安全设备的部署和选择课件

《安全设备的部署和选择课件》由会员分享，可在线阅读，更多相关《安全设备的部署和选择课件（36页珍藏版）》请在金锄头文库上搜索。

1、联联想网御想网御- -熊春熊春华华 20102010年年77月月网络工程信息安全解决方案设计与规划网络工程信息安全解决方案设计与规划网络工程信息安全解决方案设计与规划网络工程信息安全解决方案设计与规划 1安全设备的部署和选择& 网络安全背景情况网络安全背景情况网络安全背景情况网络安全背景情况& 常见网络安全威胁常见网络安全威胁常见网络安全威胁常见网络安全威胁& 网络安全基础框架网络安全基础框架网络安全基础框架网络安全基础框架&信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计& Q&A Q&A 2安全设备的部署和选择安全保障的需要；安全保障的需要； 网络与

2、信息的安全关系到国家的基础设施安全，网络与信息的安全关系到国家的基础设施安全，关系到企业用户的经济运行安全，关系到个人的关系到企业用户的经济运行安全，关系到个人的隐私安全。隐私安全。市场发展的需要；市场发展的需要； 随着网络应用的普及深入，人们的安全意识和对随着网络应用的普及深入，人们的安全意识和对网络攻击破坏严重性认识的不断提高，对信息网网络攻击破坏严重性认识的不断提高，对信息网络安全方面的需求也越来越多。络安全方面的需求也越来越多。技术发展的需要；技术发展的需要； 随着信息网络整体技术的迅速发展，网络攻击手随着信息网络整体技术的迅速发展，网络攻击手段的不断变化，产生了新的网络安全防御技术。

3、段的不断变化，产生了新的网络安全防御技术。3安全设备的部署和选择& 网络安全背景情况网络安全背景情况网络安全背景情况网络安全背景情况& 常见网络安全威胁常见网络安全威胁常见网络安全威胁常见网络安全威胁& 网络安全基础框架网络安全基础框架网络安全基础框架网络安全基础框架&信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计& Q&A Q&A 4安全设备的部署和选择 垃圾邮件的泛滥垃圾邮件的泛滥 邮件服务器运行缓慢邮件服务器运行缓慢服务质量下降；服务质量下降； 黑客的攻击黑客的攻击 网络黑客针对服务和网络设备的网络黑客针对服务和网络设备的DDOSDDOS攻击；攻

4、击；用蠕虫病毒等新的攻击方式；用蠕虫病毒等新的攻击方式； 内部用户网络攻击内部用户网络攻击网络带宽被占用；网络带宽被占用；内部用户网络攻击泛滥；内部用户网络攻击泛滥； 其他安全问题其他安全问题 内部用户的访问内容监控与过滤；内部用户的访问内容监控与过滤；终端用户的桌面安全。终端用户的桌面安全。5安全设备的部署和选择& 网络安全背景情况网络安全背景情况网络安全背景情况网络安全背景情况& 常见网络安全威胁常见网络安全威胁常见网络安全威胁常见网络安全威胁& 网络安全基础框架网络安全基础框架网络安全基础框架网络安全基础框架&信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计信息安全解决

5、方案与设计& Q&A Q&A 6安全设备的部署和选择常见网络安全威胁常见网络安全威胁恶意扫描：恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞进而发起攻击；数据驱动攻击：数据驱动攻击：攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标。数据篡改：数据篡改：攻击者可通过截获并修改数据、重放数据等方式破坏数据的完整性；服务拒绝：服务拒绝：攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标；网络窃听：网络窃听：网络的开放性使攻击者可通过直接或间接方式，窃听获取所需信息；7安全设备的部署和选择常见网络安全威胁常见网络安全威胁口令破解：口令破解：

6、攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令；地址欺骗：地址欺骗：攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任；基础设施破坏：基础设施破坏：攻击者可通过破坏DNS或路由信息等基础设施使目标陷于孤立；连接盗用：连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方，来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信；社会工程：社会工程：攻击者可通过各种社交渠道获得有关目标的结构使用情况、安全防范措施等有用信息，从而提高攻击成功率；8安全设备的部署和选择& 网络安全背景情况网络安全背景情况网络安全背景情况网络安全背景情况&

7、 常见网络安全威胁常见网络安全威胁常见网络安全威胁常见网络安全威胁& 网络安全模型框架网络安全模型框架网络安全模型框架网络安全模型框架&信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计& Q&A Q&A 9安全设备的部署和选择网络系统安全设计模型网络系统安全设计模型网络系统安全设计模型网络系统安全设计模型PMRRDManagement 安全管理Protect 安全保护Detection入侵检测Reaction安全响应Recovery安全恢复网络安全模型网络安全模型MPDRR10安全设备的部署和选择$dollars$dollars$dollarsDetec

8、tion 入侵检测Protect 安全保护Reaction 安全响应Recovery 安全备份Management Management 安全管理安全管理安全管理安全管理统一管理、协调PDRR之间的行动网络系统安全设计模型解析网络系统安全设计模型解析网络系统安全设计模型解析网络系统安全设计模型解析11安全设备的部署和选择& 网络安全背景情况网络安全背景情况网络安全背景情况网络安全背景情况& 常见网络安全威胁常见网络安全威胁常见网络安全威胁常见网络安全威胁& 网络安全基础框架网络安全基础框架网络安全基础框架网络安全基础框架&信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计信息安

9、全解决方案与设计& Q&A Q&A 12安全设备的部署和选择&物理安全技术物理安全技术物理安全技术物理安全技术&系统安全技术系统安全技术系统安全技术系统安全技术&网络安全技术网络安全技术网络安全技术网络安全技术&应用安全技术应用安全技术应用安全技术应用安全技术&数据加密技术数据加密技术数据加密技术数据加密技术&认证授权技术认证授权技术认证授权技术认证授权技术&访问控制技术访问控制技术访问控制技术访问控制技术&扫描评估技术扫描评估技术扫描评估技术扫描评估技术&审计跟踪技术审计跟踪技术审计跟踪技术审计跟踪技术&病毒防护技术病毒防护技术病毒防护技术病毒防护技术 &备份恢复技术备份恢复技术备份恢复技术

10、备份恢复技术&安全管理技术安全管理技术安全管理技术安全管理技术 基础安全组件：基础安全组件：基础安全组件：基础安全组件： 防火墙防火墙防火墙防火墙传输加密系统（传输加密系统（传输加密系统（传输加密系统（VPNVPNVPNVPN）入侵检测系统（入侵检测系统（入侵检测系统（入侵检测系统（IDSIDSIDSIDS）入侵防御系统（入侵防御系统（入侵防御系统（入侵防御系统（IPSIPSIPSIPS）网络防病毒系统网络防病毒系统网络防病毒系统网络防病毒系统物理隔离系统物理隔离系统物理隔离系统物理隔离系统 增强安全组件：增强安全组件：增强安全组件：增强安全组件： 内容安全审计系统内容安全审计系统内容安全审计

11、系统内容安全审计系统日志信息审计系统日志信息审计系统日志信息审计系统日志信息审计系统内网安全管理系统内网安全管理系统内网安全管理系统内网安全管理系统 13安全设备的部署和选择基础安全组件：基础安全组件：基础安全组件：基础安全组件： 防火墙（防火墙（防火墙（防火墙（FWFWFWFW）传输加密系统（传输加密系统（传输加密系统（传输加密系统（IPSEC/SSL VPNIPSEC/SSL VPNIPSEC/SSL VPNIPSEC/SSL VPN）入侵检测系统（入侵检测系统（入侵检测系统（入侵检测系统（IDSIDSIDSIDS）入侵防御系统（入侵防御系统（入侵防御系统（入侵防御系统（IPSIPSIPS

12、IPS）网络防病毒系统网络防病毒系统网络防病毒系统网络防病毒系统( ( ( (防病毒网关、网络版防病毒软件防病毒网关、网络版防病毒软件防病毒网关、网络版防病毒软件防病毒网关、网络版防病毒软件) ) ) )安全隔离与信息交换系统（网闸）安全隔离与信息交换系统（网闸）安全隔离与信息交换系统（网闸）安全隔离与信息交换系统（网闸） 14安全设备的部署和选择内容安全审计系统内容安全审计系统内容安全审计系统内容安全审计系统日志信息审计系统日志信息审计系统日志信息审计系统日志信息审计系统内网安全管理系统内网安全管理系统内网安全管理系统内网安全管理系统漏洞扫描系统漏洞扫描系统漏洞扫描系统漏洞扫描系统数据库审计

13、系统数据库审计系统数据库审计系统数据库审计系统数据备份系统数据备份系统数据备份系统数据备份系统WebWebWebWeb应用防火墙应用防火墙应用防火墙应用防火墙 (WAF) (WAF) (WAF) (WAF)网页防篡改系统网页防篡改系统网页防篡改系统网页防篡改系统安全管理平台（安全管理平台（安全管理平台（安全管理平台（SOCSOCSOCSOC） 增强安全组件：增强安全组件：增强安全组件：增强安全组件： 15安全设备的部署和选择NSANSA的实践之边界安全解决方案的实践之边界安全解决方案16安全设备的部署和选择NSANSA的实践之等级保护的实践之等级保护 标准参与者 政策起草者 配合国信办执笔编写

14、电子政务信配合国信办执笔编写电子政务信息安全等息安全等 级保护实施指南（试行）级保护实施指南（试行） 配合公安部参与编写信息系统安配合公安部参与编写信息系统安全等级保护定级指南、信息系统安全等级保护定级指南、信息系统安全等级保护实施指南全等级保护实施指南试点实施者 多次承担国家信息安全试点和信息多次承担国家信息安全试点和信息系统等级保护试点工作，系统等级保护试点工作， 为部委、政府、金融、电信等行业，为部委、政府、金融、电信等行业，提供了包括系统定级、系统建设系统测提供了包括系统定级、系统建设系统测评、系统运维等等级保护服务工作。评、系统运维等等级保护服务工作。17安全设备的部署和选择互联网服

15、务解决方案互联网服务解决方案18安全设备的部署和选择防火墙功能列表1. 1. 访问控制访问控制访问控制访问控制2. 2. 多操作系统多操作系统多操作系统多操作系统3. 3.虚拟防火墙虚拟防火墙虚拟防火墙虚拟防火墙 4. 4. 漏洞扫描漏洞扫描漏洞扫描漏洞扫描5. 5. 绿色上网绿色上网绿色上网绿色上网6. VPN6. VPN7. 7. 高可用性高可用性高可用性高可用性 8. 8. 系统管理系统管理系统管理系统管理 19安全设备的部署和选择防火墙新亮点防火墙新亮点防火墙新亮点防火墙新亮点 多操作系统多操作系统多操作系统多操作系统 虚拟防火墙虚拟防火墙虚拟防火墙虚拟防火墙 主动防御主动防御主动防御

16、主动防御 VRRPVRRP 漏洞扫描漏洞扫描漏洞扫描漏洞扫描 VPNVPN隧道备份隧道备份隧道备份隧道备份 ISPISP智能选路智能选路智能选路智能选路 整合整合整合整合SAGSAG 支持支持支持支持IPV6IPV6网络接入网络接入网络接入网络接入 整合整合整合整合ISMISM联动联动联动联动 策略代理策略代理策略代理策略代理 服务器负载均衡服务器负载均衡服务器负载均衡服务器负载均衡 多路多路多路多路ADSLADSL 快速配置向导快速配置向导快速配置向导快速配置向导 流量统计流量统计流量统计流量统计 日志中文化日志中文化日志中文化日志中文化细节成就专业细节成就专业20安全设备的部署和选择内部安

17、全域解决方案内部安全域解决方案21安全设备的部署和选择纵向级联解决方案纵向级联解决方案22安全设备的部署和选择产品功能和趋势推荐开启全部功能推荐开启全部功能防病毒引擎防病毒引擎 防火墙防火墙/VPN/VPN 入侵防护入侵防护 防病毒防病毒 绿色上网绿色上网 反垃圾邮件反垃圾邮件采用主动云防御技术采用主动云防御技术一键配置式的简化管理一键配置式的简化管理 防范方法防范方法 防范装置防范装置 主动防御主动防御 云防御云防御病毒、蠕虫、木马、间谍软件等病毒、蠕虫、木马、间谍软件等病毒、蠕虫、木马、间谍软件等病毒、蠕虫、木马、间谍软件等 高、中、低三个快速配置键高、中、低三个快速配置键 病毒库级联式升

18、级服务病毒库级联式升级服务2323安全设备的部署和选择移动接入解决方案移动接入解决方案24安全设备的部署和选择IPSec VPNIPSec VPN与与SSL VPNSSL VPN的区别的区别项目项目 IPSec VPN SSL VPN 客户端安装 费用高 无安装费用 大量用户使用培训 困难、成本高 无需培训 与现有基础设施整合 困难 容易 系统可扩展性 具备 容易 软件升级 困难 容易 系统管理与维护难度 大 小 客户端易用性 较差 极佳 网络安全等级 具备 高 使用对象 移动或LAN用户移动或LAN用户客户端环境 安装客户端软件的PC 任意设备被认证对象 电脑使用者（既用户）客户端软件 IP

19、Sec客户端 标准浏览器 修改防火墙策略 需要 不需要 NAT环境下链路状态 不稳定 十分稳定 支持的应用各种基于TCP/IP协议的应用丰富的B/S、C/S、NC应用 协议 IPSec网络层SSL应用层25安全设备的部署和选择SAG一次登录访问所有应用一次登录访问所有应用一次身份认证二次身份认证SAG认证OA认证认证成功26安全设备的部署和选择业务外联解决方案业务外联解决方案27安全设备的部署和选择业务受理解决方案业务受理解决方案28安全设备的部署和选择国家保密局限定的安全隔离网闸使用环境国家保密局限定的安全隔离网闸使用环境29安全设备的部署和选择虚拟专网解决方案虚拟专网解决方案30安全设备的

20、部署和选择产品在商务部分的选择（一）产品在商务部分的选择（一）证书名称发证机关测试机构是否为强制计算机信息系统安全专用产品销售许可证，最高为通过三级检测公安部公共信息网络安全监察局防病毒产品：计算机病毒防治产品检测中心其它产品：公安部计算机系统安全产品质量监督检验中心非密码类的安全产品销售必须具有商用密码产品生产定点单位证书国家密码管理局国家密码管理局商密产品生产必须具备商用密码产品销售许可证商密产品销售必须具有商用密码产品型号证书商密产品型号销售必须具有涉密信息系统产品检测证书国家保密局涉密信息系统安全保密评测中心国家保密局涉密信息系统安全保密评测中心产品在涉密网络使用时必须具有31安全设备

21、的部署和选择产品在商务部分的选择（二）产品在商务部分的选择（二）证书名称发证机关测试机构是否为强制军用信息安全产品认证证书，最高级为军B+中国人民解放军信息安全评测认证中心中国人民解放军信息安全评测认证中心产品在军队网络使用时必须具有中国强制性产品认证（CCC认证）中国信息安全认证中心可以有多家机构按照国家产品检测标准进行测试。上海市信息安全测评认证中心北京信息安全测评中心中国信息安全产品测评认证中心实验室公安部计算机信息系统安全产品质量监督检验中心国家保密局涉密信息系统安全保密测评中心中国信息安全产品测评认证中心计算机测评中心国家对产品的强制认证，自2010年5月1日之后防火墙、IDS、网闸

22、产品必须具有，其他产品无评测标准为要求电信设备进网管理工信部泰尔实验室国家对接入公用电信网使用的电信终端设备、无线电通信设备和涉及网间互联的电信设备实行进网许可制度。上述的电信设备必须获得工业和信息化部颁发的进网许可证。计算机软件著作权登记证书中华人民共和国国家版权局无非强制32安全设备的部署和选择产品生产厂家在商务部分的选择产品生产厂家在商务部分的选择信息产业部颁发的计算机信息系统集成资质证书（壹级）信息产业部颁发的计算机信息系统集成资质证书（壹级）中中国国信信息息安安全全产产品品测测评评认认证证中中心心颁颁发发的的国国家家信信息息安安全全认认证证信信息息安安全全服服务务资质证书（安全工程类

23、二级）资质证书（安全工程类二级）国家保密局颁发涉及国家秘密的计算机信息系统集成资质证书国家保密局颁发涉及国家秘密的计算机信息系统集成资质证书( (甲级）甲级）国家信息安全测评中心注册信息安全人员授权培训机构（二级）资质国家信息安全测评中心注册信息安全人员授权培训机构（二级）资质中国信息安全测评中心中国信息安全测评中心信息安全服务一级应急处理服务资质信息安全服务一级应急处理服务资质 33安全设备的部署和选择& 网络安全背景情况网络安全背景情况网络安全背景情况网络安全背景情况& 常见网络安全威胁常见网络安全威胁常见网络安全威胁常见网络安全威胁& 网络安全基础框架网络安全基础框架网络安全基础框架网络安全基础框架&信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计信息安全解决方案与设计& Q&A Q&A 34安全设备的部署和选择35安全设备的部署和选择让每一个人放心地使让每一个人放心地使用互联网用互联网谢谢!联想网御江西办熊春华36安全设备的部署和选择