电子政务系统安全培训资料.ppt

安全防范体系之 VPN 传统联网方式 合作伙伴/客户 公司总部 办事处/SOHO 公共网络 DDN 传统VPN联网方式 公司总部 办事处/SOHO 公共网络 VPN通道 VPN设备 VPN设备 VPN设备 VPN client 基于PKI的VPN联网方式 公司总部 办事处/SOHO 公共网络 PKI SGW PKI SGW PKI SGW 公钥基础设施（PKI） CA中心 个人证书载体 Sure client 安全防范体系之 漏洞扫描与 风险评估 Improving the Security of Your Site by Breaking Into it — Dan Farmer, Wietse Venema 安全扫描 对网络系统中所有组件进行攻击性扫描、 分析和评估，发现并报告系统中存在的 弱点和漏洞 ， 然后评估安全风险，并提供补救措施的建议。 安全扫描是保证 系统和网络安全必不可少的手段！ 安全扫描是一个完整的安全解决方案中的一个关键部分， 在部署安全策略中处于非常重要的地位。 安全扫描系统对防火墙在 某些安全功能上的不足具有弥补性 ！ 安全扫描系统可以弥补防火墙对内网 安全威胁检测不足的问题 安全扫描器是把 “双刃剑” 黑客可利用它来入侵系统 系统管理员可有效的防范黑客入侵 系统分类 基于网络的安全评估产品 对关键网络及设备进行安全评估 基于主机的安全评估产品 对关键主机进行安全评估 专用安全评估产品 如数据库安全评估产品 系统工作原理 远程扫描分析 目标设备 1、发送带有明显攻击特征的数据包 2、等待目的主机或设备的响应 3、分析回来的数据包的特征 4、判断是否具有该脆弱性或漏洞 安全防范体系之 安全审计 安全审计的概念就是在这样的需求下被提出来的 它相当于飞机上使用的 “黑匣子” 电子政务网中的安全审计需求 某些文件非常重要，具有一定级别的人才能观看，观看后要形成记录。 文件不能被随意拷贝、删除。 必须对文件的访问或试图访问进行严密监控并形成日志，日志中必须清楚地记录来自哪台设备的哪个用户已经或试图读取这些文件，以便事后取证。 需要监控和限制任何终端设备通过拨号接入互联网，以防泄密。 需要记录哪台终端的哪个用户在哪个时段试图访问或成功访问了哪个网站 我们该怎么办呢？ 安全的信息系统是风险在可承受范围内的系统，信息系统的安全防护问题是风险控制问题。 PDR2动态安全模型 P-防御系统 D-检测系统 R-恢复系统 R-应急响应 人 策略 技术 保护 P 检测 D 响应 R 恢复 R 安全程度 高 高 低 安全对策 安 全 成 本 G. Mark Hardy 安全防护成本平衡 信息泄露 信息泄露 接受，分配，消除 成本平衡 信息安全内涵演化历程 可以说，现代信息安全是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全、国家信息安全的总和。 保密性 完整性 可用性 保密性 完整性 可用性 可控性 不可否认性 可靠性等 保密性 早期 上一世纪“主机时代” 上一世纪80年代以后 攻（攻击） 防（防范） 测（检测） 控（控制） 管（管理） 评（评估） 目前 安全管理技术 网络信息安全的关键技术 安全集成技术 防 病 毒 技 术 防 火 墙 技 术 V P N 技 术 入 侵 检 测 技 术 安 全 评 估 技 术 审 计 分析 技 术 主 机 安 全 技 术 身 份 认 证 技 术 访 问 控 制 技 术 密 码 技 术 备 份 与 恢 复 技 术 安全体系结构 防火墙 安全网关 VPN 网络安全层 反病毒 风险评估 入侵检测 审计分析 系统安全层 用户/组管理 单机登录 身份认证 用户安全层 访问控制 授权 应用安全层 加密 数据安全层 存储备份 物理安全层 安全防护体系结构 安全策略 安全防护手段 边界防护 防火墙 路由器 交换机 节点防护 主机入侵检测 单机查杀病毒 安全审计 漏洞扫描 区域防护 网络监控分析 网络查杀病毒 网络入侵检测 核心防护 VPN CA 强身份认证 存储备份 安全防范体系之 防火墙 防火墙的概念 信任网络 防火墙 非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。 防火墙的基本功能 数据包过滤（Packet Filtering） 网络地址转换（Network Address Translation） 应用级代理（Proxy Service） 身份认证（Authentication） 虚拟专用网（Virtual Pr