《杨庆华技术总监Tel01082513322226Emailyqh@olmcomcn》由会员分享,可在线阅读,更多相关《杨庆华技术总监Tel01082513322226Emailyqh@olmcomcn(41页珍藏版)》请在金锄头文库上搜索。
1、东方龙马杨庆华杨庆华技术总监技术总监Tel:010-82513322-226E-mail:安全管理在信息保障安全管理在信息保障中的作用中的作用捅羌吹坪傅令雌们褒续翅釜尽疥钩恳蔗叫罪绦麓格腆镁耗疥循啸治垣与啊杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马信息安全的历史信息安全的历史通信保密(通信保密(COMSEC)- 20世纪世纪60年代年代信息的保密性信息的保密性确保信息不暴露给未授权的实体或进程。确保信息不暴露给未授权的实体或进程。信息安全(信息安全(INFO
2、SEC)- 20世纪世纪90年代年代信息的保密性信息的保密性信息的完整性信息的完整性只有得到允许的人才能修改数据,并且能只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。够判别出数据是否已被篡改。信息的可用性信息的可用性得到授权的实体在需要时访问数据,即攻得到授权的实体在需要时访问数据,即攻击者不能占用所有的资源而阻碍击者不能占用所有的资源而阻碍 授权者的工作。授权者的工作。信息保障(信息保障(IA,Information Assurance)- 20世纪末世纪末信息的保密性、完整性、可用性信息的保密性、完整性、可用性信息和系统的可控性信息和系统的可控性可以控制授权范围内的信息流向
3、及可以控制授权范围内的信息流向及行为方式。行为方式。信息行为的不可否认性信息行为的不可否认性对出现的网络安全问题提供调查对出现的网络安全问题提供调查的依据和手段。的依据和手段。仰由昌拉杭抿昧肯模尿屹遂壹叛仲蛇烦办抓购执脑竖欺成邱函捣俯脐迈忿杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马早期安全模型:早期安全模型:PDR模型模型 PProtect、DDetect、RReact 保护保护 检测检测 响应响应 如果如果Pt Dt+ RtPt Dt+ Rt,则该系统是安
4、全的;,则该系统是安全的;如果如果Pt Dt+ RtPt Dt+ Rt,则该系统是不安全的,则该系统是不安全的, ,即存在暴露时间即存在暴露时间 Et=(Dt+Rt)-Pt Et=(Dt+Rt)-PtPtDtRtt-时间时间EExposure 暴露暴露衫爬涨划痉澜狐幻玄绊岂嚏乒寐职愤捶彰畦划放集测愈江蛮代查入梧怔凡杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马网络网络网络网络早期安全模型:早期安全模型: P2DR模型模型 加入以安全策略为核心的概念加入以安全策略
5、为核心的概念仅仅描述了安全技术体系中部分安全要求,忽仅仅描述了安全技术体系中部分安全要求,忽略了人和管理的因素,仍然不能成为真正的安略了人和管理的因素,仍然不能成为真正的安全体系架构。全体系架构。保护保护保护保护Protect 检检检检 测测测测Detect响响响响 应应应应React安全安全安全安全策略策略策略策略Policy辩筏兵夕恬杀浦黍恳绊烁暖栋完鬃付番纯灭匀饺构减甫傣磺漳秒袱芋贰勃杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马安全的最新概念安全的最新概
6、念对整个信息和信息系统的保护和防御,对整个信息和信息系统的保护和防御,除了进行信息的安全保护,还应重视和除了进行信息的安全保护,还应重视和提高:提高:安全系统的预警能力安全系统的预警能力系统的入侵检测能力系统的入侵检测能力系统的事件反应能力系统的事件反应能力系统遭到入侵引起破坏的快速恢复能力系统遭到入侵引起破坏的快速恢复能力信息系统整个生命周期的防御和恢复信息系统整个生命周期的防御和恢复薯嘶截耐细愚钞钓亡酪伴郡碴囚锰楔彬茵汉幌袁尝合定洲痹螺甚垒乖摆准杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-ma
7、ilyqholmcomcn东方龙马信息保障核心信息保障核心深层防御战略深层防御战略艘等级璃韵湖臂能回湖涤仟齐绢俭数亭扩葫奠线岔喘诚必炳踊串栅研盂亭杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马深层防御战略的三个主要层面深层防御战略的三个主要层面人员人员培训、意识、物理安全、人员安全、系统安全管理培训、意识、物理安全、人员安全、系统安全管理技术技术深层防御技术框架深层防御技术框架安全标准安全标准获得获得IT/IA(信息技术信息技术/信息保障)信息保障)风险分析风险
8、分析证书与信任证书与信任操作操作分析、监视、入侵检测、警告、恢复分析、监视、入侵检测、警告、恢复井蒸索桨臭耪谤陨懦毫虫卓界需咨栖反卒呼够婚浪路野孤娶啥蜜蒂砒粗盾杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马深层防御战略技术框架深层防御战略技术框架安全需求安全需求保护网络和基础设施保护网络和基础设施保护飞地边界保护飞地边界保护计算环境保护计算环境支撑性基础设施支撑性基础设施核心目标核心目标在攻击者成功地破坏了某层或某类保护机制的情况在攻击者成功地破坏了某层或某类保
9、护机制的情况下,其它保护机制依然能够提供附加的保护下,其它保护机制依然能够提供附加的保护信息保障信息保障提供一个框架进行层次化、多样性的保护提供一个框架进行层次化、多样性的保护WPDRR模型模型仅眷织掇贮部荚营愚能矣做堂冗骄蜂汝凑姚俯氟侧栋毁淌彼灿响郧池判架杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马信息保障的五个技术环节:信息保障的五个技术环节:WPDRR模型模型检测检测Detect恢复恢复Restore保护保护Protect响应响应React人人人人操作操
10、作操作操作技术技术技术技术预警预警Warning另鹊杭商洒若四沃上震篮扰更鳞辩媒佃撬淫羞白赵辫袱舆匝谁盈阜凹尧礼杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马WPDRR模型模型预警预警 (early warning,forewarn)预警的概念:预警的概念:根据以前掌握的系统脆弱性和当前了解的犯罪趋势根据以前掌握的系统脆弱性和当前了解的犯罪趋势预测未来可能受到的攻击及危害。预测未来可能受到的攻击及危害。能不能预警:能不能预警:客观存在着客观存在着空间差空间差时间
11、差时间差知识差知识差能力差能力差预警的技术支持:预警的技术支持:威胁分析威胁分析脆弱性分析脆弱性分析资产评估资产评估风险分析风险分析漏洞修补漏洞修补预警协调预警协调辆网暇酸嘶扬溅舅纹团邀伞由管找玄锭村昂怪侄哑讥挟釉奶氦蓖隋猜钵萎杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马WPDRR模型模型保护,检测,响应,恢复保护,检测,响应,恢复P(保护,(保护,PROTECT)采用可能采取的手段保障信息的保密性、完整性、可用性、采用可能采取的手段保障信息的保密性、完整性、
12、可用性、可控性和不可否认性可控性和不可否认性技术手段:网络安全、操作系统安全、数据库系统安全访问技术手段:网络安全、操作系统安全、数据库系统安全访问控制、口令等保密性和完整性技术控制、口令等保密性和完整性技术D(检测,(检测,DETECT)利用高级技术提供的工具检查系统存在的可能提供黑客攻击、利用高级技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥等脆弱性白领犯罪、病毒泛滥等脆弱性技术手段:病毒检测、漏洞扫描、入侵检测、用户身份鉴别技术手段:病毒检测、漏洞扫描、入侵检测、用户身份鉴别等等R(响应,(响应,REACT)对危及安全的事件、行为、过程及时作出响应处理,杜绝危对危及安全
13、的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务害的进一步蔓延扩大,力求系统尚能提供正常服务技术手段:监视、关闭、切换、跟踪、报警、修改配置、联技术手段:监视、关闭、切换、跟踪、报警、修改配置、联动、阻断等动、阻断等R(恢复,(恢复,RESTORE)一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务务技术手段:备份、恢复等技术手段:备份、恢复等问题:问题:WPDRR在实际网络中如何布置?在实际网络中如何布置?嘛撕周料侗磊炊填泉文傲态避奔隔悯骡酝驹犯耽缉惹舅倍望济淡丛妇黔缓杨庆华技术总监Tel010-8
14、2513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马网络和基础设施安全网络和基础设施安全目标目标保证整个广域网上交换的数据不会泄露给任何未获保证整个广域网上交换的数据不会泄露给任何未获授权的网络访问者授权的网络访问者保证广域网支持关键任务和支持数据任务,防止受保证广域网支持关键任务和支持数据任务,防止受到拒绝服务的攻击到拒绝服务的攻击防止受到保护的信息在发送过程中的时延、误传或防止受到保护的信息在发送过程中的时延、误传或未发送未发送保护数据流保护数据流用户数据流用户数据流控制数据流控制数据流管理数
15、据流管理数据流确信保护机制不受那些存在于其他授权枢纽或飞地确信保护机制不受那些存在于其他授权枢纽或飞地网络之间的各种无缝操作的干扰网络之间的各种无缝操作的干扰先胺虾劲禽醛煌此鞍坟豆歉抓釉顶诊痹岳禁件频莎彤蔫酞蛆墙把谚烘卷矣杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马网络和基础设施安全网络和基础设施安全安全保护安全保护防火墙防火墙 数据加密数据加密 强认证功能强认证功能 数据完整性保护数据完整性保护传输服务质量、流量控制传输服务质量、流量控制网络的管理安全网络的
16、管理安全管理控制权管理控制权分发安全分发安全安全检测安全检测网络入侵检测网络入侵检测网络安全漏洞扫描网络安全漏洞扫描病毒检测病毒检测设备备份及链路冗余设备备份及链路冗余剃叉畦郸巡傍仁娘女学慢哄牌闹俗如惊聋宠跟盅雌哗幽荷范祖插爬腐赫竟杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马飞地边界安全飞地边界安全目标目标确信对物理和逻辑飞地进行充分保护确信对物理和逻辑飞地进行充分保护针对变化性的威胁采用动态抑制服务针对变化性的威胁采用动态抑制服务确信在被保护飞地内的系统与网
17、络保持其可接受的确信在被保护飞地内的系统与网络保持其可接受的可用性并能够完全防范拒绝服务攻击可用性并能够完全防范拒绝服务攻击确信在飞地之间或通过远程访问所交换的数据受到确信在飞地之间或通过远程访问所交换的数据受到保护并且不会被不适宜地泄露保护并且不会被不适宜地泄露为飞地内由于技术或配置问题无法自行实施保护的为飞地内由于技术或配置问题无法自行实施保护的系统提供边界保护系统提供边界保护提供风险管理方法,有选择地允许重要信息跨越飞提供风险管理方法,有选择地允许重要信息跨越飞地边界流动地边界流动对被保护飞地内的系统和数据进行保护,使之免受对被保护飞地内的系统和数据进行保护,使之免受外部系统或攻击的破坏
18、外部系统或攻击的破坏针对用户向飞地之外发送或接受飞地之外的信息而针对用户向飞地之外发送或接受飞地之外的信息而提供强认证以及经认证的访问控制提供强认证以及经认证的访问控制坪蒲霸完镇锄玉潦沫己颗呜便凌纽糖娥选拍俱巳滑霜疫雨色邯颖狞媒待贵杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马飞地边界安全飞地边界安全安全保护安全保护防火墙防火墙虚拟专用网(虚拟专用网(VPN) 物理隔离物理隔离用户访问控制(用户访问控制(AAA)安全检测安全检测网络入侵检测网络入侵检测漏洞扫描漏
19、洞扫描病毒检测病毒检测垛肖笔原乌躯齿赠验予镭鼎洲迷应氢啡筑活墒倚捷啮瞅灿铝赐轮喷材章广杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马计算环境安全计算环境安全目标目标确保对客户机、服务器和应用实施充分保护,以此确保对客户机、服务器和应用实施充分保护,以此防止拒绝服务、数据未授权泄露和数据更改防止拒绝服务、数据未授权泄露和数据更改无论客户机、服务器或应用位于飞地之内或之外,无论客户机、服务器或应用位于飞地之内或之外,都必须确保由其所处理的数据具有保密性和完整性都必须
20、确保由其所处理的数据具有保密性和完整性防止未授权使用客户机、服务器或应用的情况防止未授权使用客户机、服务器或应用的情况保障客户机和服务器遵守安全配置指南并安装了所保障客户机和服务器遵守安全配置指南并安装了所有正确补丁有正确补丁对所有的客户机、服务器的配置管理进行维护,跟对所有的客户机、服务器的配置管理进行维护,跟踪补丁和系统配置更改信息踪补丁和系统配置更改信息确保各类应用能轻易集成并不会对安全性带来损失确保各类应用能轻易集成并不会对安全性带来损失对于内部和外部的受信任人员与系统从事的违规和对于内部和外部的受信任人员与系统从事的违规和攻击活动具有充足的防范能力攻击活动具有充足的防范能力纽仆檄瀑前
21、卯粹炕塞粪氧荐徐栓傲将凌尧巢亏掖拎魔蔡离骄兆洲娃数镣欠杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马计算环境安全计算环境安全安全保护安全保护访问控制(授权):实施细粒度的用户访问控制、细访问控制(授权):实施细粒度的用户访问控制、细化访问权限化访问权限标识与鉴别:实施强认证方法,如口令、数字证书标识与鉴别:实施强认证方法,如口令、数字证书数据保密性:对关键信息、数据严加保密数据保密性:对关键信息、数据严加保密数据完整性:防止数据系统被恶意代码如病毒破坏,数据完整
22、性:防止数据系统被恶意代码如病毒破坏,对关键信息进行数字签名技术保护对关键信息进行数字签名技术保护不可否认性:数字签名和审计不可否认性:数字签名和审计安全检测安全检测入侵检测入侵检测漏洞扫描漏洞扫描病毒检测病毒检测审计审计可用性:主机冗余及数据备份可用性:主机冗余及数据备份雅肆心非歉熊淋挎投说埃厄系荷钠门却熏句嗓洒外卫斧壶沟厦轨诡瀑磋硬杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马计算环境安全之服务器保护计算环境安全之服务器保护主动防御主动防御为什么需要主动防御
23、为什么需要主动防御黑客不断开发新的攻击,逃避现有的安全防范体系黑客不断开发新的攻击,逃避现有的安全防范体系时间和信息对于一个组织在与时间和信息对于一个组织在与“瞬时攻击瞬时攻击”的整体的整体对抗中保持不败非常重要对抗中保持不败非常重要最有效的防御系统应当直接主动地瞄准潜在的、新最有效的防御系统应当直接主动地瞄准潜在的、新的攻击,找出延迟其破坏的方法的攻击,找出延迟其破坏的方法传统被动式保护系统的不足之处传统被动式保护系统的不足之处采用预先设定好的策略对网络安全性进行保护采用预先设定好的策略对网络安全性进行保护对未知攻击模式的检测和防御效果不佳对未知攻击模式的检测和防御效果不佳献狄搁估孩毁性缮仲
24、案冕堪惊术份鸣躇僻历奈拟辖膏欲牢舆绿元伏东纯钝杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马计算环境安全之服务器保护计算环境安全之服务器保护主动防御主动防御主动的安全防御系统主动的安全防御系统网络系统中最关键的资源实际上是信息数据和其赖网络系统中最关键的资源实际上是信息数据和其赖以存在的服务器系统以存在的服务器系统主动防御包括对数据进行强制性、全面的防护,对主动防御包括对数据进行强制性、全面的防护,对操作系统进行加固,对超级用户特权进行适当限制操作系统进行加固,
25、对超级用户特权进行适当限制不管攻击者采用什么样的攻击方法,主动防御方式不管攻击者采用什么样的攻击方法,主动防御方式总是能够主动识别并记录攻击者的企图,对于不合总是能够主动识别并记录攻击者的企图,对于不合适的访问予以拒绝适的访问予以拒绝采用主动防御系统可实现对未知攻击方式的成功防采用主动防御系统可实现对未知攻击方式的成功防范,为管理员处理新型的入侵方式争取宝贵的响应范,为管理员处理新型的入侵方式争取宝贵的响应时间时间趴尿自埃秤侮冤轴糕冕晤泌蓖邮掀颈暖误盯嘴买蛆态藩拔忧淹毅姻蜒俗贯杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82
26、513322-226E-mailyqholmcomcn东方龙马计算环境安全之客户机保护计算环境安全之客户机保护客户机平台的安全问题客户机平台的安全问题访问企业重要资源最简单的途径几乎总是不起访问企业重要资源最简单的途径几乎总是不起眼的客户工作站。眼的客户工作站。一般而言,工作站配置越高,受到威胁的可能一般而言,工作站配置越高,受到威胁的可能性就越大。性就越大。电子邮件附件、电子邮件附件、HTML嵌入脚本都可能绕过边嵌入脚本都可能绕过边界防御系统轻易地实现对安全机制较弱的工作界防御系统轻易地实现对安全机制较弱的工作站的攻击。站的攻击。企业中大部分客户工作站系统的配置几乎一样,企业中大部分客户工作
27、站系统的配置几乎一样,只要有一个受到危胁,就会破坏整个环境的完只要有一个受到危胁,就会破坏整个环境的完整性。整性。由于缺乏严格的安全执行、监控及用户培训,由于缺乏严格的安全执行、监控及用户培训,对普通工作站的入侵日益成为发动恶性攻击的对普通工作站的入侵日益成为发动恶性攻击的最简单方法。最简单方法。德脱匀阀雀奋骨蚀述钵认捎剖谦喻篱嚎肠蛮滓项杰锹邦颈墓淫捷统仗楔丰杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马计算环境安全之客户机保护计算环境安全之客户机保护提高客户机
28、平台安全的方法提高客户机平台安全的方法采用合理的指导准则,加强工作站系统的安全,采用合理的指导准则,加强工作站系统的安全,只安装公司正常运行所需的最少数量的软件。只安装公司正常运行所需的最少数量的软件。 打上所有相关的安全补丁,一旦出现新补丁,打上所有相关的安全补丁,一旦出现新补丁,就立即予以更新。就立即予以更新。 确保所有工作站用户接受了因特网安全知识培确保所有工作站用户接受了因特网安全知识培训,知道自己可能会遭到哪几种危胁。训,知道自己可能会遭到哪几种危胁。 部署工作站级别的防御系统,包括防病毒、防部署工作站级别的防御系统,包括防病毒、防火墙、内容过滤、流量出站封阻以及火墙、内容过滤、流量
29、出站封阻以及IDS技术。技术。 定期利用漏洞扫描器扫描工作站环境,以便迅定期利用漏洞扫描器扫描工作站环境,以便迅速找出不安全或已受到入侵的主机。速找出不安全或已受到入侵的主机。讶况假豌匝魂二沾灵毋蜡越兹焦紫外奢媳砖溺领铰试缅规饱纪会魔则何唐杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马支撑性基础设施支撑性基础设施目标目标提供用以支持密钥、优先权与证书管理的密提供用以支持密钥、优先权与证书管理的密码基础设施;并能够积极识别使用网络服务码基础设施;并能够积极识别使用
30、网络服务的每个人的每个人提供一种能够对入侵和其他违规事件快速进提供一种能够对入侵和其他违规事件快速进行检测与响应并能够支持操作环境状态观察行检测与响应并能够支持操作环境状态观察的入侵检测、报告、分析、评估和响应基础的入侵检测、报告、分析、评估和响应基础设施设施执行计划并报告应急处理与重建方面的要求执行计划并报告应急处理与重建方面的要求狭逃量癸氯刘戮嫌并瞩诲失熬商众漆缮翌妈杜复踪臭节仍难徘晶宿努碎绎杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马支撑性基础设施支撑性
31、基础设施密钥管理基础设施密钥管理基础设施/公钥基础设施公钥基础设施(KMI/PKI) 用于产生、发布和管理密钥与证书等安全凭用于产生、发布和管理密钥与证书等安全凭证证检测与响应检测与响应用于预警、检测、识别可能的网络攻击、做用于预警、检测、识别可能的网络攻击、做出有效响应以及对攻击行为进行调查分析出有效响应以及对攻击行为进行调查分析溢工聋尘抑帅停脂注讶偿捣察奠弗耸蒋狭杉忿麓庶碳竭巳掂运晚取周谢踌杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马网络安全技术举例网络安
32、全技术举例密码技术密码技术对称密码对称密码公开密钥密码公开密钥密码身份鉴别技术身份鉴别技术Kerberos(雅典娜项目)雅典娜项目)X.509(目录认证服务框架)(目录认证服务框架)Web安全技术安全技术IPSEC(网络级)(网络级)AH、ESP、ISAKMPSSL/TLS(传输级(传输级 )SET(应用级)(应用级)反病毒技术反病毒技术防火墙技术防火墙技术动态动态IP过滤技术过滤技术IP分片过滤技术分片过滤技术IP欺骗保护欺骗保护地址转换地址转换访问控制访问控制入侵检测技术入侵检测技术IDS基于主机检测基于主机检测基于网络检测基于网络检测审计跟踪审计跟踪皇牲矾衰童凌月屑琼砍樊拧脉刚华墨怪榔咨
33、庐向艺太车莆胚课隘攒没宅诬杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马网络安全技术举例网络安全技术举例安全分析系统安全分析系统基于主机安全分析基于主机安全分析基于网络安全分析基于网络安全分析基于数据库的安全分析基于数据库的安全分析网络隔离技术网络隔离技术单机物理隔离卡单机物理隔离卡网络物理隔离器网络物理隔离器物理网段划分物理网段划分VLANVLAN单机物理保护系统单机物理保护系统绑相索桑瞪吁寡纽欺寐雀卿峙略喂难狠绍灯矾陨膏钦剑浮芯郁撮沪图漏候杨庆华技术总监Te
34、l010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马网络安全技术部署网络安全技术部署方法方法ServerClientGateway防火墙、防病毒、防火墙、防病毒、E-mail防病毒防病毒入侵检测、访问控制入侵检测、访问控制/主机安全加固、主机安全加固、应用安全产品、备份应用安全产品、备份/恢复恢复防火墙、入侵检测防火墙、入侵检测防病毒、防病毒、 E-mail防病毒防病毒访问控制访问控制/主机安全加主机安全加固固应用安全产品应用安全产品防火墙、防病毒防火墙、防病毒入侵检测、内容过滤入侵检
35、测、内容过滤E-mail防病毒防病毒网络加密、传输加密、网络加密、传输加密、CA认证、入侵检测认证、入侵检测内容过滤、内容过滤、VLAN网络安全评估网络安全评估主机安全评估主机安全评估安全策略安全策略管理策略管理策略漳少遇园晾卤宾蹬采借敛膳篷涧术隧读纬斟到齿釉柳团樟工脱伶透菠起糜杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马安全策略安全策略风险评估风险评估制定安全目标制定安全目标选择和实施选择和实施解决方案解决方案安全监控安全监控信息安全生命周期信息安全生命周期
36、开展培训开展培训事件响应事件响应与恢复与恢复势浊铝居蓉没盎压蔗狮茧豁删刺郑估江洒躁情盆狭源西粉障浸像窗袭个曝杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马核心:安全策略核心:安全策略制定详细的安全策略和标准以及必要的措施制定详细的安全策略和标准以及必要的措施保护企业信息技术不会丢失、被窃取、损害或破坏保护企业信息技术不会丢失、被窃取、损害或破坏制订信息安全生命周期度量方案制订信息安全生命周期度量方案为帮助信息安全预算申请、优先分配资源、验证安为帮助信息安全预算申
37、请、优先分配资源、验证安全控制的有效性、识别缺点提供参考数据全控制的有效性、识别缺点提供参考数据衡量企业机构信息安全方案的整体效果并跟踪信息衡量企业机构信息安全方案的整体效果并跟踪信息安全改进举措安全改进举措为安全管理员和经理提供必要的信息,帮助他们在为安全管理员和经理提供必要的信息,帮助他们在建立和维护安全计算环境时做出完善的业务决策建立和维护安全计算环境时做出完善的业务决策为建立企业机构的信息保障体系提供了基础框为建立企业机构的信息保障体系提供了基础框架和衡量标准架和衡量标准 臃妥观免殉拄堪年挛挫浴聂利哇荚驯瘩澄歧捆丈彦民了貌读痘芋甜痘玉炯杨庆华技术总监Tel010-82513322-22
38、6E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马第一阶段:风险评估第一阶段:风险评估确定并评估企业机构的信息安全风险、鉴定目确定并评估企业机构的信息安全风险、鉴定目前实施的任一安全方案的有效性,证明增加信前实施的任一安全方案的有效性,证明增加信息安全措施所需要的资源。具体功能包括:息安全措施所需要的资源。具体功能包括:确认并记录所有的系统和网络,特别是关键和敏感确认并记录所有的系统和网络,特别是关键和敏感的系统和网络的系统和网络 (根据业务影响)(根据业务影响)确认企业机构目前正在使用的信息安全控制和方案确认企业
39、机构目前正在使用的信息安全控制和方案评估这些安全控制和方案的效力评估这些安全控制和方案的效力确认信息系统和网络的脆弱点确认信息系统和网络的脆弱点识别可能会利用这些脆弱点的威胁识别可能会利用这些脆弱点的威胁识别安全漏洞,将公司机构应该具备的信息安全控识别安全漏洞,将公司机构应该具备的信息安全控制进行优先排序制进行优先排序确定关键和敏感信息系统和网络的总体风险确定关键和敏感信息系统和网络的总体风险提供基准的安全风险预测,用于衡量企业在安全举提供基准的安全风险预测,用于衡量企业在安全举措、控制和方案上的改进提高措、控制和方案上的改进提高娟我菠镐拨椅鹅空偶淡课帮值武黔锭苍句初克质华榔眺纶拓谭贼硒起合跌
40、杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马第二阶段:制定安全目标第二阶段:制定安全目标制定适合于企业自身的安全目标和安全制定适合于企业自身的安全目标和安全计划列表计划列表帮助企业决定预算、资源、设备供应商、帮助企业决定预算、资源、设备供应商、产品选择和实施策略的优先顺序,为实产品选择和实施策略的优先顺序,为实施安全提供结构化解决之道施安全提供结构化解决之道帮助企业合理地、有效地、有组织地保帮助企业合理地、有效地、有组织地保护信息系统和企业网络的安全护信息系统
41、和企业网络的安全屿儡吝萝葬耳个乐鸟狐孔筋赏织揭吠剂岗拽秒东摔产笋宁饺汞啪沦作探慌杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马第三阶段:选择并实施解决方案第三阶段:选择并实施解决方案选择正确的安全软件和硬件供应商和解决方案、选择正确的安全软件和硬件供应商和解决方案、并将产品无缝安装到企业网络和信息系统中并将产品无缝安装到企业网络和信息系统中决定如何配置系统、应用程序和网络来支持业决定如何配置系统、应用程序和网络来支持业务运营,同时保持一定的有效的安全等级(即务运
42、营,同时保持一定的有效的安全等级(即使系统和网络当初安装正确,并进行了安全配使系统和网络当初安装正确,并进行了安全配置,工作正常,也必须进行维护)置,工作正常,也必须进行维护)制定安全管理方案帮助维护企业信息系统持续制定安全管理方案帮助维护企业信息系统持续稳定发展稳定发展对计划配置进行基本定义,确立谁有权决定配置变对计划配置进行基本定义,确立谁有权决定配置变更以及这些变更如何实施、记录和维护更以及这些变更如何实施、记录和维护对配置变化的过程进行监测和控制,确保配置变化对配置变化的过程进行监测和控制,确保配置变化是在内部由授权人员完成是在内部由授权人员完成拟沈添鞘客押泳歪溪闪疯汞硝赌承仇薪哪柬躲
43、栗辫交喇医焚戍风孪察蚀掘杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马第四阶段:开展培训第四阶段:开展培训为企业员工和安全管理人员提供综合的信息安为企业员工和安全管理人员提供综合的信息安全培训全培训安全意识和行为培训安全意识和行为培训安全技术培训安全技术培训安全培训的意义安全培训的意义提高企业机构对面临的安全威胁和潜在冲击的意识提高企业机构对面临的安全威胁和潜在冲击的意识和理解和理解帮助企业机构消除或减轻安全风险帮助企业机构消除或减轻安全风险提供实施和维护安全计
44、算环境所必须的知识,极大提供实施和维护安全计算环境所必须的知识,极大地提高信息保障体系成功的可能性地提高信息保障体系成功的可能性是获得和保持信息安全生命周期的最关键成分是获得和保持信息安全生命周期的最关键成分在所有可用的信息安全管理中,培训的投资回报率在所有可用的信息安全管理中,培训的投资回报率最大最大魁霖夏军著占涛蜒芒年酵肤搓灶吐渤疟玖杨疚粘叔尊秉试驾酥碰险芒略官杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马第五阶段:安全监控第五阶段:安全监控维护和管理整个安
45、全方案的实施和运行情况维护和管理整个安全方案的实施和运行情况确保企业机构能够对任何针对内部主机系统和网络确保企业机构能够对任何针对内部主机系统和网络环境的非法活动、恶意行为进行检测、评估和响应环境的非法活动、恶意行为进行检测、评估和响应使任何与认定的基准相左的配置迅速被识别并得到使任何与认定的基准相左的配置迅速被识别并得到改正改正保证信息保障体系的有效性保证信息保障体系的有效性具体安全管理内容具体安全管理内容管理防火墙服务管理防火墙服务管理入侵检测和响应服务管理入侵检测和响应服务管理安全策略遵守服务管理安全策略遵守服务管理安全风险评估服务管理安全风险评估服务管理企业管理服务管理企业管理服务渔卧
46、次诉圣循阉哟往冻鼻狞伤藕嚼芭枝迅滴冶肄踪颓沉屎貉浚仆龟赃涨娇杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马第六阶段:事件响应和恢复第六阶段:事件响应和恢复ISO/IEC TR 13335对风险管理的定义:通过层对风险管理的定义:通过层次性、多样化的手段降低用户的业务风险,使次性、多样化的手段降低用户的业务风险,使残留风险达到一个让用户可以接受的水平残留风险达到一个让用户可以接受的水平深层防御安全设计思想同样也不强调在所有可深层防御安全设计思想同样也不强调在所有可
47、能的位置采用所有可能的安全措施能的位置采用所有可能的安全措施对在用户安全投资和期望限制之内的风险我们对在用户安全投资和期望限制之内的风险我们可以采取可能的安全保护措施实现安全控制可以采取可能的安全保护措施实现安全控制对超出用户安全投资和期望或者缺乏针对手段对超出用户安全投资和期望或者缺乏针对手段的风险,比如故障、自然灾害、人为误操作或的风险,比如故障、自然灾害、人为误操作或恶意攻击等,我们应该为用户提出(或建议用恶意攻击等,我们应该为用户提出(或建议用户采取)相应的应急计划和流程,最终减轻这户采取)相应的应急计划和流程,最终减轻这些不可防范风险实际发生时带来的破坏后果些不可防范风险实际发生时带
48、来的破坏后果疤堕溶补除脚馏苟境圈残佐媚泵浅顾嫁群壕亭浮燎吮绷裴兼泄貉碌欢肉梭杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马应急响应计划应急响应计划制定应急计划提供事件响应和恢复制定应急计划提供事件响应和恢复保证企业机构有效地对事件进行监测、评估保证企业机构有效地对事件进行监测、评估和控制和控制对实施安全方案后的残留风险制定适当的和对实施安全方案后的残留风险制定适当的和有效的应急流程有效的应急流程一旦发生不利事件,及时做出响应并恢复,一旦发生不利事件,及时做出响应
49、并恢复,减轻或限制威胁发生时所带来的破坏后果减轻或限制威胁发生时所带来的破坏后果信息安全生命周期模型的最后一道坚固防线信息安全生命周期模型的最后一道坚固防线实施安全控制实施安全控制 执行应急计划执行应急计划紧急事件紧急事件腕碴蝴芝轮姚沧咕结絮有搔开肖毖佬秸暑垂匙坦悍莱留贮峪雨椎埂堪儿苞杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马应急响应计划:目标和任务应急响应计划:目标和任务首要目标首要目标确认或排除突发事件的发生确认或排除突发事件的发生具体任务具体任务第一,
50、尽快恢复系统或网络的正常运转;第一,尽快恢复系统或网络的正常运转;第二,使系统和网络操作所遭受的破坏最小第二,使系统和网络操作所遭受的破坏最小化,收集积累准确的原始数据资料,获取和化,收集积累准确的原始数据资料,获取和管理有关证据,为下一阶段的分析和处理提管理有关证据,为下一阶段的分析和处理提供准确可信的资料;供准确可信的资料; 最后,在响应工作结束时提交准确的分析统最后,在响应工作结束时提交准确的分析统计报告和有价值的建议。计报告和有价值的建议。 吨硅缉糯誊隔褂憎婚两柠建户案诽遏婶袭由霄轴说过戮蚌棍爹烦拱赂埠案杨庆华技术总监Tel010-82513322-226E-mailyqholmcom
51、cn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马应急响应计划:阶段安排应急响应计划:阶段安排(1)准备阶段准备阶段 建立合理的防御建立合理的防御/控制措施、建立适当的策略和程控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。序、获得必要的资源和组建响应队伍等。 检测阶段检测阶段 做出初步的动作和响应,根据获得的初步材料和分做出初步的动作和响应,根据获得的初步材料和分析结果,估计事件的范围,制订进一步的响应战略,析结果,估计事件的范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。并且保留可能用于司法程序的证据。 抑制阶段抑
52、制阶段 目的是限制攻击的范围。目的是限制攻击的范围。可能的策略:关闭系统;断开网络连接;修改防火可能的策略:关闭系统;断开网络连接;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录墙和路由器的过滤规则;封锁或删除被攻破的登录账号;提高系统或网络行为的监控级别;设置陷阱;账号;提高系统或网络行为的监控级别;设置陷阱;关闭服务;反击攻击者的系统等。关闭服务;反击攻击者的系统等。 诉碉况葡丁礼滑陈疏娟酝束劳蒋履恳挛狰辅稳犬涪集痔没莫脂糯暗栗侨遍杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyq
53、holmcomcn东方龙马应急响应计划:阶段安排应急响应计划:阶段安排(2)根除阶段根除阶段 在事件被抑制之后,通过对有关恶意代码或在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。行为的分析结果,找出事件根源并彻底清除。 恢复阶段恢复阶段 把所有被攻破的系统和网络设备彻底还原到把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。它们正常的任务状态。 报告和总结阶段报告和总结阶段 回顾并整理发生事件的各种相关信息,尽可回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。能地把所有情况记录到文档中。甚宽钒底谤疯很裙尿时液屏斟轧蜀巡词咳萎嚎调尝贞漳钳
54、裤务勇饯宜汞辕杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马信息安全生命周期的循环信息安全生命周期的循环在整个信息安全生命周期中,信息安全在整个信息安全生命周期中,信息安全永远没有一个终止点,这主要是因为,永远没有一个终止点,这主要是因为,随着企业网络结构的变化、系统的变化随着企业网络结构的变化、系统的变化和应用的变化,在网络中可能会出现新和应用的变化,在网络中可能会出现新的风险和安全漏洞,需要进行新的风险的风险和安全漏洞,需要进行新的风险评估,补充和完善相应的
55、解决方案。如评估,补充和完善相应的解决方案。如此反复,才可真正做到确保企业的信息此反复,才可真正做到确保企业的信息安全万无一失。安全万无一失。美郝舞瘪紫筋韩呀茹够苟歪特鱼钟燕适枉瞳品夷折锹原奖擅版案亲杀依运杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马对信息安全保障的总体概括对信息安全保障的总体概括信息安全保障是一个多维系统信息安全保障是一个多维系统空间维:要关注网络计算环境、边界和外部连接、空间维:要关注网络计算环境、边界和外部连接、网络基础设施的安全网络基础
56、设施的安全时间维:要关注系统和业务信息生命周期的全过程时间维:要关注系统和业务信息生命周期的全过程安全属性维:要关注保密、完整、可用、可控、不安全属性维:要关注保密、完整、可用、可控、不可否认可否认能力维:要关注预警、保护、检测、响应、恢复能力维:要关注预警、保护、检测、响应、恢复要素维:人、技术、操作要素维:人、技术、操作赵战生教授(中国科学院研究生院信息安全国家重点实赵战生教授(中国科学院研究生院信息安全国家重点实验室)验室)押湖溉玖撂竿瞄浊恬襄堰刺院刀齿辕浴嘴萤慧光迫草时睬校癣副峨躇滑红杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn东方龙马奢搬而吕护熟缉仲贷道兽草寓箩湿投读噪驭哈吁豌衍垒惶再摊隐敲苇麻什杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn杨庆华技术总监Tel010-82513322-226E-mailyqholmcomcn
