收藏
下载资源

信息系统安全技术-整体安全解决方案v22

上传人:千****8 文档编号:118685898 上传时间:2019-12-22 格式:PPT 页数:35 大小:1.13MB
返回 下载 相关 举报
信息系统安全技术-整体安全解决方案v22_第1页
第1页 / 共35页
信息系统安全技术-整体安全解决方案v22_第2页
第2页 / 共35页
信息系统安全技术-整体安全解决方案v22_第3页
第3页 / 共35页
信息系统安全技术-整体安全解决方案v22_第4页
第4页 / 共35页
信息系统安全技术-整体安全解决方案v22_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《信息系统安全技术-整体安全解决方案v22》由会员分享,可在线阅读,更多相关《信息系统安全技术-整体安全解决方案v22(35页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全技术 -整体网络安全解决方案 何长龙 高级工程师 用户网络安全的需求用户网络安全的需求 用户系统风险分析用户系统风险分析 用户安全目标分析用户安全目标分析 安全技术管理规范设计安全技术管理规范设计 安全机制集成与服务安全机制集成与服务 用户网络结构系统设计用户网络结构系统设计 整整 体体 安安 全全 解解 决决 方方 案案 产品、服务质量保证体系 安全知识培训安全知识培训 网络设备组件的加固与维护网络设备组件的加固与维护 日常检测日常检测漏洞漏洞 / / 异常攻击事故报告异常攻击事故报告 应急事故恢复应急事故恢复 安全中心安全中心风险分析、风险分析、 制定制定/ /实施实施/ /维

2、护安全策略维护安全策略 利用企业的资源最大限度地满足客户的需求!利用企业的资源最大限度地满足客户的需求! 基于角色的培训基于角色的培训 安全动态知识长期培训安全动态知识长期培训 主机保护产品主机保护产品 组件加固服务组件加固服务 网络入侵检测产品网络入侵检测产品 漏洞扫描产品漏洞扫描产品 应急服务小组应急服务小组 攻防实验室攻防实验室 安全分析工程师安全分析工程师 安全知识数据库维护安全知识数据库维护 网络安全与信息安全 安全的定义 远离危险的状态或特性,为防范间谍活动或蓄意破坏、犯罪 、攻击或逃跑而采取的措施。安全不是技术安全不是技术, ,安全是一个过程。安全是一个过程。 网络安全 网络的组

3、成方式、拓扑结构和网络应用 信息安全 信息的来源、去向,内容的真实无误及保证信息的完整性,信息 不会被非法泄露扩散保证信息的保密性 网络信息安全的基本要求 数据的保密性、数据的完整性、数据的可用性、数据的可控性 网络信息安全技术体系网络信息安全技术体系 身份认证技术 密码技术 访问控制技术 防病毒技术 防火墙技术 漏洞扫描技术 入侵检测技术 审计技术 INTERNET 案例一:网络拓扑分析 应用案例一:SVPN典型应用 服务子网服务子网 代理服务器 邮件服务器 内部子网 管理中心网络管理中心网络 DNS服务器 路由器路由器 分支子网分支子网2 2 路由器路由器 代理服务器代理服务器 分支子网分

4、支子网1 1 路由器路由器 网络现状分析 内部子网采用私有地址,通过代理服务器访问INTERNET 服务子网对外提供WWW服务和电子邮件服务 服务子网和内部子网与INTERNET之间无 任何保护措 施,无网络安全管理手段 中心子网与分支子网通过INTERNET网络连接并有重要信 息传递 应用案例一:SVPN典型应用 安全需求分析 内部与外部的隔离 实现对子网之间通信的加密传输 用网关设备代替代理服务器 外部能访问内部指定区域提供的服务 能够对内部网络与外部网络之间的通信进行审计 其它安全要求 应用案例一:SVPN典型应用 INTERNET 案例一:网络安全设计 服务子网服务子网 代理服务器 邮

5、件服务器 内部子网 管理中心网络管理中心网络 DNS服务器 路由器路由器 分支子网分支子网2 2 路由器路由器 代理服务器代理服务器 分支子网分支子网1 1 路由器路由器 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电 源 CA MAN SG1 SG2 SG3 应用案例一:SVPN典型应用

6、实现的主要功能 子网之间的通信加密 各子网与外部网络的访问控制 实现网络地址转换(NAT) 其它 管理中心对各子网安全进行统一管理 应用案例一:SVPN典型应用 安全策略实施 安全策略制定 安全策略实现 安全策略修改 其它 安全策略检验 应用案例一:SVPN典型应用 DDN E-MAIL 省管理中心网络 WWW 路由器 路由器 路由器 某寻呼台信息网络 DNS 县网络中心 县网络中心 其它 应用案例二:防火墙典型应用 网络现状分析及需求 内部所有网络采用私有地址,自成体系 省和县通过DDN专线进行网络通信 使用防火墙的NAT功能使所有用户能访问INTERNET ,并进行访问控制 通过ADSL接

7、入INTERNET 能对外提供INTERNET服务 应用案例二:防火墙典型应用 DDN E-MAIL 管理中心网络 WWW 路由器 路由器 路由器 其它 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电 源 INTERNET 防火墙 ADSL 县网络中心 县网络中心 省管理中心网络 应用案例二:防火墙典型应用 主要实现的功能 提供访问控制 提供网络地址转换(NAT)内部所有用户都能 够访问INTERNET 提供端口映射功能,使INTERNET用户能访问 寻呼台的WWW、E-MAIL和其它服务 其它 应用案例二:防火墙典型应用 内部核心子网 INTERNET

8、分支机构1 分支机构2 电子政务网络拓扑概述电子政务网络拓扑概述 应用案例三:综合应用 领导层子网 分支机构2 业务处 室子网 公共处 室子网 服务处 室子网 直属人 事机构 处室子网 共享数据 库子网 INTERNET 分支机构1 电子政务网络拓扑详细分析电子政务网络拓扑详细分析 应用案例三:综合应用 领导层子网 分支机构2 业务处 室子网 公共处 室子网 服务处 室子网 直属人 事机构 处室子网 共享数据 库子网 INTERNET 分支机构1 此人正试图进 入网络监听并 窃取敏感信息 电子政务网络风险及需求分析电子政务网络风险及需求分析 分支机构工作 人员正试图在 领导层子网安 装木马 分

9、支机构工作 人员正试图越 权访问业务子 网安装木马 非内部人员正试 图篡改公共网络 服务器的数据 应用案例三:综合应用 领导层子网 业务处 室子网 公共处 室子网 服务处 室子网 直属人 事机构 处室子网 共享数据 库子网 分支机构2 分支机构1 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电源 INTERNET NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 防火墙FW1防火墙FW2 防火墙FW3 安全认证服务器 安全管理器

10、安全网关SG1 安全网关SG2 安全网关SG3 路由器 路由器 路由器 交换机 电子政务网络内网基础网络平台安全电子政务网络内网基础网络平台安全 应用案例三:综合应用 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 分支机构2 INTERNET 分支机构1 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 内部核心子网 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 NEsec300 F

11、W 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 交换机 安全网关SG1 安全网关SG2 安全网关SG3 路由器 路由器路由器 安全管理器 安全认证服务器 内网核心网络与各级子网间的安全设计内网核心网络与各级子网间的安全设计 分支机构2 INTERNET 分支机构1 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 内部核心子网 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 NEsec300 FW 2 0

12、3 5 9 6 8 ? 告警 内网接口 外网接口 电源 交换机 安全网关SG1 安全网关SG2 安全网关SG3 路由器 路由器路由器 安全管理器 安全认证服务器 网络漏洞扫描器 内网网络漏洞扫描系统设计内网网络漏洞扫描系统设计 分支机构2 INTERNET 分支机构1 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 内部核心子网 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告警 内网接口 外网接口 电源 NEsec300 FW 2 0 3 5 9 6

13、8 ? 告警 内网接口 外网接口 电源 交换机 安全网关SG1 安全网关SG2 安全网关SG3 路由器 路由器路由器 安全管理器 安全认证服务器 网络入侵检测探头 网络入侵策略管理 器 内网网络入侵检测系统设计内网网络入侵检测系统设计 INTERNET 办公厅办公业务网 (简称“内网”) 路由器 交换机 安全管理器 防火墙FW 物理隔离器(K1) E-MAIL 服务器 WWW 服务器 应用服 务器 数据库 服务器 电子政务外网基础平台安全设计电子政务外网基础平台安全设计 INTERNET 办公厅办公业务网 (简称“内网”) 路由器 交换机 安全管理器 防火墙FW 物理隔离器(K1) E-MAI

14、L 服务器 WWW 服务器 应用服 务器 数据库 服务器 网络漏洞扫描器 外网网络漏洞扫描系统设计外网网络漏洞扫描系统设计 INTERNET 办公厅办公业务网 (简称“内网”) 路由器 交换机 安全管理器 物理隔离器(K1) E-MAIL 服务器 WWW 服务器 应用服 务器 数据库 服务器 网络漏洞扫描器 网络入侵检测探头 网络入侵策略管理器 防火墙FW 外网网络入侵检测系统设计外网网络入侵检测系统设计 INTERNET 办公厅办公业务网 (简称“内网”) 路由器 交换机 安全管理器 物理隔离器(K2) E-MAIL 服务器 WWW 服务器 应用服 务器 数据库 服务器 防火墙FW 物理隔离

15、器(K1) 办公厅办公业务网 (简称“内网”) 政府系统办公 业务资源网( 简称“专网”) Web网站监 测&自动修 复系统 外网外网WEBWEB服务器安全设计服务器安全设计 INTERNET 办公厅办公业务网 (简称“内网”) 路由器 交换机 安全管理器 物理隔离器( K2) E- MAIL 服务器 WWW 服务器 应用服 务器 数据库 服务器 防火墙FW 物理隔离器( K1) 办公厅办公业务网 (简称“内网”) 政府系统办公业 务资源网(简称 “专网”) 内网、外网和专网的隔离系统设计内网、外网和专网的隔离系统设计 典型整体解决方案的应用案例 w应用案例一:成都市某机关单位 w应用案例二:

16、北京市某机关单位 w应用案例三:国家某部委全国信息网络系统 w应用案例四:电子政务安全应用平台 相对性 综合性:涉及管理及技术多个层面 网络安全产品的单一性 动态性:技术跟进和维护支持的重要性 管理难度大 黑盒性 网络安全特点网络安全特点 P2DR:动态安全模型 信息安全产品的平台化战略信息安全产品的平台化战略 围绕COE所提供的关键业务的风险分析 形成对各种风险的适度控制机制 把各安全控制的功能模块融合在一个统一 的管理、监控和响应的平台中 信息安全平台化战略是COE的重要组成部 分 对网络安全现状作出正确判断 较为准确地估计特定网络用户的风险 建立相应的控制风险的机制,并把这些 机制容为一体形成防护体系

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 企业信息化/信息管理

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号