安全技术防护体系.pptVIP

* 身份鉴别（二） Username Feature Permission 甲 123 R 乙 456 R W 丙 789 R E Server Workstation 发送特征信息，发起登录请求 验证用户 特征信息 返回登录请求，允许登录 验证 通过 指纹识别器 读取 特征 信息 获得 特征 信息 基于生物特征 * 身份鉴别（三） Username Information Permission xiaoxiao 1111 R dada 2222 R W changchang 3333 R E duanduan 4444 R W E Server Workstation 发送身份验证信息，发起登录请求 验证 用户 身份 返回登录请求，允许登录 验证 通过 读卡器 输入PIN号码 插入IC卡 读取 用户 信息 获得 用户 信息 基于IC卡+PIN码 * 认证 用户证书 服务器证书 发送身份认证信息 CA证书认证 返回认证回应，开始安全通讯 * 访问控制（一） 总 行 分支机构A 分支机构B 用户A 用户B 黑 客 100100101 边界防护 边界防护 边界防护 100100101 Internet 对网络的访问控制* 访问控制（二） HostC HostD Access list 16.1.1.2 to 192.168.1.2 Access nat 192.168.2.0 to any pass Access 16.1.1.2 to 192.168.1.3 block Access default pass 1010010101 规则匹配成功 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址 16.1.1.2 eth1：192.168.2.0 192.168.1.2 192.168.1.3 * 加解密 1100111001 0100010100 1010100100 0100100100 0001000000 1100111001 0100010100 1010100100 0100100100 0001000000 明文 加密 解密 明文 ~·#abcdfegjuiu%1543jwkwlflewfw85368hhf4*@jenw345 保证数据在传输途中不被窃取 发送方 接收方 密文 * 数字签名 john lili 假冒的“john” 假冒VPN internet11101001私钥签名 验证签名 证实数据来源真实可靠 * 数据完整性校验 发送方 接收方0101001000001101100010100101001000001101Hash Hash100100011000010010001010 是否一致？ 防止数据被篡改 * 入侵检测（一） DMZ 门户网站 网银web 手机web 。。。 Intranet 核心区 服务器区 外联区 分支机构 路由 Internet 中继 外部攻击 外部攻击 联动防火墙、IPS 终止连接 警告! 记录攻击 IDS * 入侵检测（二） DMZ 核心区 网银区 外联区 。。。 Intranet 分行A 分行B 分行C 分行D 路由 Internet 中继 内部攻击行为 记录事件并告警! 发送联动请求 IDS 联动防火墙、IPS 终止连接 * 病毒防护 总行 病毒服务器 分行A 代理服务器 分行B 代理服务器 支行A 支行B 支行C 支行D 支行E 支行F 统一控管 杀毒策略统一制定 病毒代码统一更新 统一病毒扫描 …… 分布式结构 网关防毒 终端防毒 服务器防毒 邮件服务器防毒 文件服务器防毒 Web服务器防毒 …… * 数据备份 主备份服务器 不管是什么样的数据平台，专业备份软件能使用统一的数据格式进行备份 网银前置 信贷数据库 手机银行数据库 核心数据库 ATM前置 网银数据库 总行前置 磁带库/存储2 磁带库/存储1 下达备份指令 执行指令 备份数据流 备份数据流写入磁带/磁盘2 分支行前置服务器 远程备份 下达备份指令 执行指令 备份数据流写入磁带/磁盘1 * 灾难恢复 磁带库或存储 在系统正常时用备份恢复工具制作灾难恢复引导盘 在系统崩溃时请按照如下步骤操作 首先插入灾难恢复引导盘引导机器 按照提示插入系统光盘 按照提示插入上一次完全备份的磁带/磁盘 一切OK，恢复成