网络安全能力成熟度_管理你的安全_2009_12-NT.pptVIP

管理您的安全——NS-CMM网络安全能力成熟度模型 李学平 高级安全顾问 xpli@ NS-CMM网络安全能力成熟度模型 基础安全基础安全策略体系建立通过“安全域”建设完善技术体系 有效安全安全策略体系有效性技术体系优化 协作安全管理技术协作技术体系协作 可视安全集中管理可视化 安全自动化安全管理业务化/流程化/日常化 网络安全-能力成熟度模型（NS-CMM） 阶段性规划建议 * * Continuing to invest in- expand the types of attributes you can make for access control solutions In this release we have enabled integration with IDP device . A typical IDP would protect the application but not keep the user from spamming the network. We can correlate the network threat to the actual device that is creating this threat – then the IC can take appropriate actions based on the threat (e.g. quarantine the device/user) down to the user/device level Allows companies to enable parts of infrastructure; so IDP device can talk to switches and access points across the network Administrator can choose to enable which ever action they prefer – very flexible Bottom Line: Focus on advanced network protection- ability to correlate network and applications traffic with specific users and devices Enables appropriate network decisions to be made across the network in real time * * * * * * * * * * * * * * * * * * * * * * 网络安全-能力成熟度模型（NS-CMM）STRM部署的阶段性 有效安全 自动安全 协作安全 基础安全 可视安全 阶段 时间 多产品日志搜集 Flow采集 消减优化 流程固化 管理量化 定制报表 自动策略 图形化报表 漏洞采集 缺省消减 被动采集 夯实基础，确保有效，加强协作，管理可视，自动无忧！ * * * * * * 用户生命周期安全管理包括: 在安全管理上,涉及到身份帐号\认真\权限访问\用户审计, 用户管理的愿景是: * 基础架构安全管理包含: 其中 * 回顾IT安全管理过程,安全管理框架实现了IT安全管理的全覆盖 通过用户、应用和数据安全管理，最终实现对敏感业务操作和敏感数据访问的控制目标。 * 安全管理的框架设计参考了 * * * * * * * * * * 互联网接口子域双层异构防火墙保障我们有机会对现有已经部署了一层防火墙系统的新增部署。 第一层防火墙部署除了基本的访问控制策略，认证策略外，还需要关注DoS攻击的防护，推荐部署ISG2000通过ASIC来提供DoS防护性能。 ISG系列的与IDP的一体化解决方案及其提供的平滑升级也是对于用户的一个良好选择。 * 外部接口子域中对外连接一般都有几个不同的连接，可能需要不止一组防火墙。 强调我们的IDP具备的ESP功能使得IPS更符合用户网络实际需求与定制将是我们一个比较好的优势。 * 内部接口子域的防火墙访问控制策略的定制相对比较复杂与麻烦，对于特定端口的开放与关闭的管理可能会产生比较大的麻烦，需要详尽的调研与尝试，认证策略不容易在防火墙上实施是这个部分防火墙部署的特点。 但是采用在线式IPS或者旁路的IDS技术对这部分的业务流量的攻击监控与防止及访问审计也是一个比较重要的内容。 * * * 核心域的互访控制及信任过度的情况需要着重关注。 * * * * * * 局域网及终端访问 一般业务 办公业务 安全及网管 核心业务 互联网接口 内部互联 外部互联 局域网及终端 Internet 企业广