信息与网络安全架构与方案.pptVIP

-*Copyright?2001X-ExploitTeamX-ExploitTeam-*Copyright?2001X-ExploitTeamX-ExploitTeam信息安全博士后科研工作站马东平博士2001-10-25信息与网络

安全架构与方案Version3Copyright?2001X-ExploitTeamX-ExploitTeam日程安排安全理念安全体系架构安全模型安全解决方案全线安全产品系列安全顾问服务结束语安全理念Copyright?2001X-ExploitTeamX-ExploitTeam信息与网络系统安全理念安全不是纯粹的技术问题，是一项复杂的系统工程—信息安全工程论安全是策略，技术与管理的综合组织人才政策法规安全技术安全策略管理信息安全特性物理安全应用安全网络安全系统安全层次性动态性过程性生命周期性全面性相对性信道加密信源加密身份认证。。。应网络级系统级用级管理级信息网络系统密级管理。。。访问控制地址过滤数据加密，线路加密安全操作系统应用安全集成外联业务安全措施安全管理规范网络病毒监控与清除防火墙技术集中访问控制弱点漏洞检测系统配置检测系统审计教训培育中软VPN安全网关中软B1安全操作系统中软高性能防火墙中软网络安全巡警中软信息监控与取证系统中软入侵检测系统信息与网络系统安全管理模型信息与网络系统安全体系架构企业信息与网络系统统一安全策略Policy安全技术标准Management安全管理规范Administrator密码技术认证授权访问控防火墙技术动态安全管理技术网络防病毒技术政策法规安全机构与组织安全管理人员安全管理流程信息支援体系企业信息与网络系统主要安全实施领域企业信息与网络系统具体安全解决方案基于具体安全解决方案的安全产品功能规范典型企业的信息与网络系统拓扑INSIDE拨号接入服务器企业内部网络WANINTERNET企业广域网络WebServerMailServerDNSServerAAAServer企业合作伙伴网络Internet出口PSTNINTERNET企业部门数据中心数据库服务器数据库服务器图1-2信息基础设施元素企业的信息与网络系统的抽象企业的信息与网络系统的安全框架IATF安全框架IATF保卫网络和基础设施主干网络的可用性无线网络安全框架系统互连和虚拟私有网（VPN）保卫边界网络登录保护远程访问多级安全保卫计算环境终端用户环境系统应用程序的安全支撑基础设施密钥管理基础设施/公共密钥基础设施（KMI/PKI）检测和响应保护计算环境计算环境包括终端用户工作站——台式机和笔记本，工作站中包括了周边设备；安全框架的一个基本原则是防止穿透网络并对计算环境的信息的保密性、完整性和可用性造成破坏的计算机攻击；对于那些最终得逞了的攻击来说，早期的检测和有效的响应是很关键的；不断的或周期性的入侵检测、网络扫描以及主机扫描可以验证那些已经配置的保护系统的有效性；系统应用的安全；基于主机的检测与响应。保护网络边界一个区域边界之内通常包含多个局域网以及各种计算资源组件，比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂的，比如它可以包含很多物理上分离的系统。绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。边界保护主要关注对流入、流出边界的数据流进行有效的控制和监督。有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的如今检测系统（IDS）、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用，也可以结合使用，从而对边界内的各类系统提供保护。虽然边界的主要作用是防止外来攻击，但它也可以来对付某些恶意的内部人员，这些内部人员有可能利用边界环境来发起攻击，和通过开放后门/隐蔽通道来为外部攻击提供方便。保护网络和基础设施网络以及为其提供支撑的相关基础设施（比如管理系统）是必须受到保护的。在网络上，有三种不同的通信流：用户通信流、控制通信流以及管理通信流。保护的策略是，使用经过批准的广域网（WAN）来传输企业的机密数据，加密方式采用国家