如何设计安全整体解决方案.ppt

如何设计安全整体解决方案 Step 1 分析网络系统现状 信息传输风险 安全机制与技术 身份鉴别 访问控制 数据加密 病毒防护 入侵检测 安全评估 备份与恢复 身份鉴别 基于口令、用户名的身份认证 基于主体特征的身份认证：如指纹 基于IC卡+PIN号码的认证 基于CA证书的身份认证 其他的认证方式 基于口令、用户名的身份认证 基于主体特征的身份认证 基于IC卡+PIN号码的认证 基于CA证书的身份认证 访问控制 内部工作子网与外网的访问控制 SSN区域与外网的访问控制 内部工作子网与SSN区域的访问控制 内部不同网段之间的访问控制 内部子网对拨号用户的认证及访问控制 下属机构对总部内网的访问控制 包过滤 NAT转换IP复用 流量控制 端口映射 信息审计日志 身份鉴别 IP与MAC绑定 用户级权限控制 基于时间的访问控制 内部工作子网与外网的访问控制 SSN区域与外网的访问控制 内部工作子网与SSN区的访问控制 拨号用户对内部子网的访问控制 下属机构对总部的访问控制 数据加密 数据机密性保护 数据完整性保护 数据源身份认证 数据机密性保护 数据完整性保护 病毒防护 网关病毒防护 工作站病毒防护 服务器病毒防护 控制台 网关病毒防护 工作站病毒防护 服务器病毒防护 控制台 入侵检测 在交换机上使用入侵检测系统 在Hub上使用入侵检测系统 在交换机上使用入侵检测 在Hub上使用入侵检测系统 安全评估 备份与恢复 双机热备份 专业备份软件 Web服务器页面保护 灾难恢复 双机热备份 备份示意图 Web服务器的页面保护 灾难恢复示意图 Step 7 安全集成与应用开发 安全产品的集成 安全应用软件的开发 Step 8 安全服务 网络安全咨询 网络安全专业培训 网络安全检测 网络安全管理 应急响应服务 代理服务器 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 双机热备 内部网 外网或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 Active Firewall Standby Firewall 检测Active Firewall的状态 发现出故障，立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后，接管它的工作 安全联动 Host C Host D Host B Host A 受保护网络 Internet IDS 黑客 发起攻击 发送通知报文 验证报文并 采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 安全远程管理 安全网域 Host C Host D Internet Superman ****** 管理员 黑客 如何实现 安全管理呢 天融信公司采用一次性口令认证来实现安全管理 用户名，口令 用户名，口令 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 Host C Host D Host B Host A 入侵检测 受保护网络 Internet 同一台主机对受保护网络内的主机频繁扫描 同一主机对受保护网内的主机建立多个连接 其他对网内主机的攻击行为 将根据用户策略采取措施 执行用户自定义的策略 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 规则模拟测试 Host C Host D Host B Host A 受保护网络 Internet 防火墙规则已经做好，但防火墙还没有放到实际的网络上，如何测试已做的规则是否正确呢？ 串口线 在防火墙配置程序里可以模拟测试 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 Back to the firewall 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线