构建高效的网络安全系统

,构建高效的网络安全系统,神州数码,(,中国,),有限公司,2002,年,11,月,网络结构,运营商网络面临的安全问题,结构不合理造成安全故障,骨干出口带宽限制，抗流量攻击差,快速扩张带来的安全隐患,主机和应用系统,运营商网络面临的安全问题,主机和应用系统是,hack,的最爱,基于,UNIX,的系统有许多漏洞,快速扩张带来的安全隐患,人员素质,运营商网络面临的安全问题,每天都有新的漏洞出现,没有足够的安全意识,安全水平不足,完整的安全系统,建立安全产品防御体系,Internet,预警,防御,恢复,此闭环的循环周期（自愈能力）决定了安全水准,依靠产品可以快速建立起一定的防御体系,安全产品的选择将会影响到这一安全基本原则的建立和完善,安全产品的选择,建立安全产品防御体系,满足的网络安全防护的技术需求,考虑产品核心模式库之间的互通性,满足一致的安全策略的原则,防护类安全产品的选择,_,防火墙,建立安全产品防御体系,Internet,Hackers,Attack detection and protection,Customers, Remote Offices,体系结构,:,于,ASIC,芯片的硬件体系结构,并发连接数,最大会话数,防拒绝服务攻击能力,防火墙管理,:,支持集中管理，实现策略的集中分发与控制，且其管理仿制支持通用网管接口，可被未来的安全统一管理平台所控制,防护类安全产品的选择,_,防病毒系统,建立安全产品防御体系,Virus Attack,主要关注,:,产品体系的结构,病毒库及引擎的更新频率,体系结构角度,支持三层甚至多层的树状结构,上层管理节点可对下层进行强制性的策略管理,病毒库及引擎的更新来看,产品厂商的病毒跟踪和更新能力强,在多层网络环境下由根结点发起更新到全网更新时所需时间短,Internet,Virus Attack,防护类安全产品的选择,_,入侵检测,建立安全产品防御体系,一种重要的动态安全技术,与传统的静态防火墙技术共同使用，可以大幅度提高系统的安全防护水平,注重策略调整及报警条件设置,Internet,IDS,Probe,管理类安全产品的选择,_,安全审计系统,建立安全产品防御体系,对网络安全的主动分析及综合审计，主要包括主机类、网络类及数据库类的审计产品,具有,Client/Server,结构，便于不同级别的管理员通过客户端,针对不同的业务网段进行审计工作。,可自动运行审计工作,降低管理员工作压力。,针对审计结果给出的解决方法的可操作性。,UNIVERSALPASSPORT,Kjkjkjdgdk,kjdkjfdkI,kdfjkdj,IkejkejKkdkd,fdKKjkdjd,KjkdjfkdKjkd,Kjdkfjkdj,Kjdk,USA,*,*,Kdkfldkaloee,kjfkjajjakjkjkjkajkjfiejijgkd,kdjfkdkdkdkddfkdjfkdjkdkd,kfjdkkdjkfd,kfjdkfjdkjkdjkdjkaj,kjfdkjfkdjkfjkjajjajdjfla,kjdfkjeiieie,fkeieooei,UNIVERSALPASSPORT,管理类安全产品的选择,_,用户认证系统,建立安全产品防御体系,Public Network,End User,NAS,AAA Server,Radius,认证,802.1x,防护类安全产品的选择,_,日志管理系统,建立安全产品防御体系,了解潜在非法用户（内部及外部）对资源非法访问的最好途径。,建立一个日志的集中分析系统，可帮助运营商有效地建立和完善安全系统的预警机制。,可独立集中地将整网日志收集到日志服务器，确保日志信息的完整和不被破坏 。,可对收集的日志进行实时或准实时的分析，针对电信领域有特定规则。,分析原则不应仅限于单独设备日志内容的分析，应结合网络结构，进行多种日志信息的相互关联。,Internet,日志服务器,安全策略是根本,建立完善灵活的安全策略,未制定安全策略,制定的安全策略不合理,不能及时调整安全策略,完善灵活的安全策略,健全的阿全管理制度,解决办法,