等级保护基础安全防护技术概览演示文稿

等级保护基础安全防护技术概览演示文稿当前1页，总共75页。大纲22当前2页，总共75页。1.1等级保护基本概念-定义是指对信息安全实行等级化保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。3当前3页，总共75页。1.1等级保护基本概念-深入理解信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统实行分等级实行安全保护；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件实行分等级响应、处置。4当前4页，总共75页。等级保护政策体系颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室（国家密码管理局）国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。2007年10月26日《信息安全等级保护备案实施细则》（公信安[2007]1360号）公安部网络安全保卫局规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容2008年6月10日《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）公安部网络安全保卫局规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等，使检查工作规范化、制度化。2008年8月6日《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）发改委公安部国家保密局明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。2009年10月27日《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）公安部明确了安全建设整改工作的目标、内容、流程和要求2009年11月6日《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）公安部网络安全保卫局文件明确了等级测评的内容、方法和测评报告格式等内容，用以规范等级测评活动2010年3月12日《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）公安部要求在全国部署开展信息安全等级保护测评体系建设和开展等级测评相关工作。2010年9月1日《关于开展信息安全等级保护专项监督检查工作的通知》（公信安[2010]1175号）公安部明确了公安机关网络安全保卫部门开展信息安全等级保护专项监督检查工作的目的、内容、检查方法和进度安排。1.2等级保护基本概念-政策体系5当前5页，总共75页。序号标准编号标准分类名称1GB17859-1999信息安全技术计算机信息系统安全保护等级划分准则2GB/T22240-2008信息安全技术信息系统安全保护等级定级指南3GB/T22239-2008信息安全技术信息系统安全等级保护基本要求4GB/T24856-2009信息安全技术信息系统等级保护安全设计技术要求5GB/T25058-2010信息安全技术信息系统等级保护实施指南6信息系统安全保护等级测评过程指南7信息系统等级保护测评指南序号标准编号标准分类名称1GB/T20271-2006信息安全技术信息系统通用安全技术要求2GB/T21052-2006信息安全技术信息系统物理安全技术要求3GB/T20270-2006信息安全技术网络基础安全技术要求4GB/T20272-2006信息安全技术操作系统安全技术要求5GB/T20273-2006信息安全技术数据库管理系统安全技术要求6GB/T21028-2006信息安全技术服务器技术要求7GA/T671-2006信息安全技术终端计算机系统安全等级技术要求8GB/T20269-2006信息安全技术信息系统安全管理要求9GB/T20282-2006信息安全技术信息系统安全工程管理要求1.3级保护基本概念-相关标准6当前6页，总共75页。信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。信息系统受到破坏后，会对国家安全造成特别严重损害。第五级第四级第三级第二级第一级1.4等级保护基本概念-安全保护等级全国的信息系统（包括网络）按照重要性和受破坏后的危害性分成五个安全保护等级7当前7页，总共75页。系统等级信息系统类型示例二级地市级以上国家机关、企事业单位内部一般的信息系统。非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。三级地市级以上国家机关、企业、事业单位内部重要的信息系统。涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。四级国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。电力生产控制系统银行核心业务系统电信骨干传输网铁路客票系统列车指挥调度系统等。1.5等级保护基本概念-系统等级分类8当前8页，总共75页。定级：明确责任主体、自主定级、专家审核、上级主管单位审批；备案：定级系统须在上级主管单位及属地公安机关备案；建设整改：根据《基本要求》进行安全加固与改进；等级测评：邀请具有等级测评资质的测评机构进行安全等级测评；监督检查：通过安全检查的方式持续改进系统安全。系统定级系统备案建设整改等级测评监督检查1.6等级保护基本概念-规定动作9当前9页，总共75页。不同信息系统的安全保护等级相同，但其内在安全需求可能会有所不同，业务信息安全和系统服务安全保护等级也可能不同。（5个等级，25种组合）保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G51.7等级保护基本概念-系统等级与安全要求对应关系10当前10页，总共75页。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理以安全保发展发展中求安全1.8等级保护基本概念-基本要求11当前11页，总共75页。电力供应电磁防护物理机房Internet互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器安全审计身份鉴别访问控制结构安全访问控制身份鉴别安全审计访问控制入侵防范存储数据传输数据处理数据备份和恢复完整性保密性1.9等级保护基本概念-实施步骤-差距分析12当前12页，总共75页。应用层SQL注入身份冒用溢出攻击数据窃取传输窃听数据重放主机层弱口令系统漏洞病毒入侵资源占用黑客攻击网络层带宽资源滥用非法接入非法外联区域混乱协议攻击中间人攻击信息泄露物理层断电物理攻击非法进出盗窃火灾数据层篡改非法访问丢失泄露不可用计算环境区域边界网络通信安全管理缺乏组织缺乏流程人员安全意识不足缺乏过程控制缺乏专业技能缺乏安全监控管理不到位1.9等级保护基本概念-实施步骤-差距分析13当前13页，总共75页。1.9等级保护基本概念-实施步骤-方案编写当前14页，总共75页。依据《信息安全技术-信息系统安全等级保护基本要求》参照《信息安全技术-信息系统等级保护安全设计技术要求》引入“安全域”的概念，强化访问控制安全技术控制策略安全管理控制策略1.9等级保护基本概念-实施步骤-方案编写15当前15页，总共75页。1.9等级保护基本概念-实施步骤-设计策略当前16页，总共75页。业务风险控制业务应用主机组件应用平台网络业务安全需求安全功能实现数据库

功能组件支撑安全功能实现安全软件环境安全边界安全传输通道业务风险保护策略信息系统保护策略整体保护策略程序安全组件安全主机安全网络安全“业务+系统”安全=整体安全策略1.9等级保护基本概念-实施步骤-设计策略17当前17页，总共75页。结合实际，部署实施安全措施1.9等级保护基本概念-实施步骤-实施措施当前18页，总共75页。信息安全领导小组信息安全主管（部门）安全管理员安全审计员系统管理员网络管理员数据库管理员决策、监督应用系统管理员管理执行落实信息安全责任制建立安全组织（举例）1.9等级保护基本概念-实施步骤-建立安全组织19当前19页，总共75页。方针策略信息安全工作的纲领性文件。

制度办法在安全策略的指导下，制定的各项安全管理和技术制度、办法和准则，用来规范各部门处室安全管理工作。流程细则细化的实施细则、管理技术标准等内容，用来支撑第二层对应的制度与管理办法的有效实施。记录表单记录活动实行以符合等级1,2,和3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据运行记录方针策略实施细则与流程制度与管理办法编写安全管理制度1.9等级保护基本概念-实施步骤-完善管理制度20当前20页，总共75页。

一级二级三级四级安全管理机构岗位说明书岗位说明书岗位说明书岗位说明书

安全组织体系文件安全组织体系文件

安全检查管理规定安全检查管理规定安全管理制度

安全方针安全方针

安全策略安全策略

安全管理制度体系文件安全管理制度体系文件

安全管理制度编写及维护规范安全管理制度编写及维护规范

保密安全管理规定人员安全人员安全管理规定人员安全管理规定人员安全管理规定人员安全管理规定

安全考核管理规定安全考核管理规定

安全培训教育管理规定安全培训教育管理规定安全培训教育管理规定

第三人员安全管理规定第三人员安全管理规定第三人员安全管理规定系统建设管理等级保护安全管理规范等级保护安全管理规范等级保护安全管理规范等级保护安全管理规范风险评估管理规范风险评估管理规范风险评估管理规范风险评估管理规范软件开发管理规定软件开发管理规定软件开发管理规定软件开发管理规定IT外包管理规定IT外包管理规定IT外包管理规定IT外包管理规定

工程安全管理规定工程安全管理规定

产品采购安全管理规定产品采购安全管理规定产品采购安全管理规定服务商安全管理规定服务商安全管理规定服务商安全管理规定服务商安全管理规定运维管理机房管理制度机房管理制度机房管理制度机房管理制度

办公环境安全管理规定办公环境安全管理规定办公环境安全管理规定

资产安全管理制度资产安全管理制度资产安全管理制度设备安全管理规定设备安全管理规定设备安全管理规定设备安全管理规定介质安全管理规定介质安全管理规定介质安全管理规定介质安全管理规定运行维护安全管理规范运行维护安全管理规范运行维护安全管理规范运行维护安全管理规范网络安全管理规定网络安全管理规定网络安全管理规定网络安全管理规定系统安全管理规定系统安全管理规定系统安全管理规定系统安全管理规定防病毒安全管理规定防病毒安全管理规定防病毒安全管理规定防病毒安全管理规定密码使用管理制度密码使用管理制度密码使用管理制度密码使用管理制度变更管理制度变更管理制度变更管理制度变更管理制度备份与恢复管理规定备份与恢复管理规定备份与恢复管理规定备份与恢复管理规定安全事件管理制度安全事件管理制度安全事件管理制度安全事件管理制度

应急预案管理制度应急预案管理制度应急预案管理制度1.9等级保护基本概念-实施步骤-完善管理制度21当前21页，总共75页。“三个体系、一个中心、三重防护”整改方案的技术路线1.9等级保护基本概念-实施步骤-总体思路当前22页，总共75页。定级：明确责任主体、自主定级、专家审核、上级主管单位审批；备案：定级系统须在上级主管单位及属地公安机关备案；建设整改：根据《基本要求》进行安全加固与改进；等级测评：邀请具有等级测评资质的测评机构进行安全等级测评；（测评机构）监督检查：通过安全检查的方式持续改进系统安全。（公安部、工信部、直属领导单位等）系统定级系统备案建设整改等级测评监督检查2.0等级保护基本概念-规定动作23当前23页，总共75页。大纲2424当前24页，总共75页。傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下，葛优等小偷团伙未能得逞。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。天下无贼2.1什么是安全防护-“小故事”1、核心是-钱2、攻击-贼3、防护-贼25当前25页，总共75页。身份及凭证认证授权审计通信安全2.2真实世界的信息安全26当前26页，总共75页。A、信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。B、信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。C、信息系统：计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。2.3等保安全防护技术-名词解释27当前27页，总共75页。安全需求是驱动；安全威胁是风险；安全技术是手段；安全产品来执行；安全状态是结果。威胁：可能导致对系统或组织危害的不希望事故潜在起因。安全需求安全目标安全威胁安全技术安全产品安全状态安全传导链2.4需求如何来满足28当前28页，总共75页。物理机房Internet互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器存储数据传输数据处理数据2.5信息系统覆盖内容当前29页，总共75页。电力供应非法进入环境威胁物理机房电力中断电压不稳火灾、水灾盗窃、破坏物理安全威胁安全防护手段UPS、冗余电路灭火器、防水门窗门禁系统、专人值守物理安全的威胁及防护当前30页，总共75页。电力供应非法进入环境威胁物理机房电力中断电压不稳火灾、水灾盗窃、破坏物理安全威胁视频监控温湿度监控电压、负载监控安全监控手段物理安全的监控当前31页，总共75页。互联网接入区物理机房内网服务器区办公区Internet网络攻击恶意代码漏洞探测非授权访问外部威胁防火墙防病毒网关入侵防御SSLVPN内部威胁蠕虫病毒非授权访问防病毒网关防火墙网络安全的威胁及防护其他威胁区域划分不合理中间人攻击信息泄露当前32页，总共75页。运行日志报警日志巡检记录综合分析设备监控攻击监控病毒监控互联网服务区物理机房内网服务器区办公区Internet综合分析设备巡检网络安全的监控当前33页，总共75页。恶意代码非法访问主机故障互联网服务器内网服务器办公网计算机办公用户使用的个人计算机内网的应用服务器和数据库服务器向互联网提供服务的网站、邮件等服务器网络防病毒网络防病毒网络防病毒主机核心防护主机核心防护服务器冗余服务器冗余主机安全的威胁及防护当前34页，总共75页。用户数据库应用服务器1234访问请求查询数据库返回查询结果返回请求内容非授权访问通信窃听漏洞攻击非法操作攻击应用攻击数据库窃听通信数据CA认证系统应用安全加固数据传输加密应用安全的威胁及防护当前35页，总共75页。数据处理端数据存储端数据传输线路数据传输被窃听、破坏数据存储被窃取、破坏数据传输加密数据存储加密数据安全的威胁及防护当前36页，总共75页。信息安全技术—纵深防御37当前37页，总共75页。2.6总体防护策略分区分域结构划分，形成“纵深防御体系”。基于“一个中心、三重防护”的设计思路，从计算环境、区域边界、网络通信和统一安全监控管理等几方面设计。重点以等级保护3级为防护要求基线，部分防护环节根据威胁和脆弱程度会适当高于或低于等级保护3级基本要求。3838当前38页，总共75页。2.7基础安全防护体系39当前39页，总共75页。安全产品安全目标技术策略技术框架3G安全IPSec……日志采集审计分析令牌技术认证协议强制访问控制ACL网络流量控制数据防泄漏匿名技术数据系统网络补丁管理威胁检测对称密码技术非对称密码技术安全功能实现实现实现安全技术2.6信息安全技术产品当前40页，总共75页。大纲4141当前41页，总共75页。3.1ISO

7498.2安全架构三维体系结构图42当前42页，总共75页。等级保基本要求与安全产品对应关系等级保护要求控制要求等保三级所需产品实现机制物理安全位置、物理访问控制、防盗、防破坏、防雷击、防火、防潮、防静电、温湿度控制、电力供应、电磁防护门禁监控报警系统避雷装置消防水敏感检测仪防静电设施双路供电电磁屏蔽机房建设物理安全策略网络安全结构安全带宽管理、SSLVPN/IPSecVPN路由器、交换机、负载均衡网络、安全集成安全域网络安全策略网络安全配置实施（限制IP地址）访问控制防火墙、IPS/IDS安全审计网络安全审计日志审计边界完整性检查终端安全管理入侵防范IDS恶意代码防范防病毒系统、防病毒网关网络设备防护

网络设备安全配置三级：73个控制点290控制项参考安全产品对照（参考）3.1安全产品对照43当前43页，总共75页。等级保基本要求与安全产品对应关系等级保护要求控制要求等保三级所需产品实现机制主机安全身份鉴别主机核心防护

包括数据库安全访问控制主机核心防护主机、数据库安全加固安全审计终端、服务器、数据审计系统剩余信息保护数据库审计系统（NBA）入侵防范主机核心防护、主机入侵检测恶意代码防范防病毒资源控制网管系统应用安全身份鉴别动态令牌、CA应用开发编码规范、安全编码应用安全功能安全审计应用系统日志审计访问控制、剩余信息保护通信完整性、通信保密性、抗抵赖、软件容错、资源控制主要功能需要应用系统开发商解决数据与备份安全数据完整性网页防篡改异地备份和恢复策略数据保密性

SSH、VPN、MD5等备份和恢复异地备份参考安全产品对照（参考）3.1安全产品对照44当前44页，总共75页。3.2基础安全防护结构中的安全产品4545当前45页，总共75页。1、VPN13、WAF2、防火墙（FW）14、抗DDOS3、防毒墙4、安全审计类5、入侵检测系统（IDS）6、入侵防御系统（IPS）7、UTM8、漏洞扫描设备9、认证系统10、运维审计、安全管理平台（SOC）11、网闸12、终端安全管理常用安全产品介绍46当前46页，总共75页。VPN的作用：取缔专用网络，通过TCP/IP分组交换方式传递数据，连接连接隧道，进而保证数据传输的安全性和完整性。VPN的基本功能：加密数据信息认证和身份认证提供访问控制VPN的分类：按协议层次：二层VPN，三层VPN、四层VPN和应用层VPN；按应用范围：远程访问VPN、内联网VPN和外联网VPN按体系结构：网关到网关VPN、主机到网关VPN和主机到主机VPN常见的VPN：IPSecVPN和SSLVPNVPN47当前47页，总共75页。防火墙的作用：在网络间（内部/外部网络、不同信息级别）提供安全连接的设备；用于实现和执行网络之间通信的安全策略防火墙的功能：控制进出网络的信息流向和数据包，过滤不安全的服务；隐藏内部IP地址及网络结构的细节；提供使用和流量的日志和审计功能；部署NAT（NetworkAddressTranslation，网络地址转换）；逻辑隔离内部网段，对外提供WEB和FTP；实现集中的安全管理；提供VPN功能。防火墙的分类：软件防火墙、硬件防火墙防火墙的发展：包过滤、应用代理、状态检测防火墙（FW）48当前48页，总共75页。防火墙的弱点和局限性：防火墙防外不防内；防火墙难于管理和配置，易造成安全漏洞；很难为用户在防火墙内外提供一致的安全策略；防火墙只实现了粗粒度的访问控制；对于某些攻击防火墙也无能为力。选择防火墙需考虑的要素：形态性能适用性可管理性完善及时的售后服务体系防火墙49当前49页，总共75页。病毒方面我们面临的威胁：根据国际著名病毒研究机构ICSA（国际计算机安全联盟，InternationalComputerSecurityAssociation）的统计，目前通过磁盘传播的病毒仅占7%，剩下93%的病毒来自网络，其中包括Email、网页、QQ和MSN等传播渠道。防毒墙的作用：识别和阻断各类病毒攻击。

网络版杀毒软件的局限性：1、操作系统本身的稳定性以及是否存在漏洞都对网络版杀毒软件的使用有一定影响；2、它并不能对网络病毒进行有效防护。防毒墙：网络版杀毒软件+防火墙：防毒墙50当前50页，总共75页。计算机网络安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的：（1）对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。（2）测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。（3）对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据。（4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。（5）协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。安全审计技术51当前51页，总共75页。根据对象类型：1）系统级审计系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。2）应用级审计应用级审计主要针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告等。3）用户级审计用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。安全审计52当前52页，总共75页。产品分类：1、上网行为审计2、主机审计3、数据库审计等安全审计53当前53页，总共75页。入侵检测系统的作用：克服某些传统的防御机制的限制；在“深度防御”的基础上成为安全框架的一部分；在整个组织的网络中能够识别入侵或违反安全策略的行为，并能够做出回应。入侵检测系统的功能：自动检测入侵行为；监视网络流量（NetworkIDS)和主机(HostIDS)中的操作；分析入侵行为：基于特征、基本异常按预定的规则做出响应：阻止指定的行为。入侵检测系统的分类：按检测方法：异常检测、特征检测按地点：基于主机、基于网络、基于网络节点按比较/分类方法：基于规则、统计分析、神经网络、模式匹配、状态转换分析入侵检测系统（IDS）54当前54页，总共75页。选择IDS需考虑的要素：Porras等给出了评价入侵检测系统性能的三个因素：准确性（Accuracy）处理性能（Performance）完备性（Completeness）Debar等增加了两个性能评价测度容错性（FaultTolerance）及时性（Timeliness）入侵检测技术55当前55页，总共75页。IPS的定义：是一种集入侵检测和防御于一体的安全产品。简单地理解，可认为IPS就是防火墙加上入侵检测系统。入侵防御系统的功能：识别对网络和主机的恶意攻击，并实时进行阻断；向管理控制台发送日志信息；集成病毒过滤、带宽管理和URL过滤等功能；IPS与IDS的区别：IPS采用In-line的透明模式接入网络，IDS并联在网络中，接入交换机的接口需要做镜像；IDS是一种检测技术，而IPS是一种阻断技术，只不过后者阻断攻击的依据是检测；入侵防御系统（IPS）56当前56页，总共75页。UTM（UnitedThreatManagement）意为统一威胁管理，是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。UTM的功能：传统的防火墙功能；入侵防御（IPS）功能；防病毒功能；端到端的IPSecVPN功能；动态路由功能；内容过滤功能。缺点：网关集中防御对内部安全防护不足过度集成带来的风险性能和稳定性UTM（统一威胁管理系统）57当前57页，总共75页。漏洞的初步分类：A、按漏洞可能对系统造成的直接威胁：远程管理员权限、本地管理员权限、普通用户访问权限、权限提升、读取受限文件、远程拒绝服务、本地拒绝服务、远程非授权文件存取、口令恢复、欺骗、服务器信息泄露等B、按漏洞的成因：输入验证错误、访问验证错误、竞争条件、意外情况处置错误、设计错误、配置错误、环境错误C、对漏洞严重性的分级：低、中、高D、对漏洞被利用方式的分类：物理接触、主机模式、客户机模式漏洞扫描设备，将被动攻击，提升到了主动防御的阶段，更多体现了人在信息安全建设中的作用。相对需要高技术人员，才能准确解析并做出合理的处置判断。漏洞扫描设备58当前58页，总共75页。关键技术：公钥基础设施（PublicKeyInfrastructure-PKI）技术是以公开密钥密码技术为基础构建的信息安全基础设施，PKI以数字证书为手段，结合现代密码技术理论，将用户、部门、设备标识、公钥、私钥签名等信息组织在一起，并通过自动管理密钥和证书，为用户创建一个安全、可信的网络运行环境。它可以是用户在不同的网络应用环境下方便地使用密码技术来完成身份认证和数字签名等操作，进而保护所传输信息的安全性。

PKI作为一种安全基础信任结构，提供多种安全服务：认证服务、数据完整性服务、数据保密性服务、不可否认性服务、公正服务等。认证系统59当前59页，总共75页。产品原型功能：以PKI技术为基础的安全认证体系主要功能是实现数字证书生命周期的管理。安全认证体系主要包括：证书签发中心（CA）、证书注册审核中心（RA）、密钥管理中心（KMC）、证书在线状态验证系统（OCSP）、时间戳（TSA）、目录服务（LDAP）等。证书签发模块（CA）：主要负责数字证书生命周期管理；密钥管理模块（KMC）：主要对用户加密密钥的生命周期实施管理，主要包括密钥的产生、密钥的存储、密钥的归档等，并在需要时提供相关的司法取证功能。注册审核模块（RA）：属于证书签发模块向用户提供证书服务的窗口，为人员提供证书申请、下载、注销、更新等各项业务的服务。时间戳服务模块（TSA）：基于国家权威时间源和数字签名技术，为业务系统提供精确可信的时间戳，保证处理数据在某一时间（之前）的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。证书在线状态查询模块（OCSP）：主要为业务系统提供实时的、在线的证书状态查询服务。目录服务模块：主要负责数字证书和黑名单的存储和发布，并根据策略将相关信息发布到对应的下级目录服务节点上，是整个PKI基础设施建设的基础支撑性部件。认证系统60当前60页，总共75页。概念：SOC（SecurityOperationsCenter）是一个外来词。而在国外，SOC这个词则来自于NOC（NetworkOperationCenter，即网络运行中心）。NOC强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护。维基百科也只有基本的介绍：SOC（SecurityOperationsCenter）是组织中的一个集中单元，在整个组织和技术的高度处理各类安全问题。一般地，SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维（运营），SOC是技术、流程和人的有机结合。运维审计-安全管理平台（SOC）61当前61页，总共75页。功能：收集各种防火墙、IDS、IPS等网络设备的信息；对安全事件进行收集、过滤、合并和查询；分析可能存在的风险，发出告警信息；SOC2.0：SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发，通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节，采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息，从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心，贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。运维审计-安全管理平台（SOC）62当前62页，总共75页。定义：网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。组成：安全隔离网闸是由软件和硬件组成。隔离网闸分为两种架构，一种为双主机的2+1结构，另一种为三主机的三系统结构。2+1的安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内外网处理单元连接，为2+1的主机架构。隔离网闸采用SU-Gap安全隔离技术，创建一个内、外网物理断开的环境。三系统的安全隔离网闸的硬件也由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元。网闸（GAP）63当前63页，总共75页。网闸对请求数据进行合法性检查，剥离原有协议成裸数据，进行内容检查，然后重组对收到外网的数据进行病毒检查、解析、过滤和重组等处理网闸将重组的数据还原为标准通讯协议，回传到内网将重组的数据还原为标准通讯协议，向外网发送专用隔离硬件、专用通讯协议专用隔离硬件、专用通讯协议网闸（GAP）的工作流程64当前64页，总共75页。邮件过滤SMTP内端机接口病毒扫描POP3FTPHTTP邮件过滤所有其它应用协议剥离协议转换外端机接口http过滤邮件过滤病毒扫描邮