信息系统安全技术整体安全解决方案V

信息系统安全技术

--整体网络安全解决方案何长龙高级工程师用户网络安全的需求用户系统风险分析用户安全目标分析安全技术管理规范设计安全机制集成与服务用户网络结构系统设计整体安全解决方案产品、服务质量保证体系安全知识培训网络设备组件的加固与维护日常检测——漏洞/异常攻击事故报告应急事故恢复安全中心——风险分析、制定/实施/维护安全策略利用企业的资源最大限度地满足客户的需求！基于角色的培训安全动态知识长期培训主机保护产品组件加固服务

网络入侵检测产品漏洞扫描产品应急服务小组攻防实验室安全分析工程师安全知识数据库维护网络安全与信息安全◆安全的定义

远离危险的状态或特性，为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。安全不是技术,安全是一个过程。

◆网络安全网络的组成方式、拓扑结构和网络应用

◆信息安全信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性

◆网络信息安全的基本要求数据的保密性、数据的完整性、数据的可用性、数据的可控性

网络信息安全技术体系身份认证技术密码技术访问控制技术防病毒技术防火墙技术漏洞扫描技术入侵检测技术审计技术INTERNET案例一：网络拓扑分析应用案例一：SVPN典型应用服务子网代理服务器邮件服务器内部子网管理中心网络DNS服务器路由器分支子网2路由器代理服务器分支子网1路由器网络现状分析内部子网采用私有地址，通过代理服务器访问INTERNET服务子网对外提供WWW服务和电子邮件服务服务子网和内部子网与INTERNET之间无任何保护措施,无网络安全管理手段中心子网与分支子网通过INTERNET网络连接并有重要信息传递应用案例一：SVPN典型应用安全需求分析内部与外部的隔离实现对子网之间通信的加密传输用网关设备代替代理服务器外部能访问内部指定区域提供的服务能够对内部网络与外部网络之间的通信进行审计其它安全要求应用案例一：SVPN典型应用INTERNET案例一：网络安全设计服务子网代理服务器邮件服务器内部子网管理中心网络DNS服务器路由器分支子网2路由器代理服务器分支子网1路由器NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源CAMANSG1SG2SG3应用案例一：SVPN典型应用实现的主要功能子网之间的通信加密各子网与外部网络的访问控制实现网络地址转换（NAT）其它管理中心对各子网安全进行统一管理应用案例一：SVPN典型应用安全全策策略略实实施施安全全策策略略制制定定安全全策策略略实实现现安全全策策略略修修改改其它它安全全策策略略检检验验应用用案案例例一一：：SVPN典典型型应应用用DDNE-MAIL省管管理理中中心心网网络络路由由器器路由由器器路由由器器某寻寻呼呼台台信信息息网网络络DNS县网网络络中中心心县网网络络中中心心其它它应用用案案例例二二：：防防火火墙墙典典型型应应用用网络络现现状状分分析析及及需需求求内部部所所有有网网络络采采用用私私有有地地址址，，自自成成体体系系省省和和县县通通过过DDN专专线线进进行行网网络络通通信信使使用用防防火火墙墙的的NAT功功能能使使所所有有用用户户能能访访问问INTERNET，，并并进进行行访访问问控控制制通通过过ADSL接接入入INTERNET能能对对外外提提供供INTERNET服服务务应用用案案例例二二：：防防火火墙墙典典型型应应用用DDNE-MAIL管理理中中心心网网络络路由由器器路由由器器路由由器器其它它NEsec300FW2035968?告警内网接口外网接口电源INTERNET防火火墙墙ADSL县网网络络中中心心县网网络络中中心心省管管理理中中心心网网络络应用用案案例例二二：：防防火火墙墙典典型型应应用用主要要实实现现的的功功能能提供供访访问问控控制制提供供网网络络地地址址转转换换（（NAT））内内部部所所有有用用户户都都能能够访访问问INTERNET其它它应用用案案例例二二：：防防火火墙墙典典型型应应用用内部核心子网INTERNET分支机构1分支机构2电子子政政务务网网络络拓拓扑扑概概述述应用用案案例例三三：：综综合合应应用用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1电子子政政务务网网络络拓拓扑扑详详细细分分析析应用用案案例例三三：：综综合合应应用用领导导层层子子网网分支支机机构构2业务务处处室子子网网公共共处处室子子网网服务务处处室子子网网直属属人人事机机构构处室室子子网网共享享数数据据库子子网网INTERNET分支支机机构构1此人人正正试试图图进进入入网网络络监监听听并并窃窃取取敏敏感感信信息息电子子政政务务网网络络风风险险及及需需求求分分析析分支支机机构构工工作作人人员员正正试试图图在在领领导导层层子子网网安安装装木木马马分支支机机构构工工作作人人员员正正试试图图越越权权访访问问业业务务子子网网安安装装木木马马非内内部部人人员员正正试试图图篡篡改改公公共共网网络络服服务务器器的的数数据据应用用案案例例三三：：综综合合应应用用领导导层层子子网网业务务处处室子子网网公共共处处室子子网网服务务处处室子子网网直属属人人事机机构构处室室子子网网共享享数数据据库子子网网分支支机机构构2分支支机机构构1NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源INTERNETNEsec300FW2035968?告警内网接口外网接口电源防火火墙墙FW1防火火墙墙FW2防火火墙墙FW3安全全认认证证服服务务器器安全全管管理理器器安全全网网关关SG1安全全网网关关SG2安全全网网关关SG3路由由器器路由由器器路由由器器交换换机机电子子政政务务网网络络内内网网基基础础网网络络平平台台安安全全应用用案案例例三三：：综综合合应应用用NEsec300FW2035968?告警内网接口外网接口电源分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器内网网核核心心网网络络与与各各级级子子网网间间的的安安全全设设计计分支支机机构构2INTERNET分支支机机构构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换换机机安全全网网关关SG1安全全网网关关SG2安全全网网关关SG3路由由器器路由由器器路由由器器安全全管管理理器器安全全认认证证服服务务器器网络漏洞扫描描器内网网络漏洞洞扫描系统设设计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器内网网络入侵侵检测系统设设计INTERNET办公厅办公业业务网（（简简称“内网””）路由器交换机安全管理器防火墙FW物理隔离器（（K1)E-MAIL服务器应用服务器数据库服务器器电子政务外网网基础平台安安全设计INTERNET办公厅办公业业务网（（简简称“内网””）路由器交换机安全管理器防火墙FW物理隔离器（（K1)E-MAIL服务器应用服务器数据库服务器器网络漏洞扫描描器外网网络漏洞洞扫描系统设设计INTERNET办公厅办公业业务网（（简简称“内网””）路由器交换机安全管理器物理隔离器（（K1)E-MAIL服务器应用服务器数据库服务器器网络漏洞扫描描器网络入侵检测测探头网络入侵策略略管理器防火墙FW外网网络入侵侵检测系统设设计INTERNET办公厅办公业业务网（（简简称“内网””）路由器交换机安全管理器物理隔离器（（K2)E-MAIL服务器应用服务器数据库服务器器防火墙FW物理隔离器（（K1)办公厅办公业业务网（（简简称“内网””）政府系统办公公业务资源网网（简称“专专网”）Web网站监监测&自动修修复系统外网WEB服服务器安全设设计INTERNET办公厅办公业业务网（（简简称“内网””）路由器交换机安全管理器物理隔离器（（K2)E-MAIL服务器应用服务器数据库服务器器防火墙FW物理隔离器（（K1)办公厅办公业业务网（（简简称“内网””）政府系统办公公业务资源网网（简称“专专网”）内网、外网和和专网的隔离离系统设计典型整体解决决方案的应用用案例应用案例一：：成都市某机机关单位应用案例二：：北京市某机机关单位应用案例三：：国家某部委委全国信息网网络系统应用案例四：：电子政务安安全应用平台台相对性综合性：涉及及管理及技术术多个层面网络安全产品品的单一性动态性：技术术跟进和维护护支持的重要要性管理难度大黑盒性网络安全特点点P2