《网络信息系统安全技术体系与安全防护系统解决方案37299.pptx》由会员分享,可在线阅读,更多相关《网络信息系统安全技术体系与安全防护系统解决方案37299.pptx(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、孙建伟北京理工大学软件学院网络信息系统安全技术体系网络信息系统安全技术体系与安全防护系统解决方案与安全防护系统解决方案内容概要局域网系统概述信息安全体系结构网络信息系统安全需求构建网络系统安全的相关技术及产品典型企业网络安全解决方案小结局域网系统概述组网技术交换式以太网通过路由器外接Internet局域网之间可以通过VPN技术互联功能内部网络应用共享共享Internet接入对外提供的服务,Web,Email等局域网系统概述典型的例子校园网企业网政务网行业专网电信、金融、铁路、公安等信息安全体系结构 2020世纪世纪8080年代中期年代中期,基于基于计算机保密模型(BellLapadula模型)
2、的基础上的“可信计算机系统安全评价准则可信计算机系统安全评价准则”(TCSEC)(TCSEC)20世纪90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)20世纪90年代末六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了共同提出了“信息信息技术安全评价通用准则技术安全评价通用准则”(CC for ITSEC)(CC for ITSEC)CC标准综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求。信息安全体系结构CC标准适用于信息系统的安全性设计 安全操作系统
3、安全数据库安全Web应用网络设备自身安全一般C/S应用系统网络信息系统安全CC标准适用于信息系统安全性设计,并不针对网络信息系统的安全需求:统一的身份管理与运维安全管控网络攻击的检测与防护网络安全脆弱性分析、风险评估信息的安全传输网络安全域划分与网络隔离信息安全体系结构网络信息系统的安全体系架构设计架构复杂,安全架构与网络信息系统架构交叉融合架构可裁剪、可扩展,根据安全需求和信息系统自身架构部署 运行时物理安全运维安全管控网络攻击的检测与防护网络安全脆弱性分析、风险评估信息的安全传输网络安全域划分与网络隔离网络信息系统的安全需求物理安全需求重要信息可能会通过电磁辐射或线路干扰而被泄漏,因此需要
4、对存放机密信息的机房进行必要的设计机房设计 构建屏蔽室、采用辐射干扰机等,以防止电磁辐射泄漏机密信息。此外,还可对重要的设备和系统进行备份。网络信息系统的安全需求访问控制的运维管控访问控制的运维管控统一的身份管理统一的身份管理统一的认证管理统一的认证管理集中的授权管理集中的授权管理集中的访问控制集中的访问控制集中的运维审计集中的运维审计网络信息系统的安全需求加密传输是网络安全的重要手段之一加密传输是网络安全的重要手段之一。信息的泄漏很多都是在链路上被搭线窃取的,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据的真实性、完整性得不到保证。完整性机密性信道的认证性与不可否认性网络信息系统
5、的安全需求网络攻击防护体系网络内部或外部发起的网络攻击检测网络攻击抑制、阻断攻击事件的统一管理基于P2DR防护模型的防御体系IDS、IPS防火墙安全事件、安全策略管理网络信息系统的安全需求安全风险评估系统需求网络系统和操作系统存在安全漏洞(如安全配置不严密等)等是使黑客等入侵者的攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统存在的一些安全漏洞,然后通过发现的安全漏洞,采取相应的技术进行攻击。信息系统风险评估信息系统风险评估 网络安全扫描系统网络安全扫描系统对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查网络信息
6、系统的安全需求系统病毒防护病毒的危害性极大并且传播极为迅速,必须配备从单机到服务器的整套防病毒软件,实现全网的病毒安全防护。必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护,以确保整个单位的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。系统补丁的统一管理网络安全技术与产品解决网络信息安全问题的主要途径内控:建立集中的身份管理,实现统一访问控制和审计,实现CC标准在网络空间的扩展实现静态防护:适用VPN、网络隔离、防火墙等技术实现网络安全架构事前的机制:通过漏洞扫描,发现系统脆弱性并采取系统加固措施动态防护架构:建立网络攻击检测防护体系 信息安全保
7、护:用SSL/SSH实现网路传输加密,电子信封等技术实现数据机密性、完整性、认证性保护网络安全技术与产品相关的网络安全技术产品PKI/CA,公共数字证书服务体系VPN,虚拟专用网IDM,联合身份管理、认证系统IT Audit,IT系统审计产品Firewall,防火墙IDS,SOC,入侵检测系统,安全事件管理平台网络、系统扫描器文件加密系统远程桌面系统网络安全技术与产品PKI/CA,公共数字证书服务体系以密码理论为基础统一的证书颁发管理机构CA网络系统内通信主体持有自己的合法证书证书用来在作身份认证、数据加密、数据签名,实现数据机密性、完整性、不可否认性的保护通过在网络系统部署PKI,可实现统一
8、的身份管理和通信安全保护网络安全技术与产品VPN,虚拟专用网基础:身份认证、密码理论功能:通过认证、加密、数据封装技术实现公网上传输私网机密数据应用:跨区域建设大型企业网、专网,实现远程安全接入部署模式:MPLS VPN,IPSec,SSL,SSH网络安全技术与产品 IDM,联合身份管理、认证系统联合身份管理的必要性基础:PKI证书服务,集中身份认证服务,集中接入管理,集中审计(,account,authorization,authentication,audit)特点:实现体系庞大,实现复杂,带来网络运营维护模式的根本变化网络安全技术与产品IT Audit,IT系统审计产品必要性:审计是一种
9、事后机制,作为安全事故分析、责任追究或免责的手段技术基础:网络数据还原、事件收集、分析(人工智能)产品分类:日志收集与管理系统网络审计网络安全技术与产品Firewall,防火墙实质:部署于网络边界,执行安全规则控制进出网络的数据。技术基础:包过滤技术应用网关技术状态检测其他功能、网关、负载均衡网络安全技术与产品IDS,SOC,入侵检测系统,安全事件管理平台功能:检测、发现、评估、管理网络攻击事件,与其他网络安全设备,如防火墙、IPS、扫描器,构成网络安全防御体系技术基础:数据收集、攻击模式识别、事件关联分析类型:、的数据来源:IDS、防火墙、扫描器等,执行安全事件分析管理网络安全技术与产品网络
10、、系统扫描器功能:发现网络上存活主机、开启的应用服务、存在的系统漏洞、系统脆弱性(如:口令)、挂马网站等技术基础:协议分析、渗透性测试负面效果:可作为网络攻击平台网络安全技术与产品其它安全设备上网行为管理网络行为分析防水墙网闸设备网络安全技术与产品其它安全设备文件加密系统:用电子信封技术桌面发布系统:将桌面应用发布为远程服务避免客户端保存数据便于监管、审计有利于企业知识产权保护代表性产品:CITRIX典型企业网络安全解决方案问题:对于已经建设运行的网络信息系统,如何构建系统安全防护解决方案?系统的安全威胁是什么?确立系统安全目标安全技术体系的构建安全策略的设置系统的维护典型企业网络安全解决方案
11、分析系统的安全威胁边界网络设备安全威胁边界网络设备安全威胁(1)入侵者通过控制边界网络设备进一步了解网络拓扑结构,利用网络渗透搜集信息,为扩大网络入侵范围奠定基础。比如,入侵者可以利用这些网络设备的系统(Cisco的IOS)漏洞或者配置漏洞,实现对其控制。(2)通过各种手段对网络设备实施拒绝服务攻击,使网络设备瘫痪,从而造成网络通信的瘫痪。典型企业网络安全解决方案分析系统的安全威胁信息基础安全平台威胁信息基础安全平台威胁信息基础平台主要是指支撑各种应用与业务运行的各种操作系统。操作系统主要有Windows系列与UNIX系统。相对边界网络设备来说,熟知操作系统的人员的范围要广得多,而且在网络上,
12、很容易就能找到许多针对各种操作系统的漏洞的详细描述,所以,针对操作系统和数据库的入侵攻击在网络中也是最常见的。典型企业网络安全解决方案分析系统的安全威胁内部网络的失误操作行为内部网络的失误操作行为由于人员的技术水平的局限性以及经验的不足,可能会出现各种意想不到的操作失误,势必会对系统或者网络的安全产生较大的影响。源自内部网络的恶意攻击与破坏源自内部网络的恶意攻击与破坏据统计,有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显地弱于对于网络外部的安全防范,而且由于内部人员对于内部网络的熟悉程度一般是很高的,因此,由网络内部发起的攻击也就必然更容易成功,一旦攻击成功,其强烈的攻击目的
13、也就必然促成了更为隐蔽和严重的网络破坏。典型企业网络安全解决方案分析系统的安全威胁网络病毒威胁网络病毒威胁在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点,网络病毒的这些新的特点都会对网络与应用造成极大的威胁。典型企业网络安全解决方案 安全技术体系的构建建立全网的身份管理、访问控制体系部署统一身份认证、授权、访问控制对网络用户进行统一的帐号管理对网络用户进行统一身份验证,保证网络用户的合法性集中的授权管理集中的访问控制典型企业网络安全解决方案 安全技术体系的构建建立全网的综合审计体系网络审计通过堡垒主机的集中接入审计集中日志收集与审计分
14、析与系统配合构成综合的运维管控体综合的运维管控体系系典型企业网络安全解决方案 安全技术体系的构建在局域网入口处部署防火墙系统(支持)防火墙系统(支持)防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许、拒绝、监测)出入网络的信息流。防火墙可以确定哪些内部服务允许外部访问,哪些外人被许可访问所允许的内部服务,哪些外部服务可由内部人员访问。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。典型企业网络安全解决方案 安全技术体系的构建部署连接局域网分支和移动用户局域网之间可采用移动
15、用户登录采用认证纳入统一身份认证系统典型企业网络安全解决方案安全技术体系的构建部署入侵检测系统、安全事件管理中心部署入侵检测系统、安全事件管理中心防火墙是部署在网络边界的安全设备,相当于计算机网络的第一道防线。入侵检测系统()一般部署在局域网内部,可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。安全事件管理中心收集全网安全事件,集中管理,通过关联分析,强化安全设备协同,为安全策略评估提供依据。典型企业网络安全解决方案安全技术体系的构建部署漏洞扫描系统部署漏洞扫描系统操作系统、网络软件、应用软件存在安全漏洞,利用这些漏洞可以很容易
16、地破坏乃至完全地控制系统;利用应用系统的脆弱性的攻击是主要攻击形式;由于管理员的疏忽或者技术水平的限制所造成的配置漏洞也是广泛存在的,这对于系统的威胁同样很严重。部署漏洞扫描系统,检测网络内部的脆弱性,可以为系统安全防护建设提供评估手段本质上是一种必要的事前机制典型企业网络安全解决方案安全技术体系的构建部署漏洞扫描系统的安全防护效果部署漏洞扫描系统的安全防护效果对企业网络系统网络重要服务器和PC进行漏洞扫描,发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取,甚至造成系统本身的崩溃),生成详细的可视化报告,同时向管理人员提出相应的解决办
17、法及安全建议。对企业网络系统网络边界组件、基础组件和其他系统进行漏洞扫描,检查系统的潜在问题,发现操作系统存在的漏洞和安全隐患。漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测,并向安全管理员提供系统最新的漏洞报告,使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。通过漏洞扫描的结果,对系统进行加固和优化入侵检测、防火墙和漏洞扫描联动体系示意图典型企业网络安全解决方案安全技术体系的构建部署网络防病毒系统部署网络防病毒系统一般计算机的病毒有超过20%是通过网络下载文档时感染的,另外有26%是经电子邮件的附加文档感染的,这就需要一套方便、易用的病毒扫描器,使企业的计算机
18、环境免受病毒和其他恶意代码的攻击。建议采用三层防病毒部署体系来实现对企业网络的病毒防护。E-mail网关防病毒系统服务器病毒系统桌面防病毒系统大型企业网络安全防护系统部署示意图典型企业网络安全解决方案安全技术体系的构建该防御体系由漏洞扫描与入侵检测联动系统、入侵检测与防火墙的联动系统及防病毒系统组成。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。对在企业内网发起的攻击和攻破了防火墙的黑客攻击行为,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与防火墙的互动,自动修改策略设置上的漏洞,阻挡攻击的继续进入。本方案在交换机上连入入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由ID
19、S传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表打印输出。典型企业网络安全解决方案安全技术体系的构建在实现防火墙和入侵检测系统的联动后,防火墙“访问控制策略”会动态地添加阻断的策略。“漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改防火墙和入侵检测系统中不适当的设置,防患于未然。典型企业网络安全解决方案安全技术体系的构建防火墙主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的作用,在这里主要发挥防火墙和VPN的双重作用。保障局域网不受来自外网的黑客攻击,主要担当防火墙功能能够根据需要,让外网向Internet的访问提供服务,如Web、E-mail、DNS等服务。能够基于“六元组”(即源地址、目的地址、源端口号、目的端口号、协议、时间)进行灵活的访问控制,对用户访问(Internet)提供灵活的访问控制功能,如可以控制任何一个内部员工能否上网,能访问哪些网站,能不能收发E-mail、ftp等,能够在什么时间上网等。下属单位能够通过防火墙与安全客户端软件之间的安全互联,建立通过Internet相连的“虚拟专用网”,解决在网上传输的内部信息安全问题,方便管理,并极大地降低了成本。