网络安全架教材构设计和网络安全设备的部署.pptVIP

网络安全架构设计和网络安全设备的部署 合理分域，准确定级 信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级 在合理划分安全域边界安全可控的情况下，各安全域可根据信息的最高重要程度单独定级，实施“分域分级防护”的策略，从而降低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确，安全域与安全域之间的所有数据通信都应安全可控 对于不同等级的安全域间通信，应实施有效的访问控制策略和机制，控制高密级信息由高等级安全域流向低等级安全域。 面对众多安全威胁该如何防范？ 口令暴解 窃听 SQL注入 跨站脚本 恶意代码 误操作 系统漏洞 系统故障 蠕虫病毒 黑客入侵 混合攻击 自然灾害 跨站脚本 网站挂马 弱点扫描 木马 DoS攻击 轻则： 系统不稳定 网络或业务访问缓慢 成为攻击跳板 造成信誉影响 。。。 重则： 业务不可访问 网络中断、不可用 系统宕机 数据被窃取、篡改 造成经济损失 导致行政处罚或刑事责任 。。。 后门 传统安全防护思想——头疼医头，脚痛医脚 安全的 组织保障 密码机 物理隔离卡 基本 安全机制 LAN/WAN 的安全 TEMPEST 外网互连 安全 网络管理 防火墙 安全应用 安全 数据库 CA认证 个人机安全 保护 安全审计 Windows 安全 UNIX 安全 操作系统 PKI 入侵检测 防病毒 PMI 信息安全的内涵和外延是什么？ 什么样的系统是安全的？ 信息安全保障的目标是什么？ 信息安全的基本概念 机密性 完整性 可用性 不可抵赖性 可控性 可审计性 信息系统等级保护标准 GB/T 17859系列标准 物理安全 网络安全 主机安全 应用安全 数据安全 身份鉴别（S） 安全标记（S） 访问控制（S） 可信路径（S） 安全审计（G） 剩余信息保护（S） 物理位置的选择（G） 物理访问控制（G） 防盗窃和破坏（G） 防雷/火/水（G） 温湿度控制（G） 电力供应（A） 数据完整性（S） 数据保密性（S） 备份与恢复（A） 防静电（G） 电磁防护（S） 入侵防范（G） 资源控制（A） 恶意代码防范（G） 结构安全（G） 访问控制（G） 安全审计（G） 边界完整性检查（S） 入侵防范（G） 恶意代码防范（G） 网络设备防护（G） 身份鉴别（S） 剩余信息保护（S） 安全标记（S） 访问控制（S） 可信路径（S） 安全审计（G） 通信完整性（S） 通信保密性（S） 抗抵赖（G） 软件容错（A） 资源控制（A） 技术要求 项目管理 安全整改 安全巡检 环境安全 风险评估 管理体系 Management 组织体系 Organization 一体化全局安全管理/监控/审计/运维人机界面 优化加固 驻场运维 日常维护 安全报告 应急恢复 运行体系 Operation 技术体系 Technology 风险监控 事件管理 脆弱管理 性能监控 安全监控中心 态势感知 业务监控 拓扑监控 设备监控 安全审计中心 网络审计 业务审计 数据审计 采集存储 终端审计 运维审计 合规审计 统计查询 边界安全 传输安全 环境安全 接入安全 入侵检测 漏洞管理 准入管理 安全保护框架 基础设施 边界安全 计算环境 安全支撑设施 IT系统 工作台管理 巡检管理 工单管理 KPI管理 组织人员管理 资产管理 服务商管理 应急管理 统计查询 响应处置 安全运维中心 预警监测体系 基础防护体系 安全策略方针 角色职责矩阵 安全通报机制 安全人员管理 教育培训计划 策略制定发布 安全技术管理 安全操作规范 安全设备管理 安全环境管理 安全组织架构 主管部门 公安/保密 CN CERT 测评机构 集成商 服务商 开发商 供应商 安全决策机构 安全执行机构 安全响应小组 病毒监测 信息安全体系架构 IT层次架构与安全体系架构的结合 实施企业的安全防护/预警体系 安全防护体系 预警响应体系 一体化安全运营中心 访问控制 传输加密 流量清洗 合规审计 接入安全 入侵行为 深入检测 精确阻断 漏洞发现 预警响应 安全监控中心 安全审计中心 安全运维中心 网络安全防护产品 防火墙、防水墙 WEB防火墙、网页防篡改 入侵检测、入侵防御、防病毒 统一威胁管理UTM 身份鉴别、虚拟专网 加解密、文档加密、数据签名 物理隔离网闸、终端安全与上网行为管理 内网安全、审计与取证、漏洞扫描、补丁分发 安全管理平台 灾难备份产品 防火墙安全策略 内部工作子网与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 合法请求则允许对外访问 发起访问请求 防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制