系统安全部内部培训-网络安全(PPT 35页).ppt

系统安全部内部培训 ——网络安全 Contents 安全概念 客户安全需求 当前的主要解决方案 我们的重点 网络安全概念 业务运做的 IT基础设施 核心业务 IT解决方案 1-1的互通互联 全球贸易平台 GTW 电子商务基础条件 电子商务价值表现 第一阶段 第二阶段 第三阶段 第四阶段 网络基础平台 B-B 网络社会 企业信息化 网络层面的安全 业务层面的安全 用户整体的安全考虑 下游的安全 整体考虑 网络安全的概念 “3”个安全问题 如何保证？ ——用户业务运营 安全的目的 安全的价值 安全的意义？ 网络安全的概念 安全是什么? 保证网络及其中的资源能够在需要的时候被需要的人正常的使用。 这不是定义 客户的安全需求 用户的信息化级别： （一）信息化级别较低 处于用户信息化初期，停留在OA等初级使用层面 个人数据安全； 防病毒需要； 系统宕机后恢复 无专人管理 其它 客户的安全需求 （二）具备一定信息化条件 信息化基础较好，已建有内部专门的应用网络。但还未将业务与此挂钩。 各种应用系统（财务，人事等）的安全； 关注内部网络的可用性和可靠性 专门的人员管理或分管 管理层对信息安全有一定思路和投入计划 企业规模适中 客户的安全需求 （三）较高信息化的企业 有较完整的网络基础设施 业务运行需要依靠现有的网络基础设施且业务的信息化程度较高。 对现有运营数据比较敏感 企业规模较大相对较稳定 有着较明确的安全策略并在一定程度上贯彻执行 业务可能外包。 客户的安全需求 （四）另类用户——运营商或大型企业的服务性部门 特点：服务的对象为一般不是自身。主要是保证其提供服务的对象的网络安全。 对于运营网络的技术性考虑较为全面，周全。但对于自身的网络安全欠考虑。 对设备的稳定性要求和性能考虑更多；更能行考虑较少。 一般存在主机安全、网络安全两种声音 存在重复投资 当前的主要网络安全解决方案 为什么有网络安全问题： 最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的。应该说, 那是一个君子的环境, 用户和主机之间互相信任, 志在进行自由开放的信息交换。在这样的环境里, 使用Internet的人实际上就是创建Internet的人。随着时间的推移, Internet变得更加有用和可靠, 别的人也就参杂了进来。人越来越多, 共同目标却越来越少, Internet的初衷渐渐地被扭曲了.…… 当前的主要网络安全解决方案 为什么有网络安全问题： 导致网络安全问题的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心（这方面主要是孩子们）等，当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看，多数网络犯罪者都很年轻，它们表示原来并不知道这样做是犯罪。另外，目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够，意识淡漠，建设中或建设后在没有采取足够的安全防护措施的情况下，将网络接入因特网上，也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻，在满足自己好奇心的同时，触犯了国家法律。 当前的主要网络安全解决方案 现有网络安全为什么会失效？ 网络安全概念中有一个"木桶"理论…… 从技术角度分析，网络安全体系失败的原因有以下几种原因： 首先，从芯片、操作系统到应用程序，任何一个环节都可能被开发者留下“后门”。 其次，网络设备和软件不可能是完美的，在设计开发过程中必然会出现缺陷和漏洞。这些漏洞和缺 陷恰恰是黑客进行攻击的目标。 再次，对于网络企业网或者ISP的公网来说，管理的失败是网络安全体系失败的非常重要的原因。 当前的主要网络安全解决方案 完整的网络解决方案应包括哪些？ 有效的安全策略 网络安全的目标范围、 培养安全意识，制定安全制度 研究技术方案 方案/产品选型 分期实施计划 资金 设备 当前的主要网络安全解决方案 不同的行业要求需要对应不同的安全策略！ 电信行业—基础电信运营商 增值电信运营商 增值内容提供商 增值服务提供商 移动业务，固网，新增宽带数据运营所对应的安全策略各有侧重！ 其它的行业，各有行业特点： 金融、政府、军队、能源、交通等根据行业的特点对于安全的要求也各有不同。 当前的主要网络安全解决方案 技术方向： 技术融合，突出整体。 防火墙、入侵检测、网