代理服务器邮件服务器邮件服务器内部子网内部子网管理中心网络管理中心网络管理中心网络管理中心网络DNS服务器服务器路由器路由器路由器路由器分支子网分支子网分支子网分支子网2 2路由器路由器路由器路由器代理服务器代理服务器代理服务器代理服务器

7、分支子网分支子网分支子网分支子网1 1路由器路由器路由器路由器NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源CAMANSG1SG2SG3应用案例一：SVPN典型应用实现的主要功能 子网之间的通信加密子网之间的通信加密 各子网与外部网络的访问控制各子网与外部网络的访问控制 实现网络地址转换（实现网络地址转换（NAT）其它其它 管理中心对各子网安全进行统一管理管理中心对各子网安全进行统一管理

8、应用案例一：SVPN典型应用安全策略实施 安全策略制定安全策略制定 安全策略实现安全策略实现 安全策略修改安全策略修改 其它其它 安全策略检验安全策略检验应用案例一：SVPN典型应用DDNE-MAIL省管理中心网络省管理中心网络WWW路由器路由器路由器路由器路由器路由器某寻呼台信息网络DNS县网络中心县网络中心县网络中心县网络中心其它其它应用案例二：防火墙典型应用网络现状分析及需求 内部所有网络采用私有地址，自成体系内部所有网络采用私有地址，自成体系 省和县通过省和县通过DDN专线进行网络通信专线进行网络通信 使用防火墙的使用防火墙的NAT功能使所有用户能访问功能使所有用户能访问INTERNE

9、T，并进行访问控制并进行访问控制 通过通过ADSL接入接入INTERNET 能对外提供能对外提供INTERNET服务服务应用案例二：防火墙典型应用DDNE-MAIL管理中心网络WWW路由器路由器路由器路由器路由器路由器其它其它NEsec300 FW2035968?告告警警内网接口内网接口外网接口外网接口电电 源源INTERNET防火墙防火墙ADSL县网络中心县网络中心县网络中心县网络中心省管理中心网络省管理中心网络应用案例二：防火墙典型应用主要实现的功能 提供访问控制提供访问控制 提供网络地址转换（提供网络地址转换（NAT）内部所有用户都能内部所有用户都能够访问够访问INTERNET 提供端口

10、映射功能，使提供端口映射功能，使INTERNET用户能访问用户能访问寻呼台的寻呼台的WWW、E-MAIL和其它服务和其它服务 其它其它应用案例二：防火墙典型应用内部核心子网INTERNET分支机构1分支机构2电子政务网络拓扑概述电子政务网络拓扑概述应用案例三：综合应用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1电子政务网络拓扑详细分析电子政务网络拓扑详细分析应用案例三：综合应用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感

11、信息电子政务网络风险及需求分析电子政务网络风险及需求分析分支机构工作分支机构工作人员正试图在人员正试图在领导层子网安领导层子网安装木马装木马分支机构工作分支机构工作人员正试图越人员正试图越权访问业务子权访问业务子网安装木马网安装木马非内部人员正试图篡改公共网络服务器的数据应用案例三：综合应用领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源INTERNETNEsec300 FW2035968?告警内网接口外网接口电源防火

12、墙防火墙FW1防火墙防火墙FW2防火墙防火墙FW3安全认证服务器安全认证服务器安全管理器安全管理器安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器交换机交换机电子政务网络内网基础网络平台安全电子政务网络内网基础网络平台安全应用案例三：综合应用NEsec300 FW2035968?告警内网接口外网接口电源分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外

13、网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器内网核心网络与各级子网间的安全设计内网核心网络与各级子网间的安全设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网

14、接口外网接口电源交换机交换机安全网关安全网关SG1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络漏洞扫描器网络漏洞扫描器内网网络漏洞扫描系统设计内网网络漏洞扫描系统设计分支机构2INTERNET分支机构1NEsec300 FW2035968?告警内网接口外网接口电源 内部核心子网内部核心子网NEsec300 FW2035968?告 警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电源NEsec300 FW2035968?告警内网接口外网接口电源交换机交换机安全网关安全网关SG

15、1安全网关安全网关SG2安全网关安全网关SG3路由器路由器路由器路由器路由器路由器安全管理器安全管理器安全认证服务器安全认证服务器网络入侵检测探头网络入侵检测探头网络入侵策略管理网络入侵策略管理器器内网网络入侵检测系统设计内网网络入侵检测系统设计INTERNET办公厅办公业务网办公厅办公业务网 （简称（简称“内网内网”）路由器路由器交换机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器电子政务外网基础平台安全设计电子政务外网基础平台安全设计INTERNET办公厅办公业务网办公厅办公业务网 （简称（简称“内网内网”）路由器路由器交换

16、机交换机安全管理器安全管理器防火墙防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器外网网络漏洞扫描系统设计外网网络漏洞扫描系统设计INTERNET办公厅办公业务网办公厅办公业务网 （简称（简称“内网内网”）路由器路由器交换机交换机安全管理器安全管理器物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络漏洞扫描器网络入侵检测探头网络入侵检测探头网络入侵策略管理器网络入侵策略管理器防火墙防火墙FW外网网络入侵检测系统设计外网网络入侵检测系统设计INTERNET办公厅办公业务网办公厅办公业务网 （简称（简

17、称“内网内网”）路由器路由器交换机交换机安全管理器安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙防火墙FW物理隔离器（K1)办公厅办公业务网办公厅办公业务网 （简称（简称“内网内网”）政府系统办公政府系统办公业务资源网业务资源网（简称（简称“专网专网”）Web网站监网站监测测&自动修自动修复系统复系统 外网外网WEB服务器安全设计服务器安全设计INTERNET办公厅办公业务网办公厅办公业务网 （简称（简称“内网内网”）路由器路由器交换机交换机安全管理器安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙防火墙FW物理隔离

18、器（K1)办公厅办公业务网办公厅办公业务网 （简称（简称“内网内网”）政府系统办公业政府系统办公业务资源网（简称务资源网（简称“专网专网”）内网、外网和专网的隔离系统设计内网、外网和专网的隔离系统设计典型整体解决方案的应用案例应用案例一：成都市某机关单位应用案例二：北京市某机关单位应用案例三：国家某部委全国信息网络系统应用案例四：电子政务安全应用平台 相对性相对性 综合性：涉及管理及技术多个层面综合性：涉及管理及技术多个层面 网络安全产品的单一性网络安全产品的单一性 动态性：技术跟进和维护支持的重要性动态性：技术跟进和维护支持的重要性 管理难度大管理难度大 黑盒性黑盒性网络安全特点网络安全特点

19、P2DRP2DR：动态安全模型动态安全模型 信息安全产品的平台化战略信息安全产品的平台化战略围绕围绕COECOE所提供的关键业务的风险分析所提供的关键业务的风险分析形成对各种风险的适度控制机制形成对各种风险的适度控制机制把各安全控制的功能模块融合在一个统一把各安全控制的功能模块融合在一个统一的管理、监控和响应的平台中的管理、监控和响应的平台中信息安全平台化战略是信息安全平台化战略是COECOE的重要组成部的重要组成部分分 对网络安全现状作出正确判断对网络安全现状作出正确判断 较为准确地估计特定网络用户的风险较为准确地估计特定网络用户的风险 建立相应的控制风险的机制建立相应的控制风险的机制,并把

20、这些并把这些 机制容为一体形成防护体系机制容为一体形成防护体系 最大限度地提高系统的可用性最大限度地提高系统的可用性,并把网并把网 络带来的风险减低到可接受程度络带来的风险减低到可接受程度网络信息安全目标网络信息安全目标动态网络安全防护策略动态网络安全防护策略网络安全策略网络安全策略业务需求业务需求威胁及风险分析威胁及风险分析国家国家,行业行业,安全相关安全相关的法律法规的法律法规业务系统安全策略业务系统安全策略个人安全策略个人安全策略安全技术标准化策略安全技术标准化策略管理策略管理策略风险评估与安全登记划分风险评估与安全登记划分计算机系统与网络安全策略计算机系统与网络安全策略物理安全与环境保护策略物理安全与环境保护策略管理安全规范管理安全规范教育与培训策略教育与培训策略标识标识,认证策略认证策略信息保密与完整性策略信息保密与完整性策略授权与访问控制策略授权与访问控制策略抗抵赖策略抗抵赖策略安全审计策略安全审计策略入侵监测策略入侵监测策略病毒防范策略病毒防范策略响应与恢复策略响应与恢复策略容错与备份容错与备份用户角色用户角色,级别级别用户账号及认证方式用户账号及认证方式防火墙访问控制链表防火墙访问控制链表.局部可执行安全策略局部可执行安全策略全局自动安全策略全局自动安全策略组织安全策略组织安全策略谢谢！谢谢！