网络安全整体项目解决方案

第二部分

网络安全整体解决方案2004年8月讲师：杜旭网络安全整体项目解决方案全文共58页，当前为第1页。框架信息安全整体解决方案信息安全产品信息安全法规和标准网络安全整体项目解决方案全文共58页，当前为第2页。信息安全整体解决方案信息化进程安全方案的设计如何评价信息安全网络安全整体项目解决方案全文共58页，当前为第3页。财务软件物流软件OA系统电子政务……

操作系统平台网络平台（网络设备、网络协议、网络软件）信息化的进程财务软件物流软件OA系统电子政务……

操作系统平台网络安全整体项目解决方案全文共58页，当前为第4页。分析财务软件物流软件OA系统电子政务……财务软件物流软件OA系统电子政务……

操作系统平台网络平台（网络设备、网络协议、网络软件）

操作系统平台企业信息化称度的标志企业信息化程度越高企业对网络、系统依赖越强安全而健壮的网络是企业信息化的前提和基础那么怎样来规划和建设安全的网络呢？我们今天的话题网络安全整体项目解决方案全文共58页，当前为第5页。网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出进行安全集成/应用开发安全方案设计信息安全方案的设计思路

根据风险制定出建立相应的提出安全服务网络安全整体项目解决方案全文共58页，当前为第6页。网络系统现状企业网络拓扑结构企业网络中的应用企业网络的结构特点网络安全整体项目解决方案全文共58页，当前为第7页。企业网络拓扑结构WWWMailDNS

帧中继DDNWWWMailDNSWWWMailDNS

集团总部

省市公司

地市公司

省市公司网络安全整体项目解决方案全文共58页，当前为第8页。企业网络中的应用

操作系统平台网络平台（网络设备、网络协议、网络软件）

操作系统平台财务软件物流软件OA系统电子政务……WEB应用MAIL应用FTP应用具体的业务应用财务软件物流软件OA系统电子政务……WEB应用MAIL应用FTP应用常规应用网络安全整体项目解决方案全文共58页，当前为第9页。企业网络的结构特点

操作系统平台网络平台（网络设备、网络协议、网络软件）

操作系统平台财务软件物流软件OA系统电子政务……WEB应用MAIL应用FTP应用安全应用财务软件物流软件OA系统电子政务……WEB应用MAIL应用FTP应用安全网络平台安全操作系统平台安全管理管理平台管理平台网络安全整体项目解决方案全文共58页，当前为第10页。网络面临的安全风险管理平台管理平台

操作系统平台网络平台（网络设备、网络协议、网络软件）

操作系统平台财务软件物流软件OA系统电子政务……WEB应用MAIL应用FTP应用财务软件物流软件OA系统电子政务……WEB应用MAIL应用FTP应用层次一层次二层次三层次四1.主体身份鉴别4.信息的机密性2.主体访问授权5.信息的完整性3.主体行为不可抵赖6……….1.系统的补丁4.数据库的配置2.系统的增强5.数据库的增强3.系统的配置6……….1.设备冗余3.安全路由5.抗电磁辐射7.安全访问2.线路冗余4.安全拓扑6.安全存储8……1.安全法规3.安全管理人员5.安全评估2.安全管理制度4.安全监督制度6.……网络安全整体项目解决方案全文共58页，当前为第11页。设计规划整体安全方案安全体系结构安全方案设计原则安全机制和技术安全模型网络安全整体项目解决方案全文共58页，当前为第12页。安全特性网络层次系统单元身份鉴别访问控制数据完整数据保密防止否认跟踪审计可靠可用通信平台网络平台系统平台应用平台安全管理物理层链路层网络层传输层会话层表示层应用层安全体系结构网络安全整体项目解决方案全文共58页，当前为第13页。安全方案设计原则需求、风险、代价平衡分析的原则综合性、整体性原则一致性原则易操作性原则适应性及灵活性原则多重保护原则分布实施原则网络安全整体项目解决方案全文共58页，当前为第14页。安全机制和技术鉴别加密访问控制安全管理病毒防范数字签名链路加密机IP协议加密机邮件加密文件加密防火墙远程用户鉴别系统防病毒软件防病毒制度密钥管理安全评估安

全服务入侵检测远程用户鉴别系统网络安全整体项目解决方案全文共58页，当前为第15页。中科网威－时空防御模型时间针对网络攻击空间针对体系建设恢复评估防护响应侦测前网络安全整体项目解决方案全文共58页，当前为第16页。如何评价信息安全什么是安全信息安全的目的网络安全整体项目解决方案全文共58页，当前为第17页。什么是安全？新的安全定义及时的检测就是安全及时的响应就是安全网络安全整体项目解决方案全文共58页，当前为第18页。PtDtPt:Protectiontime安全＝及时的检测和处理Pt>+RtDt:DetectiontimeRt:ResponsetimeDtRt网络安全整体项目解决方案全文共58页，当前为第19页。说明：

黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机)、系统（NT，UNIX）和放火墙等障碍，在黑客达到目标之前的时间，我们称之为防护时间Pt；在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt.假如能做到Dt+Rt<Pt,那么我们可以说我们的目标系统是安全的。PtDtRtDtPt>+Rt网络安全整体项目解决方案全文共58页，当前为第20页。信息安全的目的进不来拿不走改不了跑不了看不懂可审查网络安全整体项目解决方案全文共58页，当前为第21页。小结安全方案的设计思路信息安全的评价准则网络安全整体项目解决方案全文共58页，当前为第22页。框架信息安全整体解决方案信息安全产品信息安全法规和标准网络安全整体项目解决方案全文共58页，当前为第23页。中科网威信息安全产品“网威”防火墙“网威”入侵检测“网威”安全评估安全服务网络安全整体项目解决方案全文共58页，当前为第24页。防火墙简介什么是防火墙？为什么需要防火墙？我们需要什么样的防火墙？网络安全整体项目解决方案全文共58页，当前为第25页。传统概念：

什么是防火墙?

防火墙最早被用于建筑物之间防止火势蔓延；汽车工业中用于驾驶员与乘客之间进行隔离；网络安全整体项目解决方案全文共58页，当前为第26页。什么是防火墙?信任网络防火墙非信任网络

防火墙是一种在信任网络和非信任网络之间实施安全防范的系统。防火墙的目的是在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，对进、出内部网络的服务和访问进行审计和控制。

网络中的概念：网络安全整体项目解决方案全文共58页，当前为第27页。为什么需要防火墙不安全因素网络协议(TCP/IP)系统漏洞攻击方式和攻击工具的泛滥容易得到容易使用网络安全整体项目解决方案全文共58页，当前为第28页。网络安全整体项目解决方案全文共58页，当前为第29页。C:\>xdos139-t5-s*一次简单的攻击网络安全整体项目解决方案全文共58页，当前为第30页。我们需要什么样的防火墙?优秀的抗攻击能力优良的性能全面的功能易于使用维护网络安全整体项目解决方案全文共58页，当前为第31页。中科网威的防火墙具备全面功能的防火墙VPN防垃圾邮件模块防病毒模块负载均衡A/A网络安全整体项目解决方案全文共58页，当前为第32页。入侵检测系统简介为什么需要入侵检测什么是入侵检测入侵检测能解决什么问题入侵检测的分类我们需要什么样的入侵检测网络安全整体项目解决方案全文共58页，当前为第33页。为什么要有入侵检测？防火墙的局限性被动防御缺乏主动检测能力不是所有的威胁来自防火墙外部防火墙只能防御70%左右的攻击数字：2001年，美国CSI(ComputerSecurityInstitute)统计，在当年发生的安全事件中95%拥有防火墙网络安全整体项目解决方案全文共58页，当前为第34页。什么是入侵检测入侵行为是：入侵行为主要是指对系统资源的非授权使它可以造成系统数据的丢失和破坏可以造成系统拒绝对合法用户服务等危害入侵检测系统是：抓取网络上的报文分析处理报文报告异常网络安全管理员清楚地了解网络上发生的事件采取行动阻止可能的破坏网络安全整体项目解决方案全文共58页，当前为第35页。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。网络安全整体项目解决方案全文共58页，当前为第36页。IDS能解决什么问题？发现攻击行为，及时报警对攻击行为的主动处理防御来自内部的攻击实现——主动防御网络安全整体项目解决方案全文共58页，当前为第37页。入侵检测的分类网络入侵检测（NIDS）主机入侵检测（HIDS）网络安全整体项目解决方案全文共58页，当前为第38页。网络入侵检测(NIDS)安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载网络安全整体项目解决方案全文共58页，当前为第39页。主机入侵检测(HIDS)安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源网络安全整体项目解决方案全文共58页，当前为第40页。我们需要什么样的IDS?优秀的攻击发现能力分布部署能力集中管理能力易于安装使用自身安全性好网络安全整体项目解决方案全文共58页，当前为第41页。安全评估为什么需要入侵检测什么是入侵检测入侵检测能解决什么问题入侵检测的分类我们需要什么样的入侵检测网络安全整体项目解决方案全文共58页，当前为第42页。安全评估

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网扫描路由器扫描交换机扫描防火墙扫描服务器扫描内部子网网络安全整体项目解决方案全文共58页，当前为第43页。评估的对象网络设备:交换机、路由器和防火墙等系统：WINDOWS和UNIX等应用：数据库、Notes和邮件等………网络安全整体项目解决方案全文共58页，当前为第44页。安全评估的作用扫描整个网络系统的弱点和漏洞并建议采取相应的补救措施提前发现网络系统的弱点和漏洞,防患于未然网络安全整体项目解决方案全文共58页，当前为第45页。集团公司病毒管理机省市公司A病毒管理机省市公司B病毒管理机地市公司病毒管理机地市公司病毒管理机地市公司病毒管理机地市公司病毒管理机1.统一管控2.分步式结构防毒3.网关防毒4.工作站防毒5.服务器防毒a)杀毒策略统一制定b)病毒代码统一更新c)统一病毒扫描

...…全面的病毒防护a)邮件服务器防毒b)文件服务器防毒c)Notes服务器防毒

...…网络安全整体项目解决方案全文共58页，当前为第46页。网关防毒发现病毒并立即采取相应的措施

Internet区域Internet边界路由器DMZ区域WWWMail内部工作子网管理子网一般子网内部WWW重点子网网关防病毒软件发现病毒网络安全整体项目解决方案全文共58页，当前为第47页。安全服务为什么需要安全服务产品和服务的关系网络安全整体项目解决方案全文共58页，当前为第48页。数字2001年，美国CSI(ComputerSecurityInstitute)统计，在当年发生的安全事件中：95%拥有防火墙61%拥有IDS90%拥有访问控制系统42%拥有DigitalID网络安全整体项目解决方案全文共58页，当前为第49页。安全产品的局限性静态的产品与动态的安全实际单一的产品与复杂的客户环境安全产品自身存在的安全问题安全产品无法解决所有的问题分布