网络系统安全基础体系技术产品.pptxVIP

网络系统安全基础 主讲人：刘恒 2003年10月 体系/技术/产品 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 什么是安全？ Security is the reduction of risk 安全就是降低风险，并使之达到“可接受”的程度 整体安全 技术因素全面服务保证 网络基础结构 网络安全 物理安全 操作系统平台的安全性 应用平台的安全性 应用 数据安全 信息安全体系的构成 传统网络安全防御体系 动态防御体系 在防护检测响应 (PDR) 模型基础上的动态防御体系, 因为其优异的自适应、 自控制、 自反馈特性, 已经在国际上得到了广泛的接受和采纳. 安全的系统应当满足 P(t)防护时间D(t)检测时间+ R(t)响应时间 防护的成本取决于风险导致的损失 风险的大小和时间高度正相关 防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比 PDR安全实用性模型 动态防御体系 新型安全体系 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 安全解决方案模型 安全策略 安全组织管理 安全运作管理 安全技术框架 访问控制 内容安全 审计响应 冗余恢复 鉴别认证 网络安全协议/功能模型 体系与技术的对应关系 防护的主要技术 访问控制:ACL,VLAN,防火墙 加密机,VPN 认证,CA 检测的主要技术 入侵检测系统 漏洞扫描系统 病毒防护 响应的主要技术 报警、记录、阻断、联动、反击 PDR主要技术 静态与动态安全技术 静态防护： 被动的，滞后的防御 动态防护： 主动的、实时的防御 综合防御 安全解决方案 防病毒 制订最高安全方针 落实项目的安全审核工作 明确安全领导小组工作职责 策略的有效发布和执行 策略体系开发和建立 安全培训与资质认证 落实安全责任文件 安全组织建设 资产鉴别和分类项目 制订全员网络安全教育计划 第三方安全管理 策略的定期审查和修订 BS7799认证项目 网络安全域隔离和划分 统一时钟服务 防火墙和网络隔离 紧急响应体系 动态口令系统 入侵监测系统 主机安全 业务连续性管理 聘请专业公司或者专家作为顾问 周期性风险评估服务项目 日志监控系统 冗余、备份和恢复 可信信道 数据源鉴别 网络设备安全 安全管理中心和网络安全平台 PKI体系可行性分析 基础项目 优先项目 非优先项目 长期项目 技术类项目 管理类项目 表示支持或支撑作用 体系到解决方案 风险评估服务 顾问服务 顾问服务 CA/RSA 基于系统 AC功能 漏洞扫描 IDS 网络架构 安全分析 网络架构 安全分析 防火墙 系统 冗余设计 防病毒 安全管理 平台 加密/完整检查 主要内容 体系 技术 产品 防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统 防火墙功能 防火墙就是一个位于计算机和它所 连接的网络之间的硬件或软件。所有流 入流出的网络通信均要经过此防火墙。 为什么要使用防火墙 ？ 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。可将防火墙配置成许多不同保护级别。高级别的保护可以禁止一些服务，如视频流，Java，ActiveX，JavaScript脚本等 有时需要将内部网络划分为多个网段，为不同的部门设置不同的访问级别 防火墙五大基本功能 过滤进、出网络的数据，是网络安全的屏障 管理进、出网络的访问行为，防止内部信息的外泄 封堵某些禁止的业务，对网络存取和访问进行控制 记录通过防火墙的信息内容和活动 对网络攻击的检测和告警，强化网络安全策略 防火墙的分类 按逻辑功能 包过滤式防火墙：天融信，联想 应用代理式防火墙：TIS 状态检测防火墙 按体系结构 硬件防火墙：Netscreen,Nokia,Cisco Pix 软件防火墙：Checkpoint, ISA Server 软硬结合 按操作模式 网桥模式 路由模式 NAT 按性能 百兆 千兆 按部署方式 边界(企业)防火墙 个人（主机）防火墙 防火墙中的主要技术 封包过滤（Packet Fileter） 状态检测（Stateful inspection） 网络地址转换NAT（Network Address Transform） 代理技术（Proxy） 封包过滤 封包过滤（Packet Fileter）：作用在网络层和传 输层，它根据分组包头源地址，目的地址和端口 号、协议类型等标志确定是否允许数据包通过。 只有满足