(8)信息系统安全整体解决方案.ppt

信息系统整体安全解决方案,天津理工大学网络与信息安全系 授课教师: 王春东 (博士) E-mail:michael3769163.com 电话：02223678517,提 纲,安全建设认识的发展阶段 信息系统安全整体解决方案,安全建设认识的发展阶段,安全建设认识的三个阶段,单一产品阶段 “安全就是防火墙”(加密,防毒) 产品集成阶段 多种产品的搭配使用 全面安全管理阶段 安全产品的集中管理平台 安全不仅仅是技术问题 如何达到有效的投入和产出,另一种角度,第一阶段 安全系统初建阶段 第二阶段 稳固增强阶段 第三阶段 全面建设阶段,第一步，安全系统初建阶段,业务正常运行的基本安全保障 身份认证 防火墙 防病毒 数据加密 备份 ,第二步，稳固增强阶段,基本安全管理实现 入侵检测 漏洞扫描 VPN 简单的安全管理制度 ,第三步，全面建设阶段,整体安全体系建设 组织机构建设 安全岗位建设 安全监控中心 分级安全管理 建立完善统一的安全体系 ,信息系统整体安全解决方案,安全层次划分,在考虑信息安全时，把安全体系划分为一个多层面的结构，每个层面都是一个安全层次。根据网络的应用现状情况和网络的结构，我们把信息安全问题定位在以下五个层次 。,层次一：物理层安全,机房建设 环境安全 物理安全控制,层次二：系统层安全,系统层的安全问题来自网络内使用的操作系统。系统层的安全性问题表现在两方面： 操作系统本身的不安全； 对操作系统的安全配置问题。,层次三：网络层安全,网络层的安全问题主要体现在网络设备及信息的安全性。包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段等。,层次四：应用层安全,应用层的安全考虑所采用的应用软件和业务数据的安全性，包括：数据库软件、Web服务、电子邮件系统等。此外，还包括病毒对系统的威胁。,层次五：管理层安全,管理层安全包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化程度极大地影响着整个证券网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。,全面安全体系建设,ISO 17799,ISO 13335,ISO 7498,IATF,安全体系的应用,完整性、全面性,分布性、针对性,具体性、实用性,安全体系,安全方案/ 安全管理制度,安全策略,安全策略,安全方案/ 安全管理制度,组织体系建设,组织机构建设 人员安全管理 岗位建设 安全培训,管理体系建设,安全制度管理 资产安全管理 物理安全管理 技术安全管理 安全产品维护管理 个人操作安全管理 风险管理,安全技术体系建设,安全评估 安全防护 鉴别认证 访问控制 数据加密 完整性保护 抗抵赖 病毒防治 入侵检测 信息审计 系统监测 应急恢复,技术体系建设目标,建立全网安全预警体系 建立全方位的安全防护体系 建立和完善全网的访问控制体系 建立全网网络防毒体系 根据需要建立网络层加密体系 建立全网安全监控体系 建立快速有效的应急体系,安全技术体系技术实现,常用的安全技术措施,评估技术的应用,评估技术 系统漏洞评估产品 应用系统安全评估 降低网络层与系统层的已知漏洞 风险评估是风险管理的基础 应用系统安全评估，提高应用系统安全性,漏洞扫描技术,分类 集中安全扫描 单机安全扫描 功能与作用 全面检测流行漏洞 降低安全审计人员的劳动强度 防止最严重的安全问题 关键指标 规则 易于使用 报告详尽,市场部,工程部,router,开发部,Servers,Firewall,漏洞扫描产品应用,防护技术的应用,防火墙/协议隔离 访问控制的实现 VPN 加密传输 防病毒 抗拒绝服务 认证授权审计（3A）,防火墙,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录,认证,分类 智能卡 口令方式 认证，单点登陆 优点 很好的解决口令泄漏的问题 便于实施统一的口令管理 缺点 可能导致新的拒绝服务 无法防止TCP会话劫持,加密传输,分类 链路加密（链路加密机） 网络层加密（IPSec VPN） 传输层加密（SSL） 应用层加密（针对具体应用） 优点 不能被窃听和中途修改 不能被中途劫持 缺点 实施和管理成本较高 在一些应用上效率较低,数据完整性保障 保障用户系统的抗病毒能力 基于网络的防毒效果较好 全面的防病毒需要较大的投入 防毒产品的发展 单机版静态杀毒 实时化反病毒 防病毒卡 动态升级 主动内核技术 自动检测技术：特征代码检测 提高管理和网络防毒能力,防病毒,企业级防病毒体系,集中管理 多级防病毒体系,拒绝服务攻击,常见的网络层拒绝服务攻击。 传统的网络设备、主机、安全产品对拒绝服务攻击抵抗能力有限。 发动相对简单，但对实时业务影响很大。,攻击者,受害者,伪造地址进行SYN请求,就是让你白等,不能建立正常的连接,拒绝服务攻击,抗拒绝服务产品,专用抗拒绝服务产品。 专门针对流行的拒绝服务攻击进行工作。 通常以透明方式接入到网络中，保护网络边界和重要业务系统。 有效降低拒绝服务攻击的危害。,检测技术的应用,入侵检测技术 实时通过网络监控攻击行为 主动进行攻击防护 异常监控 网络异常 系统异常 应用异常 日志分析技术 集中的日志分析工具 取证技术 取证技术的限制,Firewall,监控中心,router,攻击者,攻击者,报警,报警,入侵检测系统,日志分析系统,应急技术的应用,线路的备份 不同ISP租用线路备份 PSTN拨号备份 数据的备份策略 异地异机备份 定期定人 网络设备的冗余设计 双模块，双电源,综合安全体系示意图,支部,分部,总部,安全保障体系建设逻辑效果,V,V,V,V,V,V,V,V,V,V,V,V,V,V,V,V,V,防火墙二级部署,在总部与Internet之间设置防火墙。 在总部与分部连接的边界实施防火墙，由一级监控中心控制。 在总部与支部网络连接边界设置防火墙或者通过路由设备进行访问控制，由二级监控中心控制。 在高速线路上使用防火墙，低速线路上使用路由设备的ACL。,网络防病毒三级部署/两级管理,在总部监控中心建立一级服务器，总部办公网安装终端防毒。 在分部建立二级服务器，分布办公网安装终端防毒。 支部只安装防毒终端。 采用邮件防毒，终端防毒和服务器防毒。 使用集中控制管理方式。,入侵检测三级部署/两级管理,探测引擎分布实施、监控中心分级控制管理。 上级监控中心可编辑、修改和分发控制下级检测引擎 。 可严格按权限来进行管理。 接收全网检测引擎的所有重要报警事件，进行日志归并，生成各种分析报表 。,漏洞扫描系统三级使用/两级管理,漏洞扫描系统分布实施、集中管理。 及时发现网络和主机系统的安全漏洞，提供安全解决建议。 周期性检查，趋势分析 。,安全技术体系服务实现,安全咨询服务 安全评估服务 安全管理服务 安全培训服务 安全集成服务,综 述,信息系统的复杂化、庞大化 应用趋于集中化 风险控制从分散到集中 信息安全的动态化、智能化 安全安全技术安全管理 安全技术产品服务,返回,Thanks For Attendance!,致 谢,