网络安全技术与实践网络安全新技术及解决方案课件

Click to edit Master text styles,Second level,Third level,#,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,*第,12,章 网络安全新技术及解决方案,信息安全概论,*第12章 网络安全新技术及解决方案信息安全概论,目 录,12.2,网络安全解决方案概述,2,12.3,网络安全需求分析及任务,3,12.4,网络安全解决方案设计,4,12.1,网络安全新技术概述,1,*,12.6,电力网络安全解决方案,6,*,12.5,金融网络安全解决方案,5,12.7,本章小结,7,目 录 12.2 网络安全解决方案概述 2 12,2,教 学 目 标,教学目标, 了解网络安全新技术的概念、特点和应用,理解,安全解决方案的概念、要点、要求和任务,理解,安全解决方案设计原则和质量标准,掌握,安全解决方案的分析与设计、案例与编写,重点,重点,教 学 目 标 教学目标重点重点,3,12.1,网络安全新技术概述,12.1.1,可信计算概述,中国可信计算联盟成立。,以密码技术为支持，以安全操作系统为核心的可信计算技术，已成为国家信息安全领域的发展要务。为确保可信计算技术发展，由,16,个企业、安全机构和大学发起的中国可信计算联盟于,2008,年,4,月,25,日成立。目前，我国关键信息产品大部分采用国外产品，对于金融、政府、军队、通信等重要部门以及广大用户，可信计算产品的应用将为解决安全难题打下坚实基础，对构建我国自主产权的可信计算平台起到巨大推动作用。,中国工程院院士沈昌祥,指出：作为,国家信息安全基础建设的重要组成部分,，自主创新的可信计算平台和相关产品实质上也是国家主权的一部分。只有掌握关键技术，才能提升我国信息安全核心竞争力。打造我国可信计算技术产业链，形成和完善中国可信计算标准，并在国际标准中占有一席之地，需要走联合发展的道路。,案例,12-1,12.1 网络安全新技术概述 12.1.1 可信计算概述,4,12.1.1,可信计算概述,1,可信计算的相关概念,可信计算,（,Trusted Computing,）是一种基于可信机制的计算方式，以提高系统整体的安全性。也称为可信用计算，是一项由可信计算组推动和开发的技术。,对于可信计算可从多方面理解。用户身份认证，是对使用者的信任；平台软硬件配置的正确性，体现了使用者对平台运行环境的信任；应用程序的完整性和合法性，体现了应用程序运行的可信；平台之间的可验证性，指网络环境下平台之间的相互信任。,可信计算技术的核心,是可信平台模块（,TPM,）的安全芯片。,TPM,是一个含有密码运算部件和存储部件的小型片上系统，以,TPM,为基础，,可信机制,主要体现在三个方面：,（,1,）可信的度量,（,2,）度量的存储,（,3,）度量的报告,12.1,网络安全新技术概述,12.1.1 可信计算概述12.1 网络安全新技术概述,5,12.1.1,可信计算概述,2.,可信计算的产生与发展,据,中国信息安全专家,软件行为学,所述,影响网络安全的行为安全,包括,:,行为的机密性、完整性、真实性等特征。可信计算由行为安全而产生，并非由可信计算组织率先提出。可信概念早在橘皮书就有,目标,是提出一种可超越预设安全规则，执行特殊行为的运行实体。操作系统中将这个实体运行的环境称为可信计算基（,Trusted Computing Base,TCB,）。,为了实现这个目标，人们从,20,世纪,70,年代后一直不懈努力。从应用程序层面、操作系统层面、硬件层面提出的,TCB,较多。,最实用的是以硬件平台为基础的可信计算平台,，包括安全协处理器、密码加速器、个人令牌、软件狗、可信平台模块、增强型,CPU,、安全设备和多功能设备。目标是实现：数据的真实性、机密性、数据保护及代码的真实性、代码的机密性和代码的保护。根据,S.W. Smith,的著作,可信计算平台：设计与应用,，这些,平台的实现,目的,包括两个层面的意思：,一是保护指定的数据存储区，防止不法者实施特定类型的物理访问。,二是赋予所有在计算平台上执行的代码，以证明其在一个未被篡改环境中运行的能力。,12.1,网络安全新技术概述,12.1.1 可信计算概述12.1 网络安全新技术概述,6,12.1.1,可信计算概述,3.,可信计算的典型应用,（,1,）数字版权管理,（,2,）身份盗用保护,（,3,）保护系统不受病毒和间谍软件危害,（,4,）保护生物识别身份验证数据,（,5,）核查远程网格计算的计算结果,（,6,）防止在线模拟训练或作弊,拓展阅读：,中国的管理和科研机构对可信计算给予高度重视，对可信计算投入了大量的经费支持。如中国国家密码管理委员会组织了可信密码模块的标准制定，并在其官方网站上提供了部分标准。中国科技部的,863,、,973,计划开展了可信计算技术的项目专题研究，自然基金委开展了,“,可信软件,”,的重大专项研究计划支持。,12.1,网络安全新技术概述,12.1.1 可信计算概述12.1 网络安全新技术概述,7,12.1.2,云安全技术,1,云安全的概念,云安全,（,Cloud Security,）,融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，是云计算技术在信息安全领域的应用。是网络时代信息安全的最新体现，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到,Server,端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端，构成整个网络系统的安全体系。,2.,云安全关键技术,可信云安全的关键技术,主要包括：,可信密码学技术、可信模式识别技术、可信融合验证技术、可信“零知识”挑战应答技术、可信云计算安全架构技术等。,12.1,网络安全新技术概述,12.1.2 云安全技术 2. 云安全关键技术12,8,云安全技术应用案例,。在最近几年的新技术成果中，可信云电子证书发放过程，如图,12-1,所示。可信云端互动的端接入过程，如图,12-2,所示。,图,12-1,可信云电子证书应用 图,12-2,可信云端互动的端接入过程,案例,12-2,12.1,网络安全新技术概述,图12-1可信云电子证书应用,9,3.,云安全技术应用案例,趋势科技在,Web,安全威胁方面，利用云安全技术取得很好的效果。,云安全,6,大应用,：,（,1,）,Web,信誉服务,（,2,）电子邮件信誉服务,（,3,）文件信誉服务,（,4,）行为关联分析技术,（,5,）自动反馈机制,（,6,）威胁信息汇总,12.1,网络安全新技术概述,3. 云安全技术应用案例12.1 网络安全新技术概述,10,12.1.3,网格安全技术,1,网格安全技术的概念,网格,是一种虚拟计算环境，利用计算机网络将分布异地的,计算、存储、网络、软件、信息、知识等资源连成一个逻辑整体,如同一台超级计算机为用户提供一体化的信息应用服务,实现互联,网上所有资源的全面连通与共享,消除信息孤岛和资源孤岛,.,网格,作为一种先进的技术和基础设施，已经得到广泛的应用。同时，,由于其动态性和多样性的环境特点带来新的安全挑战，需要新的,安全技术方案解决,并考虑兼容流行的各种安全模型、安全机制、,协议、平台和技术,通过某种方法实现多种系统间互操作安全,.,网格安全技术,是指保护网格安全的技术、方法、策略、机制、手段和措施。,2.,网格安全技术的特点,（,1,）异构资源管理,（,2,）可扩展性,（,3,）结构不可预测性,（,4,）多级管理域,12.1,网络安全新技术概述,12.1.3 网格安全技术12.1 网络安全新技术概述,11,3.,网格安全技术的需求,（,1,）认证需求,（,2,）安全通信需求,（,3,）灵活的安全策略,4,网格安全关键技术,（,1,）安全认证技术,（,2,）网格中的授权,（,3,）网格访问控制,（,4,）网格安全标准,讨论思考：,（,1,）什么是可信计算？典型应用有哪些？,（,2,）什么是云安全技术？举例说明其应用？,（,3,）什么是网格安全技术？其特点有哪些？,12.1,网络安全新技术概述,3. 网格安全技术的需求讨论思考：,12,12.2,网络安全解决方案概述,12.2.1,网络安全解决方案的概念,1,网络安全解决方案的概念,网络安全方案,是指网络安全工程中，,针对,网络安全存在的具体问题，在网络系统的安全性分析、设计和具体实施过程中，所,采用,的各种安全技术、方法、策略、措施、安排、管理和文档等,.,网络安全方案,具有整体性、动态性和相对性的,特点,。,分为,：网络安全设计方案、网络安全建设方案、网络安全解决方案、网络安全实施方案等。,网络安全解决方案,是,指解决,各种网络系统安全问题的综合技术、策略和方法的具体实际运用，也是,综合解决,网络安全问题的,具体措施的体现,.,高质量的解决方案,主要体现在,网络安全技术、网络安全策略和网络安全管理,三方面,，网络安全技术是基础、安全策略是核心、安全管理是保证。,12.2 网络安全解决方案概述 12.2.1网络安全解决方,13,2,撰写网络安全解决方案注意事项,（,1),从发展变化角度制定方案,考虑到,现有,的网络系统安全状况，以及,将来,的业务发展和系统的变化与更新的需求。,（,2),网络安全的相对性,以一种客观真实的“实事求是”的态度,来进行,安全分析设计和编制。在,注重,网络安全的同时兼顾网络的功能、性能等方面，不能顾此失彼。,在网络安全工程中，动态性和相对性非常重要，可以从系统、人员和管理,三个方面,来考虑,。,12.2,网络安全解决方案概述,2撰写网络安全解决方案注意事项 12.2 网络安全解,14,12.2,网络安全解决方案概述,12.2.2,制定安全方案的过程及要点,制定,一个完整的网络安全解决方案项目，通常,包括,网络系统安全需求分析与评估、方案设计、方案编制、方案论证与评价、具体实施、测试检验和效果反馈等基本过程。,1,安全风险概要分析要点,对,企事业单位现有的网络系统安全风险、威胁和隐患，,先做出,一个重点地安全评估和安全需求概要分析，并能够突出用户所在的行业，,结合,其业务的特点、网络环境和应用系统等要求进行概要分析。同时，要有针对性，使用户感到真实可靠、具体便于理解接受。,12.2 网络安全解决方案概述 12.2.2 制定安全方案,15,2.,实际安全风险分析要点,从,4,个方面分析：网络的风险和威胁分析、系统的风险和威胁分析、应用的分析和威胁分析、对网络系统和应用的风险及威胁的具体详尽的实际分析。安全风险分析要点包括：,1),网络风险分析,; 2,）系统风险分析,利用安全检测工具和实用安全技术手段进行的测评和估计，通过综合评估掌握具体安全状况和隐患，可有针对性地采取有效措施，也给用户一种很实际的感觉，愿意接受解决方案。,4.,制定网络安全解决方案的原则,1),动态性原则,;,2),严谨性原则,3),唯一性原则,;,4),整体性原则,5),专业性原则,3.,网络系统风险评估,12.2,网络安全解决方案概述,2.实际安全风险分析要点 利用安全检测工具,16,（,1,）身份认证与访问控制技术,（,2,）防火墙技术,（,3,）防病毒技术,（,4,）传输加密技术,（,5,）入侵检测技术,（,6,）应急备份与恢复技术,5,优选网络安全技术,（,1,）网络拓扑安全,（,2,）系统安全,（,3,）应用安全,（,4,）紧急响应,（,5,）灾难恢复,（,6,）安全管理规范,（,7,）服务体系和培训体系,6.,安全管理与服务的技术支持,12.2,网络安全解决方案概述,（1）身份认证与访问控制技术5优选网络安全技术,17,讨论思考：,（,1,）什么是网络安全方案和网络安全解决方案？,（,2,）制定网络安全解决方案的过程是什么？,（,3,）具体制定网络安全解决方案的要点有哪些？,12.2,网络安全解决方案概述,12.2 网络安全解决方案概述,18,12.3,网络安全需求分析及任务,12.3.1,网络安全需求分析概述,网络安全需求分析,的,具体要求,：,1),安全性要求,2),可控性和可管理性要求,3),可用性及恢复性要求,4),可扩展性要求,5),合法性要求,1,网络安全需求分析要求,1,）需求分析要点,在,需求分析时,，,需要注重,6,个方面：, 网络安全体系。, 可靠性。, 安全性。, 开放性。, 可扩展性。, 便于管理。,2.,网络安全需求分析内容,12.3 网络安全需求分析及任务 12.3.1 网络安全需求,19,2,）需求分析案例,初步概要分析包括,：机构概况、网络系统概况、主要安全需求、网络系统管理概况等。,某,企业机构的网络系统,包括企业总部和若干个基层单位，按地域位置可分为本地网和远程网，也可称为,A,地区以内和,A,地区以外两部分。由于该网主要为机构和单位之间数据交流服务，网上运行大量重要信息,因此要求入网站点物理上不与,Internet,网连接。从安全角度考虑，本地网用户地理位置相对集中，又完全处于独立使用和内部管理的封闭环境下，物理上不与外界有联系，具有一定的安全性。而远程网的连接由于是通过,PSTN,公共交换网实现，比本地网安全性要差。,网络系统拓扑结构图如图,12-3,所示,。,案例,12-3,12.3,网络安全需求分析及任务,2）需求分析案例 某企业,20,图,12-3,网络系统拓扑结构图,12.3,网络安全需求分析及任务,图12-3 网络系统拓扑结构图12.3 网络安全需求分析,21,3,）网络安全需求分析, 物理层安全需求, 网络层安全需求, 系统层安全需求, 应用层安全需求, 管理层安全需求,12.3,网络安全需求分析及任务,12.3 网络安全需求分析及任务,22,12.3.2,网络安全解决方案主要任务,制定网络安全解决方案,的,主要任务,（,1,）调研网络系统,（,2,）分析评估网络系统,（,3,）分析评估应用系统,（,4,）提出网络系统安全策略和解决方案,12.3,网络安全需求分析及任务,讨论思考：,（,1,）网络安全解决方案的具体要求有哪些？,（,2,）结合实例如何进行安全解决方案的需求分析？,（,3,）分析网络安全解决方案的主要任务有哪些？,12.3.2 网络安全解决方案主要任务12.3 网络安全,23,12.4,网络安全解决方案设计,12.4.1,网络安全解决方案设计目标及原则,1.,网络安全方案的设计目标,设计网络安全解决方案,的,目标,：,(1),机构各部门、各单位局域网得到有效地安全保护；,(2),保障与,Internet,相连的安全保护；,(3),提供关键信息的加密传输与存储安全；,(4),保证应用业务系统的正常安全运行；,(5),提供安全网的监控与审计措施；,(6),最终目标,:,机密性、完整性、可用性、可控性与可审查性,.,设计重点,3,个方面：,(1),访问控制。,(2),数据加密。,(3),安全审计。,12.4 网络安全解决方案设计12.4.1网络安全解决方案设,24,在具体方案的设计过程中，,需要注意几个方面,：,(1),网络系统的安全性和保密性有效增强；,(2),保持网络原有功能、性能及可靠性等特点，对协议和传输安全保障好；,(3),安全技术方便操作与维护，便于自动化管理，而不,/,少增加附加操作；,(4),尽量不影响原网络拓扑结构，并便于系统及功能的扩展；,(5),安全保密系统性能价格比高，可一次性投资长期使用；,(6),用国家有关管理部门认可,/,认证安全与密码产品，并具有合法性；,(7),注重质量，分步实施分段验收。,2,网络安全解决方案设计原则,安全性原则。 可靠性原则。 先进性原则。, 可推广性原则。 可扩展性原则。 可管理性原则。,12.4,网络安全解决方案设计,在具体方案的设计过程中，需要注意几个方面：,25,(1),确切唯一性。,(2),综合把握和预见性。,(3),评估结果和建议应准确。,(4),针对性强且安全防范能力提高。,(5),切实体现对用户的服务支持。,(6),以网络安全工程的思想和方式组织实施。,(7),网络安全是动态的、整体的、专业的工程。,(8),方案中采用的安全产品、技术和措施，都应经得起验证、推敲、论证和实施，应有理论依据、坚实基础和标准准则。,12.4.2,评价方案的质量标准,讨论思考：,（,1,）网络安全解决方案的设计目标和重点是什么？,（,2,）网络安全解决方案的设计原则有哪些？,（,3,）评价网络安全解决方案的质量标准有哪些？,12.4,网络安全解决方案设计,(1) 确切唯一性。12.4.2 评价方案的质量,26,*12.5,金融网络安全解决方案,上海,XX,信息技术有限公司,通过招标,以,63,万元人民币取得网络安全解决方案工程项目的建设权,.,网络系统安全解决方案包括,8,项,主要内容,:,信息化现状分析、安全风险分析、完整网络安全实施方案的设计、实施方案计划、技术支持和服务、项目安全产品、检测验收报告和安全技术培训,.,案例,12 -4,12.5.1,金融网络安全需求分析,1,金融行业信息化现状分析,金融行业信息化建设已达到了较高水平，业务系统对网络高度依赖，针对金融信息网络的计算机犯罪案件呈逐年上升趋势，特别是银行全面进入业务系统整合、数据大集中的新的发展阶段，以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新业务系统迅速发展，对安全性提出更高要求。迫切需要建设主动的、深层的、立体的信息安全保障体系。,*12.5 金融网络安全解决方案 上海X,27,图,12-4,金融行业互联广域网体系结构,*12.5,金融网络安全解决方案,图12-4 金融行业互联广域网体系结构 *12.5 金融,28,2,金融网络系统面临的风险,金融网络系统,存在安全风险,的,主要原因,有,3,个：,(1),防范和化解风险成了非常关注问题。,(2),网络快速发展和广泛应用，系统安全漏洞增加。,(3),金融行业网络系统正在向国际化方向发展。,网络系统面临的风险,有,3,个方面：,(1),组织方面的风险。,(2),技术方面的风险。,(3),管理方面的风险,上海,XX,信息技术公司,于,1993,年成立并通过,ISO9001,认证，注册资本,6800,万元人民币。公司主要提供网络安全产品和网络安全解决方案，公司的安全理念是解决方案,PPDRRM, PPDRRM,将给用户带来稳定安全的网络环境，,PPDRRM,策略覆盖了安全项目中的产品、技术、服务、管理和策略等内容，是一个完善、严密、整体和动态的安全理念。,案例,12-5,*12.5,金融网络安全解决方案,2金融网络系统面临的风险 金融网络系统存在安全风险的,29,网络安全解决方案,PPDRRM,如图,12-3,所示。,图,12-3,网络安全解决方案,网络安全解决方案包括,6,个方面,：,(1),综合的网络安全策略（,Policy,）。,(2),全面的网络安全保护（,Protect,）。,(3),连续的安全风险检测（,Detect,）。,(4),及时的安全事故响应（,Response,）,.,(5),快速的安全灾难恢复（,Recovery,）,.,(6),优质的安全管理服务（,Management,）,.,*12.5,金融网络安全解决方案,网络安全解决方案PPDRRM 如图12-3所示。 图1,30,3.,网络安全风险分析内容,1),现有网络物理结构安全分析,2),网络系统安全分析,3),网络应用的安全分析,4.,承接公司实力及工程意义,1),承接公司技术实力,2),人员层次结构,3),典型成功案例,4),产品许可证或服务认证,5),实施网络安全工程意义,*12.5,金融网络安全解决方案,*12.5 金融网络安全解决方案,31,12.5.2,金融网络安全解决方案设计,1.,金融系统安全体系结构,某银行制定的,信息系统安全性总原则,是,:,制度防内,技术防外,.,“,制度防内,”,是指建立健全严密的安全管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案和操作失误的可能性，并建立良好的故障处理反应机制，保障银行信息系统的安全正常运行,.,“,技术防外,”,主要是指从技术手段上加强安全措施，防止外部黑客的入侵,.,在不影响银行正常业务与应用的基础上建立银行的安全防护体系,从而满足银行网络系统环境要求,.,1),网络安全问题,2),系统安全问题,3),访问安全问题,4),应用安全问题,5),内容安全问题,6),管理安全问题,案例,12-6,*12.5,金融网络安全解决方案,12.5.2 金融网络安全解决方案设计案例12-6*12,32,2,技术实施策略及安全方案,1),网络系统结构安全。,2),主机安全加固。,3,）计算机病毒防范。,4,）访问控制。,5,）传输加密措施。,6,）身份认证。,7,）入侵检测防御技术。,8,）风险评估分析。,3.,网络安全管理技术,*12.5,金融网络安全解决方案,2技术实施策略及安全方案 3. 网络安全管理技术,33,4.,紧急响应与灾难恢复,5.,网络安全解决方案,1),实体安全解决方案,2),链路安全解决方案,3),网络安全解决方案,广域网络系统安全解决方案,8,个特点,：,(1),用专用网络提供服务。,(2),在保证系统内网安全同时与,Internet,或其他网络安全互连。,(3),利用防火墙技术。,(4),利用隔离与访问控制,统一的地址和域名分配办法,.,(5),网络系统内部各局域网之间信息传输的安全。,(6),网络用户的接入安全问题。,(7),网络监控与入侵防范。,(8),网络安全检测，增强网络安全性。,*12.5,金融网络安全解决方案,4. 紧急响应与灾难恢复 1) 实体安全解决方案*12.,34,主要是指用户对数据访问的身份鉴别、数据传输的安全、数据存储的安全，以及对网络传输数据内容的审计等几方面。数据安全主要包括：数据传输安全（动态安全）、数据加密、数据完整性鉴别、防抵赖（可审查性）、数据存储安全（静态安全）、数据库安全、终端安全、数据的防泄密、数据内容审计、用户鉴别与授权、数据备份与恢复等。,4),数据安全解决方案,*12.5,金融网络安全解决方案,主要是指用户对数据访问的身份鉴别、数据传输的安全、数据存,35,1.,网络安全解决方案的实施,网络安全解决方案的实施,包括项目管理和项目质量保证,.,1),安全项目管理,项目管理,主要,包括,：,(1),项目流程。,(2),项目管理制度。,(3),项目进度。,2),项目质量保证,项目质量保证包括：,(1),执行人员的质量职责。,(2),项目质量的保证措施。,(3),项目验收。,12.5.3,网络安全方案的实施与技术支持,*12.5,金融网络安全解决方案,1. 网络安全解决方案的实施12.5.3 网络安全方案的实施,36,1),技术支持的内容,(1),在安装调试网络安全项目中所涉及的安全产品和技术；,(2),采用的安全产品及技术的所有文挡；,(3),提供安全产品和技术的最新信息；,(4),服务期内免费产品升级情况。,2),技术支持方式,(1),提供客户现场,24,小时技术支持服务事项及承诺情况,(2),提供客户技术支持中心热线电话；,(3),提供客户技术支待中心,E-mail,服务；,(4),提供客户技术支持中心具体的,Web,服务。,2.,主要技术支持,*12.5,金融网络安全解决方案,12.5.3,网络安全方案的实施与技术支持,1) 技术支持的内容 2. 主要技术支持*12.5 金融,37,网银安全解决方案的实施案例,。网络安全解决方案的实施，是在网络安全解决方案的基础上提出的实施策略和计划方案等，以某地区网银安全解决方案的实施为例进行概要简介，鉴于篇幅所限从略具体需求分析、子系统网络安全解决方案、各层次和其他网络安全技术的部署等细节部分。,3.,项目安全产品,（,1,）网络安全产品报价,网络安全项目涉及的所有安全产品和服务的各种具体翔实报价，最好列出各种报价清单。,（,2,）网络安全产品介绍,网络安全项目中涉及的所有安全产品介绍，主要是使用户清楚所选择的具体安全产品的种类、功能、性能和特点等，要求描述清楚准确，但不必太详细周全。,4,网银安全解决方案的实施,*12.5,金融网络安全解决方案,12.5.3,网络安全方案的实施与技术支持,案例,12-7,网银,38,（,1,）网络结构调整与安全域划分,*12.5,金融网络安全解决方案,12.5.3,网络安全方案的实施与技术支持,图,12-6,银行网络安全结构示意图,（,2,）详细网络架构及产品部署,图,12-7,网上银行安全解决方案部署图,（1）网络结构调整与安全域划分*12.5 金融网络安全解决,39,（,3,）网络安全方案建设过程,实施专业的网络安全服务是建立一个能够持续运行，同时可以动态更新的网络安全方案的技术保障和关键环节，如图,12-8,所示。,*12.5,金融网络安全解决方案,12.5.3,网络安全方案的实施与技术支持,图,12-8,动态网络安全方案建设过程,*12.5.4,项目检测报告与技术培训,（3）网络安全方案建设过程*12.5 金融网络安全解决方案1,40,12.6.1,电力网络安全现状概述,1.,网络安全问题对电力系统的影响,电力网络业务数据安全解决方案,。由于省（直辖市）级电力行业网络信息系统相对比较特殊，涉及的各种类型的业务数据广泛且很庞杂，而且，内网与外网在体系结构等方面差别很大，在此仅概述一些省（直辖市）级电力网络业务数据安全解决方案。,案例,12-8,省（直辖市）级电力网络系统,一般是一个覆盖全省的大型广域网络，其基本功能包括,FTP,、,Telnet,、,Mail,及,WWW,、,News,、,BBS,等客户机,/,服务器方式的服务。 省电力公司信息网络系统是业务数据交换和处理的信息平台，在网络中包含有各种各样的,设备,：服务器系统、路由器、交换机、工作站、终端等，并通过专线与,Internet,互联网相联。各地市电力公司,/,电厂的网络基本采用,TCP/IP,以太网星型拓扑结构，而它们的外联出口通常为上一级电力公司网络。,*12.6,电力网络安全解决方案,.,省（直辖市）级电力系统网络应用和现状,12.6.1电力网络安全现状概述,41,12.6.2,电力网络安全需求分析,网络系统边界风险分析,系统层安全分析,对于系统层的安全分析，主要包括：,主机系统风险分析。省（直辖市）级电力网络中存在大量不同操作系统的主机如,Unix,、,Windows Server 2012,。这些操作系统自身也存在许多安全漏洞。,系统传输的安全风险，包括系统传输协议、过程、媒介、管控等，以及数据传输风险。,病毒入侵风险分析。病毒的具有非常强的破坏力和传播能力。越是网络应用水平高，共享资源访问频繁的环境中，计算机病毒的蔓延速度就会越快。,应用层安全分析,网络系统的应用层安全主要涉及业务安全风险，是指用户在网络上的应用系统的安全，包括,WEB,、,FTP,、邮件系统、,DNS,等网络基本服务系统、业务系统等。各应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共享的同时，保证信息资源的合法访问及通信隐秘性。,管理层安全分析,在网络安全中安全策略和管理扮演着极其重要的角色，如果没有制定非常有效的安全策略，没有进行严格的安全管理制度，来控制整个网络的运行，那么这个网络就很可能处在一种混乱的状态。,安全需求分析,*12.6,电力网络安全解决方案,12.6.2 电力网络安全需求分析*12.6 电力网络安全解,42,*12.6,电力网络安全解决方案,图,12-9,电力网络系统分区结构及面临的安全威胁,*12.6 电力网络安全解决方案图12-9电力网络系统分区结,43,12.6.3,电力网络安全方案设计,1.,网络系统安全策略要素,网络信息系统安全策略模型有三个要素：, 网络安全管理策略,:,网络安全组织策略, 网络安全技术策略,2.,网络系统总体安全策略,针对网络应用及用户对安全的不同需求，电力信息网的安全防护层次分为,4,级，如表,12-2,所示。,表,12-2,电力信息网安全防护层次分析表,*12.6,电力网络安全解决方案,12.6.3 电力网络安全方案设计*12.6 电力网络安全解,44,12.6.4,网络安全解决方案的实施,1.,总体方案的技术支持,2.,网路的层次结构,3.,电力信息网络安全体系结构,4.,电力信息网络中的安全机制,*12.6,电力网络安全解决方案,图,12-10,电力信息网络安全体系结构,讨论思考,：,（,1,）电力网络安全需求分析的主要内容有哪些？,（,2,）电力网络安全解决方案设计主要内容有哪些？,（,3,）电力网络安全解决方案主要包括哪些内容？,12.6.4 网络安全解决方案的实施*12.6 电力网络安全,45,12.5,本章小结,网络安全解决方案的制定,，直接影响到整个网络系统安全建设的质量，关系到机构网络系统的安危，以及用户的信息安全其意义重大。本章主要概述了在网络安全工程的“网络安全解决方案”在需求分析、方案设计、实施和测试检验等过程中,主要涉及的网络安全解决方案的基本概念、方案的过程、内容要点、安全目标及标准、需求分析、主要任务等，并且通过结合实际的案例具体介绍了安全解决方案分析与设计、安全解决方案案例、实施方案与技术支持、检测报告与培训等，同时讨论了如何根据企事业机构用户的实际安全需求进行调研分析和设计，并能够写出一份完整的网络安全的解决方案。,最后，通过,金融及电力网络安全解决方案,和,电力网络安全解决方案,的,实际应用案例,，以金融及电力网络安全现状概况、内网安全需求分析和安全解决方案设计等具体建立过程,较详尽地概述了安全解决方案的制定及编写的主要内容,要素和过程。,12.5本章小结 网络安全解决方案的制定，直接,46,诚挚谢意！,诚挚谢意！,47,