天融信信息安全体系建设-技术部分资料

信息安全保障体系建设目录信息安全体系建设信息安全常见的技术手段122安全设备保障系统安全加固应急响应措施全员安全意识形成日常安全管理制度一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。信息安全的基本常识信息安全的实质

采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。ConfidentialityIntegrityAvailabilityInformation信息安全需要考虑哪些因素安全管理物理层面物理访问控制门禁系统电力供应双路供电UPS电源温湿度控制防水、防潮防盗窃和防破坏机房监控系统防火灭火设备火灾自动报警系统……信息安全常见的技术手段网络层面访问控制防火墙攻击防护病毒防护入侵检测/防御系统WEB防火墙病毒过滤网关传输加密IPSECVPNSSLVPN安全审计网络审计系统日志审计系统事前事中事后漏洞管理漏洞扫描系统信息安全常见的技术手段主机层面服务器安全加固强化身份鉴别强化访问控制病毒防护强化日志记录杀毒软件补丁管理补丁管理系统终端外设管控终端管理审计系统终端准入控制日志审计系统终端行为监控信息安全常见的技术手段应用层面账号管理访问控制身份鉴别安全审计数据加密数据灾备应用灾备数据层面数据容灾堡垒主机CA认证中心信息安全常见的技术手段4A统一安全管理平台完善的产品和服务7大类40余种安全产品，覆盖终端、网络和云端专业安全服务，业内最佳实践边界安全下一代防火墙应用安全网关UTM虚拟化安全网关VPN入侵检测和防御IDS/IPSAPT防御无线入侵防御抗拒绝服务防病毒网关网闸有线无线交换机业务交付上网行为管理应用流量管理负载均衡广域网加速应用交付用户与终端安全用户身份认证集中身份管理终端安全管理桌面虚拟化移动设备管理合规管理日志审计网络审计数据库审计运维审计WEB安全WEB应用防火墙网页防篡改WEB漏洞扫描数据安全数据库防火墙数据库安全加固文档安全管理数据防泄漏DLP存储备份数据容灾安全管理脆弱性管理安全运营管理IT运维管理网络管理安全策略管理等保自测管理安全专家服务安全风险评估安全体系建设咨询合规性安全咨询安全监控、加固及应急响应安全集成及安全管理软件定制安全云服务远程评估咨询周期安全巡检安全设备租赁安全设备远程监控网络应用系统监控驻场安全运维安全培训服务CISP培训CISSP培训TCSP培训信息安全定制培训信息安全公益课程……目录信息安全体系建设信息安全常见的技术手段122信息安全体系建设等级保护分级保护职责部门公安机关国家保密工作部门标准体系国家标准（GB、GB/T）国家保密标准（BMB，强制执行）适用对象非涉密信息系统涉密信息系统级别划分第一级（自主保护）第二级（指导保护）第三级（监督保护）第四级（强制保护）第五级（专控保护）秘密级机密级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接，三个等级的防护水平不低于国家等级保护的第三、四、五级要求。国家标准信息安全体系建设等级保护如何做?-三步走

1、“差距分析，确定安全需求”。

通过系统定级、等级评估等识别系统的安全风险，确定系统的安全等级，并找出系统安全现状与等级要求的差距，形成完整准确的等级化的安全需求。

2、“体系化建设，实现纵深安全防御”。 采用“体系化”的分析和控制方法，横向把保护对象分成安全计算环境、安全区域边界和安全通信网络；纵向把控制体系分成安全管理、安全技术和安全运维的控制体系框架，同时通过三个体系，一个中心，三重防护”的安全管理概念和模式，建立满足等级保护整体安全控制要求的安全保障体系。3、“安全运维，确保持续安全运行”。

通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性纵深防御的安全需求。二级、三级系统建设整改措施对比(2)安全类别控制项主要安全措施二级保护措施三级保护措施物理安全物理访问控制机房安排专人负责，来访人员须审批和陪同■■重要区域配置门禁系统

■防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施■■主机房安装监控报警系统

■防雷击机房计算机系统接地符合GB500571994《建筑物防雷设计规范》中的计算机机房防雷要求■■机房电源、网络信号线、重要设备安装有资质的防雷装置

■防火机房设置灭火设备和火灾自动报警系统■■机房配置自动灭火装置

■电力供应机房及关键设备应配置UPS备用电力供应■■医院重要科室应采用双回路电源供电■■环境监控机房设置温、湿度自动调节设施■■机房设置防水检测和报警设施

■对机房关键设备和磁介质实施电磁屏蔽

■持续改进的框架-PDCA信息安全体系建设信息安全体系建设寻找差距风险隐患等级保护安全需求方案设计安全集成安全服务依据分析确定检查进行实施物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求防火墙UTM流量控制网络审计日志审计终端安全管理IDS/IPS防病毒网关堡垒机安全加固服务网管系统数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统安全加固服务网管系统病毒软件PKI/CAWeb防火墙Web防篡改VPN安全加固服务VPN数据安全产品数据存储、备份提供等保合规性安全产品天融信全线安全产品7大类30余种安全产品，覆盖终端、网络和云端专业安全服务，业内最佳实践用户与终端安全终端安全管理移动设备管理网络准入系统4A系统边界安全下一代防火墙IPSECVPNSSLVPN网闸入侵检测IDS入侵防御IPS抗拒绝服务防病毒网关综合安全网关业务交付负载均衡广域网加速应用交付应用流量管理上网行为管理合规管理日志审计网络审计数据库审计运维管理与审计系统WEB安全WEB防火墙网页防篡改数据安全存储备份一体机容灾备份软件网络存储文档加密系统数据库防火墙数据库加密及加固系统安全管理IT运维管理脆弱性管理安全信息管理安全策略管理等保管理平台安全专家服务安全风险评估安全体系建设咨询合规性安全咨询安全监控、加固及应急响应安全增值合作计划安全集成及安全管理软件定制安全云服务安全设备远程监控网络应用系统监控远程评估咨询周期安全巡检安全设备租赁安全培训服务CISP培训CISSP培训TCSP培训信息安全定制培训信息安全公益课程用通俗的方式表达就是安全要实现：进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉信息安全体系建设谢谢！天融信河北办事处高海洞管理－漏洞扫描系统漏洞管理的重要性

漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞扫描系统架构漏洞管理－漏洞扫描系统扫描任务漏洞管理－漏洞扫描系统扫描配置管理漏洞管理－漏洞扫描系统结果统计分析漏洞管理－漏洞扫描系统知识库查询访问控制－防火墙两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为基本概念一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。访问控制－防火墙防火墙的访问控制HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略

基于IP地址基于MAC地址基于端口基于用户名基于时间基于网址基于邮件地址基于关键字基于流量可以灵活的制定的控制策略访问控制－防火墙访问控制配置界面访问控制－防火墙访问控制规则列表需要注意的问题规则的方向性：只需要考虑发起访问方到被访问方的数据流方向规则作用有顺序访问控制列表遵循第一匹配规则规则的一致性和逻辑性访问控制－防火墙动态端口协议支持对于多连接协议，除了建立一个主连接外，还会动态建立一些子连接进行通信。绑定后防火墙可以识别这些子连接，并按照主连接的策略去执行，无需管理员再添加策略。访问控制－防火墙防火墙、路由器对比共性：都属于网关设备，可以支持网络的各种应用差异性设计思路：Router是作为一种“网络连通手段”；保证网络互连互通为主；Firewall是作为一种“网络隔离手段”，隔离网络异常数据为主。实现方式：Router：能正确转发包的设备是路由器；Firewall：能正确丢包的设备是防火墙；无法查緝以夹带方式闯关的非法违禁品您发现这瓶「漂白水」了吗？访问控制－防火墙防火墙办不到的事...攻击过滤－入侵检测及入侵防御系统入侵检测系统：IDS，是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。是一套监控和识别计算机系统或网络系统中发生的事件，根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统入侵防御系统：IPS，对流经设备的流量进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术，并可以实时阻断攻击的系统。攻击过滤－入侵检测及入侵防御系统入侵防御与入侵检测的异同点相同点工作层次相同、都可以工作在7层，对应用层进行深度解析，发现应用层威胁不同点IDS旁路部署、IPS在线串接攻击阻止时效性攻击过滤－入侵检测及入侵防御系统入侵防御与入侵检测的检测原理误用检测（特征检测）：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。异常检测：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。攻击过滤－入侵检测及入侵防御系统误用检测（特征检测）前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程特点：误报低、漏报高用户行为模式匹配入侵特征知识库发现入侵！监控特征提取匹配判定不匹配攻击过滤－入侵检测及入侵防御系统异常检测前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围；检查实际用户行为和系统的运行情况是否偏离预设的门限？过程：特点:漏报率低,误报率高行为尺度可能的入侵用户行为监控量化比较判定修正攻击过滤－入侵检测及入侵防御系统异常检测实例黑客得知FTPServer存在用户名admin使用字典程序对admin用户暴力猜密码入侵检测系统会发现在很短的时间内会出现大量如下数据包：user**pass***，此时入侵检测系统就会发出Alert，表明FTP服务器正在遭受暴力破解的攻击。NIDS攻击过滤－入侵检测及入侵防御系统入侵防御与防火墙的异同点相同点网关方式在线部署实时处理流经设备的数据报文，要求性能和稳定性不同点防火墙是工作在L3或L4层的安全防护设备，而IPS是工作在L7层上的安全防护设备防火墙也有L7层的功能但是基于内容的访问控制，而IPS是基于攻击特征的发现和防护攻击过滤－入侵检测及入侵防御系统在组网中，入侵检测系统与防火墙的关系防火墙一般部署在外界，入侵检测系统一般旁路部署在内部网络，当入侵检测系统发现了透过防火墙的入侵行为时，可以通过联动协议通知防火墙，由防火墙生成一条动态的阻断策略，阻断掉相应的网络连接，中断入侵行为。在组网中，入侵防御系统与防火墙的关系防火墙和入侵防御系统往往是一前一后配合使用，同时串接到重要的网络边界处，防火墙进行“逻辑隔离和访问控制”，入侵防御系统用于对应用层威胁的抵御。（防火墙好比在墙上开了一个窗户洞，入侵防御系统就像安装在窗户洞上的纱窗。）攻击过滤－WEB应用防火墙（WAF）举例：某男对某网站“我要数据库密码”/i