网络安全概述及解决方案.pptVIP

网络安全概述及解决方案 【第一部分】 网络安全综述 安全涉及的因素 网络安全隐患 数据安全隐患 应用安全隐患 巨大的安全隐患 攻击层次#1:通讯&服务层弱点 攻击层次 #2: 操作系统 攻击层次#3: 应用程序 还有很多不安全因素!! 巨大的黑洞 常见的黑客攻击类型分析 攻击示例（利用“木马”程序捕捉口令） 攻击示例（LAND攻击） 攻击示例（TCP SYN 泛滥） 攻击示例（Smuff攻击） 攻击示例（分布式拒绝服务攻击步骤1） 攻击示例（分布式拒绝服务攻击步骤2） 攻击示例（分布式拒绝服务攻击步骤3） 攻击示例（分布式拒绝服务攻击步骤4） 攻击示例（分布式拒绝服务攻击步骤5） 攻击示例（分布式拒绝服务攻击步骤6） 攻击示例 （路由攻击） 攻击示例 （蠕虫） 攻击示例 （逻辑炸弹） 攻击示例 （后门与隐蔽通道） 信息丢失、篡改、销毁 内部、外部泄密 我们该怎么办？ 【第二部分】 网络安全防护手段 网络安全的发展历程 通信保密阶段(40年代－70年代) 计算机系统安全阶段(70年代－80年代) 网络信息系统安全阶段(90年代以来) 安全防护理论模型 安全防护成本平衡 安全防护模型－时空防御 基于时间防御模型 基于空间的防御模型 安全体系结构 安全市场趋势 搭建安全架构 安全防护产品与手段 【第三部分】 网络安全防护方案 传统型政法网络防护体系 基于PKI架构的政法网络防护体系 六师监狱管理局安全防护方案（一） 六师监狱管理局安全防护方案（二） 六师监狱管理局安全防护方案（三） 感谢大家的配合与支持！ 通信保密阶段 —以密码学研究为主 计算机系统安全阶段 —以单机操作系统安全研究为主 网络信息系统安全阶段 —开始进行信息安全体系研究 [重点]:通过密码技术保证数据保密性与完整性 [威胁]:搭线窃听、密码学分析 [措施]:加密 [标志]： 1949年Shannon发表的《保密通信的信息理论》 1977年美国国家标准局公布的数据加密标准（DES） 1976年由Diffie与Hellman提出了公钥密码体制 [重点]：确保计算机系统中硬件、软件及正在处理、存储、 传输信息的机密性、完整性和可控性 [威胁]：扩展到非法访问、恶意代码、脆弱口令等 [措施]：安全操作系统设计技术（TCB） [标志]：1983年美国国防部公布的可信计算机系统评估准则 （TCSEC）将操作系统的安全级别分为四类七个级别 （D、C1、C2、B1、B2、B3、A1），后补充TNI和TDI [重点]：确保信息在存储、处理、传输过程中不被破坏，确保 合法用户的服务和限制非授权用户的服务，以及必要 的防御攻击的措施。强调信息的保密性、完整性、可 控性、可用性 [威胁]：发展到网络入侵、病毒破坏、信息对抗的攻击等 [措施]：包括防火墙、防病毒软件、漏洞扫描、入侵检测、 PKI、VPN [标志]：提出了新的安全评估准则CC（ISO 15408）、IPv6安 全性设计 程序，指导和经验 标准 策略 安全程度 高 高 低 安全对策 安 全 成 本 G. Mark Hardy 信息泄露 信息泄露 接受，分配，消除 成本平衡 基于时间防御体系 基于空间防御体系 防火墙 安全网关 VPN 网络安全层 反病毒 风险评估 入侵检测 审计分析 系统安全层 用户/组管理 单机登录 身份认证 用户安全层 访问控制 授权 应用安全层 加密 数据安全层 防火墙 安全网关 VPN 网络安全层 反病毒 风险评估 入侵检测 审计分析 系统安全层 用户/组管理 单机登录 身份认证 用户安全层 访问控制 授权 应用安全层 加密 数据安全层 垃圾邮件过滤网关/防病毒网关 存储/备份 网络（安全）管理平台 公钥基础设施/权限管理（PKI/PMI） SSL/IPsec VPN 上网行为管理（ NAC ） Web应用防火墙（ WAF ） 应用防护 应用安全 冗灾系统 数字取证与恢复 数据加密 核心防护 数据安全 漏洞扫描 主机监控与审计 节点防护 网络防病毒 入侵检测/入侵防护 区域防护 网闸 防火墙/UTM 边界防护 网络安全 主要产品 防护类型 应用大类 Internet 内部专网 Web Mail DB Mail DB VOD 入侵检测 入侵检测 防火墙 防火墙 互联网审计 网闸 主机审计 防病毒 政法外网 政法内网 隔离卡 公网 边界防护 服务平台 基础平台 应用平台 容 灾 与 备 份 远程 上/下级单位内部网络 边界防护 区域防护 节点防护 认证中心 （CA） 核心防护 PKI（公钥基础设施系统平台） VPN VPN VPN VPN 新湖监狱机关 芳草湖监狱机关 五家