《陈爱锋有关政务网安全的演讲》由会员分享,可在线阅读,更多相关《陈爱锋有关政务网安全的演讲(59页珍藏版)》请在金锄头文库上搜索。
1、政务网安全建议方案,需求、技术、产品、方案介绍,陈爱锋,邮箱:chen_ 网址:http:/,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,政务内网:核心政务网,涉密网 政务专网 政务外网:政府公众信息网,政务网特点,政务内网,政务专网,政务外网,Internet,物理 断开,物理 隔离,逻辑 隔离,三个政务网之间的连通关系,WWW,MAIL,Domino,Data,Data,Data,Data,Modem 池,Extranet,PSTN/ISDN,政务专网、外网与互联网之间的关系,物理隔离,逻辑隔离,县节点1,县节点2,省节点,县节点3
2、,县节点2,市节点1,市节点2,党委、纪委、人大、政协、政府直属单位局域网接入,政务网信息流,10100101,10100101,政务网重要资源,硬件资源:重要网络设备、安全设备、服务器、通讯设备 软件资源:系统软件、网络通讯软件、应用软件、嵌入式软件、网管软件 数据资源:数据采集、存储、传输、处理、访问 用户资源:逻辑用户(通过用户名、IC卡、数字证书、特征信息进行识别),网络内的具体应用,具体的业务系统 信息发布服务 信息交流服务 信息共享服务 信息自动流转和处理 内部办公系统 会议管理 网络会议 人事管理 资产管理 信访管理 活动安排 . 对外WWW 服务 对外MAIL 服务 ,WWW,
3、MAIL,Domino,Data,Data,Data,Data,Modem 池,Extranet,PSTN/ISDN,政务网邮件应用过程,物理隔离,逻辑隔离,WWW,MAIL,Domino,Data,Data,Data,Data,Modem 池,Extranet,PSTN/ISDN,政务网信息发布过程,物理隔离,逻辑隔离,专网内部信息,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,政务网面临的安全风险,黑客、间谍、恶意攻击、敌对分子,潜在的安全威胁,漏洞、不安全的配置、管理疏忽,自身存在的脆弱性,物理层风险分析,网络传输风险分析,网络边界
4、风险分析,网络设备安全性分析,系统层安全风险分析,应用层安全风险分析,管理层安全风险分析,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,内部管理,信息审计,病毒防范,应用产品,应用系统,边界安全,信息传输安全,主机监控,安全配置,补丁更新,企业级安全,应用级安全,系统级安全,网络级安全,政务网安全需求,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,NGFW 4000(千兆) 业界最新的核检测防火墙:适合于高流量、环境和应用极其复杂的骨干网络环境 NGFW 4000(百兆) 业界最新的
5、核检测防火墙:适合于高流量、环境和应用极其复杂的骨干网络环境 NGFW 3000 复合型多功能防火墙:适合于应用复杂、控制严格的网络环境 NGFW 2000 高效包过滤防火墙:适合于分支机构、小型企业等简单的网络环境 ARES 防火墙 易安装、免维护、价格实惠的防火墙:适合于小型企业、办事处、营业点等简单环境,我公司提供四款防火墙,多个类型的产品用于满足政务网各级网络和各种应用对防火墙的不同要求,根据政务网边界安全的实际需求?,中央政府,省政府 A,省政府 B,市政府 A,市政府 B,天融信边界安全解决方案,Modem 池,F R,PSTN/ISDN,骨干网可以考虑:NGFW4000,县市接入
6、网考虑:ARES防火墙,互联网可以考虑:NGFW3000,网络密码机(VPN网关) 解决固定边界与固定边界之间的信息传输安全问题 VPN客户端产品(VRC) 解决固定边界与移动用户、移动用户与移动用户之间的信息传输安全问题 安全集中管理器(SCM) 解决多个VPN网关、VPN客户端的集中管理问题,我公司提供三类产品满足政务网对信息传输安全的不同需求,最终解决政务网从广域网、局域网、桌面的信息传输安全问题,政务网信息传输安全的实际需求?,VPN 网关,VPN 网关,VPN客户端,VPN 网关,VPN客户端,VPN客户端,VPN客户端,总 部,分支机构A,分支机构B,移动用户A,移动用户B,黑 客
7、,VRC,VRC,SCM,VRC,VRC,Internet,实现安全到桌面,天融信信息传输整体解决方案,PKI/CA解决方案 信息审计解决方案 安全服务解决方案 ,其他解决方案,政务网现状介绍 政务网风险分析 政务网安全需求 政务网解决方案 政务网安全产品 天融信简要介绍,提纲,边界安全产品介绍防火墙,产品形态 核心技术 产品功能 产品性能 易管理性 稳定可靠性 安全性,产品形态,标准1U机箱,节省了宝贵的机柜空间,而且外形美观大方 配置3 个 10/100M 自适应接口,内网、外网、SSN 三个接口固定,不可更改 接口数量、类型不可更改 国内标准220V交流电源输入,不需要额外的电源转换设备
8、 内存=128 M 电源=AC90260V,4763Hz,0.15A / 0.25A 主板采用集成化设计,稳定性、可靠性更高,接口属性固定,内 网,外 网,SSN,防火墙连线图,直通线,交叉线,交叉线,串口线,管理机,SSN 区域,外网,内网,先进的核心技术,采用业界最新的核检测技术 基于操作系统内核的会话检测技术 在内核模拟出典型的应用层协议并进行过滤可以大大提供产品的整体性能 必要时可以对高层会话进行部分或者全部还原,因此可以输出深层日志 根据策略需要可以对单个IP包、应用层的会话进行过滤和访问控制 全新的内核保证了产品内核代码的秘密性,从而间接提高了产品自身的安全性 先进的核心技术为产品
9、支持更加丰富的功能提供了保证 支持更加广泛的网络环境:TCP/IP、IPX/SPX、ADSL接入、IP宽带等 支持更加复杂的应用环境:VLAN、PPPoE、DHCP、BOOTP、H.323等 先进的核心技术为产品支持更高的性能提供了保证 更高的吞吐量:100M 大于860M 更低的延迟 零丢包率 强大的缓冲处理能力 极高的并发连接数支持 先进的核心技术采用精简、自有的源代码实现 精简的系统减少了安全漏洞,加固了内核,大大提高了产品自身的安全性 自有的源代码保证了源代码的秘密性,间接提高了产品自身的安全性,丰富的功能,更加灵活的访问控制功能 基于源、目IP地址;源目、端口;协议号;IP旗标的访问
10、控制 基于用户、时间、流量的访问控制 基于文件、MAC地址、网址的访问控制 更加强大的认证功能 支持RADIUS认证 支持OTP认证 支持基于证书的身份认证(管理员登录) 更加细化的信息审计功能 支持通讯日志 支持命令日志 支持访问日志 支持内容日志 更多的附加功能 静态、动态地址转换;一对一、一对多端口映射 扩展支持优先级带宽.、分级带宽管理,支持服务器负载均衡、支持各种动态路由协议 支持VLAN、DHCP、BOOTP、H.323、PPPoE等协议 支持VPN功能,支持与 IDS 的联动,支持与病毒服务器的互动 ,Host C,Host D,Host B,Host A,受保护网络,Inter
11、net,IDS,黑客,发起攻击,发送通知报文,验证报文并 采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与 IDS 的安全联动,与病毒服务器的安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文,如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,高性能,吞吐量 高吞吐量:参见性能测试报告 100M 860M 延
12、时 低延时:参见性能测试报告 30微妙 丢包率 零丢包率:参见性能测试报告 趋于零 背靠背 强大的缓冲处理能力:参见性能测试报告 MTBF=40000小时 最大策略许可值=8K 条 并发连接数 基于内核的会话检测技术使得该项指标发生质的变化 100万以上,高吞吐量、低延时、零丢包率、强大的缓冲处理能力,易管理性,本地管理 串口管理:通过超级终端实现本地安全管理 通过GUI程序在本地进行管理 通过IE浏览器在本地进行管理 远程管理 远程SSH 管理 远程通过SSL方式进行管理 远程通过SNMP 进行管理 安全集中管理 通过SNMP 管理平台对设备进行管理和监控 通过防火墙集中管理程序对设备进行集
13、中管理 SNMP 管理 支持SNMP V2版本 支持SNMP V3版本:安全性更高 管理平台的特点: 全中文图形管理界面:容易看懂、迅速掌握 基于对象的管理方式:策略设计思路更加清晰 人性化设计的管理平台:更加符合人们的使用习惯 优化的策略库:规则数量变得更少、检索更快,安全集中管理演示,SNMP 管理演示,稳定、可靠性,成熟性 产品经过七年的市场考验 已经在各行各业中得到广泛的应用 适应多种网络环境和应用:VLAN、PPPoE、DHCP、BOOTP、H.323、VOD、NETBEUI 等 符合相应的安全标准:GB/T 18019-1999 GB/T 18020-1999 GB/T 18336
14、-2001 稳定性 采用专业的工控机平台 采用嵌入式模块设计,集成度高 可扩展支持双电源 对于千兆产品采用多处理器、多内存 采用WATCHDOG电路,支持自动恢复和检测 可靠性 支持双机热备 支持负载均衡 支持双FLASH盘,产品自身安全性,自主版权 无后门程序(有自主版权证书) 没有安全漏洞 源代码国家托管 保证了代码的秘密性(有托管证明) 杜绝了针对防火墙系统代码本身的攻击 精简的系统 去掉了许多跟防火墙无关的代码,间接增加了产品自身的安全性 加固了内核 防TCP、UDP端口扫描 抗DOS、DDOS 攻击 可防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击 ,美丽的外观 强大的功能 优异的性能 人性化的管理界面 高稳定性 强安全性 ,防火墙产品小结,一款不错的产品,信息传输安全产品介绍VPN,VPN网关:网络密码机 VRC: VPN客户端 SCM:安全集中管理器,VPN网关形态,系统组成 网络密码机硬件(1U机箱) 一次性口令认证软件 集中管理器软件(用于管理多台密码机) IC卡 标准配置 三个10/100M自适应以太网接口 一个 CONSOL
