1、2022-11-3网络安全整体解决方案(1)网络安全整体解决方案网络安全整体解决方案(1)网络安全整体解决方案(1)u 信息安全整体解决方案u 信息安全产品u 信息安全法规和标准网络安全整体解决方案(1)u 信息化进程u 安全方案的设计u 如何评价信息安全网络安全整体解决方案(1)财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络安全整体解决方案(1)财务软件财务软件物流软件物流软件OA系统
2、系统电子政务电子政务 财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台企业信息化称度的标志企业信息化称度的标志网络安全整体解决方案(1)根据风险制定出根据风险制定出网络安全整体解决方案(1)u 企业网络拓扑结构u 企业网络中的应用u 企业网络的结构特点网络安全整体解决方案(1)WWWMailDNS 帧中继 DDNWWWMailDNSWWWMailDNS 集团总部集团总部 省市公司省市公司 地市公司地市公司 省市公司省市公司网络安全整体解决方案(1)操作系
3、统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用具体的业务应用具体的业务应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用常规应用常规应用网络安全整体解决方案(1)操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB
4、应用应用MAIL应用应用FTP应用应用安全应用安全应用财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用安全网络平台安全网络平台安全操作系统平台安全操作系统平台安全管理安全管理管理平台管理平台管理平台管理平台网络安全整体解决方案(1)管理平台管理平台管理平台管理平台 操作系统平台操作系统平台网络平台(网络设备、网络协议、网络软件)网络平台(网络设备、网络协议、网络软件)操作系统平台操作系统平台财务软件财务软件物流软件物流软件OA系统系统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用财务软件财务软件物流软件物流软件OA系统系
5、统电子政务电子政务 WEB应用应用MAIL应用应用FTP应用应用层层次次一一层层次次二二层层次次三三层层次次四四1.主体身份鉴别 4.信息的机密性2.主体访问授权 5.信息的完整性3.主体行为不可抵赖 6 .1.系统的补丁 4.数据库的配置2.系统的增强 5.数据库的增强3.系统的配置 6 .1.设备冗余 3.安全路由 5.抗电磁辐射 7.安全访问2.线路冗余 4.安全拓扑 6.安全存储 8 1.安全法规 3.安全管理人员 5.安全评估2.安全管理制度 4.安全监督制度 6.网络安全整体解决方案(1)u 安全体系结构u 安全方案设计原则u 安全机制和技术u 安全模型网络安全整体解决方案(1)网
6、络安全整体解决方案(1)u 需求、风险、代价平衡分析的原则u 综合性、整体性原则u 一致性原则u 易操作性原则u 适应性及灵活性原则u 多重保护原则u 分布实施原则网络安全整体解决方案(1)网络安全整体解决方案(1)u 时间针对网络攻击u 空间针对体系建设恢复恢复评估评估防护防护响应响应侦测侦测前网络安全整体解决方案(1)u 什么是安全u 信息安全的目的网络安全整体解决方案(1)u 新的安全定义及时的检测就是安全及时的检测就是安全及时的响应就是安全及时的响应就是安全网络安全整体解决方案(1)PtDtPt+RtDtRt网络安全整体解决方案(1)说明:说明:黑客在到达攻击目标之前需要攻破很多的设备
7、黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机路由器,交换机)、系统(、系统(NTNT,UNIXUNIX)和放火墙等障碍,在黑客达到目标之前的时间,我们称之为防护时间)和放火墙等障碍,在黑客达到目标之前的时间,我们称之为防护时间PtPt;在黑客攻击过程中,我们检测到他的活动的所用时间称之为在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,Dt,检测到黑客的行为检测到黑客的行为后,我们需要作出响应,这段时间称之为后,我们需要作出响应,这段时间称之为Rt.Rt.假如能做到假如能做到Dt+RtPt,Dt+Rt+Rt网络安全整体解决方案(1)网络安全整体解决方案(1)u 安全方案的设
8、计思路u 信息安全的评价准则网络安全整体解决方案(1)u 信息安全整体解决方案u 信息安全产品u 信息安全法规和标准网络安全整体解决方案(1)u“网威”防火墙u“网威”入侵检测u“网威”安全评估u 安全服务网络安全整体解决方案(1)u 什么是防火墙?u 为什么需要防火墙?u 我们需要什么样的防火墙?网络安全整体解决方案(1)传统概念:传统概念:l 防火墙最早被用于建筑物之间防止火势蔓延;l 汽车工业中用于驾驶员与乘客之间进行隔离;网络安全整体解决方案(1)信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是一种在信任网络和非信任网络之间实施安全防范的系统。防火墙的目的是在内部、外部两个网
9、络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,对进、出内部网络的服务和访问进行审计和控制。网络中的概念:网络中的概念:网络安全整体解决方案(1)u 不安全因素网络协议(TCP/IP)系统漏洞u 攻击方式和攻击工具的泛滥容易得到容易使用网络安全整体解决方案(1)网络安全整体解决方案(1)C:xdos 192.168.1.1 139-t 5-s*网络安全整体解决方案(1)u 优秀的抗攻击能力u 优良的性能u 全面的功能u 易于使用维护网络安全整体解决方案(1)u 具备全面功能的防火墙VPN防垃圾邮件模块防病毒模块负载均衡A/A网络安全整体解决方案(1)u 为什么需要入侵检测
10、u 什么是入侵检测u 入侵检测能解决什么问题u 入侵检测的分类u 我们需要什么样的入侵检测网络安全整体解决方案(1)u 防火墙的局限性被动防御缺乏主动检测能力不是所有的威胁来自防火墙外部防火墙只能防御70%左右的攻击u 数字:2001年,美国CSI(Computer Security Institute)统计,在当年发生的安全事件中u 95%拥有防火墙网络安全整体解决方案(1)u 入侵行为是:入侵行为主要是指对系统资源的非授权使它可以造成系统数据的丢失和破坏可以造成系统拒绝对合法用户服务等危害u 入侵检测系统是:抓取网络上的报文分析处理报文报告异常网络安全管理员清楚地了解网络上发生的事件采取行
11、动阻止可能的破坏网络安全整体解决方案(1)监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机=探测引擎形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。网络安全整体解决方案(1)u 发现攻击行为,及时报警u 对攻击行为的主动处理u 防御来自内部的攻击u 实现主动防御网络安全整体解决方案(1)u 网络入侵检测(NIDS)u 主机入侵检测
12、(HIDS)网络安全整体解决方案(1)u 安装在被保护的网段中u 混杂模式监听u 分析网段中所有的数据包u 实时检测和响应u 操作系统无关性u 不会增加网络中主机的负载网络安全整体解决方案(1)u 安装于被保护的主机中u 主要分析主机内部活动系统日志系统调用文件完整性检查u 占用一定的系统资源网络安全整体解决方案(1)u 优秀的攻击发现能力u 分布部署能力u 集中管理能力u 易于安装使用u 自身安全性好网络安全整体解决方案(1)u 为什么需要入侵检测u 什么是入侵检测u 入侵检测能解决什么问题u 入侵检测的分类u 我们需要什么样的入侵检测网络安全整体解决方案(1)WWW Mail DNS 管理
13、子网一般子网内部WWW重点子网扫描路由器扫描交换机扫描防火墙扫描服务器扫描内部子网网络安全整体解决方案(1)u 网络设备:交换机、路由器和防火墙等u 系统:WINDOWS和UNIX等u 应用:数据库、Notes和邮件等u 网络安全整体解决方案(1)u 扫描整个网络系统的弱点和漏洞并建议采取相应的补救措施u 提前发现网络系统的弱点和漏洞,防患于未然网络安全整体解决方案(1)集团公司集团公司病毒管理机病毒管理机省市公司省市公司A病毒管理机病毒管理机省市公司省市公司B病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公司地市公司病毒管理机病毒管理机地市公
14、司地市公司病毒管理机病毒管理机1.统一管控统一管控2.分步式结构防毒分步式结构防毒3.网关防毒网关防毒4.工作站防毒工作站防毒5.服务器防毒服务器防毒a)杀毒策略统一制定杀毒策略统一制定b)病毒代码统一更新病毒代码统一更新c)统一病毒扫描统一病毒扫描.a)邮件服务器防毒邮件服务器防毒b)文件服务器防毒文件服务器防毒c)Notes服务器防毒服务器防毒.网络安全整体解决方案(1)发现病毒并立即采取相应的措施Internet 区域边界路由器WWW Mail 管理子网一般子网内部WWW重点子网网关防病毒软件发现病毒网络安全整体解决方案(1)u 为什么需要安全服务u 产品和服务的关系网络安全整体解决方案
15、(1)u 2001年,美国CSI(Computer Security Institute)统计,在当年发生的安全事件中:95%拥有防火墙 61%拥有IDS 90%拥有访问控制系统 42%拥有Digital ID 网络安全整体解决方案(1)u静态的产品与动态的安全实际u单一的产品与复杂的客户环境u安全产品自身存在的安全问题u安全产品无法解决所有的问题u分布的产品与集中的管理要求网络安全整体解决方案(1)u 相辅相成脱离服务的产品无法发挥其固有的能力脱离产品的服务效率低下、成本过高例子:钢筋和水泥u 产品服务化、服务产品化网络安全整体解决方案(1)u 优秀的产品需要有良好的服务支持 售前设计/咨询 售中实施/集成 售后维护/保修u 有了专业的服务,产品可以发挥出更大的效能网络安全整体解决方案(1)u 专业的服务需要有优秀的产品作为辅助u 专业的服务需要有专业的服务工具u 专业的服务工具自身也是可销售的产品网络安全整体解决方案(1)Internetwww内网DMZ外网wwwwww火眼IDSMail身份认证证书的发放、审核、废除数据库服务器网站实时监控网络安全整体解决方案(1)VPN 虚拟专用网虚拟专用网防火墙防火墙内容检测内容检测防病毒防病毒入侵探测入侵探测2022-11-3网络安全整体解决方案(1)