信息与网络安全架构与方案

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,-,*,Copyright,2001 X-Exploit Team,X-Exploit Team,http:/www.x-,信息平安博士后科研工作站,马东平 博士,2001-10-25,信息与网络平安架构与方案 Version 3,Copyright,2001 X-Exploit Team,X-Exploit Team,http:/www.x-,日程安排,平安理念,平安体系架构,平安模型,平安解决方案,全线平安产品,系列平安参谋效劳,结束语,平安理念,Copyright,2001 X-Exploit Team,X-Exploit Team,http:/www.x-,信息与网络系统平安理念,平安不是纯粹的技术问题，是一项复杂的系统工程信息平安工程论,平安是策略，技术与管理的综合,组织人才,政策法规,平安技术,平安策略,管理,信息平安特性,物理安全,应用安全,网络安全,系统安全,层次性,动态性,过程性,生命周期性,全面性,相对性,信道加密,信源加密,身份认证,。,应,网,络,级,系,统,级,用,级,管,理,级,信息,网络,系统,密级管理,。,访问控制,地址过滤,数据加密，线路加密,平安操作系统,应用平安集成,外联业务平安措施,平安管理标准,网络病毒监控与去除,防火墙技术,集中访问控制,网络系统,平安策略,入侵检测,弱点漏洞检测,系统配置检测,系统审计,教,训,培,育,中软VPN平安网关,中,软,B1,安,全,操,作,系,统,中软高性能防火墙,中软网络平安巡警,中软信息监控与取证系统,中软入侵检测系统,信息与网络系统平安管理模型,企业信息与网络系统统一平安策略,Policy,平安技术标准Management,平安管理标准,Administrator,密,码,技,术,认证,授权访问控,防火墙技术,动态安全管理技术,网络防病毒技术,政策法规,安全机构与组织,安全管理人员,安全管理流程,信息支援体系,企业信息与网络系统主要平安实施领域,信息与网络系统平安体系架构,企业信息与网络系统具体平安解决方案,基于具体平安解决方案的平安产品功能标准,典型企业的信息与网络系统拓扑,INSIDE,拨号接入效劳器,企业内部网络,WAN,INTERNET,企业广域网络,Web,Server,Mail,Server,DNS,Server,AAA,Server,企业合作伙伴网络,Internet,出口,PSTN,INTERNET,企业部门,数据中心,数据库,效劳器,数据库,效劳器,图 1-2 信息基础设施元素,企业的信息与网络系统的抽象,企业的信息与网络系统的平安框架IATF,平安框架IATF,保卫网络和根底设施,主干网络的可用性,无线网络平安框架,系统互连和虚拟私有网VPN,保卫边界,网络登录保护,远程访问,多级平安,保卫计算环境,终端用户环境,系统应用程序的平安,支撑根底设施,密钥管理根底设施/公共密钥根底设施KMI/PKI,检测和响应,保护计算环境,计算环境包括终端用户工作站台式机和笔记本，工作站中包括了周边设备；,平安框架的一个根本原那么是防止穿透网络并对计算环境的信息的保密性、完整性和可用性造成破坏的计算机攻击；,对于那些最终得逞了的攻击来说，早期的检测和有效的响应是很关键的；,不断的或周期性的入侵检测、网络扫描以及主机扫描可以验证那些已经配置的保护系统的有效性；,系统应用的平安；,基于主机的检测与响应。,保护网络边界,一个区域边界之内通常包含多个局域网以及各种计算资源组件，比方用户平台、网络、应用程序、通信效劳器、交换机等。边界环境是比较复杂的，比方它可以包含很多物理上别离的系统。,绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。,边界保护主要关注对流入、流出边界的数据流进行有效的控制和监督。有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的如今检测系统IDS、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用，也可以结合使用，从而对边界内的各类系统提供保护。,虽然边界的主要作用是防止外来攻击，但它也可以来对付某些恶意的内部人员，这些内部人员有可能利用边界环境来发起攻击，和通过开放后门/隐蔽通道来为外部攻击提供方便。,保护网络和根底设施,网络以及为其提供支撑的相关根底设施比方管理系统是必须受到保护的。在网络上，有三种不同的通信流：用户通信流、控制通信流以及管理通信流。,保护的策略是，使用经过批准的广域网WAN来传输企业的机密数据，加密方式采用国家相关部门批准的算法；,为保护非加密局域网上交换的敏感数据，要求使用符合一定条件的商业解决方案。,支持根底设施给以下情况提供效劳：网络；最终用户工作站；网络、应用和文件效劳器；单独使用的根底设施机器即：高级的域名效劳器DNS效劳，高级目录效劳器。,框架包括两个方面的内容：密钥管理根底设施(KMI)，其中包括公钥根底设施(PKI)和检测响应根底设施。,密钥管理根底设施：KMI 提供一种通用的联合的处理方式，以便于平安创立、分发和管理公共密钥证明和传统的对称密钥，使它们能够平安效劳于网络、领地、和计算机环境。这些效劳能够对发送者和接收者的身份进行可靠验证，并可以保护信息不会发生未授权泄露和更改。KMI 支持受控制的相互可操作的用户，保持为每个用户团体建立的平安策略。,检测和响应：检测和响应根底设施使能够迅速检测和响应入侵。它也提供一个“熔化能力，以便于可以观察事件与其它相关连。还允许分析员识别潜在的行为模式或新开展。在多数实现检测和响应能力的机构中，本地中心监视本地运行，并输送到大区域或国家中心。需要这个根底设施有技术解决方案，如：入侵检测和监视软件；一些训练有素的专业人员，通常指的是计算机应急响应小组(CERT)。,支撑根底设施,可定制的平安要素和领域,网络物理与拓扑平安CSS-SEC-ARC,访问控制与平安边界CSS-SEC-CTL,弱点漏洞分析和风险审计CSS-SEC-ASS,入侵检测与防御CSS-SEC-IDS,信息监控与取证CSS-SEC-INF,网络病毒防范CSS-SEC-VPR,身份认证与授权CSS-SEC-AAA,通信链路平安CSS-SEC-LNK,系统平安CSS-SEC-SYS,数据与数据库平安CSS-SEC-DBS,应用系统平安CSS-SEC-APS,个人桌面平安CSS-SEC-PCS,涉密网的物理隔离CSS-SEC-PHY,灾难恢复与备份CSS-SEC-RAB,集中平安管理CSS-SEC-MAN,网络物理与结构平安CSS-SEC-ARC,网络物理平安,物理平安是保护计算机网络设备、设施、介质和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段犯罪行为导致的破坏、丧失。,考虑三个方面：环境平安、设备平安和媒体平安。,对于机房环境平安，应符合相关的国家标准：GB50173-93?电子计算机机房设计标准?；GB2887-89?计算站场地技术条件?；GB9361-88?计算站场地平安要求?等。,对于设备的物理平安，主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；关键网络设备和应用系统主机设备的冗余设计；员工整体平安意识的提高。,对于媒体平安，包括媒体数据的平安及媒体本身的平安，要防止系统信息在空间的扩散。,网络平安域结构,核心层办公应用效劳域，应用效劳域，企业位内部信息效劳域等,平安层系统内部信息效劳域，对相关单位信息效劳域,可信任层内部上下级节点网络，相关单位网络,非平安层对外信息效劳域,危险层公共Internet,各层平安性逐层递减。,访问控制与平安边界CSS-SEC-CTL,根据内部网络的平安域结构，需要在不同平安域间设置边界访问控制，包括内外网连界、内网边界。网络边界访问控制的设计包括网络隔离方案、边界防火墙配置方案、局域网虚拟子网间的访问控制、远程访问控制。,网络隔离,根据国家平安主管部门有关规定，党政涉密网要求与因特网物理断开。对于各单位的涉密应用，如涉密办公应用，应单独建立相应的网络。,边界防火墙,防火墙是网络平安最根本的平安措施，目的是要在内部、外部两个网络之间建立一个平安隔离带，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的效劳和访问的审计和控制。,网络隔离,局域网的多个业务系统：办公应用系统，应用系统，数据中心。,可通过有效的虚拟子网划分来对无关用户组间实施平安隔离，提供子网间的访问控制:VLAN划分。,远程访问控制,通过在广域连接的出入口配置防火墙，使远程用户对内部网效劳器的访问受到防火墙的控制，远程内部网用户可按权限访问指定的内部网效劳器。,另外，通过设置一台平安认证效劳器，可进行拨号用户身份、远程拨号路由器身份的认证，从而限制非法单机和局域网用户对内部网的访问。,认证效劳器可设在防火墙内，连接到内部网的交换机上。,弱点漏洞分析和风险审计CSS-SEC-ASS,弱点漏洞检测,错误配置检测,误操作检测,风险识别,风险度量,风险控制,事前管理,安全隐患管理网络安全巡警系统,入侵检测与防御CSS-SEC-IDS,入侵检测,攻击/违规操作识别,审计/日志/报告,行为管理,事件管理,操作管理,事中监控,行为监控分布式入侵检测预警与响应系统,信息监控与取证CSS-SEC-INF,信息流分析,信息流过滤,入侵取证,信息流控制,信息流管理,证据留存,事后取证,信息分析网络信息监控与取证系统,网络病毒防范CSS-SEC-VPR,计算机病毒一段能够自我复制，自行传播的程序。病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。在网络环境下，计算机病毒种类越来越多、危害越来越大、传染速度越来越快。计算机网络病毒具有不可估量的威胁性和破坏力，因而计算机病毒的防范也是网络平安建设的重要环节。考虑内部网络系统运行环境复杂，网上用户数多，同Internet有连接等，需在网络上建立多层次的病毒防护体系，对桌面、效劳器和网关等潜在病毒进入点实行全面保护。,1 建立基于桌面的反病毒系统,在内部网中的每台桌面机上安装单机版的反病毒软件，实时监测和捕获桌面计算机系统的病毒，防止来自软盘、光盘以及活动驱动器等的病毒来源。,2 建立基于效劳器的反病毒系统,在网络系统的文件及应用效劳器一些关键的Windows NT效劳器上安装基于效劳器的反病毒软件，实时监测和捕获进出效劳器的数据文件病毒，使病毒无法在网络中传播。,3 建立基于群件环境的反病毒系统,在网络系统的Louts Notes和Ms Exchange效劳器上安装基于群件环境的反病毒软件，堵住夹在文档或电子邮件中的病毒。,4 建立基于Internet网关的反病毒系统,在代理效劳器Proxy网关上安装基于网关的反病毒软件，堵住来自Internet通过Http或Ftp等方式进入内部网络的病毒，而且可过滤恶意ActiveX,Java和Java Applet程序。,5 建立病毒管理控制中心,在中心控制台平安管理控制台实施策略配置和管理、统一事件和告警处理、保证整个网络范围内病毒防护体系的一致性和完整性。通过自动更新、分发和告警机制，使桌面PC和效劳器等设备自动获得最新的病毒特征库，完成终端用户软件及病毒特征信息的自动更新和升级，以实现网络病毒防范系统的集中管理。,信息与网络系统平安解决方案,OUTSIDE,INSIDE,DMZ,拨号接入效劳器,企业内部网络,WAN,DMZ,中立区,INTERNET,企业广域网络,Web,Server,Mail,Server,DNS,Server,AAA,Server,企业合作伙伴网络,Internet,出口,PSTN,企业部门,VPN,网关构建企业,VPN,数据中心,数据库,效劳器,数据库,效劳器,统一平安管理平台：,网络平安巡警系统,入侵检测系统控制台,信息监控与取证系统控制台,Windows审计系统控制台,