企业网络安全方案课件.ppt

构建安全的网络,-企业网络安全方案设计,网络安全技术 课件制作：邹延平 2009年2月,构建安全的网络-企业网络安全方案设计网络安全技术,对网络安全现状作出正确判断 较为准确地估计特定网络用户的风险 建立相应的控制风险的机制,并把这些 机制容为一体形成防护体系 最大限度地提高系统的可用性,并把网络带来的风险减低到可接受程度,网络信息安全目标,网络安全技术 课件制作：邹延平 2009年2月,对网络安全现状作出正确判断网络信息安全目标网络安全技术,文化安全,信息安全,网络系统安全,物理安全,网络信息安全涉及哪些因素?,网络安全技术 课件制作：邹延平 2009年2月,文化安全信息安全网络系统安全物理安全网络信息安全涉及哪些因素,网络信息安全涉及哪些因素?,系统安全,信息安全,文化安全,物理安全,又称实体安全,又称运行安全,又称数据安全,又称内容安全,网络安全技术 课件制作：邹延平 2009年2月,网络信息安全涉及哪些因素?系统安全信息安全文化安全物理安全又,关于物理安全,作用点： 对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境、盗窃等方面。外显行为： 通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境，入户盗窃防范措施： 抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份。保安系统,网络安全技术 课件制作：邹延平 2009年2月,关于物理安全作用点： 对计算机网络与计算机系,关于网络系统安全,作用点： 对计算机网络与计算机系统可用性与可控性进行攻击。外显行为： 网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施： 防火墙、病毒防范、授权控制、入侵检测、，网络审计、网络备份、系统容错与恢复。,网络安全技术 课件制作：邹延平 2009年2月,关于网络系统安全作用点： 对计算机网络与计算,关于信息安全,作用点： 对所处理的信息机密性与完整性的威胁。外显行为： 窃取信息，篡改信息，冒充信息，信息抵赖。防范措施： 加密，完整性鉴别， 认证，数字签名。,网络安全技术 课件制作：邹延平 2009年2月,关于信息安全 作用点： 对所处理的信息,作用点： 有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。外显行为： 淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击等。防范措施： 设置因特网关，监测、控管。,关于文化安全,网络安全技术 课件制作：邹延平 2009年2月,作用点： 有害信息的传播对我国的政治制度及,网络信息安全模型,审计监控,加密,授权,增强的用户认证,政策、法律、法规,网络安全技术 课件制作：邹延平 2009年2月,网络信息安全模型审计监控加密授权增强的用户认证政策、法律、,企业安全防护体系的构成,企业安全防护体系的主要构成因素,人,制度,技术,网络安全技术 课件制作：邹延平 2009年2月,企业安全防护体系的构成人 制度技术安全防护体系企,人：安防体系的根本因素,人是安防体系中的最薄弱环节,对安全防护工作重视的领导是安防工作顺利推进的主要动力；有强烈安全防护意识的员工是企业安防体系得以切实落实的基础；杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。,网络安全技术 课件制作：邹延平 2009年2月,人：安防体系的根本因素人是安防体系中的最薄弱环节对安全防护工,人：安防体系的根本因素,加强安全教育、提高网络安全意识,启蒙为安全培训工作打基础，端正对企业的态度，让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。培训传授安全技巧，使其更好的完成自己的工作。教育目标是培养IT安防专业人才，重点在于拓展应付处理复杂多变的攻击活动的能力和远见。,网络安全技术 课件制作：邹延平 2009年2月,人：安防体系的根本因素加强安全教育、提高网络安全意识启蒙,制度：安防体系的基础,美国萨班斯法案国家的信息安全和网络管理法规政策中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法 中华人民共和国电子签名法计算机信息系统安全保护等级划分准则 互联网信息服务管理办法企业内部管理制度,网络安全技术 课件制作：邹延平 2009年2月,制度：安防体系的基础网络安全技术 课件制作：邹延,制度：安防体系的基础,明确员工和第三方的法律责任对保密信息和无形资产加以保护防止浪费企业的计算机资源,安防制度的定义和作用,安防制度是这样一份或一套文档，它从整体上规划出在企业内部实施的各项安防控制措施。 安防制度的作用主要有：,网络安全技术 课件制作：邹延平 2009年2月,制度：安防体系的基础明确员工和第三方的法律责任安防制度的定义,制度：安防体系的基础,安防制度的生命周期,安防制度的生命周期包括制度的制定、推行和监督实施。,第一阶段：规章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、 减轻和转移风险所需要的安防 控制措施。,第二阶段：企业发布执行的规章制度，以及配套的奖惩措施。,第三阶段：规章制度的监督实施。制度的监督实施应常抓不懈、反复进行，保证制度能够跟上企业的发展和变化,制度的监督实施,制度的制定,制度的推行,网络安全技术 课件制作：邹延平 2009年2月,制度：安防体系的基础安防制度的生命周期安防制度的生命周期包,制度：安防体系的基础,计算机上机管理制度用户账户管理制度远程访问管理制度信息保护管理制度防火墙管理制度特殊访问权限管理制度网络连接设备管理制度,安防制度的主要组成部分,网络安全技术 课件制作：邹延平 2009年2月,制度：安防体系的基础计算机上机管理制度安防制度的主要组成部分,技术：安防体系的基本保证,信息加密技术身份鉴别技术资源使用授权技术访问审计技术备份与恢复技术防病毒技术,网络安防需要先进的信息安全技术,网络安全技术 课件制作：邹延平 2009年2月,技术：安防体系的基本保证信息加密技术网络安防需要先进的信息安,技术：安防体系的基本保证,网络防火墙VPN设备入侵检测设备漏洞评估产品网络防病毒产品,网络安防需要先进的安全产品,网络安全技术 课件制作：邹延平 2009年2月,技术：安防体系的基本保证网络防火墙网络安防需要先进的安全产品,技术：安防体系的基本保证,单一的安全保护往往效果不理想目前的趋势应用和实施一个基于多层次安全系统的全面信息安全策略,网络安防需要采用多层防护策略,在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险，达到安全防护的目标。,网络安全技术 课件制作：邹延平 2009年2月,技术：安防体系的基本保证单一的安全保护往往效果不理想网络安防,如果将计算机网络比作城堡：,技术：安防体系的基本保证,防火墙就是城堡的护城桥（河）只允许己方的队伍通过。 入侵监测系统就是城堡中的了望哨监视有无敌方或其他误入城堡的人出现。VPN就是城褒外到城堡内的一个安全地道有时城堡周围遍布敌军而内外需要联络。漏洞评估就是巡锣检测城堡是否坚固以及是否存在潜在隐患。防病毒产品就是城堡中的将士想方设法把发现的敌人消灭。,网络安全技术 课件制作：邹延平 2009年2月,如果将计算机网络比作城堡：技术：安防体系的基本保证 防火墙就,技术：安防体系的基本保证,网络安防更需要完善的整体防卫架构,防火墙,访问控制,防病毒,入侵检测,虚拟专用网,漏洞评估,网络安全技术 课件制作：邹延平 2009年2月,技术：安防体系的基本保证网络安防更需要完善的整体防卫架构防火,安全方案设计,建立安全模型(MDPRR),网络安全技术 课件制作：邹延平 2009年2月,安全方案设计建立安全模型(MDPRR)MManagement,$dollars,$dollars,$dollars,Detection 入侵检测,Protect 安全保护,Reaction 安全响应,Recovery安全恢复,Management 安全管理,统一管理、协调PDRR之间的行动,安全方案设计,建立安全模型(MDPRR),网络安全技术 课件制作：邹延平 2009年2月,$dollars$dollars$dollarsDetect,安全方案设计,建立安全模型(PPDRR),网络安全技术 课件制作：邹延平 2009年2月,安全方案设计建立安全模型(PPDRR)P PolicyDDe,$dollars,$dollars,$dollars,Detection 入侵检测,Protect 安全保护,Reaction 安全响应,Recovery安全恢复,Policy 安全策略,统一管理、协调PDRR之间的行动,安全方案设计,建立安全模型(PPDRR),网络安全技术 课件制作：邹延平 2009年2月,$dollars$dollars$dollarsDetect,安全模型(MDPRR/PPDRR),网络安全技术 课件制作：邹延平 2009年2月,安全模型(MDPRR/PPDRR)MDPRR/PPDRR风,安全模型(MDPRR/PPDRR),网络安全技术 课件制作：邹延平 2009年2月,检测监视、监测和报警 在适当的位置安置监视器和,安全模型(MDPRR/PPDRR),网络安全技术 课件制作：邹延平 2009年2月,安全模型(MDPRR/PPDRR)保护机房 严格按,安全模型(MDPRR/PPDRR),网络安全技术 课件制作：邹延平 2009年2月,响应故障修复、事故排除 确保随时能够获取故障,建立安全的企业网络,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,依照风险制定出,进行,安全集成 / 应用开发,安全服务,进行,安全方案设计,建立相应的,建立安全网络的一般步骤：,网络安全技术 课件制作：邹延平 2009年2月,建立安全的企业网络网络系统现状潜在的安全风险安全需求与目标安,网络系统现状分析,网络的拓扑结构 网络中的应用 网络结构的自身特点,网络系统现状分析,网络系统现状分析主要包括下面几个方面：,网络安全技术 课件制作：邹延平 2009年2月,网络系统现状分析 网络的拓扑结构网络系统现状分析,安全风险分析的作用,网络系统安全风险分析,风险分析是建立安防体系过程中极其关键的一步，它连接着安防重点和商业需求。它揭示了关键性的商业活动对资源的保密性、集成性和可用性等方面的影响。进行风险分析，有助于制定消除、减轻或转移风险的安防控制措施并加以实施。消除风险：采取措施彻底消除网络威胁。减轻风险：通过某种安防措施减轻威胁的危害。转移风险：把风险的后果从自己的企业转移到第三方去。,网络安全技术 课件制作：邹延平 2009年2月,安全风险分析的作用网络系统安全风险分析风险分析是建立安防体系,网络系统安全风险分析,物理风险 网络风险 系统风险 信息风险 应用风险 其他风险 管理风险,安全风险分析的主要内容,网络安全技术 课件制作：邹延平 2009年2月,网络系统安全风险分析 物理风险安全风险分析的主要内容网络安全,网络系统安全风险分析,安全检测与评估可靠性检测与评估操作系统检测与评估保密性检测与评估,网络系统安全检测与评估,网络安全技术 课件制作：邹延平 2009年2月,网络系统安全风险分析安全检测与评估网络系统安全检测与评估网络,提出需求，建立目标,安全需求提出适合的安全需求。安全目标制定相应的安全目标。,提出安全需求，建立安全目标,根据网络现状和风险分析的结果，这一步骤提出安全需求，确定安全目标。,网络安全技术 课件制作：邹延平 2009年2月,提出需求，建立目标安全需求提出适合的安全需求。提出安全需,安全方案设计,设计安全体系结构 确定安全方案设计原则 明确安全机制选择安全技术 建立安全模型,安全方案设计的主要步骤,网络安全技术 课件制作：邹延平 2009年2月,安全方案设计 设计安全体系结构安全方案设计的主要步骤网络安全,可用性审计管理不可抵赖数据完整数据保密访问控制身份鉴别,应用层表示层会话层传输层网络层链路层物理层,信息处理单元,通信网络,三维安全体系结构框架,物理环境,安全管理,结构层次,安全特性,系统单元,安全方案设计,设计安全体系结构,网络安全技术 课件制作：邹延平 2009年2月,可用性应用层信息处理单元通信网络三维安全体系结构框架物理环境,安全方案设计,需求、风险、代价平衡分析的原则综合性、整体性原则一致性原则有效、实用和易操作性原则适应性及灵活性原则动态化原则权责分割、互相制约和最小化原则自主和可控的原则多重保护原则分布实施原则,确定安全方案设计原则,网络安全技术 课件制作：邹延平 2009年2月,安全方案设计需求、风险、代价平衡分析的原则确定安全方案设计原,安全方案设计,明确网络安全机制,加密机制数字签名机制访问控制机制数据完整性机制交换鉴别机制业务流量填充机制路由控制机制公证机制,ISO提出了八种安全机制，分别如下：,网络安全技术 课件制作：邹延平 2009年2月,安全方案设计明确网络安全机制加密机制 ISO,安全方案设计,选择网络安全技术,防火墙技术加密技术鉴别技术数字签名技术入侵检测技术审计监控技术病毒防治技术备份与恢复技术,本课程前面介绍的各种网络安全技术均可用来建立安全的网络。设计者可从中选择需要的技术。,网络安全技术 课件制作：邹延平 2009年2月,安全方案设计选择网络安全技术防火墙技术 本课,是不是所有的网络安全解决方案都需要建立在这样一个完整的体系之上呢？,网络现状,安全需求,安全代价,安全体系,安全威胁,分析具体的网络，了解网络系统中潜在的安全风险,根据具体的安全风险，提出相应的安全需求,根据实际的安全需求，确定要建立一个什么样的安全体系,依照确定的安全体系，决定付出多大的安全代价来实现,安全体系的建立,网络安全技术 课件制作：邹延平 2009年2月,是不是所有的网络安全解决方案都需要建立在这样一个完整的体系之,提出安全解决方案,身份鉴别访问控制数据加密病毒防护入侵检测安全评估备份与恢复,提出安全解决方案,安全网络的建设者应针对前面设计中提出的各种安全需求，提出可行的安全解决方案。 一般安全网络设计项目均会涉及到下述安全需求：,网络安全技术 课件制作：邹延平 2009年2月,提出安全解决方案身份鉴别提出安全解决方案 安,安全产品集成及应用软件开发,安全产品的集成安全应用软件的开发,安全产品集成及应用软件开发,安全网络的建设者应针对前面设计中提出的各种安全需求，提出可行的安全解决方案。 一般安全网络设计项目均会涉及到下述安全需求：,网络安全技术 课件制作：邹延平 2009年2月,安全产品集成及应用软件开发安全产品的集成安全产品集成及应用软,购买安全服务,网络安全咨询网络安全培训网络安全检测网络安全管理应急响应服务,购买安全服务,安全是一个动态的过程，静态的安全网络架构并不能完全抵御住新的安全威胁。专业的安全服务可以帮助客户不断调整安全策略、提高网络的安全水平。常见的安全服务有：,网络安全技术 课件制作：邹延平 2009年2月,购买安全服务网络安全咨询购买安全服务 安全是一,安防工作是一个过程,没有100%安全的网络,安防工作是风险、性能和成本之间的折衷安防的成本应该小于系统受损后可能造成的损失,网络安全技术 课件制作：邹延平 2009年2月,安防工作是一个过程没有100%安全的网络成本风险性能安防工作,安防工作是一个过程,没有一成不变的安防系统,网络安全防御系统是个动态的系统，攻防技术都在不断发展。安防系统必须同时发展与更新。定期的风险评估是保证系统安全的有效手段。系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念，以便对现有的安防系统及时提出改进意见。安防工作是一个循序渐进不断完善的过程。,网络安全技术 课件制作：邹延平 2009年2月,安防工作是一个过程没有一成不变的安防系统网络安全防御系统是个,安防工作是一个过程,没有一劳永逸的安防系统,攻防技术的不断发展决定了安防系统必须同时发展与更新。安全产品只是安全体系的一个部分，完善的安防体系应是技术和管理的结合。安全管理需要常抓不懈。对员工的安全教育必须持之以恒。,网络安全技术 课件制作：邹延平 2009年2月,安防工作是一个过程没有一劳永逸的安防系统攻防技术的不断发展决,安防工作是一个过程,安防工作是一个周而复始、循环上升的过程,100%安全的网络是不存在的；安防系统需要不断的变化和调整；安防工作是循序渐进、不断完善的过程。,网络安全技术 课件制作：邹延平 2009年2月,安防工作是一个过程安防工作是一个周而复始、循环上升的过程10,用户网络安全的需求,用户系统风险分析,用户安全目标分析,安全技术管理规范设计,安全机制集成与服务,用户网络结构系统设计,整体安全解决方案,整体安全解决方案,网络安全技术 课件制作：邹延平 2009年2月,用户网络安全的需求用户系统风险分析用户安全目标分析安全技术管,电子政务网络拓扑详细分析,应用案例:综合应用,网络安全技术 课件制作：邹延平 2009年2月,领导层子网分支机构2业务处公共处服务处直属人共享数据INTE,领导层子网,分支机构2,业务处室子网,公共处室子网,服务处室子网,直属人事机构处室子网,共享数据库子网,INTERNET,分支机构1,此人正试图进入网络监听并窃取敏感信息,电子政务网络风险及需求分析,分支机构工作人员正试图在领导层子网安装木马,分支机构工作人员正试图越权访问业务子网安装木马,非内部人员正试图篡改公共网络服务器的数据,网络安全技术 课件制作：邹延平 2009年2月,领导层子网分支机构2业务处公共处服务处直属人共享数据INTE,领导层子网,业务处室子网,公共处室子网,服务处室子网,直属人事机构处室子网,共享数据库子网,分支机构2,分支机构1,INTERNET,防火墙FW1,防火墙FW2,防火墙FW3,安全认证服务器,安全管理器,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,交换机,电子政务网络内网基础网络平台安全,应用案例:综合应用,网络安全技术 课件制作：邹延平 2009年2月,领导层子网业务处公共处服务处直属人共享数据分支机构2分支机构,内网核心网络与各级子网间的安全设计,网络安全技术 课件制作：邹延平 2009年2月,分支机构2INTERNET分支机构1NEsec300 FW2,分支机构2,INTERNET,分支机构1,内部核心子网,交换机,安全网关SG1,安全网关SG2,安全网关SG3,路由器,路由器,路由器,安全管理器,安全认证服务器,网络漏洞扫描器,内网网络漏洞扫描系统设计,网络安全技术 课件制作：邹延平 2009年2月,分支机构2INTERNET分支机构1NEsec300 FW2,内网网络入侵检测系统设计,网络安全技术 课件制作：邹延平 2009年2月,分支机构2INTERNET分支机构1NEsec300 FW2,INTERNET,办公厅办公业务网 （简称“内网”）,路由器,交换机,安全管理器,防火墙FW,物理隔离器（K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,电子政务外网基础平台安全设计,网络安全技术 课件制作：邹延平 2009年2月,INTERNET办公厅办公业务网 （简称“内网”）,INTERNET,办公厅办公业务网 （简称“内网”）,路由器,交换机,安全管理器,防火墙FW,物理隔离器（K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,外网网络漏洞扫描系统设计,网络安全技术 课件制作：邹延平 2009年2月,INTERNET办公厅办公业务网 （简称“内网”）,INTERNET,办公厅办公业务网 （简称“内网”）,路由器,交换机,安全管理器,物理隔离器（K1),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,网络漏洞扫描器,网络入侵检测探头,网络入侵策略管理器,防火墙FW,外网网络入侵检测系统设计,网络安全技术 课件制作：邹延平 2009年2月,INTERNET办公厅办公业务网 （简称“内网”）,INTERNET,办公厅办公业务网 （简称“内网”）,路由器,交换机,安全管理器,物理隔离器（K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器（K1),办公厅办公业务网 （简称“内网”）,政府系统办公业务资源网（简称“专网”）,Web网站监测&自动修复系统,外网WEB服务器安全设计,网络安全技术 课件制作：邹延平 2009年2月,INTERNET办公厅办公业务网 （简称“内网”）,INTERNET,办公厅办公业务网 （简称“内网”）,路由器,交换机,安全管理器,物理隔离器（K2),E-MAIL服务器,WWW服务器,应用服务器,数据库服务器,防火墙FW,物理隔离器（K1),办公厅办公业务网 （简称“内网”）,政府系统办公业务资源网（简称“专网”）,内网、外网和专网的隔离系统设计,网络安全技术 课件制作：邹延平 2009年2月,INTERNET办公厅办公业务网 （简称“内网”）,