安全技术防护体系课件

,Security Team,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,Security Team,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,Security Team,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,内容提纲,安全技术体系,安全技术体系,概述,背景介绍、定义,入侵检测技术,加解密技术,信息安全,技术,安全模型、,体系架构,访问控制技术,身份鉴别及认证技术,病毒防护技术等等,安全技术体系,实现,体系实现思路,整体落地方案,2024/12/1,一,安全技术体系概述,2024/12/1,前言,操作平台,操作平台,PC,客户端,移动客户端,WEB,客户端,其他,APP,应用客户端,网络平台,（网络设备、安全产品、网络协议、网络软件）,网上银行,手机银行,支付平台,核心系统,应用服务端,信息流,信息流,信息流,Internet,近年来，,信息技术的快速发展和广泛应用，给国家带来了巨大的社会效益和经济效益,。,2024/12/1,信息化智能化是必然趋势,然而，技术革新带来巨大效益的同时，也带来了新的安全威胁,背景介绍,网络安全,威胁,应用安全,威胁,环境安全,威胁,系统安全,威胁,数据安全,威胁,2024/12/1,信息资产,拒绝服务,流氓软件,黑客渗透,操作风险,木马后门,病毒和蠕虫,社会工程,系统漏洞,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,威胁无处不在,因此建立安全技术体系成为必然,2024/12/1,安全技术体系定义,是由,相互联系、相互作用,的安全要素组成，以,保障信息系统安全,为目的，具有一定结构和功能的,多种安全技术手段,的集合,身份鉴别,用户,ID,鉴别技术,非法登陆控制,唯一性检查,访问控制,区域隔离,权限划分,安全标记,访问控制策略,安全审计,行为记录,记录保护,分析溯源,集中,审计,数据防护,数据加密,协议安全,备份恢复,完整性检查,2024/12/1,安全模型,定义,用于精确地和形式地描述信息系统的,安全特征,，以及用于解释信息系统安全的相关行为,作用,准确描述安全的重要方面与系统行为的关系,提高对成功实现关键安全需求的理解层次,主要的安全模型包括：,多维安全模型、,IATF,模型、,OSI,模型、,PDR,模型、,PPDRR,模型、WPDRRC模型,2024/12/1,多维安全模型,用,安全服务,抗 抵,赖,可 鉴,别,保 密,性,完 整,性,可,性,信息状态,处理,存储,传输,安全措施,技术,人员,运行,2024/12/1,IATF,模型,安全策略,安全管理,安 全,管,理,安全管理,安 全,管,理,2024/12/1,OSI,模型,OSI,参考模型,7,应用层,6,表示层,5,会话层,4,传输层,3,网络层,2,链路层,1,物理层,安全机制,加数访数鉴通路公 字问据别信由,密签控完交业选证 名制整换务择,性填控,充制,鉴别服务,访问控制,数据保密性,完整性,抗抵赖,安全服务,2024/12/1,PDR,模型,防护(Protection),检测(Detection),响应(Response),2024/12/1,PPDRR,模型,策略,Policy,恢复,Recovery,防护,Protection,检测,Detection,响应,Response,2024/12/1,技术,策略,WPDRRC,模型,人员,预警,W,保护,P,检测,D,反击,C,恢复,R,响应,R,2024/12/1,OSI,体系架构,管理体系,法律,制度,培训,培训,组织体系,机 构,岗 位,人 事,技术体系,技术管理,技术机制,安全策略与服务,密钥管理,审计,状态,检测,入侵,检测,OSI,安全技术,运行环境及系统安全技术,OSI,安全,管理,安全机制,安全服务,物理,安全,系统,安全,信息系统安全体系框架,2024/12/1,P-POT-PDRR,体系架构,文档化管理,信息安全策略,人员,操作,技术,防护,检测,响应,恢复,2024/12/1,二,信息安全技术,2024/12/1,身份鉴别（一）,Server,End user,Username=,椰子,Password=,123abc,发起登录请求,验证用户名与口令,返回登录请求，允许登录,验证通过,基于用户名、口令,2024/12/1,身份鉴别（二）,Server,Workstation,发送特征信息，发起登录请求,验证用户,特征信息,返回登录请求，允许登录,验证,通过,指纹识别器,读取,特征,信息,获得,特征,信息,基于生物特征,2024/12/1,身份鉴别（三）,Server,Workstation,发送身份验证信息，发起登录请求,验证,用户,身份,返回登录请求，允许登录,验证,通过,读卡器,输入,PIN,号码,插入,IC,卡,读取,用户,信息,获得,用户,信息,基于,IC,卡+,PIN,码,2024/12/1,认证,用户证书,服务器证书,发送身份认证信息,CA,证书认证,返回认证回应，开始安全通讯,2024/12/1,访问控制（一）,总 行,分支机构,A,分支机构,B,用户,A,用户,B,黑 客,100100101,边界防护,边界防护,边界防护,100100101,Internet,对网络的访问控制,10100101,2024/12/1,访问控制（二）,HostC,HostD,Access list,16.1.1.2,to,192.168.1.2,Access nat 192.168.2.0 to any pass,Access,16.1.1.2,to 192.168.1.3 block,Access default pass,1010010101,规则匹配成功,基于源,IP,地址,基于目的,IP,地址,基于源端口,基于目的端口,基于时间,基于用户,基于流量,基于文件,基于网址,基于,MAC,地址,16.1.1.2,eth1,：,192.168.2.0,192.168.1.2,192.168.1.3,2024/12/1,加解密,1100111001,0100010100,1010100100,0100100100,0001000000,1100111001,0100010100,1010100100,0100100100,0001000000,明文,加密,解密,明文,#,￥,15154485,￥,abcdfegjuiu%1543jwkwlflewfw85368hhf4,*jenw345,保证数据在传输途中不被窃取,发送方,接收方,密文,2024/12/1,数字签名,john,lili,假冒的,“john”,假冒,VPN,internet,10101101,11101001,10010100,私钥签名,验证签名,证实数据来源,真实可靠,2024/12/1,数据完整性校验,发送方,接收方,10010001,01010010,10000100,00001101,10001010,10001010,10010001,01010010,10000100,00001101,10001010,Hash,Hash,10001010,10010001,01010010,10000100,00001101,10001010,是否一致？,防止数据被篡改,2024/12/1,入侵检测（一）,DMZ,门户网站,网银,web,手机,web,。,Intranet,核心区,服务器区,外联区,分支机构,路由,Internet,中继,外部攻击,外部攻击,联动防火墙、,IPS,终止连接,警告,!,记录攻击,IDS,2024/12/1,入侵检测（二）,DMZ,核心区,网银区,外联区,。,Intranet,分行,A,分行,B,分行,C,分行,D,路由,Internet,中继,内部攻击行为,记录事件并告警,!,发送联动请求,IDS,联动防火墙、,IPS,终止连接,2024/12/1,病毒防护,总行,病毒服务器,分行,A,代理服务器,分行,B,代理服务器,支行,A,支行,B,支行,C,支行,D,支行,E,支行,F,统一控管,杀毒策略统一制定,病毒代码统一更新,统一病毒扫描,分布式结构,网关防毒,终端防毒,服务器防毒,邮件服务器防毒,文件服务器防毒,Web,服务器防毒,2024/12/1,数据备份,主备份服务器,不管是什么样的数据平台，专业备份软件能使用统一的数据格式进行备份,网银前置,信贷数据库,手机银行数据库,核心数据库,ATM,前置,网银数据库,总行前置,磁带库,/,存储2,磁带库,/,存储1,下达备份指令,执行指令,备份数据流,备份数据流写入磁带,/,磁盘2,分支行前置服务器,远程备份,下达备份指令,执行指令,备份数据流写入磁带,/,磁盘1,2024/12/1,灾难恢复,磁带库或存储,在系统正常时用备份恢复工具制作灾难恢复引导盘,在系统崩溃时请按照如下步骤操作,首先插入灾难恢复引导盘引导机器,按照提示插入系统光盘,按照提示插入上一次完全备份的磁带,/,磁盘,一切,OK,，恢复成功,2024/12/1,三,安全技术体系实现,2024/12/1,一种安全技术体系,分析,处置,预测,加固,监测,技术体系,物理层威胁,数据层威胁,系统层威胁,应用层威胁,网络层威胁,Predict,（预测）,Reinforce,（加固）,Monitor,（监测）,Analysis,（分析）,Dispose,（处置）,PRMAD,多层模型,2024/12/1,PRMAD,多层安全技术体系架构,安全层次,安全技术,预判检测,加固防护,过程监测,分析溯源,应急处置,认证,访问控制,抗抵赖,安全审计,资源控制,入侵检测,/,防御,加密,身份鉴别,病毒防护,渗透测试,供配电,温湿度控制,静电防护,防雷接地,消防,环境监控,电磁防护,数据防护,备份及恢复,物理层,网络层,系统层,应用层,数据层,安全机制,2024/12/1,信息安全技术分类,按安全机制可分为四类,预判检测类,加固防护类,过程监测及分析溯源类,应急处置类,2024/12/1,预判检测类,物理层面,供电质量检测、温湿度检测、防雷检测、消防检测、电磁检测、尘埃检测、气体检测、照度检测、噪声检测等,其他层面,端口扫描、漏洞扫描、木马病毒检测、安全配置核查、性能检测、,WIFI,安全检测、终端安全检测、源代码安全检测、网络安全检测、系统安全检测、应用安全检测等,2024/12/1,加固防护类,物理层面,供配电、温湿度控制、静电防护、防雷接地、消防、电磁防护、门禁控制、照明、隔音降噪、防尘、防腐蚀、有毒气体过滤等,其他层面,身份鉴别、认证、访问控制、抗抵赖、资源控制、入侵防御、加密、病毒防护、数据防护、补丁分发等,2024/12/1,过程监测及分析溯源类,物理层面,漏水检测、供电监测、,UPS,监测、电池监测、发电机监测、温湿度监测、消防监测、防盗报警、视频监控、气体监测等,其他层面,安全审计、入侵检测、性能监测、故障监测等,2024/12/1,应急处置类,物理层面,应急供电、空气净化、加湿、防水防潮、消磁、应急照明、双机热备等,其他层面,网络备份恢复、系统备份恢复、应用备份恢复、数据备份恢复、容灾等,2024/12/1,对应的安全产品分类,物理层面,环境安全检测设备,漏水检测系统,防盗报警系统,视频监控系统,环境监控系统,气体监测产品,静电消除器,电磁屏蔽产品,UPS系统,发电机,防雷产品,接地系统,消防系统,空调系统,门禁系统,消磁机,。,1,渗透测试系统,性能测试系统,入侵检测系统,网络审计系统,APT未知威胁监控,运维审计系统,防火墙,网闸,UTM,入侵防御系统,网络加密机,抗DDOS设备,网络防毒墙,负载均衡设备,流量牵引设备,流量控制设备,上网行为管理,。,2,网络层面,主机漏洞扫描,木马检测系统,安全配置核查系统,主机安全审计