天融信信息安全体系建设-技术部分

1、信息安全保障体系建设 目 录 信息安全体系建设 信息安全常见的技术手段1 2 2 安全设备保障 系统安全加固 应急响应措施 全员安全意识形成 日常安全管理制度 一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么 这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。 信息安全的基本常识 信息安全的实质 采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、 更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事 件对业务造成的影响减到最小，确保组织业务运行的连续性确保组织业务运行的连续性。 信息安全需要考虑哪些因素 物理层面 物理访问控制门禁系统门禁系统 电力供应

2、双路供电双路供电 UPS电源电源 温湿度控制 防水、防潮 防盗窃和防破坏 机房监控系统机房监控系统 防火 灭火设备灭火设备 火灾自动报警系统火灾自动报警系统 信息安全常见的技术手段 网络层面 访问控制 防火墙防火墙 攻击防护 病毒防护 入侵检测入侵检测 / 防御系统防御系统 WEB防火墙防火墙 病毒过滤网关病毒过滤网关 传输加密 IPSECVPN SSLVPN 安全审计 网络审计系统网络审计系统 日志审计系统日志审计系统 事前 事中 事后 漏洞管理 漏洞扫描系统漏洞扫描系统 信息安全常见的技术手段 主机层面 服务器安全加固 强化身份鉴别强化身份鉴别 强化访问控制强化访问控制 病毒防护 强化日志

3、记录强化日志记录 杀毒软件杀毒软件 补丁管理 补丁管理系统补丁管理系统 终端外设管控终端外设管控终端管理 审计系统 终端准入控制终端准入控制 日志审计系统日志审计系统 终端行为监控终端行为监控 信息安全常见的技术手段 应用层面 账号管理 访问控制 身份鉴别 安全审计 数据加密 数据灾备数据灾备 应用灾备应用灾备 数据层面 数据容灾 堡垒主机堡垒主机 CA认证中心认证中心 信息安全常见的技术手段 4A统一安全管理平台统一安全管理平台 完善的产品和服务 7大类40余种安全产品，覆盖终端、网络和云端专业安全服务，业内最佳实践 边界安全 下一代防火墙 应用安全网关 UTM 虚拟化安全网 关 VPN 入

4、侵检测和防 御 IDS/IPS APT防御 无线入侵防御 抗拒绝服务 防病毒网关 网闸 有线无线交换 机 业务交付 上网行为管理 应用流量管理 负载均衡 广域网加速 应用交付 用户与终端安全 用户身份认证 集中身份管理 终端安全管理 桌面虚拟化 移动设备管理 合规管理 日志审计 网络审计 数据库审计 运维审计 WEB安全 WEB应用防火 墙 网页防篡改 WEB漏洞扫描 数据安全 数据库防火墙 数据库安全加 固 文档安全管理 数据防泄漏DLP 存储备份 数据容灾 安全管理 脆弱性管理 安全运营管 理 IT运维管理 网络管理 安全策略管 理 等保自测管 理 安全专家服务 安全风险评估 安全体系建设

5、咨询 合规性安全咨询 安全监控、加固及应急响应 安全集成及安全管理软件定制 安全云服务 远程评估咨询 周期安全巡检 安全设备租赁 安全设备远程监控 网络应用系统监控 驻场安全运维 安全培训服务 CISP培训 CISSP培训 TCSP培训 信息安全定制培训 信息安全公益课程 目 录 信息安全体系建设 信息安全常见的技术手段1 2 2 信息安全体系建设 u国家标准 信息安全体系建设 等级保护如何做?-三步走 1 1、“差距分析，确定安全需求差距分析，确定安全需求”。 通过系统定级、等级评估等识别系统的安全风险，确定系统的安全等级， 并找出系统安全现状与等级要求的差距，形成完整准确的等级化的安全需求

6、。 2 2、“体系化建设，实现纵深安全防御体系化建设，实现纵深安全防御”。 采用“体系化”的分析和控制方法，横向把保护对象分成安全计算环境、安 全区域边界和安全通信网络；纵向把控制体系分成安全管理、安全技术和安全 运维的控制体系框架，同时通过三个体系，一个中心，三重防护”的安全管理 概念和模式，建立满足等级保护整体安全控制要求的安全保障体系。 3 3、“安全运维，确保持续安全运行安全运维，确保持续安全运行”。 通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件， 从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满 足持续性纵深防御的安全需求。 二级、三级系统建设整改

7、措施对比(2) 安全类别控制项主要安全措施二级 保护 措施 三级 保护 措施 物理安全物 理 访 问控制 机房安排专人负责，来访人员须审批和陪同 重要区域配置门禁系统 防 盗 窃 和 防 破 坏 暴露在公共场所的网络设备须具备安全保护措施 主机房安装监控报警系统 防雷击机房计算机系统接地符合GB500571994建筑物防雷 设计规范中的计算机机房防雷要求 机房电源、网络信号线、重要设备安装有资质的防雷装置 防火机房设置灭火设备和火灾自动报警系统 机房配置自动灭火装置 电 力 供 应 机房及关键设备应配置UPS备用电力供应 医院重要科室应采用双回路电源供电 环 境 监 控 机房设置温、湿度自动调

8、节设施 机房设置防水检测和报警设施 对机房关键设备和磁介质实施电磁屏蔽 持续改进的框架-PDCA 信息安全体系建设 信息安全体系建设 依据依据分析分析 确定确定检查检查 进行进行实施实施 物理安全物理安全网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全 身份鉴别（身份鉴别（S） 安全标记（安全标记（S） 访问控制（访问控制（S） 可信路径（可信路径（S） 安全审计（安全审计（G） 剩余信息保护（剩余信息保护（S） 物理位置的选择（物理位置的选择（G） 物理访问控制（物理访问控制（G） 防盗窃和破坏防盗窃和破坏（G G） 防雷防雷/火火/水水（G G） 温湿度控制温湿度控制（G

9、G） 电力供应电力供应（A A） 数据完整性（数据完整性（S） 数据保密性（数据保密性（S） 备份与恢复（备份与恢复（A） 防静电防静电（G G） 电磁防护电磁防护（S S） 入侵防范（入侵防范（G） 资源控制（资源控制（A） 恶意代码防范（恶意代码防范（G） 结构安全（结构安全（G） 访问控制（访问控制（G） 安全审计（安全审计（G） 边界完整性检查（边界完整性检查（S） 入侵防范（入侵防范（G） 恶意代码防范（恶意代码防范（G） 网络设备防护（网络设备防护（G） 身份鉴别（身份鉴别（S） 剩余信息保护（剩余信息保护（S） 安全标记（安全标记（S） 访问控制（访问控制（S） 可信路径（可信路

10、径（S） 安全审计（安全审计（G） 通信完整性（通信完整性（S） 通信保密性（通信保密性（S） 抗抵赖（抗抵赖（G） 软件容错（软件容错（A） 资源控制（资源控制（A） 技术要求技术要求 防火墙 UTM 流量控制 网络审计 日志审计 终端安全管理 IDS/IPS 防病毒网关 堡垒机 安全加固服务 网管系统 数据库审计 日志审计 漏洞扫描 堡垒机 终端安全 安管平台 安全加固系统 安全加固服务 网管系统 病毒软件 PKI/CA Web防火墙 Web防篡改 VPN 安全加固服务 VPN 数据安全产品 数据存储、备份 提供等保合规性安全产品 天融信全线安全产品 用户与终端安全 终端安全管理 移动设备

11、管理 网络准入系统 4A系统 边界安全 下一代防火墙 IPSEC VPN SSL VPN 网闸 入侵检测IDS 入侵防御IPS 抗拒绝服务 防病毒网关 综合安全网关 业务交付 负载均衡 广域网加速 应用交付 应用流量管理 上网行为管理 合规管理 日志审计 网络审计 数据库审计 运维管理与 审计系统 WEB安全 WEB防火墙 网页防篡改 数据安全 存储备份一体机 容灾备份软件 网络存储 文档加密系统 数据库防火墙 数据库加密及加 固系统 安全管理 IT运维管理 脆弱性管理 安全信息管理 安全策略管理 等保管理平台 安全专家服务 安全风险评估 安全体系建设咨询 合规性安全咨询 安全监控、加固及应急

12、响应 安全增值合作计划 安全集成及安全管理软件定制 安全云服务 安全设备远程监控 网络应用系统监控 远程评估咨询 周期安全巡检 安全设备租赁 安全培训服务 CISP培训 CISSP培训 TCSP培训 信息安全定制培训 信息安全公益课程 用通俗的方式表达就是安全要实现： 进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉 信息安全体系建设 谢谢！ 天融信河北办事处 高海明漏洞管理漏洞扫描系统 u 漏洞管理的重要性 漏洞管理能够对预防已知安全漏洞的攻击起到很好的 作用，做到真正的“未雨绸缪”。 通过漏洞管理产品，集中、及时找出漏洞并详细了解 漏洞相关信息。 漏洞管理产

13、品根据评估结果定性、定量分析网络资产 风险，反映用户网络安全问题，并把问题的重要性和 优先级进行分类，方便用户有效地落实漏洞修补和风 险规避的工作流程，并为补丁管理产品提供相应的接 口。 u 漏洞扫描系统架构 漏洞管理漏洞扫描系统 u 扫描任务 漏洞管理漏洞扫描系统 u 扫描配置管理 漏洞管理漏洞扫描系统 u 结果统计分析 漏洞管理漏洞扫描系统 u 知识库查询 访问控制防火墙 两个安全域之间通 信流的唯一通道 安全域1 HostA HostB 安全域2 HostCHostD UDPBlockHostCHostB TCPPassHostCHostA DestinationProtocolPerm

14、itSource 根据访问控制规则决 定进出网络的行为 u 基本概念 访问控制防火墙 u 防火墙的访问控制 Host C Host D 数据包 数据包 数据包 数据包 数据包 查找对应的 控制策略 拆开数据包 进行分析 根据策略决定如 何处理该数据包 数据包 控制策略 v 基于基于IP地址地址 v 基于基于MAC地址地址 v 基于端口基于端口 v 基于用户名基于用户名 v 基于时间基于时间 v基于网址基于网址 v基于邮件地址基于邮件地址 v基于关键字基于关键字 v基于流量基于流量 可以灵活的制定 的控制策略 访问控制防火墙 u 访问控制配置界面 访问控制防火墙 u 访问控制规则列表需要注意的问

15、题 n 规则的方向性： p 只需要考虑发起访问方到被访问方的数据流方向 n 规则作用有顺序 n 访问控制列表遵循第一匹配规则 n 规则的一致性和逻辑性 访问控制防火墙 u 动态端口协议支持 对于多连接协议，除了 建立一个主连接外，还 会动态建立一些子连接 进行通信。绑定后防火 墙可以识别这些子连接 ，并按照主连接的策略 去执行，无需管理员再 添加策略。 访问控制防火墙 u 防火墙、路由器对比 n 共性： 都属于网关设备，可以支持网络的各种应用 n 差异性 p 设计思路： Router是作为一种“网络连通手段”；保证网络 互连互通为主； Firewall是作为一种“网络隔离手段”，隔离网络 异常

16、数据为主。 p 实现方式： Router：能正确转发包的设备是路由器； Firewall：能正确丢包的设备是防火墙； 无法查緝以方式闯关的 您您发现这发现这瓶瓶 漂白水漂白水 了了吗？吗？ 访问控制防火墙 u 防火墙办不到的事 . 攻击过滤入侵检测及入侵防御系统 u 入侵检测系统：IDS，是通过从计算机网络或计算机系统中的若干关键点收集信息 并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击 的迹象的一种安全技术。是一套监控和识别计算机系统或网络系统中发生的事件 ，根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统 u 入侵防御系统：IPS，对流经设备的流量进行分析

17、，从中发现网络或系统中是否有 违反安全策略的行为和遭到袭击的迹象的一种安全技术，并可以实时阻断攻击的 系统。 攻击过滤入侵检测及入侵防御系统 u 入侵防御与入侵检测的异同点 n 相同点 p 工作层次相同、都可以工作在7层，对应用层进行深度解析，发现应用层威胁 n 不同点 p IDS旁路部署、IPS在线串接 p 攻击阻止时效性 攻击过滤入侵检测及入侵防御系统 u 入侵防御与入侵检测的检测原理 n 误用检测（特征检测）：这种检测方法是收集非正常操作（入侵）行为的特征，建立 相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比 较，得出是否有入侵行为。 n 异常检测：这种检测方

18、法是首先总结正常操作应该具有的特征；在得出正常操作的模 型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进 行报警。 攻击过滤入侵检测及入侵防御系统 u 误用检测（特征检测） n 前提：所有的入侵行为都有可被检测到的特征 n 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是 入侵 n 过程 n 特点：误报低、漏报高 用户行为用户行为 模式匹配模式匹配 入侵特征入侵特征 知识库知识库 发现入侵！发现入侵！ 不匹配不匹配 攻击过滤入侵检测及入侵防御系统 u 异常检测 n 前提：入侵是异常活动的子集 n 用户轮廓(Profile):通常定义为各种行

19、为参数及其阀值的集合，用于描述正常行为范围 ；检查实际用户行为和系统的运行情况是否偏离预设的门限？ n 过程： n 特点: 漏报率低,误报率高 行为尺度 可能的入侵 用户行为 攻击过滤入侵检测及入侵防御系统 u 异常检测实例 n 黑客得知FTPServer存在用户名admin n 使用字典程序对admin用户暴力猜密码 n 入侵检测系统会发现在很短的时间内会出现大量如下数据包：user*pass*，此时 入侵检测系统就会发出Alert，表明FTP服务器正在遭受暴力破解的攻击。 NIDS 攻击过滤入侵检测及入侵防御系统 u 入侵防御与防火墙的异同点 n 相同点 p 网关方式在线部署 p 实时处理

20、流经设备的数据报文，要求性能和稳定性 n 不同点 p 防火墙是工作在L3或L4层的安全防护设备，而IPS是工作在L7层上的安全防护设备 p 防火墙也有L7层的功能但是基于内容的访问控制，而IPS是基于攻击特征的发现和 防护 攻击过滤入侵检测及入侵防御系统 u 在组网中，入侵检测系统与防火墙的关系 n 防火墙一般部署在外界，入侵检测系统一般旁路部署在内部网络，当入侵检测系统发 现了透过防火墙的入侵行为时，可以通过联动协议通知防火墙，由防火墙生成一条动 态的阻断策略，阻断掉相应的网络连接，中断入侵行为。 n 在组网中，入侵防御系统与防火墙的关系 n 防火墙和入侵防御系统往往是一前一后配合使用，同时串接到重要的网络边界处，防 火墙进行“逻辑隔离和访问控制”，入侵防御系统用于对应用层威胁的抵御。（防火 墙好比在墙上开了一个窗户洞，入侵防御系统就像安装在窗户洞上的纱窗。） 攻击过滤 WEB应用防火墙（WAF） u 举例： n 某男对某网站“我要数据库密码” n /index.asp?wd=我要数据库密码 防火墙IPS