1、20042004年年8 8月月讲师:杜旭讲师:杜旭u信息安全整体解决方案u信息安全产品u信息安全法规和标准u信息化进程u安全方案的设计u如何评价信息安全财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台
2、(网络设备、网络协议、网络软件)操作系统平台操作系统平台企业信息化称度的标志企业信息化称度的标志根据风险制定出根据风险制定出u企业网络拓扑结构u企业网络中的应用u企业网络的结构特点WWWMailDNS 帧中继 DDNWWWMailDNSWWWMailDNS 集团总部集团总部 省市公司省市公司 地市公司地市公司 省市公司省市公司 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用具体的业务应用具体的业务应用财务软件
3、财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用常规应用常规应用 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用安全应用安全应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用安全网络平台安全网络平台安全操作系统平台安全操作系统平台安全管理安全管理管理平台管理平台管理平台管理平台管理平台管理平台管理平台
4、管理平台 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用层层次次一一层层次次二二层层次次三三层层次次四四1.主体身份鉴别 4.信息的机密性2.主体访问授权 5.信息的完整性3.主体行为不可抵赖 6 .1.系统的补丁 4.数据库的配置2.系统的增强 5.数据库的增强3.系统的配置 6 .1.设备冗余 3.安
5、全路由 5.抗电磁辐射 7.安全访问2.线路冗余 4.安全拓扑 6.安全存储 8 1.安全法规 3.安全管理人员 5.安全评估2.安全管理制度 4.安全监督制度 6.u安全体系结构u安全方案设计原则u安全机制和技术u安全模型u需求、风险、代价平衡分析的原则u综合性、整体性原则u一致性原则u易操作性原则u适应性及灵活性原则u多重保护原则u分布实施原则u 时间针对网络攻击u 空间针对体系建设恢复恢复评估评估防护防护响应响应侦测侦测前u什么是安全u信息安全的目的u新的安全定义及时的检测就是安全及时的检测就是安全及时的响应就是安全及时的响应就是安全PtDtPt+RtDtRt说明:说明:黑客在到达攻击目
6、标之前需要攻破很多的设备黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机路由器,交换机)、系统(、系统(NTNT,UNIXUNIX)和放火墙等障碍,在黑客达到目标之前的时间,我们称之为防护时间)和放火墙等障碍,在黑客达到目标之前的时间,我们称之为防护时间PtPt;在黑客攻击过程中,我们检测到他的活动的所用时间称之为在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,Dt,检测到黑客的行为检测到黑客的行为后,我们需要作出响应,这段时间称之为后,我们需要作出响应,这段时间称之为Rt.Rt.假如能做到假如能做到Dt+RtPt,Dt+Rt+Rtu安全方案的设计思路u信息安全的评价准则u信
7、息安全整体解决方案u信息安全产品u信息安全法规和标准u“网威”防火墙u“网威”入侵检测u“网威”安全评估u安全服务u什么是防火墙?u为什么需要防火墙?u我们需要什么样的防火墙?传统概念:传统概念:l 防火墙最早被用于建筑物之间防止火势蔓延;l 汽车工业中用于驾驶员与乘客之间进行隔离;I In nt te er rn ne et t 信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是一种在信任网络和非信任网络之间实施安全防范的系统。防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,对进、出内部网络的服务和访问进行审计和控制。网络中的概念
8、:网络中的概念:u不安全因素网络协议(TCP/IP)系统漏洞u攻击方式和攻击工具的泛滥容易得到容易使用C:xdos 192.168.1.1 139-t 5-s*u优秀的抗攻击能力u优良的性能u全面的功能u易于使用维护u具备全面功能的防火墙VPN防垃圾邮件模块防病毒模块负载均衡A/Au为什么需要入侵检测u什么是入侵检测u入侵检测能解决什么问题u入侵检测的分类u我们需要什么样的入侵检测u防火墙的局限性被动防御缺乏主动检测能力不是所有的威胁来自防火墙外部防火墙只能防御70%左右的攻击u数字:2001年,美国CSI(Computer Security Institute)统计,在当年发生的安全事件中u
9、95%拥有防火墙u入侵行为是:入侵行为主要是指对系统资源的非授权使它可以造成系统数据的丢失和破坏可以造成系统拒绝对合法用户服务等危害u入侵检测系统是:抓取网络上的报文分析处理报文报告异常网络安全管理员清楚地了解网络上发生的事件采取行动阻止可能的破坏监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机=探测引擎形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭
10、道路(与防火墙联动)。u发现攻击行为,及时报警u对攻击行为的主动处理u防御来自内部的攻击u实现主动防御u网络入侵检测(NIDS)u主机入侵检测(HIDS)u安装在被保护的网段中u混杂模式监听u分析网段中所有的数据包u实时检测和响应u操作系统无关性u不会增加网络中主机的负载u安装于被保护的主机中u主要分析主机内部活动系统日志系统调用文件完整性检查u占用一定的系统资源u优秀的攻击发现能力u分布部署能力u集中管理能力u易于安装使用u自身安全性好u为什么需要入侵检测u什么是入侵检测u入侵检测能解决什么问题u入侵检测的分类u我们需要什么样的入侵检测WWW Mail DNS 管理子网一般子网内部WWW重点
11、子网扫描路由器扫描交换机扫描防火墙扫描服务器扫描内部子网u网络设备:交换机、路由器和防火墙等u系统:WINDOWS和UNIX等u应用:数据库、Notes和邮件等uu扫描整个网络系统的弱点和漏洞并建议采取相应的补救措施u提前发现网络系统的弱点和漏洞,防患于未然集团公司集团公司病毒管理机病毒管理机省市公司省市公司A病毒管理机病毒管理机省市公司省市公司B病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机1.统一管控统一管控2.分步式结构防毒分步式结构防毒3.网关防毒网关防毒4.工作站防毒
12、工作站防毒5.服务器防毒服务器防毒a)杀毒策略统一制定杀毒策略统一制定b)病毒代码统一更新病毒代码统一更新c)统一病毒扫描统一病毒扫描.a)邮件服务器防毒邮件服务器防毒b)文件服务器防毒文件服务器防毒c)Notes服务器防毒服务器防毒.发现病毒并立即采取相应的措施Internet 区域边界路由器WWW Mail 管理子网一般子网内部WWW重点子网网关防病毒软件发现病毒u为什么需要安全服务u产品和服务的关系u2001年,美国CSI(Computer Security Institute)统计,在当年发生的安全事件中:95%拥有防火墙 61%拥有IDS 90%拥有访问控制系统 42%拥有Digit
13、al ID u 静态的产品与动态的安全实际u 单一的产品与复杂的客户环境u 安全产品自身存在的安全问题u 安全产品无法解决所有的问题u 分布的产品与集中的管理要求u相辅相成脱离服务的产品无法发挥其固有的能力脱离产品的服务效率低下、成本过高例子:钢筋和水泥u产品服务化、服务产品化u优秀的产品需要有良好的服务支持 售前设计/咨询 售中实施/集成 售后维护/保修u有了专业的服务,产品可以发挥出更大的效能u专业的服务需要有优秀的产品作为辅助u专业的服务需要有专业的服务工具u专业的服务工具自身也是可销售的产品Internetwww内网DMZ外网wwwwww火眼IDSMail身份认证证书的发放、审核、废除数据库服务器网站实时监控VPN 虚拟专用网虚拟专用网防火墙防火墙内容检测内容检测防病毒防病毒入侵探测入侵探测请提问!请提问!谢谢 谢!谢!放映结束 感谢各位批评指导!让我们共同进步
