信息与网络安全架构与方案

信息系统安全技术--整体网络安全解决方案第1页，共35页。用户网络安全的需求用户系统风险分析用户安全目标分析安全技术管理规范设计安全机制集成与服务用户网络结构系统设计整体安全解决方案第2页，共35页。产品、服务质量保证体系安全知识培训网络设备组件的加固与维护日常检测——漏洞/异常攻击事故报告应急事故恢复安全中心——风险分析、制定/实施/维护安全策略利用企业的资源最大限度地满足客户的需求！基于角色的培训安全动态知识长期培训主机保护产品组件加固服务网络入侵检测产品漏洞扫描产品应急服务小组攻防实验室安全分析工程师安全知识数据库维护第3页，共35页。网络安全与信息安全安全的定义远离危险的状态或特性，为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。安全不是技术,安全是一个过程。网络安全网络的组成方式、拓扑结构和网络应用信息安全信息的来源、去向，内容的真实无误及保证信息的完整性，信息不会被非法泄露扩散保证信息的保密性网络信息安全的基本要求数据的保密性、数据的完整性、数据的可用性、数据的可控性第4页，共35页。网络信息安全技术体系第5页，共35页。身份认证技术密码技术访问控制技术防病毒技术防火墙技术漏洞扫描技术入侵检测技术审计技术INTERNET案例一：网络拓扑分析应用案例一：SVPN典型应用服务子网代理服务器邮件服务器内部子网管理中心网络DNS服务器路由器分支子网2路由器代理服务器分支子网1路由器第6页，共35页。第7页，共35页。网络现状分析内部子网采用私有地址，通过代理服务器访问INTERNET服务子网对外提供WWW服务和电子邮件服务中心子网与分支子网通过INTERNET网络连接并有重要信息传递服务子网和内部子网与INTERNET之间无任何保护措 施,无网络安全管理手段应用案例一：SVPN典型应用第8页，共35页。安全需求分析内部与外部的隔离外部能访问内部指定区域提供的服务实现对子网之间通信的加密传输能够对内部网络与外部网络之间的通信进行审计用网关设备代替代理服务器其它安全要求应用案例一：SVPN典型应用INTERNET案例一：网络安全设计服务子网代理服务器邮件服务器内部子网管理中心网络DNS服务器路由器分支子网2代理服务器分支子网1路由器NNEEsseecc330000FFWW2

35

6告警

内网接口外网接口

8

9电源

0

?NNEEsseecc330000FFWW2

35

68

90

?告警

内网接口外网接口电源NNEEsseecc330000FFWW2

35

68

90

?告警

内网接口外网接口电源NNEEsseecc330000FFWW2

35

6告警

内网接口第9页，共35页。外网接口

8

9电源

0

?CAMANSG1SG2SG3路由器应用案例一：SVPN典型应用第10页，共35页。实现的主要功能子网之间的通信加密各子网与外部网络的访问控制管理中心对各子网安全进行统一管理实现网络地址转换（NAT）其它应用案例一：SVPN典型应用第11页，共35页。安全策略实施安全策略制定安全策略实现安全策略检验安全策略修改其它应用案例一：SVPN典型应用DDNE-MAIL省管理中心网络WWW路由器路由器路由器某寻呼台信息网络DNS县网络中心县网络中心其它应用案例二：防火墙典型应用第12页，共35页。第13页，共35页。网络现状分析及需求内部所有网络采用私有地址，自成体系省和县通过DDN专线进行网络通信通过ADSL接入INTERNET使用防火墙的NAT功能使所有用户能访问INTERNET，并进行访问控制能对外提供INTERNET服务应用案例二：防火墙典型应用DDNE-MAILWWW路由器路由器路由器其它NNEEsseecc330000FFWW告警

22

33内网接口

55

66外网接口

88

99电源

00

??INTERNET防火墙ADSL县网络中心县网络中心第14页，共35页。省管管理理中中心心网网络络应用案例二：防火墙典型应用第15页，共35页。主要实现的功能提供访问控制提供网络地址转换（NAT）内部所有用户都能够访问INTERNET提供端口映射功能，使INTERNET用户能访问寻呼台的WWW、E-MAIL和其它服务其它应用案例二：防火墙典型应用内部核心子网INTERNET分支机构1分支机构2电子政务网络拓扑概述第16页，共35页。应用案例三：综合应用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构

处室子网共享数据库子网INTERNET分支机构1电子政务网络拓扑详细分析第17页，共35页。应用案例三：综合应用领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构

处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息电子政务网络风险及需求分析分支机构工作人员正试图在领导层子网安装木马分支机构工作人员正试图越权访问业务子网安装木马非内部人员正试图篡改公共网络服务器的数据第18页，共35页。应用案例三：综合应用领导层子网业务处室子网公共处室子网服务处室子网直属人事机构

处室子网共享数据库子网分支机构2分支机构1NNEEsseecc330000FFWW2

3告警内网接口

5

6外网接口

8

9电源

0

?NNEEsseecc330000FFWW2

35

68

90

?告警

内网接口

外网接口电源INTERNETNNEEsseecc330000FFWW2

3告警内网接口

5

6外网接口

8

9电源

0

?防火墙FW1防火墙FW2防火墙FW3安全认证服务器安全管理器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机电子政务网络内网基础网络平台安全应用案例三：综合应用NNEEsseecc330000FFWW2

35

68

90

?告警内网接口外网接口电源第19页，共35页。分支机构2INTERNET分支机构1NNEEsseecc330000FFWW2

3告警内网接口

5

6外网接口

8

9电源

0

?内部核心子网NNEEsseecc330000FFWW2

35

68

90

?告警

内网接口外网接口电源NNEEsseecc330000FFWW告警

2

3内网接口

5

6外网接口

8

9电源

0NNEEsseecc330000FFWW告警

2

3内网接口

5

6外网接口

8

9电源

0交换机安全网关SG2安全网关SG3安全网关SG1路由器路由器路由器安全管理器安全认证服务器内网核心网络与各级子网间的安全设计第20页，共35页。分支机构2INTERNET分支机构1NNEEsseecc330000FFWW2

3告警内网接口

5

6外网接口

8

9电源

0

?内部核心子网NNEEsseecc330000FFWW2

35

68

90

?告警内网接口外网接口电源NNEEsseecc330000FFWW

2

3告警内网接口

5

6外网接口

8

9电源

0

?NNEEsseecc330000FFWW

2

3告警内网接口

5

6外网接口

8

9电源

0

?交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络漏洞扫描器内网网络漏洞扫描系统设计第21页，共35页。分支机构2分支机构1NNEEsseecc330000FFWW2

35

68

90

?告警内网接口外网接口电源内部核心子网NNEEsseecc330000FFWW2

35

68

90

?告警

内网接口外网接口电源NNEEsseecc330000FFWW告警

2

3内网接口

5

6外网接口

8

9电源

0

?NNEEsseecc330000FFWW告警

2

3内网接口

5

6外网接口

8

9电源

0

?交换机安全网关SG1安全网关SG2安全网关SG3路由器INTERNET路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器内网网络入侵检测系统设计第22页，共35页。INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器电子政务外网基础平台安全设计第23页，共35页。INTERNET办公厅办公业务网 （简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器外网网络漏洞扫描系统设计第24页，共35页。INTERNET路由器交换机安全管理器物理隔离器（K1)办公厅办公业务网（简称“内网”）E-MAIL服务器WWW服务器应用服务

数据库服器

务器网络漏洞扫描器网络入侵检测探头网络入侵策略管理器防火墙FW外网网络入侵检测系统设计第25页，共35页。INTERNET路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器（K1)办公厅办公业务网 （简称“内网”）政府系统办公业务资源网（简称

“专网”）Web网站监测&自动修复系统外网WEB服务器安全设计第26页，共35页。INTERNET路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务

数据库服器

务器防火墙FW物理隔离器（K1)办办办办公公厅厅办办公公业务业网务网（简称（称（“简内称网“”内）

网”）政府系统办公业务资

源网（简称“专网”）内网、外网和专网的隔离系统设计第27页，共35页。典型整体解决方案的应用案例应用案例一：成都市某机关单位

应用案例二：北京市某机关单位应用案例三：国家某部委全国信息网络系统

应用案例四：电子政务安全应用平台第28页，共35页。相对性综合性：涉及管理及技术多个层面网络安全产品的单一性动态性：技术跟进和维护支持的重要性管理难度大黑盒性网络安全特点第29页，共35页。P2DR：动态安全模型第30页，共35页。信息安全产品的平台化战略第31页，共35页。围绕COE所提供的关键业务的风险分析形成对各种风险的适度控制机制把各安全控制的功能模块融合在一个统一的管理、监控和响应的平台中信息安全平台化战略是COE的重要组成部分对网络安全现状作出正确判断较为准确地估计特定网络用户的风险建立相应的控制风险的机制,并把这些机制容为一体形成防护体系最大限度地提高系统的可用性,并把网络带来的风险减低到可接受程度网络信息安全目标第32页，共35页。动态网络安全防护策略第33页，共35页。网络安全策略