网络安全整体解决方案

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,73,9/6/2024,网络安全整体解决方案,神州数码DCN产品规划部,王景辉,网络安全建设原则,网络安全体系结构,P,2DR,模型,网络安全技术,不同行业中应用的安全技术,主要内容,网络安全的建设原则,需求、风险、代价平衡的原则,综合性、整体性原则,一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则,安全体系结构,可用性,审计管理,不可抵赖,数据完整,数据保密,访问控制,身份鉴别,应用层,表示层,会话层,传输层,网络层,链路层,物理层,信息处理单元,通信网络,三维安全体系结构框架,物理环境,安全管理,结构层次,安全特性,系统单元,P2DR模型的组成部分,Protection,（,保护）,Detection,（,检测）,Response,（,响应）,Policy,（安全策略）,P2DR模型的应用,MPDRR模型,P,M,R,R,D,Management,安全管理,Protect,安全保护,Reaction,安全响应,Recovery,安全恢复,安全模型,MPDRR,访问控制机制,入侵检测机制,安全响应机制,备份与恢复机制,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,依照风险制定出,进行,安全集成 / 应用开发,安全服务,安全方案设计,建立相应的,安全风险分析,物理层安全风险分析,网络层安全风险分析,应用层安全风险分析,管理安全风险分析,物理层安全风险,网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。如：,设备被盗、被毁坏,链路老化或被有意或者无意的破坏,因电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害,网络层安全风险分析,数据传输安全,网络边界安全,网络设备安全,数据传输安全,由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。,由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。,网络边界安全,严格的说网,络上的任何一个节点，其它所有网络节点都是不可信任域，都可能对该系统造成一定的安全威胁。,网络设备的安全,网络设备可能存在系统漏洞,网络设备可能存错误的配置,网络设备的安全风险,以CISCO为例说明：,对于网络设备本身访问认证的攻击,对于网络设备运行的专有操作系统攻击,对于网络设备的拒绝服务攻击,不必要的IOS服务或潜在的安全问题,Multiple Vendor SNMP World Writeable Community Vulnerability:对于已知的缺省SNMP社区，任何用户都可以进行写入或读取操作。,Cisco IOS HTTP % Vulnerability:当正在利用Web接口时，如果在普通的URL上加上特定的字符串时，将陷入DoS状态。,Cisco Router Online Help Vulnerability:在线帮助中显示不应泄漏的信息。,系统层安全风险分析,操作系统安全漏洞,数据库系统安全漏洞,操作系统(如Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)、服务器(如DOMINO)、数据库(如SYBASE)等产品可能会因为设计、编码的原因存在各种各样的安全漏洞(有已知的、未知的)，还可能留有隐蔽通道或后门。,操作系统(如NT、UNIX)、服务器(如DOMINO)、数据库(如SQL、SYBASE、ORACLE)等商用产品本身安全级别较低。,操作人员对系统功能、系统服务、数据库管理系统和Web服务器等的误操作或者配置，不可避免会给信息网系统带来一定的安全风险。,网络管理人员和用户的终端极易感染病毒（如外来文件的拷贝，盗版软件，从外部站点下载的文件或应用软件的非法安装等），而一旦感染病毒，就有可能造成整个系统感染病毒。,电子邮件系统的邮件收发，极易感染恶意病毒程序。病毒可肆意进行删除、篡改和拷贝操作，从而导致巨大的危害。,应用层安全风险,身份认证漏洞,DNS服务威胁,WWW服务漏洞,电子邮件系统漏洞,身份认证漏洞,网络服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对业务系统和OA系统中的资源非法访问和越权操作。,DNS服务威胁,Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。,例如，新发现的针对BIND-DNS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。,WWW服务漏洞,Web Server经常成为Internet用户访问企业内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心。,电子邮件系统漏洞,电子邮件为网络系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些恶意程序（如，特洛伊木马、蠕虫等）、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。,安全管理,再安全的网络设备也离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。,OSI七层参考模型,物理层安全技术,网络层安全技术,应用层安全技术,系统层安全技术,安全管理,物理层安全技术,GAP技术（物理隔离）,物理设备的冗余和备份,防电磁辐射、抗静电等等,物理隔离技术,双机双网,双硬盘隔离卡,单硬盘隔离卡,安全网闸,网络层安全技术,防火墙技术,VPN技术,网络入侵检测技术,网络设备的安全性增强技术,防火墙分类,Application,Presentation,Session,Transport,Network,Data Link,Physical,Application Layer Gateway,(Proxy),Application Level,Packet Filtering,Network Level,Stateful Inspection,Before Network Level,Packet Filtering（包过滤防火墙的优点）,Pros,Inexpensive,Application Transparency,Quicker than application layer gateways,Application,Presentation,Session,Transport,Network,Data Link,Physical,Packet Filtering,（包过滤防火墙的缺点）,Cons,Low Security,Limited access to packet header,Limited screening above network layer,Limited ability to manipulate information,Difficult to configure,Inadequate logging,Subject to IP Spoofing,Application,Presentation,Session,Transport,Network,Data Link,Physical,Application Layer Gateway的优点,Pros,Good Security,Full application-layer awareness,Application,Presentation,Session,Transport,Network,Data Link,Physical,Application Layer Gateway的缺点,Cons,State information partial.,Poor Scalability,Detrimental Performance,Proxies cannot provide for UDP,Most proxies non-transparent,Vulnerable to OS,Overlooks lower level info,Expensive performance cost,Application,Presentation,Session,Transport,Network,Data Link,Physical,Stateful Inspection,的特点,Good Security,Full Application-layer awareness,High Performance,Scalability,Extensible,Transparency,Application,Presentation,Session,Transport,Network,Data Link,Physical,防火墙功能,访问控制功能,NAT功能,PAT功能,流量管理功能,地址绑定,双机热备和负载均衡,支持入侵检测,支持动态路由,支持身份认证等等,动态防火墙安全模型,Policy,网络访问控制策略的制订,Protection,传统防火墙，可以定义防火墙允许流过的服务数据，定义基本的访问控制限制,Detection,实时入侵检测系统，可以动态地发现那些透过防火墙的入侵行为,Response,根据发现的安全问题，在统一策略的指导下，动态地调整防火墙,动态防火墙安全模型示例,Host C,入侵检测 控制台,Host,B,Host A,受保护网络,IDS主机,黑客,发起攻击,验证报文并采取措施,识别出攻击行为,阻断连接或者报警等,Protection,Detection,Response,Policy,Internet,Internet,返回,Intranet,省局,各地市局,各电厂,移动办公用户,防火墙配置方案,入侵检测技术,Intrusion Detection System,入侵的定义,破坏系统资源可用性、完整性和保密性的行为,入侵检测系统的定义,检测侵入系统或非法使用系统资源行为的系统,机理：基于某种策略或规则,推理的方法,知识库方法,模式匹配方法,自学习的方法,响应机制：日志、报警、通讯阻断、事后审计,IDS,的 分 类,按数据源：,基于主机IDS：数据源来自单个主机-文件系统、帐户系统、进程分析,分布式IDS：多主机系统,基于网络IDS：网络数据-数据包分析和嗅探器技术,按数据处理方式：,单包分析 与 上下文分析,按模型：,异常（anomaly)检测模型-偏离正常的行为检测,违规 (misuse)检测模型-具有入侵特征或利用系统漏洞的行为检测,IDS,具备的攻击检测能力,按服务划分,监视,E-Mail,攻击,监视,Web,攻击,监视远程过程攻击,监视,NFS,攻击,监视,FTP,攻击,监视,Telnet,攻击,监视非授权网络传输,按技术途径划分,监视口令攻击,监视扫描攻击,监视特洛伊攻击,监视拒绝服务攻击,监视防火墙攻击,监视,daemon,攻击,监视非授权网络访问,网络入侵检测示意图,VPN概述,什么是VPN,VPN，英文全称是virtual Private Network，中文名称一般称为虚拟专用网或虚拟私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。,VPN功能,数据机密性保护,数据完整性保护,数据源身份,鉴别,数字签名,数据机密性保护,拨号服务器,PSTN,Internet 区域,Internet,边界路由器,内部工作子网,管理子网,一般子网,内部WWW,重点子网,下属机构,DDN/FR,X.25专线,SSN区域,WWW Mail DNS,密文,传输,明文传输,明文传输,数据完整性保护,内部工作子网,管理子网,一般子网,内部WWW,重点子网,下属机构,DDN/FR,X.25专线,原始数据包,对原始数据包进行Hash,加密后的数据包,摘要,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较，验证数据的完整性,内部工作子网,管理子网,一般子网,内部WWW,重点子网,下属机构,DDN/FR,X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,原始数据包,DSS,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,原始数据包,DSS,原始数据包,DSS,DSS,解密,相等吗？,验证通过,数据源身份认证,VPN概述,VPN的应用示意图,VPN,网关,Internet,路由器,路由器,VPN,网关,受保护子网,受保护子网,Windows客户端,控制中心,VPN移动客户,VPN的组成,VPN网关,VPN客户端软件,集中管理软件或控制中心,网络设备的安全性增强,从全网角度考虑，在保证全网路由畅通的基础之上，通过安全配置路由器、交换机等网络设备改进整个网络的安全性。,以路由器为例说明,Global服务配置-通过考察骨干节点上的骨干路由器配置情况，结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。例如：no service fingerno service pad等,Interface服务配置-根据制定好的基本配置方案对路由器进行配置检查，删去某些不必要ip特性，诸如：no ip redirectsno ip drected-broadcast,CDP配置根据ISP网络的特点，以及制定好的方案，配置路由器的CDP。,Login Banner配置修改login banner，隐藏路由器系统真实信息。,Enable secret配置使用enable secret来加密secret口令。,等等,系统层的安全技术,操作系统的安全性增强技术,数据库系统的安全性增强技术,基于主机的入侵检测技术,漏洞扫描技术（针对操作系统和数据库）,基于主机的入侵检测,基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。,主机入侵检测基于这样一个原理：计算机系统上的攻击和正常的系统活动有着显著的不同。一个系统入侵者所表现出的行为模式不同于合法用户的正常行为。入侵检测的工作就是通过分析现有系统提供的众多信息来检测那些异常模式。,基于主机的入侵检测示意图,漏洞扫描技术,从原理上讲，网络漏洞检测就是模拟攻击者的角度、攻击的方法和手段并结合漏洞知识库进行扫描和检测，也就是说网络漏洞检测是通过扫描工具发出模拟攻击检测包，然后侦听检测目标响应来收集信息和判断网络中是否存在漏洞。检测范围包括所有的网络系统设备：服务器、防火墙、交换机、路由器等网络中所有设备及主机。,漏洞扫描示意图,漏洞扫描产品的功能,对所有网络中的附属设备进行扫描，检查来自通讯、服务、防火墙、WEB应用等的漏洞；,其扫描对网络不会做任何修改和造成任何危害；,生成针对企业决策人、部门管理人员以及技术人员等不同管理对象的报告，报告中详细说明了每个漏洞的危害及补救办法；,网络的漏洞扫描可以按安全级别实施，评估安全级别越高，达到的安全程度越高。,应用层安全技术,身份认证技术,防病毒技术,应用服务器的安全增强技术,PKI的引入,PKI组成框图,PKI应用,证书机构CA,注册机构RA,证书发布系统,PKI策略,软硬件系统,基础,服务实体,典型CA框架图,一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。,CA系统构成,CAServer,认证中心,CA,本地数据库服务器,CA,证书库（目录服务器）（可选件）,RAServer,注册中心（可选件）,RA,本地数据库服务器,LRA,（,Local RA,）,注册终端（可选件）,CATerminal,个人管理器（可选件）,CABrowser,公众申请,/,下载服务器（可选件）,CA主要功能,根,CA,管理,证书管理,密钥管理,CRL,管理,目录管理,审计管理,证书的申请、签发流程,HOME,RA/CAAdmin,新用户,目录服务器,CA,身份证明,策略规定的方法,用户申请,创建用户DN,LDAP,参考号,授权码,参考号和授权码,证书下载流程,最终用户,CAAdmin,CA,LDAP,填写得到的Ref#和AuthCode并通过验证,用户本地产生密钥对,用户将公钥传送给CA,CA签证,将用户证书发布到,目录服务器,CA下传用户证书和根CA证书,HOME,CATerminal,CABrowser,防病毒产品组成,网关防毒,FTP/HTTP/SMTP,服务器防病毒,邮件或群件防毒,EXCHANGE,Sendmail,Lotus Notes,客户机防病毒,病毒控制中心,互联网,proxy,ftp server,www server,Mail server,病毒控制中心,防火墙,防毒产品构架,服务器防毒：,ServerProtect,Information Server,服务器防毒：,ServerProtect,Normal Server,群件防毒：,ScanMail for Exchange,ScanMail for Lotus Notes,客户机防毒：,OfficeScan Client,客户防毒管理主机：,OfficeScan Server,网关防毒：,InterScan,病毒产品管理控制中心：,TVCS,可直接管理OfficeScan Server、ServerProtect Information Server、ScanMail、InterScan,安全管理建议,安全体系建设规范,安全组织体系建设,安全管理制度建设,安全管理手段,安全服务,漏洞扫描、风险评估,安全应急响应,增强配置服务,网络设备的安全性增强配置服务（如交换机、路由器）,操作系统、数据库系统安全性增强,应用程序的安全性增强服务（如WWW/DNS/MAIL）,培训,用户现场培训,用户集中培训,认证培训,总部,分支机构,移动用户,INTERNET,安全整体解决方案,客户端防病毒与客户端VPN软件,入侵检测与服务器防病毒,防火墙或VPN网关,中国石油网 Internet,SCADA数据库局域网,共6台Cisco Catalyst 3548,PSTN,核心交换机Cisco Catalyst 6509,Cisco2620,Cisco2600,对外公开服务器网段www、MAIL、DNS、Proxy服务器,网管服务器网段，包括网管主机、业务应用服务器,财务网,物理隔离,ISDN / ADSL,100M,1000M,远程单位,山西,陕西,中国石油网 Internet,远程单位,VPN远程客户端软件,物理隔离,防火墙,可扩展为VPN网关,在公开服务器上安装网关防病毒产品,3个入侵检测引擎分别用来监视对外公开服务器网段、网管和应用服务器、拨号,安装客户机与服务器防病毒产品,病毒管理控制中心,入侵检测管理控制台,身份认证服务器CA、RA,防火墙、VPN管理中心,欢迎批评指正！,谢谢！,