1、电子电子政务信息安全解决政务信息安全解决方案方案 2 目录目录一电子政务信息安全行业综述基本概念3电子政务定义电子政务定义电子政务:电子政务:政府机构应用现代信息和通信技术,将管理和服务通过网络技术进行集成,在互联网上实现政府组织结构和工作流程的优化重组,超越时间、空间与部门分隔的限制,全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务。电子政务的目的是什么?电子政务的目的是什么?政府从本质上来说,其需求并不是一张网,主要是下面的几点:1、转变政府职能,从“管理主导型”变为“服务主导型”2、提高效率,精简机构3、提高政府透明度及政务公开,加强廉政建设4、加强行业管理和规范5、科学决策
2、,提高执政的水平6、加强政策宣传和民众教育4两网、一站、四库、十二金两网、一站、四库、十二金“两网”:是指政务内网和政务外网;“一站”:是政府门户网站;“四库”:即建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库;“十二金”:办公业务资源系统、金宏、金税、金关、金财、金融监管(含金卡)、金审、金盾、社会保障、金农、金水、金质“两网一站四库十二金两网一站四库十二金”:覆盖了我国电子政务急需建设的各个方面,将初步构成我国电子政务建设的基本框架。覆盖了我国电子政务急需建设的各个方面,将初步构成我国电子政务建设的基本框架。5政府信息政府信息化化政政府管理发展的必然趋势府管理发展的必然趋
3、势lG2B:网上招商、网上开业、网上 报税、网上年检等G2CG2C G2GG2GG2EG2E G2BG2BlG2G:跨部门数据共享、协作办公、联合审批、应急联动等lG2E:提高工作效率、提升业务水平、多 渠道培训等lG2C:信息浏览、政务咨询、网上办事、网上投诉、网上申报等政府信息化建设已经成为国际上新一轮公共行政管理改革和衡量国家竞争力水平的重要标志之一,也成为推动全球IT产业发展的强大动力61998200320032008第二阶段 建设内容以政府上网为主线。建设特点重硬件轻软件,以网络基础设施建设为主,运行联网办公、业务上网、政府网站等网络应用系统。建设成果互联网技术得到了迅速应用,许多重
4、要的业务已经能够在网络上办理。第一阶段 建设内容 以办公自动化为主线。建设特点单个计算机为主,运行字处理、报表等单机版软件 建设成果 计算机应用得到了推广并且引起了政府工作人员的重视第三阶段 建设内容 以资源整合应用为主线。建设特点 重软件轻硬件,以业务需求为导向,重点是应用系统的开发和使用维护等工作。建设成果国家建设了政务资源网络。“金”字系列工程全国联网建设了一批基于政务资源网络上的跨业务、跨部门的应用系统 第四阶段 建设内容 以智能化应用为主线。建设特点利用数据挖掘、人工智能等多种技术手段,基于主题数据库和政务资源神经网络,以资源的关联应用为核心,实现政务的智能化 建设成果 将出现一批“
5、虚拟公务员”,政府机构设置和人员配置将有很大的变革20092013中国电子政务发展中国电子政务发展当前电子政务3个阶段并存201320187电子政务网络结构特点物理隔离逻辑隔离政务外网政府网站政务内网省市厅局对外数据中心和业务平台骨干汇聚接入骨干汇聚接入省市机密数据中心和业务平台RouterFirewallWWW服务器Mail服务器RR8什么是网络与信息安全什么是网络与信息安全l信息安全:信息安全:p保护信息免受各种威胁p确保业务的连续性p将信息不安全带来的损失降低到最小p获得最大的投资回报和商业机会l网络安全:网络安全:p网络、设备的安全p线路、设备、路由和系统的冗余备份p网络及系统的安全稳
6、定运行p网络及系统资源的合理使用黑客攻击黑客攻击病毒蠕虫木马病毒蠕虫木马拒绝服务攻击拒绝服务攻击欺诈钓鱼欺诈钓鱼9网络安全:电子政务和一般网络的区别网络安全:电子政务和一般网络的区别l电子政务网络安全是一般网络安全的一部分电子政务网络安全是一般网络安全的一部分l电子政务网络安全具有一般网络安全的所有特性电子政务网络安全具有一般网络安全的所有特性l一般网络安全不具有电子政务网络安全的一些特点一般网络安全不具有电子政务网络安全的一些特点l电子政务网络安全涉及国家安全、国家机密,要求安全级别更高、更严格电子政务网络安全涉及国家安全、国家机密,要求安全级别更高、更严格l电子政务网络安全涉及百姓生活,政
7、务公开、信息共享,要保证信息是真实的电子政务网络安全涉及百姓生活,政务公开、信息共享,要保证信息是真实的、可靠的、没有经过篡改的、可靠的、没有经过篡改的l电子政务网络安全关系到政务的国内、国际形象电子政务网络安全关系到政务的国内、国际形象l电子政务网络安全影响到电子政务网络安全影响到“服务型政府服务型政府”的实施的实施一般网络电子政务网10 目录目录一电子政务信息安全行业综述属性和特征11安全的相关属性安全的相关属性使信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性。使信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性。保护信息及处理方法的准确性和完备性。保护信息及处
8、理方法的准确性和完备性。被授权实体一旦需要就可访问和使用的特性。被授权实体一旦需要就可访问和使用的特性。确保主体或资源的身份正是所声称身份的特性。真实性适用于用户、过程、系统和信息确保主体或资源的身份正是所声称身份的特性。真实性适用于用户、过程、系统和信息之类的实体。之类的实体。确保可将一个实体的行动唯一地追踪到此实体的特性。确保可将一个实体的行动唯一地追踪到此实体的特性。证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动作或事件。证明某一动作或事件已经发生的能力,以使事后不能抵赖这一动作或事件。保密性保密性完整性完整性可用性可用性真实性真实性可核查性可核查性抗抵赖性抗抵赖性可靠性可靠性
9、预期行为和结果相一致的特性。预期行为和结果相一致的特性。12网络与信息安全的基本特征网络与信息安全的基本特征l相对性相对性 p只有相对的安全,没有绝对的安全系统l时效性时效性 p新的漏洞与攻击方法不断发现l相关性相关性 p日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)p新的系统组件也会引入新的问题l不确定性不确定性 p攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性 l复杂性复杂性p信息安全是一项系统工程,需要技术的和非技术的手段,涉及到管理、培训、技术、人员、标准、运行等l必要性必要性p网络与信息安全必须是企业重点并持续关注和解决的13 目录目录
10、一电子政务信息安全行业中国等级划分14中国等中国等级划分级划分-等级说明等级说明l第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成成损损害,但不损害国家安全、社会秩序和公共利益害,但不损害国家安全、社会秩序和公共利益。l第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生生严严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。l第三级,信息系统受到破坏后,会对社会秩序和
11、公共利益造成严重损害,第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或或者者对国家安全造成损害。对国家安全造成损害。l第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害害,或者对国家安全造成严重损害或者对国家安全造成严重损害。l第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第一级第二级第三级第四级第五级15中国等中国等级划分级划分-定级方法定级方法公民、法人和其他组织的合法权益社会秩序公共利益国家安全第一级第二级第三级第四级第五
12、级一般损害严重损害特别严重损害侵害程度说明侵害对象16中国等中国等级保护的参与者级保护的参与者l国家管理部门国家管理部门l信息系统主管部门信息系统主管部门l信息系统运营、使用单位信息系统运营、使用单位l信息安全服务机构信息安全服务机构l信息安全等级测评机构信息安全等级测评机构l信息安全产品提供商信息安全产品提供商等级保护国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务
13、院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统运营使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者
14、改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评
15、;按照等级保护相关要求销售信息安全产品并提供相关服务。信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。17 目录目录一电子政务信息安全行业综述标准化组织18国际信息安全标准化组织国际信息安全标准化组织ISOIECITUIETFPGP开发规范;鉴别防火墙遍历;通用鉴别技术;域名服务系统安全;IP安全协议;一次性口令鉴别);X.509公钥基础设施;S/MIME邮件安全;安全Shel
16、l;简单公钥基础设施;传输层安全;Web处理安全。TC56 可靠性;TC74 IT设备安全和功效;TC77 电磁兼容;CISPR 无线电干扰特别委员会。前身是CCITT消息处理系统;目录系统(X.400系列、X.500系列);安全框架;安全模型等标准。JTC1 SC27,信息技术-安全技术,共个工作组发布,主要信息安全标准;其他子委员会主要有SC6、SC18、SC21、SC22、SC30等等;ISO/TC 68,银行和有关的金融服务。除以上国际组织外,各个国家均有自己的信息安全标准化组织,如ANSI(美国国家标准)、BIS(印度标准)、BSI(英国标准)、BS标准目录 NF(法国标准)、DIN
17、(德国标准)、GOST(俄罗斯国家标准)、JSA(日本标准)、TIS(泰国标准)、AS(澳大利亚标准)、CSA(加拿大标准协会)等等 19中国信息安全标准化组织与标准体系中国信息安全标准化组织与标准体系国标地方标准行业标准企业标准GBGB/TGB/ZDB11北京DB31上海DB44广东GA公安JR金融YD通信Q+*企业20 目录目录二信息安全需求与挑战重大事件21重大信息安全事故:维基解密重大信息安全事故:维基解密2010年7月25日,“维基解密”通过英国卫报、德国明镜和美国纽约时报公布了92000份军事机密文件。10月23日,“维基解密”公布了391,832份美军关于某战争的机密文件。11月
18、28日,维基解密网站泄露了25万份美国驻外使馆发给美国国务院的秘密文传电报。“维基解密”是美国乃至世界历史上最大规模的一次泄密事件,其波及范围之广,涉及文件之众,均史无前例。该事件引起了世界各国政府对信息安全工作的重视和反思。据美国有线电视新闻网12月13日报道,为防止军事机密泄露,美国军方已下令禁止全军使用USB存储器、CD光盘等移动存储介质。22某科技厅网站被挂马某科技厅网站被挂马政务网络安全事件:网站挂马政务网络安全事件:网站挂马某省建设厅、科技厅网站被黑客植入木马,用户如果访问该网页,系统就会自动从恶意网站上下载并运行恶意程序。被感染的用户系统可能被远程控制,盗取用户敏感信息,并导致系
19、统故障无法使用,也对政府形象和权威性造成了不良影响。某建设厅网站被挂马某建设厅网站被挂马23政务网络安全事件政务网络安全事件2011年3月4日上午10:00开始,包括韩国青瓦台总统网、外交通商部等官方机构网站和韩国国民银行等金融机构以及一些门户网站在内的40家政府网站遭遇DDOS攻击。被安装有恶意软件的“肉鸡电脑”,会同时向特定网站发起攻击。这些恶意软件是通过韩国国内P2P网站“sharebox”和“superdown”传播开的。2011年11月8日,网络黑客攻击美国伊利诺伊州供水系统,导致供水系统故障,攻击者利用一款远程监控水泵的软件系统,使一台水泵受损。传统意义上的黑客攻击往往针对金融机构
20、、政府网站、知名企业等,但人们往往忽视了对于基建设施工业控制信息安全的关注与重视。政府网站瘫痪政府网站瘫痪民生系统故障民生系统故障审计数据丢失审计数据丢失2011年5月,由于得克萨斯州审计办公室的一台没有加密的服务器,使得得克萨斯州三个政府机构的数据库所收集的敏感信息被泄密了将近整整一年,包括 350万人的姓名、社会安全号码和邮寄地址,另外还有一些人的出生日期和驾驶执照号码。政府需要技术性的控制和监管解决方案来认真落实政策和程序。24 目录目录二信息安全需求与挑战安全威胁种类25网络面临全方位的网络面临全方位的安全威胁安全威胁l互联网访问l威胁:木马、病毒、垃圾邮件、攻击l外网数据交互、移动办
21、公l威胁:数据传输失密l内网数据资源访问l威胁:权限滥用,数据安全l对外公共服务l威胁:DDOS、网页篡改、代码注入业务业务安全安全窃取、篡改攻击、窃取攻击跳板越权访问对内服务器合作伙伴/分支机构对外服务器移动办公26威胁种类繁多威胁种类繁多内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击欺诈钓鱼欺诈钓鱼信息丢失、篡改、销信息丢失、篡改、销毁毁内部网络滥用内部网络滥用病毒蠕虫木马病毒蠕虫木马黑客攻击黑客攻击信息资产信息资产物理偷窃物理偷窃27 目录目录二信息安全需求与挑战安全现状28政务网安全现状业务系统之间无防护连接,等级防护控制困难,存在全网安全风险内网用户任意访问非业务相关系统 非法
22、用户随意接入公司内部网络OA、网管等应用管理系统缺少有效的安全防护,易受到黑客、病毒和DDOS等攻击:未打补丁、未安装防病毒、弱口令、安装非法软件、违反企业系统安全策略(如:信息泄密).省网管省公文系统省OA地市网管地市公文无防护连接地市终端省信息中心地市信息中心非法接入实际网络InternetInternet地市OA网管服务器遭到攻击,设备无法正常维护大面积病毒爆发,办公网络不可用,网管OA公文系统理想模型无防护连接越权访问应用系统漏洞终端漏洞29电子政务安全建设的问题电子政务安全建设的问题l网络安全整体规划的不到位:网络安全整体规划的不到位:由于信息技术发展的历史原因和建设资金问题,我国电
23、子政务网络的建设在规划上经常缺少前瞻性的安全规划。随着安全问题的不断出现,只能在运行过程中不停地修修补补,但是这种修补只能解决暂时的问题,解决一个问题后,往往又有新问题出现。l使用安全产品缺乏统一考虑使用安全产品缺乏统一考虑由于国内外网络安全产品五花八门,各种产品门类众多,技术水平也有很大差别,政府部门在选用安全产品的时候经常会难辨优劣。而且,在部署安全产品的时候,也缺乏全局性和产品互补性的考虑,各种安全产品的统一部署协调性很难维持,因此,也很难让安全产品充分发挥其应有的功效。30 目录目录二信息安全需求与挑战31国家层面国家层面政协人大国务院党中央地市级层面地市级层面县乡级县乡级层面层面省级
24、层面省级层面市委市政府市人大市政协县税务局县 工 商局县社保局市税务局市工商局市社保局县委县政府县人大县政协省社保局省工商局省税务局省政协省人大省政府省委劳动与社会保障部工 商 总局税 务 总局不同部门、不同业务间的逻辑隔离不同部门、不同业务间的逻辑隔离横向网络:信息共享,跨行业、跨政府协作,区域政府全方位(一站式)对外服务。纵向网络:业务运作,行业管理与监管32电子政务网络边界安全需求电子政务网络边界安全需求电子政务互联网服务区办公区省市分支省市分支纵向纵向-横向互连横向互连数据中心Internet分支机构主要安全需求主要安全需求1.控制互联网端的黑客攻击和木马等;2.过滤暴力、色情的网页;
25、3.提高工作效率,记录上网行为;4.改善带宽利用率;5.提高连接的可靠性;6.对于出差员工,提供可靠的访问通道;7.对于内部光线网络或无线网络,控制不可信的连接;主要安全需求主要安全需求1.接入端控制黑客攻击、木马和病毒;2.分支机构间建立可靠的传输通道;3.认证分支机构;4.隔离不同的安全区域;33 目录目录二信息安全需求与挑战场景分析34场景一、文档安全管理,防止拷贝、窃取、设备丢失等途径泄密给外部人员查看文档安全管理中心1 12 23 34 45 5外部人员部长制作了一份报告部长把报告加密,授权给部长助理只读权限,传给助理部长助理通过身份认证,正常打开文件1、拷贝文件泄露给外部人员外部人
26、员无法与文档外部人员无法与文档安全管理中心进行安全管理中心进行认认证,证,不能打开不能打开文档文档3、黑客窃取2、设备丢失给外部人员部长助理马上通知文档管理员,取消自己ID的所有文档权限35场景二、通过终端安全管理,防止终端非法接入政府内网政府内网内部威胁与攻击内部威胁与攻击终端安全管理终端安全管理文档泄密违规网络操作外来人员网络非法操作权限不当扩大数据管理终端非法接入网络接入终端的操作未进行监控接入的身份试图接触超越级别的资料接入的终端可能有危险存在:病毒/蠕虫36场景三、移动办公安全接入EudemonEudemonNIPSecEntry支持IPSec的NAT穿越(防火墙+IPSec接入网关
27、)支持国密加密算法Eudenmon与NIP之间联动37 目录目录三信息安全解决方案设计原则38把信息安全作为系统工程建设把信息安全作为系统工程建设信息安全工作是一项系统工程,需要以风险管理为核心,从运维管理、核心业务、基础设施、终端用户、公共安全服务五方面着手,全面建设安全管理体系,实现信息安全工作的职能化、规范化、专业化、系统化和服务化,为信息化建设保驾护航。组织人员组织人员安全管理中心安全管理中心规范流程规范流程管理管理决策支持决策支持ERPERPOAOA主机主机网络网络系统软件系统软件终端终端用户行为用户行为内容内容PKI/CAPKI/CA4A4A终端安全管理内容安全管理基础设施与应用安
28、全管理信息安全39 关注重点:内部威胁 实施功能:1、桌面控制2、应用监控3、深度感知4、综合管理问题:不能解决实体欺骗带来的安全风险关注重点:外部攻击实施功能:1、安全分域2、访问控制3、入侵防范4、安全隧道问题:对内部攻击无能为力分阶段解决信息安全问题分阶段解决信息安全问题 关注重点:实体欺骗 实施功能:1、集中认证2、统一授权3、行为审计4、密码保护40电子政务安全设计原电子政务安全设计原则则l实用性原则实用性原则各项建设都要从政府的实际需求出发,以应用为主导,采用成熟的安全设备和技术。l高性能、先进性原则高性能、先进性原则在安全方案方面力求采用先进的网络技术、应用平台和开发工具,以保证
29、系统有较长的生命周期。同时确保系统及所用设备的高性能和成熟性,减少系统的风险。l高可靠性原则高可靠性原则安全系统设计要充分考虑设备自身的可靠性和关键部件冗余,避免因某一点出现故障而对整个系统的正常运行产生影响。尽量采用通过国内权威机构认证的产品和技术,保证建成的系统可靠稳定运行。l经济性原则经济性原则在系统设计和建设中,应尽可能地充分利用和保护已有投资,避免重复建设。设备选用上,要充分考虑其兼容性、可扩展性及性能价格比。l可扩展性及灵活性原则可扩展性及灵活性原则系统设计上要求可以根据业务的需要,对安全系统进行扩展和平滑升级。不仅要满足当前应用,而且要考虑以后的系统扩展,灵活升级。l可维护性原则
30、可维护性原则政务系统是一个复杂的综合性系统,包括多种通信标准、接口标准等,考虑系统的可维护性和可管理性,提供一个全面的安全运维管理解决方案,实现监控、监测整个系统的运行状况,保证系统出现安全问题时在最短的时间内得到解决。41 目录目录三信息安全解决方案总体架构42全面立体的安全解决方案全面立体的安全解决方案Page 422*100M负载均衡网站网站互联网服务区互联网服务区电子政务网络数据中心电子政务网络数据中心业务服务器数据存储核心路由器Router FW/UTM-EudemonIDS-NIPAnti-DDoSSSL VPN 管理中心管理中心安全接入控安全接入控制服务器制服务器统一网管统一网管
31、VSM核心交换机安全接入网关IP phone财政部IP phone司法部Computer国家电子政务国家电子政务IP 骨干网骨干网 MPLS VPN 网网某省1 财政办公室某省1 司法办公室某省2 财政办公室某省2 司法办公室FW/UTM-EudemonFW/UTM-EudemonFW/UTM-EudemonFW/UTM-EudemonFW/UTM-EudemonTSM客户端TSM客户端TSM客户端Data center数据存储业务服务器优点优点:p高性能和高可靠性p立体安全防御p端到端的边界防御系统p确保全面的终端安全p统一管理和维护43网络安全分网络安全分域域Page 43SECOSPAC
32、E对外公共服务域对内公共服务域DMZ区SMTPPOP3WEBERPOACRM业务区域财务生产远程终端区域OA公共终端区域安全网络域对内公共服务域对外公共服务域安全计算域超级终端区域安全用户域远程终端区域专用终端区域安 全 域内部用户域网络域44客户解决方案与产品一览客户解决方案与产品一览客户类型客户类型解决方案解决方案主要产品组合主要产品组合政府类客户边界防护与安全连接方案FW/UTM,IPS,VPN主机与终端安全方案主机威胁防御、漏洞扫描与主机加固、NAC安全内控与合规性方案SWG,终端安全,合规性咨询,等级保护,FISMA.应用安全解决方案SMG,WAF,身份认证DLP解决方案DLP(终端
33、、网络、存储)统一安全管理方案SOC,网管45网络边界安全解决方案网络边界安全解决方案46国家电子政务外网国家电子政务外网省国家市InternetLANInternetLANWEBWEB数据中心数据中心MPLS数据中心数据中心MPLS国家级网络边界安全解决方案国家级网络边界安全解决方案.47地市级网络边界安全解决方案地市级网络边界安全解决方案移动用户城域网核心区互联网出口区互联网服务区资源中心管理中心自建数据中心的分散厅局VPN地市VPN服务区外网服务区接入纵向VPN的分散厅局分散市级机构厅局市府大楼局域网用户分散市级机构厅局用户接入区区县省级防火墙电子政务外网48区县级网络边界安全解决方案区
34、县级网络边界安全解决方案移动用户城域网核心区互联网出口区互联网服务区资源中心接入纵向VPN的分散厅局或乡镇VPNVPN服务区外网服务区乡镇分散县级机构厅局县府大楼局域网用户分散县级机构厅局用户接入区区县防火墙电子政务外网地市49数据中心安全解决方案数据中心安全解决方案50对外门户区域内部公共区域部门区域MailDNSDB部门1部门nWEBPortalFTPNE40-82XS8508政务网2XS8508NE40E-8Eudemon1000Eudemon1000NIP1000NIP10002XS8508PEPECECECECEE1000NIP1000BIGIP3400BIGIP3400Intern
35、etStorage and BackupSecondary DCE1000NE40E-8用户域Eudemon500MA5200GEudemon500VPN2XNE40-42XEudemon5001XS3552G管理域2XS5624网络监控1XS3552G2xS8505OAVOIP/视频会议E1000E1000Web Proxy政务数据中心安全解决方案远程访问51Anti-DDoS 安全解决方案安全解决方案52检测中心检测中心清洗中心清洗中心智能安全管理中心智能安全管理中心Internet服务器区服务器区电子电子政务网政务网Anti-DDoS 解决方案解决方案2、实时检测分析3、识别攻击源、被攻
36、击的目标以及攻击特征,上报结果4、根据预先配置的策略,向清洗中心通告攻击源、目标、攻击特征;5、把攻击流引到清洗中心清洗.6、对清洗后的流量进行回注.7、上报攻击流量清洗结果,以及各种攻击日志方案方案特点特点l高性能硬件平台高性能硬件平台l旁路检测旁路检测l自愈合网络自愈合网络l自动化响应自动化响应l全流量全流量DPI检测检测l灵活多样的部署灵活多样的部署1、来自互联网的DDoS攻击;53检测中心检测中心Netflow BoxOptical SplittingNetfloworn数据时间粒度可以很细,实时性较好数据时间粒度可以很细,实时性较好n包含包含7 7层协议信息,并可实现其他应用层异常分
37、层协议信息,并可实现其他应用层异常分析检测,缺少路由相关的信息,如析检测,缺少路由相关的信息,如AS,Next hopAS,Next hopn检测准确度高,深度包检测,特征匹配,会话重检测准确度高,深度包检测,特征匹配,会话重组组n部署集中,扩展性要求较高部署集中,扩展性要求较高n旁路部署对现网设备无任何影响旁路部署对现网设备无任何影响 n数据时间粒度中等,检测延迟较大数据时间粒度中等,检测延迟较大n支持七元组的信息采集分析,支持路由相关信息,支持七元组的信息采集分析,支持路由相关信息,无法实现基于应用协议的异常分析无法实现基于应用协议的异常分析n检测准确性低,基于七元组采样报文进行基于统检测
38、准确性低,基于七元组采样报文进行基于统计检测计检测n部署简单,易于扩展部署简单,易于扩展n需要现网设备向分析设备吐需要现网设备向分析设备吐Netflow流,对现网流,对现网设备有一部分的影响设备有一部分的影响全网粗粒度基本流量检测全网粗粒度基本流量检测细粒度实时深度业务攻击检测细粒度实时深度业务攻击检测54清洗中心清洗中心白名单黑名单LAND攻击Fraggle攻击WinnukePing of DeathTear DropTCP标志超大ICMP攻击正常流量BYPASSIP OptionICMP重定向ICMP不可达TRACERTIP源站选路选项控制报文IP时间戳选项控制报文IP路由记录选项控制报文
39、流量整型避免目标阻塞静态过滤清洗中心通过层次化的防护流程,精准的防护技术,有效防护网络的各种清洗中心通过层次化的防护流程,精准的防护技术,有效防护网络的各种DoS/DDoS攻击,同时确保网络业务流量的低时延攻击,同时确保网络业务流量的低时延特殊控制报文源合法性认证丢弃丢弃TCP Fragment FloodSYN FloodSYN-ACK FloodHTTP Get FloodHTTP Post FloodHTTPS FloodDNS Query FloodDNS Reply FloodSIP Flood基于会话清洗流量整型TCP FloodUDP FloodICMP FloodConnect
40、ion FloodUDP FloodUDP Fragment FloodICMP FloodCCHTTP Get FloodHTTP Post Flood动态统计分析畸形报文过滤特征识别过滤55管理中心管理中心56Anti-Anti-DDoSDDoS方案特色方案特色l部署位置:直路、旁路l检测方式:采用DPI技术l引流模式:静态引流、动态引流、交互式引流l防御方式:只检测、检测+清洗、交互式防御随需部署出色防御方便管理l七层报文净化,防御四大类攻击(流量型攻击、应用型攻击、扫描窥探型攻击、畸形包攻击)l多核硬件平台(多核分布式平台),32个处理线程,确保出色性能l高性能高能耗,多项节能环保技术
41、l集中式网管与Web网管,满足不同客户管理需求l基于业务流量模型学习,配置简单防御精确l攻击取证溯源、特性化报表,使管理员对攻击行为“防御透明、管理可视”57VPN安全解决方案安全解决方案58电子电子政务政务VPN安全接入解决方案安全接入解决方案省厅部委办1省厅部委办2IPSec VPN国家部国家部 C国家部国家部 B国家部国家部 AEudemon1000EEudemon1000E省省 网网厅局委办内网厅局委办内网厅局委办内网FW前置机网闸应用服务器PEEudemon1000EEudemon1000EEudemon200-XEudemon200-XMPLS VPN省厅部委办3移动办公移动办公A
42、DSLADSL国家数据中心国家数据中心专线l应用场景应用场景1:省厅部委办省厅部委办1与国家部与国家部A 通信通信l应用场景应用场景2:省厅部委办省厅部委办1与省厅部委办与省厅部委办2 通信通信l应用场景应用场景3:省厅部委办省厅部委办1 与国家数据中心通信与国家数据中心通信l应用场景应用场景4:移动办公与办公机构通信移动办公与办公机构通信l应用场景应用场景5:省厅部委办省厅部委办3与省厅部委办与省厅部委办2或国家部或国家部C通信通信59端到端的安全防护端到端的安全防护用户身份严认证用户身份严认证加强数据传输安全加强数据传输安全权限控制细粒度权限控制细粒度ClientClientIntrane
43、t Intranet ServersServers本地数据库本地数据库LDAPLDAPRADIUSRADIUSCACASecurIDSecurID加密加密认证认证SyslogSyslog ServerServer授权授权审计审计60文件服务器网管Manager酒店住宅营业厅系统(BOSS系统)邮件服务器SMCWeb服务器移动办公方案特色方案特色随时随地访问随时随地访问61终端安全解决方案终端安全解决方案62TSM终端安全管理可销售的SPES准入准入控制控制安全安全管理管理桌面桌面管理管理l准入控制:对终端接入进行控制l 安全管理:终端安全加固、办公和上网行为管理、网络防护、信息泄密防护l 桌面
44、管理:资产管理、软件部署应用场景:场景1,准入控制 场景2,终端安全加固 场景3,终端办公和上网行为管理 场景4,终端外泄防护场景5,终端网络防护场景6,终端补丁管理场景7,终端资产管理场景8,终端软件分发场景9,终端远程协助63TSM多种接入方案SACG+主机防火墙+NAC完善的准入控制方式完善的准入控制方式主机防火墙安全准入控制网关802.1X准入控制支持组合支持组合企业网络企业网络本地访问本地访问远程办公接入远程办公接入合作伙伴接入合作伙伴接入分支机构接入分支机构接入SCSM补丁服务器补丁服务器Core Network业务服务器2业务服务器1认证后域认证后域认证前域认证前域隔离域隔离域S
45、ACG1SACG2内部员工安全代理(永久)内部员工安全代理(永久)访客、合作伙伴安全代理(可消融)访客、合作伙伴安全代理(可消融)Internet802.1X主机防火墙主机防火墙 安全准入控安全准入控制网关制网关远程访问远程访问环境无关,提供终端、网环境无关,提供终端、网络、核心资源的多层次防络、核心资源的多层次防护护简化访客管简化访客管理理64DSM文档安全管理系统RMS 账号、部门管理 用户漫游 跨系统授权 Web客户端登陆日志 文件操作日志 用户管理文档权限管理日志审计文档安全管理系统(文档安全管理系统(DSMDSM)强大的动态加解密技术 实时文档权限控制 组策略与权限模板 DMCDMC
46、Core networkCore networkDS1DS1系统管理系统管理员员DCDCDS2DS2DCDC支持集中或分布式部署支持集中或分布式部署 A A 省省B B 省省DSMDSM管理节点管理节点DSMDSM管理节点管理节点DMC:DSM管理中心 DS:DSM服务器DC:DSM客户端65UMA运维审计认证+授权+审计产品概述:产品概述:l作为IT核心资源的统一接入控制和运维审计解决方案,通过对核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,可有效解决IT运维管理问题,满足相关法规、标准要求,完善IT管理体系。产品定位:产品定位:lUMA定位在运
47、营商、电力、政府、金融、能源、交通、大中型企业、上市公司。应用场景:应用场景:l统一运维接入、统一权限控制、统一安全审计。硬件规格:硬件规格:l单台UMA支持1000设备。l单台UMA支持500并发用户l同时支持字符界面接入和图形界面的接入。UMA100 UMA200 UMA300 UMA500 UMA1000 1002003005001000统一硬件平台,通过统一硬件平台,通过LicenseLicense控制型号,以后升级只需控制型号,以后升级只需要升级要升级LicenseLicense即可。即可。66UMA运维审计一切尽在审计之中命令行:Telnet、SSH文本菜单:HP的SAM、IBM的
48、SMIT,LINUX的SETUP等 OracleInformixDB2SybaseSQL Server等基于WEB操作,如:HTTP、HTTPS基于C/S应用终端操作,如:AS400RDPX11VNCFTPSFTPRDP磁盘通道、剪贴板等文件传输Avocent 管理终端DSR、DSVIEW力登管理终端:RARITAN、RARITAN_CC覆盖了所有的运维方式,满足数据中心运维管理的需求网络设备数据库系统应用系统主机系统67一体化的解决一体化的解决方案方案高可靠性高可靠性业界领先的准入业界领先的准入控制控制应用成熟应用成熟功能涵盖终端安全管理的所有方面可整合文档安全和移动存储设备管理,形成业界最
49、完善的、端到端的安全解决方案电信级专业硬件设备可用度0.99999,MTBF为12.67 年、MTTR为0.5小时SACG、DB、SC等重要资源冗余热备,自动逃生,保证业务持续运行提供监控平台,提前预警、故障报警快速在线诊断定位故障业界最强的环境适应性终端、网络、核心资源三重防护快速部署、访客管理、自动识别和处理例外设备实名制管理,依身份授权访问范围终端一键式自动修复,实现自我管理稳定可靠、无法绕过集中、分布、分级三种部署方式,全面适应各种规模网络最小化网络带宽占用各行业全面应用,便于维护和管理终端部署超过300万专业安全厂商全力打造专业安全厂商全力打造TSMTSM方案特点方案特点68统一管理
50、解决方案统一管理解决方案69统一管理解决方案统一管理解决方案省级部级市级MPLS数据中心数据中心MPLS.数据中心数据中心数据中心数据中心安全管理中心安全管理中心1.不同的安全日志:不同的安全日志:FW、IDP、DPI、AV、网络节点的、网络节点的WEB安安全和邮件安全等;全和邮件安全等;2.Elog可以提供可以提供日志采集、分析、日志采集、分析、关联、审计、告警、存储、查关联、审计、告警、存储、查询和报表询和报表等功能;等功能;3.的的安全能力中心可以采用最新安全能力中心可以采用最新的安全规则提供实时分析,并的安全规则提供实时分析,并且给出整个网络安全情况分析且给出整个网络安全情况分析审计报