网络信息系统安全体系设计.pptVIP

典型企业网络安全解决方案 －安全技术体系的构建 在局域网入口处部署防火墙系统（支持ＶＰＮ）　 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据网络的安全政策控制(允许、拒绝、监测)出入网络的信息流。 防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。 防火墙本身具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。 * 　　孙建伟 北京理工大学 网络信息系统安全技术体系 与安全防护系统解决方案 内容概要 信息安全体系结构 网络信息系统安全需求 构建网络系统安全的相关技术及产品 典型企业网络安全解决方案 小结 信息安全体系结构 20世纪80年代中期,基于计算机保密模型(Bell＆Lapadula模型)的基础上的 “可信计算机系统安全评价准则”(TCSEC) 20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC) 20世纪90年代末六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC) CC标准综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求。 信息安全体系结构 CC标准适用于信息系统的安全性设计 安全操作系统 安全数据库 安全Web应用 网络设备自身安全 一般C/S应用系统 信息安全体系结构 CC标准适用于信息系统安全性设计，并不针对网络信息系统的安全需求： 统一的身份管理与运维安全管控 网络攻击的检测与防护 网络安全脆弱性分析、风险评估 信息的安全传输 网络安全域划分与网络隔离 信息安全体系结构 网络信息系统的安全体系架构设计 架构复杂，安全架构与网络信息系统架构交叉融合 架构可裁剪、可扩展，根据安全需求和信息系统自身架构部署 运行时物理安全 运维安全管控 网络攻击的检测与防护 网络安全脆弱性分析、风险评估 信息的安全传输 网络安全域划分与网络隔离 网络信息系统的安全需求 物理安全需求 重要信息可能会通过电磁辐射或线路干扰而被泄漏，因此需要对存放机密信息的机房进行必要的设计 机房设计 构建屏蔽室、采用辐射干扰机等，以防止电磁辐射泄漏机密信息。 此外，还可对重要的设备和系统进行备份。 网络信息系统的安全需求 访问控制的运维管控 统一的身份管理 统一的认证管理 集中的授权管理 集中的访问控制 集中的运维审计　　 网络信息系统的安全需求 加密传输是网络安全的重要手段之一。信息的泄漏很多都是在链路上被搭线窃取的，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据的真实性、完整性得不到保证。 完整性 机密性 信道的认证性与不可否认性 网络信息系统的安全需求 网络攻击防护体系 网络内部或外部发起的网络攻击检测 网络攻击抑制、阻断 攻击事件的统一管理 基于P2DR防护模型的防御体系 IDS、IPS 防火墙 安全事件、安全策略管理 网络信息系统的安全需求 安全风险评估系统需求 网络系统和操作系统存在安全漏洞(如安全配置不严密等)等是使黑客等入侵者的攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统存在的一些安全漏洞，然后通过发现的安全漏洞，采取相应的技术进行攻击。 信息系统风险评估 网络安全扫描系统 对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查 网络信息系统的安全需求 系统病毒防护 病毒的危害性极大并且传播极为迅速，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。 必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护，以确保整个单位的业务数据不受到病毒的破坏，日常工作不受病毒的侵扰。 系统补丁的统一管理 网络安全技术与产品 解决网络信息安全问题的主要途径 建立集中的身份管理，实现统一访问控制和审计，实现CC标准在网络空间的扩展实现 适用VPN、网络隔离、防火墙等技术实现网络安全架构 通过漏洞扫描，发现系统脆弱性并采取系统加固措施 建立网络攻击检测防护体系 网络安全技术与产品 相关的网络安全技术产品 PKI/CA，公共数字证书服务体系 VPN，虚拟专用网 IDM，联合身份管理、认证系统 IT Audit，IT系统审计产品 Firewall，防火墙 IDS，SOC，入侵检测系统，安全事件管理平台 网络、系统扫描器 网络安全技术与产品 PKI/CA，公共数字证书服务体系 以密码理论为基础 统一的证书颁发管理机构CA 网络系统内通信主体持有