信息与网络安全架构与方案-(精品课件).ppt

日程安排 安全理念 安全体系架构 安全模型 安全解决方案 全线安全产品 系列安全顾问服务 结束语 - * Copyright ? 2001 X-Exploit Team X-Exploit Team 信息安全博士后科研工作站 马东平 博士 2001-10-25 信息与网络安全架构与方案 Version 3 Copyright ? 2001 X-Exploit Team X-Exploit Team 安全理念 Copyright ? 2001 X-Exploit Team X-Exploit Team 信息与网络系统安全理念 安全不是纯粹的技术问题，是一项复杂的系统工程—信息安全工程论 安全是策略，技术与管理的综合 组织人才 政策法规 安全技术 安全策略 管理 信息安全特性 物理安全 应用安全 网络安全 系统安全 层次性 动态性 过程性 生命周期性 全面性 相对性 信道加密 信源加密 身份认证 。。。 应 网 络 级 系 统 级 用 级 管 理 级 信息 网络 系统 密级管理 。。。 访问控制 地址过滤 数据加密，线路加密 安全操作系统 应用安全集成 外联业务安全措施 安全管理规范 网络病毒监控与清除 防火墙技术 集中访问控制 网络系统 安全策略 入侵检测 弱点漏洞检测 系统配置检测 系统审计 教 训 培 育 中软VPN安全网关 中 软 B1 安 全 操 作 系 统 中软高性能防火墙 中软网络安全巡警 中软信息监控与取证系统 中软入侵检测系统 信息与网络系统安全管理模型 企业信息与网络系统统一安全策略 Policy 安全技术标准Management 安全管理规范 Administrator 密 码 技 术 认证 授权访问控 防火墙技术 动态安全管理技术 网络防病毒技术 政策法规 安全机构与组织 安全管理人员 安全管理流程 信息支援体系 企业信息与网络系统主要安全实施领域 信息与网络系统安全体系架构 企业信息与网络系统具体安全解决方案 基于具体安全解决方案的安全产品功能规范 典型企业的信息与网络系统拓扑 INSIDE 拨号接入服务器 企业内部网络 WAN INTERNET 企业广域网络 Web Server Mail Server DNS Server AAA Server 企业合作伙伴网络 Internet出口 PSTN INTERNET 企业部门 数据中心 数据库 服务器 数据库 服务器 图 1-2 信息基础设施元素 企业的信息与网络系统的抽象 企业的信息与网络系统的安全框架IATF 安全框架IATF 保卫网络和基础设施 主干网络的可用性 无线网络安全框架 系统互连和虚拟私有网（VPN） 保卫边界 网络登录保护 远程访问 多级安全 保卫计算环境 终端用户环境 系统应用程序的安全 支撑基础设施 密钥管理基础设施/公共密钥基础设施（KMI/PKI） 检测和响应 保护计算环境 计算环境包括终端用户工作站——台式机和笔记本，工作站中包括了周边设备； 安全框架的一个基本原则是防止穿透网络并对计算环境的信息的保密性、完整性和可用性造成破坏的计算机攻击； 对于那些最终得逞了的攻击来说，早期的检测和有效的响应是很关键的； 不断的或周期性的入侵检测、网络扫描以及主机扫描可以验证那些已经配置的保护系统的有效性； 系统应用的安全； 基于主机的检测与响应。 保护网络边界 一个区域边界之内通常包含多个局域网以及各种计算资源组件，比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂的，比如它可以包含很多物理上分离的系统。 绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。 边界保护主要关注对流入、流出边界的数据流进行有效的控制和监督。有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的如今检测系统（IDS）、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用，也可以结合使用，从而对边界内的各类系统提供保护。 虽然边界的主要作用是防止外来攻击，但它也可以来对付某些恶意的内部人员，这些内部人员有可能利用边界环境来发起攻击，和通过开放后门/隐蔽通道来为外部攻击提供方便。 保护网络和基础设施 网络以及为其提供支撑的相关基础设施（比如管理系统）是必须受到保护的。在网络上，有三种不同的通信流：用户通信流、控制通信流以及管理通信流。 保护的策略是，使用经过批准的广域网（WAN）来传输企业的机密数据，加密方式采用国家相关部门批准的算法； 为保护非加密局域网上交换的敏感数据，要求使用符合一定