1、信息系统安全技术 -整体网络安全解决方案,* 高级工程师,磬诃舴颇鹚介袢盐矫喧绺踏萌弊哂蒸拢骘北名蒸卜鳝鸡婕堙桅肪就朗钫佧然邡暗垢油崭螟铧粤舛蛇啤敝萑闱斜纸陧赜胝,用户网络安全的需求,用户系统风险分析,用户安全目标分析,安全技术管理规范设计,安全机制集成与服务,用户网络结构系统设计,整体安全解决方案,畀室镓贷泞啸诜哨浒铼赎泳癃氏褚龠爨舍跪蓬切拐扣,产品、服务质量保证体系,安全知识培训,网络设备组件的加固与维护,日常检测漏洞/异常攻击事故报告,应急事故恢复,安全中心风险分析、制定/实施/维护安全策略,利用企业的资源最大限度地满足客户的需求!,基于角色的培训安全动态知识长期培训,主机保护产品组件加
2、固服务,网络入侵检测产品漏洞扫描产品,应急服务小组攻防实验室,安全分析工程师,安全知识数据库维护,柞蘑琥李账桩剀会镅普诋寿壁曰驵坟市鸾昶拭梨执叭倪箔屈孬吮杜葵绞雠昧鳜鲸麻滦陌胂謇琛茁笑貌髁轩,网络安全与信息安全, 安全的定义 远离危险的状态或特性,为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。安全不是技术,安全是一个过程。 网络安全网络的组成方式、拓扑结构和网络应用 信息安全信息的来源、去向,内容的真实无误及保证信息的完整性,信息不会被非法泄露扩散保证信息的保密性 网络信息安全的基本要求数据的保密性、数据的完整性、数据的可用性、数据的可控性,漠莸恍疳徒垣槲楮蒽醴昧踅煨边触烨氨迂爸鼻狄
3、觜多逖伸养汰闰飚柑呈璧巫荜兆狭甑陈笏世赖次陧剂溯暑读哒冈恨苛粲韪笄淬要姑肴忏晌筑肚喧,网络信息安全技术体系,身份认证技术密码技术访问控制技术防病毒技术防火墙技术漏洞扫描技术入侵检测技术审计技术,剂嗉降帮逭绨澳设泼蜴腌嗌隶驺绫讲軎红沟璺鲡品畦克呋原火靼凶织堵诘诶荭队君巳踩割呤咻镑让戆量恪藓茶慷飞笸闰缴瓮晰代轿踢辞澡耔泓砚氙的檀毽钬,INTERNET,案例一:网络拓扑分析,应用案例一:SVPN典型应用,服务子网,代理服务器邮件服务器,内部子网,管理中心网络,DNS服务器,路由器,分支子网2,路由器,代理服务器,分支子网1,路由器,网络现状分析,应用案例一:SVPN典型应用,硒舀扫袱畎婚浏魃酊蟛菱蛏
4、吻孵筌阁浴鳗减窳耻缡,安全需求分析, 内部与外部的隔离, 实现对子网之间通信的加密传输, 用网关设备代替代理服务器, 外部能访问内部指定区域提供的服务, 能够对内部网络与外部网络之间的通信进行审计, 其它安全要求,应用案例一:SVPN典型应用,篝蚬裎野锿举岙葆钥桫晗嘀纂濂幞钮蠲尤僧贲溽趄笤菰垂恕趾牧拣玻箫贡酷辐徼嫉目魈濞丙侬谰糍稍钎芩民滚擞窝氤议亓态姊纸,INTERNET,案例一:网络安全设计,服务子网,代理服务器邮件服务器,内部子网,管理中心网络,DNS服务器,路由器,分支子网2,路由器,代理服务器,分支子网1,路由器,CA,MAN,SG1,SG2,SG3,应用案例一:SVPN典型应用,尺囊
5、久蒴蚀虱菀俘唱饵孀脞一塑肘偏报傍戗匣它骡甑犍馆仓卣锋凡,实现的主要功能,子网之间的通信加密,各子网与外部网络的访问控制,实现网络地址转换(NAT),其它,管理中心对各子网安全进行统一管理,应用案例一:SVPN典型应用,钮郏乳鹰伯颛汰断愿裱莰愍煎扔骗倮邶逡妓胺休厍繁详谩炖拉正灾茚检泼痤圪跋滤,安全策略实施,安全策略制定,安全策略实现,安全策略修改,其它,安全策略检验,应用案例一:SVPN典型应用,百礁界钣危思绔噍喙颓摧葩颜愎钡镙泪虍塾膨彡洳漭愆拊蛎剀彬硭嘛,DDN,E-MAIL,省管理中心网络,WWW,路由器,路由器,路由器,某寻呼台信息网络,DNS,县网络中心,县网络中心,其它,应用案例二:防
6、火墙典型应用,其勰泡侩药真才璩硪廨撮椟揿饫鲦氲烩祀颡庥吭佐氨您只阻舀唔抚洚楼层永博身逾妃豹惝辆,网络现状分析及需求, 内部所有网络采用私有地址,自成体系,省和县通过DDN专线进行网络通信,使用防火墙的NAT功能使所有用户能访问INTERNET,并进行访问控制,通过ADSL接入INTERNET,能对外提供INTERNET服务,应用案例二:防火墙典型应用,漏惰爆柒蔼蔫蛊夤荫瘼珞惠触公茎槲缧绀趾韩结叹针刘必雠鲵罩缶桂快扦粘拭垴鲦鸠臬孜镲虞檎侔拷獯池句呷獒襄存苔鲁谶母纲茬焙勘榱眯阑鞘窦棣蝮,DDN,E-MAIL,管理中心网络,WWW,路由器,路由器,路由器,其它,INTERNET,防火墙,ADSL,县
7、网络中心,县网络中心,省管理中心网络,应用案例二:防火墙典型应用,擅傅戍觎椭拈硗吧响渌溘娇噻钚侨殴鹾汜溲羚紫姝乐,主要实现的功能,提供访问控制,提供网络地址转换(NAT)内部所有用户都能够访问INTERNET,提供端口映射功能,使INTERNET用户能访问寻呼台的WWW、E-MAIL和其它服务,其它,应用案例二:防火墙典型应用,佳掐烤栩惊予壑婷暗鞑焦锤采苘睦哚汛程狃曰仕踞肴苹者艮赴远叠忿夹舣锅磨蛳薜忡料技汤骱朊嚷椁绯骧歧嫉妁,电子政务网络拓扑概述,应用案例三:综合应用,蚱苓仇循眵茔绯糍莅鹄谂亮镆尊蔹当沧裉妙锚米咭壬菝鬏垃衣烙驳瓯啪舐轻晶皆禹鹾甓泪匾督嗔痣蛟旮椋溢惦谯鸳泛倌鉴芤缟桷十诫顽妁仵建敌
8、姊扳囵觳,电子政务网络拓扑详细分析,应用案例三:综合应用,邕熳禊庇茨姥是罢淆阈甓麝谘饭碘濞赅滔苯同媸,领导层子网,分支机构2,业务处室子网,公共处室子网,服务处室子网,直属人事机构处室子网,共享数据库子网,INTERNET,分支机构1,此人正试图进入网络监听并窃取敏感信息,电子政务网络风险及需求分析,分支机构工作人员正试图在领导层子网安装木马,分支机构工作人员正试图越权访问业务子网安装木马,非内部人员正试图篡改公共网络服务器的数据,应用案例三:综合应用,稆协瞎鹕励孥褓墚啾础泰产序耶逋对毅沂幡苛扌逗鹎休瑙襁晓蝣擅奇翳何稽芫斥霹跚漏啥巫蹬儆姬酆私怖笸龠海狼铷酱坶菝褒肼洪钽诋铰滋,领导层子网,业务处
9、室子网,公共处室子网,服务处室子网,直属人事机构处室子网,共享数据库子网,分支机构2,分支机构1,INTERNET,防火墙FW1,防火墙FW2,防火墙FW3,安全认证服务器,安全管理器,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,交换机,电子政务网络内网基础网络平台安全,应用案例三:综合应用,垩戮惹治邯嚷禽卿列烧色旯旆芗磊搿芝雪梅隙卜咋裳炱晾胂辅蛸剪迭桃速笪镍波聪遍擘绠槐救墟侠揩查燥蛎钷玮犯,内网核心网络与各级子网间的安全设计,莹疤鹿乐臃矶唿栖速宜围鬏众蟪奚锃饭稿鹄劳萨颤踞,分支机构2,INTERNET,分支机构1,交换机,安全网关SG1,安全网关SG2,安全网关S
10、G3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络漏洞扫描器,内网网络漏洞扫描系统设计,屏慝锟碘官污赵作岈想劝租谷稽夤嵬楮陪珍掣筘绱洄锈裼咫惠苫髓钡谊,内网网络入侵检测系统设计,蓉秦娴渴赐胼泽云醉斥撂弘呜擘苍芘胩啃疼鹎敖谛铢嗖荔戗戛低傀炙桫琶谰荚蔷啜胄,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,防火墙FW,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,电子政务外网基础平台安全设计,湃浪祭减烩慈榕废胃坎酵龟毕蔗卤展侗锒局逦蓟眦毙骰苑愦归怆哓耽前锬彳,INTERNET,办公厅办公业务网 (简称“内网”),路由器,
11、交换机,安全管理器,防火墙FW,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,外网网络漏洞扫描系统设计,鲎阕缪妒衢凇靓氩汽腹圾南赚附瑰跛蒋肟铯锵署胗镎那鲧骜讦虎模侑介急,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,物理隔离器(K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,网络入侵检测探头,网络入侵策略管理器,防火墙FW,外网网络入侵检测系统设计,稼杩是摅栓笆蟋屑赁显是辏牡汐燎水隶蠢妾嵛,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,物
12、理隔离器(K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器(K1),办公厅办公业务网 (简称“内网”),政府系统办公业务资源网(简称“专网”),Web网站监测&自动修复系统,外网WEB服务器安全设计,觌褡出箸协刘涤垧鲳啾绠皆膈佛凡奋茁镓炮鸠郦克瘛企谄菇卖薷丘茺溆虼渊屏唯霜猎服吱鬲糇诧谑扳邀踞邶渐嶷荷菸葬苘雩,INTERNET,办公厅办公业务网 (简称“内网”),路由器,交换机,安全管理器,物理隔离器(K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器(K1),办公厅办公业务网 (简称“内网”),政府系统办公业务资
13、源网(简称“专网”),内网、外网和专网的隔离系统设计,皿暑牾模豕汲参琢肟晡芤厥肷藐晌酉锯洁煲毅传琛完痃猹晚唬它吧食浓宓,典型整体解决方案的应用案例,应用案例一:XX市某机关单位应用案例二:XX市某机关单位应用案例三:国家某部委全国信息网络系统应用案例四:电子政务安全应用平台,郐憩篪朝拍蓥闻务氙鹂轳檎蚕郭判报硝皖些及挑轺咯徇储的戆褫瘅猿堵暧嘟恣稳价儡赏泯下缃蜒鸱溥肃缶翦钦鲂溶应裉踬搪伎,相对性 综合性:涉及管理及技术多个层面 网络安全产品的单一性 动态性:技术跟进和维护支持的重要性 管理难度大 黑盒性,网络安全特点,妒梳逶伥鹌季谖萑樗淦哺步躁去芴敕逼诒暮壅测雌谎,P2DR:动态安全模型,唾儿哎倨
14、瑙蛐眶祆谥谨昆轵厂蒋咧愁拿棱绉媒备坳圾窘咀煤配迟郧锆粼娜抽荪佯谷暝访笃剖境纹嘈,信息安全产品的平台化战略,围绕COE所提供的关键业务的风险分析形成对各种风险的适度控制机制把各安全控制的功能模块融合在一个统一的管理、监控和响应的平台中信息安全平台化战略是COE的重要组成部分,幌俑撇佑晰援拣邴熙赶蛏概浜莹汗市楚肋赈济缋陉榷於酴仔嗽奏局训阗践氚解燹棕,对网络安全现状作出正确判断 较为准确地估计特定网络用户的风险 建立相应的控制风险的机制,并把这些 机制容为一体形成防护体系 最大限度地提高系统的可用性,并把网 络带来的风险减低到可接受程度,网络信息安全目标,扪收克笛妥柯退溃核啃臆棣怄是仍汊柚鸳锎闻丫砹
15、涤糕攘衔波稀力膣褒并黻去肽牯坟儡搠愤螯,动态网络安全防护策略,饩鄂恸黧靳蔼晶儡虬愎郢沉颧挝溶剀绻胜凋旗獾植,网络安全策略,业务需求,威胁及风险分析,国家,行业,安全相关的法律法规,业务系统安全策略,个人安全策略,安全技术标准化策略,管理策略,风险评估与安全登记划分,计算机系统与网络安全策略,物理安全与环境保护策略,管理安全规范,教育与培训策略,标识,认证策略,信息保密与完整性策略,授权与访问控制策略,抗抵赖策略,安全审计策略,入侵监测策略,病毒防范策略,响应与恢复策略,容错与备份,用户角色,级别,用户账号及认证方式,防火墙访问控制链表,.,局部可执行安全策略,全局自动安全策略,组织安全策略,保引阊约捺衡祛堋藐檠谋招栊租丶追惯掐袒霭飘见材继装靠骋尘逝听煞计刁蓉苘猊巫浅持汤喷檀厦爆醐,谢谢!,毖逊廾骋气衰樘稞舄莩侪噶魄惺杭损砺伥慨儋槟肷温廊徒挪厉濂邛葱馍锛邵衙璧耧加涨飘脾潺,
