BIT8网络信息系统安全体系设计研讨.pptVIP

典型企业网络安全解决方案 －安全技术体系的构建 在局域网入口处部署防火墙系统（支持ＶＰＮ）　 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据网络的安全政策控制(允许、拒绝、监测)出入网络的信息流。 防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。 防火墙本身具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。 典型企业网络安全解决方案 －安全技术体系的构建 部署ＶＰＮ连接局域网分支和移动用户　 局域网之间可采用ＩＰＳｅｃＶＰＮ 移动用户登录采用ＳＳＬＶＰＮ ＶＰＮ认证纳入ＩＤＭ统一身份认证系统 典型企业网络安全解决方案－安全技术体系的构建 部署入侵检测系统、安全事件管理中心　 防火墙是部署在网络边界的安全设备，相当于计算机网络的第一道防线。 入侵检测系统（ＩＤＳ）一般部署在局域网内部，可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。 安全事件管理中心收集全网安全事件，集中管理，通过关联分析，强化安全设备协同，为安全策略评估提供依据。 典型企业网络安全解决方案－安全技术体系的构建 部署漏洞扫描系统　 操作系统、网络软件、应用软件存在安全漏洞，利用这些漏洞可以很容易地破坏乃至完全地控制系统;　利用Ｗｅｂ应用系统的脆弱性的攻击是主要攻击形式；由于管理员的疏忽或者技术水平的限制所造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。 部署漏洞扫描系统，检测网络内部的脆弱性，可以为系统安全防护建设提供评估手段 本质上是一种必要的事前机制 典型企业网络安全解决方案－安全技术体系的构建 部署漏洞扫描系统的安全防护效果　 对企业网络系统网络重要服务器和PC进行漏洞扫描，发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃)，生成详细的可视化报告，同时向管理人员提出相应的解决办法及安全建议。 对企业网络系统网络边界组件、基础组件和其他系统进行漏洞扫描，检查系统的潜在问题，发现操作系统存在的漏洞和安全隐患。 漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测，并向安全管理员提供系统最新的漏洞报告，使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。 通过漏洞扫描的结果，对系统进行加固和优化 入侵检测、防火墙和漏洞扫描联动体系示意图 典型企业网络安全解决方案－安全技术体系的构建 部署网络防病毒系统　 一般计算机的病毒有超过20%是通过网络下载文档时感染的，另外有26%是经电子邮件的附加文档感染的，这就需要一套方便、易用的病毒扫描器，使企业的计算机环境免受病毒和其他恶意代码的攻击。　　 建议采用三层防病毒部署体系来实现对企业网络的病毒防护。 E-mail网关防病毒系统 服务器病毒系统　 桌面防病毒系统 大型企业网络安全防护系统部署示意图 典型企业网络安全解决方案－安全技术体系的构建 该防御体系由漏洞扫描与入侵检测联动系统、入侵检测与防火墙的联动系统及防病毒系统组成。 用户主动防范攻击行为，尤其是防范从单位内部发起的攻击。对在企业内网发起的攻击和攻破了防火墙的黑客攻击行为，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与防火墙的互动，自动修改策略设置上的漏洞，阻挡攻击的继续进入。 本方案在交换机上连入入侵检测系统，并将其与交换机相连的端口设置为镜像端口，由IDS传感器对防火墙的内口、关键服务器进行监听，并进行分析、报警和响应; 在入侵检测的控制台上观察检测结果，并形成报表打印输出。 典型企业网络安全解决方案－安全技术体系的构建 在实现防火墙和入侵检测系统的联动后，防火墙“访问控制策略”会动态地添加阻断的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具，主动发现网络系统中的漏洞，修改防火墙和入侵检测系统中不适当的设置，防患于未然。 典型企业网络安全解决方案－安全技术体系的构建 防火墙主要起到对外防止黑客入侵，对内进行访问控制和授权员工从外网安全接入的作用，在这里主要发挥防火墙和VPN的双重作用。 保障局域网不受来自外网的黑客攻击，主要担当防火墙功能 能够根据需要，让外网向Internet的访问提供服务，如Web、E-mail、DNS等服务。 能够基于“六元组”(即源地址、目的地址、源端口号、目的端口号、协议、时间)进行灵活的访问控制，对用户访问(Internet)提供灵活的访问控制功能，如可以控制任何一个内部员工能否上网，能访问哪些网站，能不能收发E-mail、ftp等，能够在什么时间上网等。 下