BIT8网络信息系统安全体系设计

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络信息系统平安技术体系,与平安防护系统解决方案,1,内容概要,局域网系统概述,信息平安体系结构,网络信息系统平安需求,构建网络系统平安的相关技术及产品,典型企业网络平安解决方案,小结,2,局域网系统概述,组网技术,交换式以太网,通过路由器外接Internet,局域网之间可以通过VPN技术互联,功能,内部网络应用共享,共享Internet接入,对外提供的效劳,Web,Email等,3,局域网系统概述,典型的例子,校园网,企业网,政务网,行业专网,电信、金融、铁路、公安等,4,信息平安体系结构,20世纪80年代中期,基于计算机保密模型(BellLapadula模型)的根底上的“可信计算机系统平安评价准则(TCSEC),20世纪90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术平安评价准则(ITSEC),20世纪90年代末六国七方(美国国家平安局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术平安评价通用准则(CC for ITSEC),CC标准综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求。,5,信息平安体系结构,CC标准适用于信息系统的平安性设计,平安操作系统,平安数据库,平安Web应用,网络设备自身平安,一般C/S应用系统,6,网络信息系统平安,CC标准适用于信息系统平安性设计,并不针对网络信息系统的平安需求：,统一的身份管理与运维平安管控,网络攻击的检测与防护,网络平安脆弱性分析、风险评估,信息的平安传输,网络平安域划分与网络隔离,7,信息平安体系结构,网络信息系统的平安体系架构设计,架构复杂,平安架构与网络信息系统架构交叉融合,架构可裁剪、可扩展,根据平安需求和信息系统自身架构部署,运行时物理平安,运维平安管控,网络攻击的检测与防护,网络平安脆弱性分析、风险评估,信息的平安传输,网络平安域划分与网络隔离,8,网络信息系统的平安需求,物理平安需求,重要信息可能会通过电磁辐射或线路干扰而被泄漏,因此需要对存放机密信息的机房进行必要的设计,机房设计,构建屏蔽室、采用辐射干扰机等,以防止电磁辐射泄漏机密信息。此外,还可对重要的设备和系统进行备份。,9,网络信息系统的平安需求,访问控制的运维管控,统一的身份管理,统一的认证管理,集中的授权管理,集中的访问控制,集中的运维审计,10,网络信息系统的平安需求,加密传输是网络平安的重要手段之一。信息的泄漏很多都是在链路上被搭线窃取的,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据的真实性、完整性得不到保证。,完整性,机密性,信道的认证性与不可否认性,11,网络信息系统的平安需求,网络攻击防护体系,网络内部或外部发起的网络攻击检测,网络攻击抑制、阻断,攻击事件的统一管理,基于P2DR防护模型的防御体系,IDS、IPS,防火墙,平安事件、平安策略管理,12,网络信息系统的平安需求,平安风险评估系统需求,网络系统和操作系统存在平安漏洞(如平安配置不严密等)等是使黑客等入侵者的攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统存在的一些平安漏洞,然后通过发现的平安漏洞,采取相应的技术进行攻击。,信息系统风险评估,网络平安扫描系统,对目标网络中的工作站、效劳器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的平安漏洞进行逐项检查,13,网络信息系统的平安需求,系统病毒防护,病毒的危害性极大并且传播极为迅速,必须配备从单机到效劳器的整套防病毒软件,实现全网的病毒平安防护。,必须配备从效劳器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒平安防护,以确保整个单位的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。,系统补丁的统一管理,14,网络平安技术与产品,解决网络信息平安问题的主要途径,内控：建立集中的身份管理,实现统一访问控制和审计,实现CC标准在网络空间的扩展实现,静态防护：适用VPN、网络隔离、防火墙等技术实现网络平安架构,事前的机制：通过漏洞扫描,发现系统脆弱性并采取系统加固措施,动态防护架构：建立网络攻击检测防护体系,信息平安保护:用SSL/SSH实现网路传输加密,电子信封等技术实现数据机密性、完整性、认证性保护,15,网络平安技术与产品,相关的网络平安技术产品,PKI/CA,公共数字证书效劳体系,VPN,虚拟专用网,IDM,联合身份管理、认证系统,IT Audit,IT系统审计产品,Firewall,防火墙,IDS,SOC,入侵检测系统,平安事件管理平台,网络、系统扫描器,文件加密系统,远程桌面系统,16,网络平安技术与产品,PKI/CA,公共数字证书效劳体系,以密码理论为根底,统一的证书颁发管理机构CA,网络系统内通信主体持有自己的合法证书,证书用来在作身份认证、数据加密、数据签名,实现数据机密性、完整性、不可否认性的保护,通过在网络系统部署PKI,可实现统一的身份管理和通信平安保护,17,网络平安技术与产品,VPN,虚拟专用网,根底：身份认证、密码理论,功能：通过认证、加密、数据封装技术实现公网上传输私网机密数据,应用：跨区域建设大型企业网、专网,实现远程平安接入,部署模式：MPLS VPN,IPSec,SSL,SSH,18,网络平安技术与产品,IDM,联合身份管理、认证系统,联合身份管理的必要性,根底：PKI证书效劳,集中身份认证效劳,集中接入管理,集中审计（,account,authorization,authentication,audit）,特点：实现体系庞大,实现复杂,带来网络运营维护模式的根本变化,19,网络平安技术与产品,IT Audit,IT系统审计产品,必要性：审计是一种事后机制,作为平安事故分析、责任追究或免责的手段,技术根底：网络数据复原、事件收集、分析（人工智能）,产品分类：,日志收集与管理系统,网络审计,20,网络平安技术与产品,Firewall,防火墙,实质：部署于网络边界,执行平安规则控制进出网络的数据。,技术根底：,包过滤技术,应用网关技术,状态检测,其他功能,、网关、负载均衡,21,网络平安技术与产品,IDS,SOC,入侵检测系统,平安事件管理平台,功能：检测、发现、评估、管理网络攻击事件,与其他网络平安设备,如防火墙、IPS、扫描器,构成网络平安防御体系,技术根底：数据收集、攻击模式识别、事件关联分析,类型：、,的数据来源：IDS、防火墙、扫描器等,执行平安事件分析管理,22,网络平安技术与产品,网络、系统扫描器,功能：发现网络上存活主机、开启的应用效劳、存在的系统漏洞、系统脆弱性（如：口令）、挂马网站等,技术根底：协议分析、渗透性测试,负面效果：可作为网络攻击平台,23,网络平安技术与产品,其它平安设备,上网行为管理,网络行为分析,防水墙,网闸设备,24,网络平安技术与产品,其它平安设备,文件加密系统：用电子信封技术,桌面发布系统：将桌面应用发布为远程效劳,防止客户端保存数据,便于监管、审计,有利于企业知识产权保护,代表性产品：CITRIX,25,典型企业网络平安解决方案,问题：对于已经建设运行的网络信息系统,如何构建系统平安防护解决方案？,系统的平安威胁是什么？,确立系统平安目标,平安技术体系的构建,平安策略的设置,系统的维护,26,典型企业网络平安解决方案,分析系统的平安威胁,边界网络设备平安威胁(1)入侵者通过控制边界网络设备进一步了解网络拓扑结构,利用网络渗透搜集信息,为扩大网络入侵范围奠定根底。比方,入侵者可以利用这些网络设备的系统(Cisco的IOS)漏洞或者配置漏洞,实现对其控制。,(2)通过各种手段对网络设备实施拒绝效劳攻击,使网络设备瘫痪,从而造成网络通信的瘫痪。,27,典型企业网络平安解决方案,分析系统的平安威胁,信息根底平安平台威胁信息根底平台主要是指支撑各种应用与业务运行的各种操作系统。操作系统主要有Windows系列与UNIX系统。相对边界网络设备来说,熟知操作系统的人员的范围要广得多,而且在网络上,很容易就能找到许多针对各种操作系统的漏洞的详细描述,所以,针对操作系统和数据库的入侵攻击在网络中也是最常见的。,28,典型企业网络平安解决方案,分析系统的平安威胁,内部网络的失误操作行为,由于人员的技术水平的局限性以及经验的缺乏,可能会出现各种意想不到的操作失误,势必会对系统或者网络的平安产生较大的影响。,源自内部网络的恶意攻击与破坏据统计,有70%的网络攻击来自于网络的内部。对于网络内部的平安防范会明显地弱于对于网络外部的平安防范,而且由于内部人员对于内部网络的熟悉程度一般是很高的,因此,由网络内部发起的攻击也就必然更容易成功,一旦攻击成功,其强烈的攻击目的也就必然促成了更为隐蔽和严重的网络破坏。,29,典型企业网络平安解决方案,分析系统的平安威胁,网络病毒威胁在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外,还具有一些新的特点,网络病毒的这些新的特点都会对网络与应用造成极大的威胁。,30,典型企业网络平安解决方案 平安技术体系的构建,建立全网的身份管理、访问控制体系,部署统一身份认证、授权、访问控制,对网络用户进行统一的帐号管理,对网络用户进行统一身份验证,保证网络用户的合法性,集中的授权管理,集中的访问控制,31,典型企业网络平安解决方案 平安技术体系的构建,建立全网的综合审计体系,网络审计,通过堡垒主机的集中接入审计,集中日志收集与审计分析,与系统配合构成,综合的运维管控体系,32,典型企业网络平安解决方案 平安技术体系的构建,在局域网入口处部署防火墙系统（支持）,防火墙是指设置在不同网络或网络平安域之间的一系列部件的组合。它是不同网络或网络平安域之间信息的唯一出入口,能根据网络的平安政策控制(允许、拒绝、监测)出入网络的信息流。,防火墙可以确定哪些内部效劳允许外部访问,哪些外人被许可访问所允许的内部效劳,哪些外部效劳可由内部人员访问。,防火墙本身具有较强的抗攻击能力,它是提供信息平安效劳,实现网络和信息平安的根底设施。,33,典型企业网络平安解决方案 平安技术体系的构建,部署连接局域网分支和移动用户,局域网之间可采用,移动用户登录采用,认证纳入统一身份认证系统,34,典型企业网络平安解决方案平安技术体系的构建,部署入侵检测系统、平安事件管理中心,防火墙是部署在网络边界的平安设备,相当于计算机网络的第一道防线。,入侵检测系统（）一般部署在局域网内部,可以弥补防火墙的缺乏,为网络平安提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。,平安事件管理中心收集全网平安事件,集中管理,通过关联分析,强化平安设备协同,为平安策略评估提供依据。,35,典型企业网络平安解决方案平安技术体系的构建,部署漏洞扫描系统,操作系统、网络软件、应用软件存在平安漏洞,利用这些漏洞可以很容易地破坏乃至完全地控制系统;利用应用系统的脆弱性的攻击是主要攻击形式；由于管理员的疏忽或者技术水平的限制所造成的配置漏洞也是广泛存在的,这对于系统的威胁同样很严重。,部署漏洞扫描系统,检测网络内部的脆弱性,可以为系统平安防护建设提供评估手段,本质上是一种必要的事前机制,36,典型企业网络平安解决方案平安技术体系的构建,部署漏洞扫描系统的平安防护效果,对企业网络系统网络重要效劳器和PC进行漏洞扫描,发现由于平安管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取,甚至造成系统本身的崩溃),生成详细的可视化报告,同时向管理人员提出相应的解决方法及平安建议。,对企业网络系统网络边界组件、根底组件和其他系统进行漏洞扫描,检查系统的潜在问题,发现操作系统存在的漏洞和平安隐患。,漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测,并向平安管理员提供系统最新的漏洞报告,使管理员能够随时了解