《网络安全整体解决方案.ppt》由会员分享,可在线阅读,更多相关《网络安全整体解决方案.ppt(56页珍藏版)》请在金锄头文库上搜索。
1、第二部分 网络安全整体解决方案,2004年8月 讲师:杜旭,框架,信息安全整体解决方案 信息安全产品 信息安全法规和标准,信息安全整体解决方案,信息化进程 安全方案的设计 如何评价信息安全,网络平台(网络设备、网络协议、网络软件),信息化的进程,分析,企业信息化 程度越高,企业对网络、 系统依赖越强,安全而健壮的网络是 企业信息化的前提和基础,那么怎样来规划和建设 安全的网络呢?,我们今天的话题,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,进行,安全集成 / 应用开发,安全方案设计,信息安全方案的设计思路,根据风险制定出,建立相应的,提出,安全服务,网络系
2、统现状,企业网络拓扑结构 企业网络中的应用 企业网络的结构特点,企业网络拓扑结构,帧中继,DDN,集团总部,省市公司,地市公司,省市公司,企业网络中的应用,网络平台(网络设备、网络协议、网络软件),企业网络的结构特点,网络平台(网络设备、网络协议、网络软件),安全应用,安全网络平台,管理平台,管理平台,网络面临的安全风险,管理平台,管理平台,网络平台(网络设备、网络协议、网络软件),层次一,层次二,层次三,层次四,1.主体身份鉴别 4 .信息的机密性 2. 主体访问授权 5.信息的完整性 3.主体行为不可抵赖 6 .,1.系统的补丁 4 .数据库的配置 2. 系统的增强 5.数据库的增强 3.
3、系统的配置 6 .,1.设备冗余 3 . 安全路由 5.抗电磁辐射 7.安全访问 2. 线路冗余 4. 安全拓扑 6.安全存储 8 ,1.安全法规 3 . 安全管理人员 5.安全评估 2. 安全管理制度 4. 安全监督制度 6. ,设计规划整体安全方案,安全体系结构 安全方案设计原则 安全机制和技术 安全模型,安全特性,网络层次,系统单元,身份鉴别,访问控制,数据完整,数据保密,防止否认,跟踪审计,可靠可用,通信平台,网络平台,系统平台,应用平台,安全管理,物理层,链路层,网络层,传输层,会话层,表示层,应用层,安全体系结构,安全方案设计原则,需求、风险、代价平衡分析的原则 综合性、整体性原则
4、 一致性原则 易操作性原则 适应性及灵活性原则 多重保护原则 分布实施原则,安全机制和技术,鉴 别,加 密,访 问 控 制,安 全 管 理,病 毒 防 范,数 字 签 名,链 路 加 密 机,IP 协 议 加 密 机,邮 件 加 密,文 件 加 密,防 火 墙,远 程 用 户 鉴 别 系 统,防 病 毒 软 件,防 病 毒 制 度,密 钥 管 理,安全评估,安 全 服 务,入侵检测,远 程 用 户 鉴 别 系 统,中科网威时空防御模型,时间针对网络攻击 空间针对体系建设,前,如何评价信息安全,什么是安全 信息安全的目的,什么是安全?,新的安全定义 及时的检测就是安全 及时的响应就是安全,Dt,
5、Pt : Protection time,安全及时的检测和处理,Pt,+,Rt,Dt : Detection time,Rt : Response time,说明: 黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT,UNIX)和放火墙等障碍,在黑客达到目标之前的时间,我们称之为防护时间Pt;在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后,我们需要作出响应,这段时间称之为Rt.假如能做到Dt+Rt,+,Rt,信息安全的目的,小结,安全方案的设计思路 信息安全的评价准则,框架,信息安全整体解决方案 信息安全产品 信息安全法规和标准,中科网威信息安
6、全产品,“网威”防火墙 “网威”入侵检测 “网威”安全评估 安全服务,防火墙简介,什么是防火墙? 为什么需要防火墙? 我们需要什么样的防火墙?,传统概念:,什么是防火墙?,防火墙最早被用于建筑物之间防止火势蔓延;汽车工业中用于驾驶员与乘客之间进行隔离;,什么是防火墙?,信任网络,防火墙,非信任网络,防火墙是一种在信任网络和非信任网络之间实施安全防范的系统。防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,对进、出内部网络的服务和访问进行审计和控制。,网络中的概念:,为什么需要防火墙,不安全因素 网络协议(TCP/IP) 系统漏洞 攻击方式和攻
7、击工具的泛滥 容易得到 容易使用,C:xdos 192.168.1.1 139 -t 5 -s *,一次简单的攻击,我们需要什么样的防火墙?,优秀的抗攻击能力 优良的性能 全面的功能 易于使用维护,中科网威的防火墙,具备全面功能的防火墙 VPN 防垃圾邮件模块 防病毒模块 负载均衡A/A,入侵检测系统简介,为什么需要入侵检测 什么是入侵检测 入侵检测能解决什么问题 入侵检测的分类 我们需要什么样的入侵检测,为什么要有入侵检测?,防火墙的局限性 被动防御 缺乏主动检测能力 不是所有的威胁来自防火墙外部 防火墙只能防御70%左右的攻击 数字: 2001年,美国CSI (Computer Secur
8、ity Institute)统计,在当年发生的安全事件中 95%拥有防火墙,什么是入侵检测,入侵行为是: 入侵行为主要是指对系统资源的非授权使 它可以造成系统数据的丢失和破坏 可以造成系统拒绝对合法用户服务等危害 入侵检测系统是: 抓取网络上的报文 分析处理报文 报告异常 网络安全管理员清楚地了解网络上发生的事件 采取行动阻止可能的破坏,形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击
9、:阻断连接、关闭道路(与防火墙联动)。,IDS能解决什么问题?,发现攻击行为,及时报警 对攻击行为的主动处理 防御来自内部的攻击 实现主动防御,入侵检测的分类,网络入侵检测(NIDS) 主机入侵检测(HIDS),网络入侵检测(NIDS),安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载,主机入侵检测(HIDS),安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源,我们需要什么样的IDS?,优秀的攻击发现能力 分布部署能力 集中管理能力 易于安装使用 自身安全性好,安全评估,为什么
10、需要入侵检测 什么是入侵检测 入侵检测能解决什么问题 入侵检测的分类 我们需要什么样的入侵检测,安全评估,DMZ区域,WWW Mail DNS,扫描路由器,扫描交换机,扫描防火墙,扫描服务器,扫描内部子网,评估的对象,网络设备:交换机、路由器和防火墙等 系统:WINDOWS和UNIX等 应用:数据库、Notes和邮件等 ,安全评估的作用,扫描整个网络系统的弱点和漏洞并建议采取相应的补救措施 提前发现网络系统的弱点和漏洞,防患于未然,集团公司 病毒管理机,省市公司A 病毒管理机,省市公司B 病毒管理机,地市公司 病毒管理机,地市公司 病毒管理机,地市公司 病毒管理机,地市公司 病毒管理机,1.统
11、一管控,2.分步式结构防毒,3.网关防毒,4.工作站防毒,5.服务器防毒,a)杀毒策略统一制定 b)病毒代码统一更新 c)统一病毒扫描. ,全面的病毒防护,a)邮件服务器防毒 b)文件服务器防毒 c)Notes服务器防毒. ,网关防毒,DMZ区域,WWW Mail,发现病毒,安全服务,为什么需要安全服务 产品和服务的关系,数字,2001年,美国CSI (Computer Security Institute)统计,在当年发生的安全事件中: 95%拥有防火墙 61%拥有IDS 90%拥有访问控制系统 42%拥有Digital ID,安全产品的局限性,静态的产品与动态的安全实际 单一的产品与复杂的
12、客户环境 安全产品自身存在的安全问题 安全产品无法解决所有的问题 分布的产品与集中的管理要求,产品和服务的关系,相辅相成 脱离服务的产品无法发挥其固有的能力 脱离产品的服务效率低下、成本过高 例子:钢筋和水泥 产品服务化、服务产品化,产品服务化,优秀的产品需要有良好的服务支持 售前设计/咨询 售中实施/集成 售后维护/保修 有了专业的服务,产品可以发挥出更大的效能,服务产品化,专业的服务需要有优秀的产品作为辅助 专业的服务需要有专业的服务工具 专业的服务工具自身也是可销售的产品,Internet,www,内网,DMZ,外网,www,www,火眼,IDS,Mail,身份认证 证书的发放、审核、废除,数据库服务器,网站实时监控,信息安全产品分布图,VPN 虚拟专用网,防火墙,内容检测,防病毒,入侵探测,谢谢,请提问!,
