《方正集团-级供电信息网安全解决方案课件.pptx》由会员分享,可在线阅读,更多相关《方正集团-级供电信息网安全解决方案课件.pptx(57页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、县级供电企业信息安全解决方案县级供电企业信息安全解决方案=沈传宝沈传宝/David Shen高级安全咨询顾问,高级安全咨询顾问,CISP/CISSP/OCP Email/MSN:Mobile Phone:+86 135 139 9366Office Tel:+8610 8253 1967提纲提纲v为什么要进行信息安全建设?为什么要进行信息安全建设?p信息安全需求的来源:信息安全需求的来源:符合性要求:法律、法规、标准、政策符合性要求:法律、法规、标准、政策风险的要求:信息与网络风险的存在风险的要求:信息与网络风险的存在v怎样进行信息安全建设?怎样进行信息安全建设?v风险评估与风险管理概念介绍风
2、险评估与风险管理概念介绍v电力系统的信息安全解决方案探讨电力系统的信息安全解决方案探讨v方正信息安全解决方案介绍方正信息安全解决方案介绍信息安全建设的信息安全建设的“政策政策”驱动力驱动力政府规定:政府规定:中办中办27号文件号文件:国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。四部局四部局66号文件号文件:2004年9月发布的关于信息安全等级保护工作的实施意见(公通字200466号),规定了实施信息安全等级保护制度的原则、内容、职责分工、基本
3、要求和实施计划,部署了实施信息安全等级保护工作的操作办法 国信办:2005年9月电子政务信息安全等级保护实施指南(试行),规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作 行业政策和规范行业政策和规范党政机关党政机关党政机关信息系统安全指南、电子政务信息安全等级保护实施指南、党政机关信息系统安全测评规范、电子政务信息安全保障技术框架中国移动中国移动:中国移动网络安全评估规范、中国移动支撑系统安全域划分与边界整合技术要求 税务税务:税务系统信息安全风险评估指南、税务系统网络信息安全管理规范电监会电监会:电力二次系统安全防护规定证监会证监会:2005-
4、4-8证券期货业信息安全保障管理暂行办法保监会保监会:保险公司内部控制制度建设指导方针(1999年131号文)l财务报表的可靠性不仅依赖于支财务报表的可靠性不仅依赖于支持财务报告的特定应用,还依赖持财务报告的特定应用,还依赖于基础的于基础的IT架构,因此架构,因此PCAOB在在2号审计标准规定上市公司应号审计标准规定上市公司应测试测试IT通用控制。通用控制。各行各业的信息安全建设各行各业的信息安全建设“要求要求”金融金融政府政府电电信信电电力力新巴塞尔资本协议 Basel II银监会200663号文国资发改革2006108号文中办发27号令等级保护 公通字20067号文Sarbanes-Oxl
5、ey萨班斯法案SOX 404/302中移动安全域划分与边界整合技术要求QB-J-003-2005电力二次系统安全防护规定(电监会5号令)关于信息安全等级保护工作的实施意见公通字200466号)国家信息化国家信息化领导小小组关于加关于加强信息安全保障工作的意信息安全保障工作的意见(中(中办发200327号)号)ISO/IEC 13335/AS/NZS 4360 风险评估规范ISO/IEC 27001:2005 信息安全管理体系规范(ISMS)ISO/IEC 17799:2005 信息安全信息安全标准准涉及国家秘密的信息系统分级保护技术要求 信息安全风险评估/信息安全风险管理指南(GB/T XXX
6、XX)医医疗疗HIPAAFDA 21 CFR 11FDA Drug Barcode regulation信息安全工作的要求:等级保护信息安全工作的要求:等级保护v信息系统等级保护是国家信息安全的基本制度:信息系统等级保护是国家信息安全的基本制度:p中办中办27号文件:号文件:2003年,中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保年,中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见障工作的意见(中办发(中办发200327号)号)p四部局四部局66号文件:号文件:2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公年,公安
7、部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室等四部局联合下发的关于信息安全等级保护工作的实施意见室等四部局联合下发的关于信息安全等级保护工作的实施意见公通字公通字200466号)号)p国信办文件:国信办文件:2005年国信办下发电子政务信息安全等级保护实施指南(年国信办下发电子政务信息安全等级保护实施指南(25号文)。号文)。p其它:其它:2005年底公安部下发的关于开展信息系统安全等级保护基础调查工作的通知(公年底公安部下发的关于开展信息系统安全等级保护基础调查工作的通知(公信安信安20051431号)号)2006年初四部局联合签发的信息安全等级保护管理办法(试行)(年初
8、四部局联合签发的信息安全等级保护管理办法(试行)(7号文)号文)公安部先后出台的信息系统安全保护等级定级指南(试用稿)、信息系统安全公安部先后出台的信息系统安全保护等级定级指南(试用稿)、信息系统安全等级保护基本要求(试用稿)、信息系统安全等级保护实施指南(送审稿)、等级保护基本要求(试用稿)、信息系统安全等级保护实施指南(送审稿)、信息系统安全等级保护测评准则(送审稿)等指导性文件信息系统安全等级保护测评准则(送审稿)等指导性文件v根据根据“谁建设谁负责,谁运营谁负责谁建设谁负责,谁运营谁负责”的原则,信息系统的使用单位、部门都应该依据国家规定的的原则,信息系统的使用单位、部门都应该依据国家
9、规定的等级划分标准,设定信息系统保护等级,并在国家规定的指导意见下逐步完成等级保护工作,实现等级划分标准,设定信息系统保护等级,并在国家规定的指导意见下逐步完成等级保护工作,实现信息系统安全建设和安全管理,提高安全保护的科学性、整体性和实用性。信息系统安全建设和安全管理,提高安全保护的科学性、整体性和实用性。信息安全建设的信息安全建设的“技术技术”驱动力驱动力v互联网的变迁:互联网的变迁:过去过去过去过去TCPTCP/IP/IPFTPEmailTelnet现在现在现在现在TCP/IPTCP/IPP2PBBShttp互联网应用的改变,导致了各种混合型威胁的出现,应用的扩展给应对这互联网应用的改变
10、,导致了各种混合型威胁的出现,应用的扩展给应对这种种混合型威胁混合型威胁带来巨大困难带来巨大困难.安全威胁安全威胁“从外到内从外到内”的发展的发展如何保护正常的业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害 如何保证内部终端用户的补丁和病毒库始终处于最新状态 如何快速有效隔离不符合本企业安全策略的用户,防止因为安全隐患机器接入而导致全网处于崩溃状态 如何保护核心机密、技术不受到内部的恶意威胁,例如违规泄露、拷贝等等 内网安全的重要性内网安全的重要性美国FBI统计:83%83%的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势公安部统计:7070的泄密犯罪来自于内部;电脑应用单
11、位8080未设立相应的安全管理系统、技术措施和制度。内网安全挑战内网安全挑战 提纲提纲v为什么要进行信息安全建设?为什么要进行信息安全建设?v怎样进行信息安全建设?怎样进行信息安全建设?p信息安全建设的现状与发展阶段信息安全建设的现状与发展阶段p信息安全建设的一般步骤信息安全建设的一般步骤v风险评估与风险管理概念介绍风险评估与风险管理概念介绍v电力系统的信息安全解决方案探讨电力系统的信息安全解决方案探讨v方正信息安全解决方案介绍方正信息安全解决方案介绍信息安全建设常见的四种类型信息安全建设常见的四种类型信息安全建设常见的四种类型信息安全建设常见的四种类型安全技术的投入安全技术的投入安全技术的投
12、入安全技术的投入安全流程的关注安全流程的关注安全流程的关注安全流程的关注流程导向流程导向事件导向事件导向工具导向工具导向风险导向风险导向被动型组织被动型组织技术型组织技术型组织成熟型组织成熟型组织发展型组织发展型组织强调IT 的安全管理每年信息安全经费预算介于整个IT预算的1%和10%之间信息资产分类正式的安全组织完善的安全策略、标准和流程部署了基本的安全工具事件、故障发生以后再采取相应补救措施不注重IT 的安全管理无计划中的信息安全预算使用基本的用户名密码管理部署了基本的安全工具强调并依赖IT 的安全技术部署了各种领先的安全工具每年安全经费预算10%没有正式的安全组织,安全策略、标准和流程员
13、工安全意识普遍薄弱强调IT 的安全管理和安全技术的平衡每年安全经费预算基于风险评估结果集成且统一的安全体系管理架构、技术架构基于国际标准的完善的安全策略、标准和流程部署了必要的安全工具应急响应机制完善且定期演练预防为主、防治结合信息安全建设的发展一般历程信息安全建设的发展一般历程信息安全建设的发展一般历程信息安全建设的发展一般历程企业现状企业现状 Target 基于风险分析的安全管理方法基于风险分析的安全管理方法基于风险分析的安全管理方法基于风险分析的安全管理方法v信息安全的发展信息安全的发展p“产品导向型产品导向型”安全安全 “可管理的可管理的”安全安全 p“头痛医头、脚痛医脚头痛医头、脚痛
14、医脚”“三分技术、七分管理三分技术、七分管理”v基于风险分析的安全管理基于风险分析的安全管理p安全管理的本质为风险管理的过程,安全管理的本质为风险管理的过程,风险评估是风险管理的首要内容风险评估是风险管理的首要内容v信息安全管理原则信息安全管理原则p信息安全策略(信息安全策略(Security Policy)是信息安全管理的导向和支持;)是信息安全管理的导向和支持;p控制目标与控制方式的选择建立在风险评估的基础之上;控制目标与控制方式的选择建立在风险评估的基础之上;p控制费用与风险平衡的原则,风险控制在组织可接受的水平;控制费用与风险平衡的原则,风险控制在组织可接受的水平;p预防为主的思想原则
15、(预防为主的思想原则(PDR模型);模型);p动态管理原则:风险变化的控制、对风险的动态管理;动态管理原则:风险变化的控制、对风险的动态管理;p自上而下(自上而下(Top-down Approach)、全员参与;)、全员参与;p管理学模型:管理学模型:PDCA持续改进(戴明环)。持续改进(戴明环)。信息安全建设的实施步骤信息安全建设的实施步骤安全现状如何安全现状如何?如何解决安全问题如何解决安全问题?如何实施安全如何实施安全?如何管理安全如何管理安全?评估评估设计设计实施实施运维运维安全风险评估安全风险评估安全解决方案安全解决方案安全实施安全实施安全运维管理安全运维管理安全需求评估安全风险评估
16、物理安全网络安全系统安全互联网安全应用安全无线网安全策略评估策略规章程序安全体系评估安全策略制订安全标准、规章、程序企业安全框架结构互联网安全框架结构安全解决方案设计访问控制网络安全数据加密防病毒/内容安全安全管理业务持续性计划与灾难恢复策略安全方案选择安全产品选择安全产品实施访问控制网络安全数据加密防病毒/内容安全安全管理备份/存储/容灾安全培训安全产品培训安全技术培训安全运维服务安全扫描安全检查渗透测试安全加固安全审计、IDS安全应急响应安全预警安全培训安全产品培训安全技术培训安全管理培训安全认证培训提纲提纲v为什么要进行信息安全建设?为什么要进行信息安全建设?v怎样进行信息安全建设?怎样
17、进行信息安全建设?v风险评估与风险管理概念介绍风险评估与风险管理概念介绍p信息安全风险评估的基本概念信息安全风险评估的基本概念p信息安全风险评估的一般过程信息安全风险评估的一般过程v电力系统的信息安全解决方案探讨电力系统的信息安全解决方案探讨v方正信息安全解决方案介绍方正信息安全解决方案介绍有关风险管理有关风险管理v风险管理的理念从风险管理的理念从90年代开始,已经逐步成为引导信息安全技术应用年代开始,已经逐步成为引导信息安全技术应用的核心理念的核心理念v中央企业全面风险管理指引中央企业全面风险管理指引p2006年年6月月6日,国务院国有资产监督管理委员会印发了中央日,国务院国有资产监督管理委
18、员会印发了中央企业全面风险管理指引企业全面风险管理指引“第三条本指引所称企业风险,指未来的不确定性对企第三条本指引所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险否为企业带来盈利等机会为标志,将风险分为纯粹风险(只只有带来损失一种可能性有带来损失一种可能性)和机会风险和机会风险(带来损失和盈利的可带来损失和盈利的可能性并存能性并存)。”风险的定义:对目标有所影
19、响的某件事情发生的可能性摘自AS/NZS4360国际风险管理趋势动态国际风险管理趋势动态vIT安全风险成为企业运营风险中最为重要的一个组成部分,业务连续安全风险成为企业运营风险中最为重要的一个组成部分,业务连续性逐渐与安全并行考虑性逐渐与安全并行考虑信息安全风险评估相关标准信息安全风险评估相关标准vISO/IEC 17799:2005vBS 7799pPart I:最佳实践最佳实践pPart II:体系规范:体系规范vISO/IEC 13335vAS/NZS4360vSSE-CMM17ISO 13335中风险各要素之间的关系中风险各要素之间的关系威胁弱点安全控制安全要求资产价值和影响安全风险资
20、产防范利用导致导致暴露采取提出增加具有降低18风险管理的过程风险管理的过程v风险管理(风险管理(Risk Management)p以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。的过程。v安全控制(安全控制(Security Control)p降低安全风险的惯例、程序或机制降低安全风险的惯例、程序或机制v剩余风险(剩余风险(Residual Risk)p实施安全控制后,剩余的安全风险实施安全控制后,剩余的安全风险风险管理风险管理风险评估风险评估风险控制风险控制降低风险降低风险19风险评估的基本步骤风险评估的基本
21、步骤资产识别与估价威胁识别与评价弱点识别与评价已有安全控制的确认风险评估(量化与等级化分)风险控制风险评估的原则20风险评估的基本内容风险评估的基本内容风险评估项目风险评估项目风险评估活动内容风险评估活动内容1、资产识别和估价列出在信息安全管理体系范围内被评估的商业环境、动作和信息相关的资产2、威胁评估识别与资产相关的威胁,并根据它们发生的可能性和严重性为它们赋值3、弱点评估识别与资产相关的弱点,根据它们被威胁利用的程度为其赋值4、现有的和计划了的安全控制的识别根据前期的安全评审,对所有与资产、威胁和弱点相关联的现有的和计划了的控制进行识别和文件化5、风险评估利用上述对资产、威胁、弱点的评价结
22、果,进行风险评估;采用适当的风险测量工具进行风险计算6、安全控制和降低风险的识别和选择根据上述评估中识别的风险,对于每一项列出的资产,确认相关的控制目标。应用与这些资产的每一个方面相关的威胁和弱点,选择相关联的控制,以完成这些目标7、风险接受对残余的风险加以分类:“可接受的”、“不可接受的”。对“不可接受的”决定是否选择进一步的控制21技术脆弱性评估流程技术脆弱性评估流程提交评估申请报告确定评估范围与评估对象制定评估详细方案工具评估提交详细评估方案并申请评估授权评估工具准备及配置安全扫描策略生成评估综合报告进行工具扫描工具评估报告手工检查手工检查报告渗透测试渗透测试报告22策略文档评估策略文档
23、评估文档评估准备文档搜集、接收、鉴别和整理策略文档格式评估策略文档评估文档版本控制文档密级标识文档审定复查计划发布批准分发控制安全策略和标准评估分析报告策略文档内容评估策略文档体系评估主策略和安全方针技术标准和规范组织机构和人员职责安全操作流程管理规定和办法用户协议23风险评估的结果风险评估的结果v风险计算之前应该进行已有控制措施的确认风险计算之前应该进行已有控制措施的确认v风险计算之前要确立风险测量方法风险计算之前要确立风险测量方法-风险大小和等级评估原则风险大小和等级评估原则pHow much damage did Kevin Mitnick do?Estimates range from
24、$500,000 to$120,000,000v风险测量方法风险测量方法p定性(定性(Qualitative)的风险分析)的风险分析不用数字、只使用对比的方法不用数字、只使用对比的方法列出所有的风险、决定某个风险的严重程度排列出特定的风险结果p定量(定量(Quantitative)的风险评估)的风险评估为每个风险的可能性给出一个确定的数值为每个风险的可能性给出一个确定的数值某风险可能发生的几率?如果风险发生,那损失是多少v风险评估的结果输出风险评估的结果输出p信息安全风险评估报告信息安全风险评估报告风险控制过程风险控制过程风险评估过程安全控制的识别与选择实施控制降低风险风险接受风险控制的实施指
25、南:风险控制的实施指南:ISO 17799:2005一、安全策略(一、安全策略(Security Policy)()(1,2)二、信息安全二、信息安全组织组织(Organization of Information Security)(2,11)三、三、资产资产管理管理(Asset Management)(2,5)四、人力四、人力资资源安全源安全(Human Resources Security)(3,9)五、物理和五、物理和环环境安全境安全(Physic and Environment Security)(2,13)六、通信和运行管理六、通信和运行管理(Communication and O
26、perations Management)(10,30)八、信息系八、信息系统统的的获获取、开取、开发发和和维护维护(ISs.Acquisition,Development Maintenance)(6,16)七、七、访问访问控制控制(Access control)(7,25)九、信息安全事件管理(九、信息安全事件管理(Information Security Incident Management)(2,5)十、十、业务业务持持续续性管理性管理(Business Continuity Management)(1,5)十一、符合性十一、符合性(Compliance)(3,11)附注:附注:(m
27、,n)m:执执行目行目标标的数目的数目 n:控制控制(最佳:控制控制(最佳实实践,践,BP)的数目)的数目提纲提纲v为什么要进行信息安全建设?为什么要进行信息安全建设?v怎样进行信息安全建设?怎样进行信息安全建设?v风险评估与风险管理概念介绍风险评估与风险管理概念介绍v电力系统的信息安全解决方案探讨电力系统的信息安全解决方案探讨p河南电力的安全建设背景河南电力的安全建设背景p电力系统信息安全建设的总体分析电力系统信息安全建设的总体分析p河南电力农电信息安全建设解决方案河南电力农电信息安全建设解决方案v方正信息安全解决方案介绍方正信息安全解决方案介绍县级供电企业信息安全建设的背景县级供电企业信息
28、安全建设的背景v电力作为基础行业,对网络的稳定性、安全性要求越来越高v电网和电厂计算机监控系统及调度数据网络安全防护规定 v电力二次系统安全防护规定v省电力公司农电计算机信息网络系统管理办法 v省公司、各县局充分认识到信息安全的重要性 电监会电监会电监会电监会5 5号令的安全保障要求号令的安全保障要求号令的安全保障要求号令的安全保障要求电力二次系统安全防护总体策略电力二次系统安全防护总体策略电力二次系统安全防护总体策略电力二次系统安全防护总体策略4 4、纵向认证、纵向认证3 3 3 3、横向隔离、横向隔离、横向隔离、横向隔离电力数据网电力数据网电力数据网电力数据网或或或或发电数据网发电数据网发
29、电数据网发电数据网控制区控制区控制区控制区生产区生产区生产区生产区管理区管理区管理区管理区信息区信息区信息区信息区电力调度数据网电力调度数据网电力调度数据网电力调度数据网SPDnetSPDnet生产控制区生产控制区管理信息区管理信息区防火墙防火墙2 2 2 2、网络专用、网络专用、网络专用、网络专用1 1、安全分区、安全分区、安全分区、安全分区电监会电监会电监会电监会5 5号令的安全管理要求号令的安全管理要求号令的安全管理要求号令的安全管理要求电力系统信息安全建设的总体思路电力系统信息安全建设的总体思路电力系统信息安全建设的总体思路电力系统信息安全建设的总体思路v以以满足满足“符合性符合性”要
30、求要求为主要工作指导为主要工作指导p安全技术措施:安全技术措施:安全分区(安全域、等级化保护)安全分区(安全域、等级化保护)安全隔离(纵向隔离、边界防护)安全隔离(纵向隔离、边界防护)安全认证(纵向认证、访问控制)安全认证(纵向认证、访问控制)p安全管理要求:安全管理要求:建立安全评估机制(定期评估)建立安全评估机制(定期评估)建立电力系统安全评估规范建立电力系统安全评估规范v以以“风险管理风险管理”为导向为导向的信息安全管理工作的信息安全管理工作p工具导向工具导向 流程导向流程导向 风险导向风险导向p安全管理与安全技术的平衡安全管理与安全技术的平衡p预防为主、防治结合预防为主、防治结合县级供
31、电企业信息安全建设解决方案县级供电企业信息安全建设解决方案安全域划分:等级化保护安全域划分:等级化保护v内部网络安全域内部网络安全域p财务、调度网安全域财务、调度网安全域p内部服务器区(内部服务器区(OA、MIS等)等)p安全管理中心(内网管理、安全评估、网络管理、入侵检测、安全管理中心(内网管理、安全评估、网络管理、入侵检测、防病毒服务器等)防病毒服务器等)p内部局域网内部局域网v其他互联单位安全域其他互联单位安全域p乡镇单位网络乡镇单位网络p抄表系统抄表系统p市局及其他互联单位网络市局及其他互联单位网络vDMZ安全域安全域p、FTP服务器等服务器等防火墙技术与解决方案介绍防火墙技术与解决方
32、案介绍v建立统一的安全接入控制策略:建立统一的安全接入控制策略:p所有外联网络如互联网、县乡联网、市县联网、移动抄表、移所有外联网络如互联网、县乡联网、市县联网、移动抄表、移动动VPN用户等都通过边界部署的防火墙进行安全策略控制,做用户等都通过边界部署的防火墙进行安全策略控制,做到安全威胁统一管理。到安全威胁统一管理。防火墙是保证网络安全的重要屏障,也是降低网络安全风防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。防火墙根据网络流的来源和访问的目标,险的重要因素。防火墙根据网络流的来源和访问的目标,对网络流进行限制,允许合法网络流,并禁止非法网络流。对网络流进行限制,允许合法网
33、络流,并禁止非法网络流。同时通过防火墙系统对同时通过防火墙系统对BT、电驴、电驴、MSN、QQ等做相关的等做相关的限制。限制。互联网接入防火墙的功能互联网接入防火墙的功能网络互联访问控制策略网络互联访问控制策略1.互联网接入防火墙的接口分别连接互联网接入防火墙的接口分别连接Internet接入线路、连接入线路、连接内部网络安全域、其他互联单位安全域。接内部网络安全域、其他互联单位安全域。1.Internet的访问的控制,的访问的控制,2.根据实际应用放通内部网络与其他互联单位之间的互根据实际应用放通内部网络与其他互联单位之间的互访,禁止与业务无关的其他访问请求。访,禁止与业务无关的其他访问请求
34、。3.除放通除放通Internet用户对用户对DMZ区的有限访问外,严格禁区的有限访问外,严格禁止来自止来自Internet的非法访问请求。的非法访问请求。2.内部服务器区、安全管理中心和内部局域网统一接入核内部服务器区、安全管理中心和内部局域网统一接入核心交换机,在核心交换机上部署相应的心交换机,在核心交换机上部署相应的ACL规范内部安规范内部安全域各子区域之间的互访。全域各子区域之间的互访。3.调度网、财务网通过防火墙与调度网、财务网通过防火墙与MIS网进行逻辑隔离,并按网进行逻辑隔离,并按照国家电力系统防护或财务网络的要求配置相应的策略。照国家电力系统防护或财务网络的要求配置相应的策略。
35、访问控制策略设置访问控制策略设置v互联网接入防火墙策略互联网接入防火墙策略 p通过防火墙提供的基于通过防火墙提供的基于TCP/IP协议中各个环节进行安全控制,生成完整安全的协议中各个环节进行安全控制,生成完整安全的访问控制表,同时借助防火墙提供的基于状态包过滤技术对数据的各个方向采访问控制表,同时借助防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略,制定严格完善的访问控制策略保证从用全面安全的技术策略,制定严格完善的访问控制策略保证从IP到应用层的数到应用层的数据安全。据安全。p进行进行IP/MAC地址邦定,防止地址邦定,防止IP地址盗用。地址盗用。p用流量管理功能,提高网
36、络访问效率。用流量管理功能,提高网络访问效率。p启用内置的启用内置的IDS功能,有效防范网络攻击。功能,有效防范网络攻击。p启用启用MSN/QQ控制功能,提高企业的工作效率。控制功能,提高企业的工作效率。v县乡、市县联网、其他网络接入策略县乡、市县联网、其他网络接入策略 p乡所通过县局互联网唯一出口访问互联网乡所通过县局互联网唯一出口访问互联网p县乡县乡VPN联网、光纤环网通过防火墙访问县局核心网络联网、光纤环网通过防火墙访问县局核心网络p市县联网启用必要的安全控制功能,进行攻击和病毒阻断市县联网启用必要的安全控制功能,进行攻击和病毒阻断p防火墙策略控制防火墙策略控制p短信、移动抄表安全网关功
37、能短信、移动抄表安全网关功能p严格控制非法通过拨号、无线上网卡访问互联网严格控制非法通过拨号、无线上网卡访问互联网推荐防火墙性能介绍v3000-FG-T,4个百兆电口,个百兆电口,2个千兆电口,个千兆电口,150万并发连万并发连接,接,1G网络处理能力,内置网络处理能力,内置IDS模块,支持模块,支持VPN功能功能v3000FANP200,采用,采用NP架构,具有架构,具有10个端口,并发个端口,并发连接数连接数200,000,吞吐量,吞吐量200M恶意软件防护解决方案恶意软件防护解决方案Internet 病毒服务中心防火墙路由器DMZDMZ核心交换机应用服务器防病毒中心服务器数据服务器内网区
38、交换机县局县局县局县局乡所乡所乡所乡所边界防病毒、WEB过滤、防垃圾邮件安全网关VPNVPN网关网关网关网关内网区交换机乡所乡所乡所乡所光纤环网光纤环网光纤环网光纤环网 专网 说明:说明:说明:说明:1 1、边界防病毒的控制、边界防病毒的控制、边界防病毒的控制、边界防病毒的控制2 2、网络版防病毒软件的、网络版防病毒软件的、网络版防病毒软件的、网络版防病毒软件的 统一部署统一部署统一部署统一部署3 3、产品安装、升级等管理、产品安装、升级等管理、产品安装、升级等管理、产品安装、升级等管理4 4、互联网出口的唯一性、互联网出口的唯一性、互联网出口的唯一性、互联网出口的唯一性恶意软件防护要求恶意软
39、件防护要求v县局电力系统网络病毒防护系统应具有以下功能要求:县局电力系统网络病毒防护系统应具有以下功能要求:1.在互联网出口,设置硬件安全网关,对进出网络的访问在互联网出口,设置硬件安全网关,对进出网络的访问2.数据、邮件、网页进行全面防毒扫描,发现病毒及时进行处理,数据、邮件、网页进行全面防毒扫描,发现病毒及时进行处理,并且给系统管理员即时消息通知;并且给系统管理员即时消息通知;3.对进出网关的邮件进行内容过虑,阻挡垃圾邮件的侵扰对进出网关的邮件进行内容过虑,阻挡垃圾邮件的侵扰4.对网络的对网络的Web访问、访问、FTP上传上传/下载进行全面防毒扫描,发现病下载进行全面防毒扫描,发现病毒及时
40、进行处理,并且给系统管理员即时消息通知;毒及时进行处理,并且给系统管理员即时消息通知;5.对网络内的应用服务器进行全面防护;对网络内的应用服务器进行全面防护;6.安装统一的网络版防病毒软件;安装统一的网络版防病毒软件;7.防病毒软件的升级通过管控系统集中实现;防病毒软件的升级通过管控系统集中实现;8.建立即时、快速的病毒响应机制。建立即时、快速的病毒响应机制。推荐防病毒安全网关介绍v方正安全网关方正安全网关PAGD8100,2个千兆电口,支持个千兆电口,支持SMTP,FTP,HTTP,POP3,IMAP4,NNTP六种协议。病毒库六种协议。病毒库55万万种,每日自动更新,具有防病毒、垃圾邮件、
41、内容过滤三种,每日自动更新,具有防病毒、垃圾邮件、内容过滤三种功能,透明设计,安装无需改变现有的网络结构种功能,透明设计,安装无需改变现有的网络结构入侵检测解决方案入侵检测解决方案在核心交换机上配置入侵检测系统,对关键网口进行实时监控,并启动和在核心交换机上配置入侵检测系统,对关键网口进行实时监控,并启动和防火墙的联动机制,有效阻断来自外网的入侵,并定位攻击源;对来自互防火墙的联动机制,有效阻断来自外网的入侵,并定位攻击源;对来自互联网用户的访问进行检测;定位病毒攻击源;联网用户的访问进行检测;定位病毒攻击源;入侵检测系统的功能入侵检测系统的功能vIDS通过抓取网络和系统中的所有报文,分析处理
42、后,报通过抓取网络和系统中的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使管理员清楚地了告异常和重要的数据模式和行为模式,使管理员清楚地了解网络和系统中发生的事件,并能够采取行动阻止可能的解网络和系统中发生的事件,并能够采取行动阻止可能的破坏。破坏。vIDS的功能:的功能:p监控网络和系统监控网络和系统p发现入侵行为或异常现象发现入侵行为或异常现象p实时报警实时报警p主动响应主动响应p与防火墙联动,阻断攻击与防火墙联动,阻断攻击p攻击和入侵源的定位:数据访问、内网病毒源等攻击和入侵源的定位:数据访问、内网病毒源等推荐入侵检测性能介绍推荐入侵检测性能介绍v方正方正NIDS-430,
43、机架硬件设备,机架硬件设备,B/S架构,架构,3个百兆监听个百兆监听口,口,600M的监听流量。网络流量实时监控的监听流量。网络流量实时监控、可以在流量、可以在流量和协议两个层面进行异常行为检测和协议两个层面进行异常行为检测、非法程序监控。旁路、非法程序监控。旁路设备,通过映射核心交换机数据进行分析。设备,通过映射核心交换机数据进行分析。其它安全解决方案其它安全解决方案v网络管理:网络管理:p跨厂商的统一平台管理,可以对服务器、交换机、路由器、应用、链路、防火墙等进行统跨厂商的统一平台管理,可以对服务器、交换机、路由器、应用、链路、防火墙等进行统一的设备故障和运维管理;一的设备故障和运维管理;
44、p网络拓扑的自动发现,让你在信息中心就能掌握这个网络交换机、服务器、数据库等运行网络拓扑的自动发现,让你在信息中心就能掌握这个网络交换机、服务器、数据库等运行状况;状况;p可以及时了解网络设备端口的流量;及时了解故障,变事后管理为事前管理;可以及时了解网络设备端口的流量;及时了解故障,变事后管理为事前管理;p全面的全面的IP地址管理功能;地址管理功能;p故障检测:检测故障检测:检测IP故障、设备故障、流量故障、蠕虫故障、实时报警、并形成详细的日志故障、设备故障、流量故障、蠕虫故障、实时报警、并形成详细的日志供管理员分析处理;供管理员分析处理;v终端安全管理:终端安全管理:pIP和和MAC绑定;
45、绑定;p终端非法外联行为监控;终端非法外联行为监控;p补丁自动分发系统;补丁自动分发系统;pIT资产管理:硬件设备信息统计、软件资产统计、设备变更信息统计资产管理:硬件设备信息统计、软件资产统计、设备变更信息统计p桌面安全管理远程控制桌面桌面安全管理远程控制桌面p桌面安全审计上网访问行为审计等;桌面安全审计上网访问行为审计等;p软件安装管理、桌面消息通知、远程协助软件安装管理、桌面消息通知、远程协助p统一的桌面安全策略部署等统一的桌面安全策略部署等总结:安全建设的效果分析总结:安全建设的效果分析1.抵御来自INTERNET和不同接入网络的威胁如木马攻击、病毒蠕虫等的传播;2.能够有效限制内部的
46、P2P业务,如BT、电驴的限制。同时能在规定的时间段内允许内部用户访问还是不能访问MSN、QQ等;3.对内部网络的监控不会处于盲区,如内部出现蠕虫、病毒传播,通过IDS平台、内部安全管理平台快速定位并且进行抑制;4.对一段时间内网络的网络运行情况进行日志采集、过滤、合并及备份,为网络安全事件提供可查询的依据;5.可以对服务器、网络设备、应用等运行情况做到统一的运维管理;6.能够对网络的安全域进行划分,并采用不同的安全策略,进行网络访问控制,进行边界攻击控制,进行NAT转换等功能;7.通过防火墙自带的VPN功能可以基于互联网组建强大的、安全的、可控制的广域网络,并实现多网点、移动接入等;8.可以
47、实现IT资产管理、上网行为审计、桌面管理、补丁自动分发、终端接入管理等;9.全网防病毒策略控制,并实现有效的边界防病毒。提纲提纲v为什么要进行信息安全建设?为什么要进行信息安全建设?v怎样进行信息安全建设?怎样进行信息安全建设?v风险评估与风险管理概念介绍风险评估与风险管理概念介绍v电力系统的信息安全解决方案探讨电力系统的信息安全解决方案探讨v方正信息安全服务体系及案例介绍方正信息安全服务体系及案例介绍p方正信息安全服务体系介绍方正信息安全服务体系介绍p方正信息安全案例方正信息安全案例方正信息安全服务体系的组成方正信息安全服务体系的组成n安全服务方法论:安全服务方法论:PADMR,安全策略、评
48、估、设计实施、运维、响应,安全策略、评估、设计实施、运维、响应 l服务方法论服务方法论 nISO 17799/BS7799,ISO13335,SSE-CMMl服务规范服务规范 nCEOT:即安全咨询、安全工程、安全运维和安全培训,具体包括:安全风险评估、安全架:即安全咨询、安全工程、安全运维和安全培训,具体包括:安全风险评估、安全架构设计、安全方案集成、安全产品实施、安全扫描、安全加固、紧急响应、安全培训等构设计、安全方案集成、安全产品实施、安全扫描、安全加固、紧急响应、安全培训等l服务范围服务范围 n政府、电信、金融、能源、企业等政府、电信、金融、能源、企业等l行业分布行业分布 n以现有安全
49、产品为基础,安全集成、安全产品、安全服务共享资源,有效引入先进的服务工以现有安全产品为基础,安全集成、安全产品、安全服务共享资源,有效引入先进的服务工具和安全理念具和安全理念l服务平台服务平台 n防火墙(防火墙(FW)、)、VPN、入侵检测入侵检测、防病毒软件防病毒软件、防病毒网关、抗攻击工具、网络管理平台防病毒网关、抗攻击工具、网络管理平台等等l产品种类产品种类 n5人(人(1年内)年内)l专业顾问专业顾问 方正信息安全服务内容:方正信息安全服务内容:CEOT咨询咨询集成集成运维运维培训培训评估评估实施实施响应响应CEOT安全运维服务安全运维服务安全运维服务安全运维服务(Security O
50、perations Services)(Security Operations Services)安全扫描服务安全扫描服务安全检查服务安全检查服务渗透测试服务渗透测试服务安全加固服务安全加固服务安全审计服务安全审计服务紧急响应服务紧急响应服务安全通告服务安全通告服务安全培训服务安全培训服务安全培训服务安全培训服务(Security Training Services)(Security Training Services)安全产品培训安全产品培训安全管理培训安全管理培训安全技术培训安全技术培训安全认证培训安全认证培训安全咨询服务安全咨询服务安全咨询服务安全咨询服务(Security Consu