最新安全规划讨论.ppt

* 杭州迪普科技有限公司00100000011011010101101001110010011001100110000100101110 00100000011011010101101001110010011001100110000100101110 网络安全规划讨论 目标及原则 原则： 整体规划、分步实施 重点保护 标准化、可复制 适度保护 合规性 目标： 规划先进的安全体系，搭建安全框架，在该框架下能满足近期紧迫的安全需求，同时具备长期的扩展能力。 满足公安部、工信部法规要求 资产 用户： 城域网宽带接入用户 Wlan用户 专线用户 IDC 重要系统： DNS 网管 宽带认证 sig 威胁 类别 威胁 城域网宽带用户/WLAN DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网 专线用户 DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网、病毒、蠕虫、垃圾邮件、漏洞攻击 IDC DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网、病毒、蠕虫、垃圾邮件、漏洞攻击、Web攻击、特定应用攻击、内容合规性检查 威胁 类别 威胁 DNS DNS攻击（DDoS攻击、漏洞攻击、虚假域名请求） 网管 病毒、蠕虫、漏洞攻击 宽带认证 病毒、蠕虫、漏洞攻击、web篡改（Portal） 业务系统 支撑系统 风险 类别 威胁 风险 城域网宽带用户/wlan用户 DDoS攻击 网络拥塞，网络不可用 网络设备攻击（弱口令） 非法修改网络配置，导致网络故障 DNS攻击 DNS不可用，大面积网络故障 违规上网 不符合82号令，造成不良社会影响 专线用户 DDoS攻击 网络拥塞，网络不可用 网络设备攻击（弱口令） 非法修改网络配置，导致网络故障 DNS攻击 DNS不可用，大面积网络故障 违规上网 不符合82号令，造成不良社会影响 病毒、蠕虫、垃圾邮件、漏洞攻击 用户网络、系统故障 风险 类别 威胁 风险 IDC DDoS攻击 网络拥塞，网络不可用 网络设备攻击（弱口令） 非法修改网络配置，导致网络故障 DNS攻击 DNS不可用，大面积网络故障 违规上网 不符合82号令，造成不良社会影响 Web攻击 Web网站不可用，隐私资料泄露 特定应用攻击 应用不可用，数据泄露 技术手段 防火墙：访问控制、端口过滤 VPN：外部访问安全通道 IPS：病毒、蠕虫、漏洞攻击 行为审计：上网行为记录、敏感信息过滤 异常流量清洗：DDoS攻击防护 Web防护：web系统攻击防护、网页防篡改 漏洞扫描：漏洞发现、弱口令试探、安全评估 负载均衡：业务可用性、可靠性保障、用户体验提升 安全服务：安全状态评估、安全加固、应急响应、安全培训、安全巡检 技术框架 总体思路： 省公司统一监控，地市分公司独立建设 地市搭建集中的安全服务平台，满足通用安全需求 特定系统独立建设安全防护体系 核心网络 核心设备 深圳 核心设备 广州 流量清洗中心 骨干 东莞 CR 安全服务平台 技术框架 CR1 CR2 骨干网 接入层交换机 接入层交换机 IDC 防火墙 IPS DNS攻击防护 Web防护 负载均衡 漏洞扫描 DDoS DPI 安全服务平台 技术框架 DDoS：省公司、地市分公司二级防护 技术框架 DPI：地市分公司城域网出口部署 业务分析平台 分光 分光 DPtech DPI融合网关 分光 Radius服务器 第三方业务系统 镜像 管理 骨干网 省干/城域网 DPI融合网关旁挂部署于省干/城域网出口，识别分光流量，并将识别后的流量发送至业务分析平台，实现从“用户+业务+流量”角度动态呈现运营业务的状况 技术框架 业务系统独立防护：DNS 技术框架 业务系统独立防护：Wlan Portal 技术框架 业务系统独立防护：Wlan 审计 无线控制器(AC) BRAS 无线控制器(AC) POE交换机 城域网节点 城域网节点 汇集交换机 无线AP 无线AP POE交换机 无线AP DPtech流控及审计设备 DPtech流控及审计设备 DPtech流控及审计设备 POE交换机 汇集交换机 无线AP 无线AP DPtech UMC管理中心 BRAS 城域网 部署在AP与AC之间，实现基于无线帐号的流量分析、流量控制和上网行为审计，让WLAN“可视、可控、可优化” DPI * 杭州迪普科技有限公司0010000001101101