陈爱锋有关政务网安全的演讲.ppt

政务网安全建议方案 需求 技术 产品 方案介绍 陈爱锋 邮箱 chen aifeng 网址 政务网现状介绍政务网风险分析政务网安全需求政务网解决方案政务网安全产品天融信简要介绍 提纲 政务内网 核心政务网 涉密网政务专网政务外网 政府公众信息网 政务网特点 政务内网 政务专网 政务外网 Internet 物理断开 物理隔离 逻辑隔离 三个政务网之间的连通关系 WWW MAIL Domino Data Data Data Data Modem池 Extranet PSTN ISDN 政务专网 外网与互联网之间的关系 物理隔离 逻辑隔离 县节点1 县节点2 省节点 县节点3 县节点2 市节点1 市节点2 党委 纪委 人大 政协 政府直属单位局域网接入 政务网信息流 10100101 10100101 政务网重要资源 硬件资源 重要网络设备 安全设备 服务器 通讯设备 软件资源 系统软件 网络通讯软件 应用软件 嵌入式软件 网管软件 数据资源 数据采集 存储 传输 处理 访问 用户资源 逻辑用户 通过用户名 IC卡 数字证书 特征信息进行识别 网络内的具体应用 具体的业务系统信息发布服务信息交流服务信息共享服务信息自动流转和处理内部办公系统会议管理网络会议人事管理资产管理信访管理活动安排 对外WWW服务对外MAIL服务 WWW MAIL Domino Data Data Data Data Modem池 Extranet PSTN ISDN 政务网邮件应用过程 物理隔离 逻辑隔离 WWW MAIL Domino Data Data Data Data Modem池 Extranet PSTN ISDN 政务网信息发布过程 物理隔离 逻辑隔离 专网内部信息 政务网现状介绍政务网风险分析政务网安全需求政务网解决方案政务网安全产品天融信简要介绍 提纲 政务网面临的安全风险 黑客 间谍 恶意攻击 敌对分子 潜在的安全威胁 漏洞 不安全的配置 管理疏忽 自身存在的脆弱性 物理层风险分析 网络传输风险分析 网络边界风险分析 网络设备安全性分析 系统层安全风险分析 应用层安全风险分析 管理层安全风险分析 政务网现状介绍政务网风险分析政务网安全需求政务网解决方案政务网安全产品天融信简要介绍 提纲 内部管理 信息审计 病毒防范 应用产品 应用系统 边界安全 信息传输安全 主机监控 安全配置 补丁更新 企业级安全 应用级安全 系统级安全 网络级安全 政务网安全需求 政务网现状介绍政务网风险分析政务网安全需求政务网解决方案政务网安全产品天融信简要介绍 提纲 NGFW4000 千兆 业界最新的核检测防火墙 适合于高流量 环境和应用极其复杂的骨干网络环境NGFW4000 百兆 业界最新的核检测防火墙 适合于高流量 环境和应用极其复杂的骨干网络环境NGFW3000复合型多功能防火墙 适合于应用复杂 控制严格的网络环境NGFW2000高效包过滤防火墙 适合于分支机构 小型企业等简单的网络环境ARES防火墙易安装 免维护 价格实惠的防火墙 适合于小型企业 办事处 营业点等简单环境 我公司提供四款防火墙 多个类型的产品用于满足政务网各级网络和各种应用对防火墙的不同要求 根据政务网边界安全的实际需求 中央政府 省政府A 省政府B 市政府A 市政府B 天融信边界安全解决方案 Modem池 FR PSTN ISDN 骨干网可以考虑 NGFW4000 县市接入网考虑 ARES防火墙 互联网可以考虑 NGFW3000 网络密码机 VPN网关 解决固定边界与固定边界之间的信息传输安全问题VPN客户端产品 VRC 解决固定边界与移动用户 移动用户与移动用户之间的信息传输安全问题安全集中管理器 SCM 解决多个VPN网关 VPN客户端的集中管理问题 我公司提供三类产品满足政务网对信息传输安全的不同需求 最终解决政务网从广域网 局域网 桌面的信息传输安全问题 政务网信息传输安全的实际需求 VPN网关 VPN网关 VPN客户端 VPN网关 VPN客户端 VPN客户端 VPN客户端 总部 分支机构A 分支机构B 移动用户A 移动用户B 黑客 VRC VRC SCM VRC VRC Internet 实现安全到桌面 天融信信息传输整体解决方案 PKI CA解决方案信息审计解决方案安全服务解决方案 其他解决方案 政务网现状介绍政务网风险分析政务网安全需求政务网解决方案政务网安全产品天融信简要介绍 提纲 边界安全产品介绍 防火墙 产品形态核心技术产品功能产品性能易管理性稳定可靠性安全性 产品形态 标准1U机箱 节省了宝贵的机柜空间 而且外形美观大方配置3个10 100M自适应接口 内网 外网 SSN三个接口固定 不可更改接口数量 类型不可更改国内标准220V交流电源输入 不需要额外的电源转换设备内存 128M电源 AC90 260V 47 63Hz 0 15A 0 25A主板采用集成化设计 稳定性 可靠性更高 接口属性固定 内网 外网 SSN 防火墙连线图 直通线 交叉线 交叉线 串口线 管理机 SSN区域 外网 内网 先进的核心技术 采用业界最新的核检测技术基于操作系统内核的会话检测技术在内核模拟出典型的应用层协议并进行过滤可以大大提供产品的整体性能必要时可以对高层会话进行部分或者全部还原 因此可以输出深层日志根据策略需要可以对单个IP包 应用层的会话进行过滤和访问控制全新的内核保证了产品内核代码的秘密性 从而间接提高了产品自身的安全性先进的核心技术为产品支持更加丰富的功能提供了保证支持更加广泛的网络环境 TCP IP IPX SPX ADSL接入 IP宽带等支持更加复杂的应用环境 VLAN PPPoE DHCP BOOTP H 323等先进的核心技术为产品支持更高的性能提供了保证更高的吞吐量 100M大于860M更低的延迟零丢包率强大的缓冲处理能力极高的并发连接数支持先进的核心技术采用精简 自有的源代码实现精简的系统减少了安全漏洞 加固了内核 大大提高了产品自身的安全性自有的源代码保证了源代码的秘密性 间接提高了产品自身的安全性 丰富的功能 更加灵活的访问控制功能基于源 目IP地址 源目 端口 协议号 IP旗标的访问控制基于用户 时间 流量的访问控制基于文件 MAC地址 网址的访问控制更加强大的认证功能支持RADIUS认证支持OTP认证支持基于证书的身份认证 管理员登录 更加细化的信息审计功能支持通讯日志支持命令日志支持访问日志支持内容日志更多的附加功能静态 动态地址转换 一对一 一对多端口映射扩展支持优先级带宽 分级带宽管理 支持服务器负载均衡 支持各种动态路由协议支持VLAN DHCP BOOTP H 323 PPPoE等协议支持VPN功能 支持与IDS的联动 支持与病毒服务器的互动 HostC HostD HostB HostA 受保护网络 Internet IDS 黑客 发起攻击 发送通知报文 验证报文并采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 与IDS的安全联动 与病毒服务器的安全联动 Internet 110010101 病毒服务器 100010101 000010101 待发数据 110010101 100010101 000010101 110010101 100010101 000010101 pass pass 无病毒转发最后一个报文 如带有病毒则丢弃最后一个报文 协议还原检查病毒 没有发现病毒可以放过最后一个报文 接收数据 接收数据 高性能 吞吐量高吞吐量 参见性能测试报告100M860M延时低延时 参见性能测试报告30微妙丢包率零丢包率 参见性能测试报告趋于零背靠背强大的缓冲处理能力 参见性能测试报告MTBF 40000小时最大策略许可值 8K条并发连接数基于内核的会话检测技术使得该项指标发生质的变化100万以上 高吞吐量 低延时 零丢包率 强大的缓冲处理能力 易管理性 本地管理串口管理 通过超级终端实现本地安全管理通过GUI程序在本地进行管理通过IE浏览器在本地进行管理远程管理远程SSH管理远程通过SSL方式进行管理远程通过SNMP进行管理安全集中管理通过SNMP管理平台对设备进行管理和监控通过防火墙集中管理程序对设备进行集中管理SNMP管理支持SNMPV2版本支持SNMPV3版本 安全性更高管理平台的特点 全中文图形管理界面 容易看懂 迅速掌握基于对象的管理方式 策略设计思路更加清晰人性化设计的管理平台 更加符合人们的使用习惯优化的策略库 规则数量变得更少 检索更快 安全集中管理演示 SNMP管理演示 稳定 可靠性 成熟性产品经过七年的市场考验已经在各行各业中得到广泛的应用适应多种网络环境和应用 VLAN PPPoE DHCP BOOTP H 323 VOD NETBEUI等符合相应的安全标准 GB T18019 1999GB T18020 1999GB T18336 2001稳定性采用专业的工控机平台采用嵌入式模块设计 集成度高可扩展支持双电源对于千兆产品采用多处理器 多内存采用WATCHDOG电路 支持自动恢复和检测可靠性支持双机热备支持负载均衡支持双FLASH盘 产品自身安全性 自主版权无后门程序 有自主版权证书 没有安全漏洞源代码国家托管保证了代码的秘密性 有托管证明 杜绝了针对防火墙系统代码本身的攻击精简的系统去掉了许多跟防火墙无关的代码 间接增加了产品自身的安全性加固了内核防TCP UDP端口扫描抗DOS DDOS攻击可防源路由攻击 IP碎片包攻击 DNS RIP ICMP攻击 美丽的外观强大的功能优异的性能人性化的管理界面高稳定性强安全性 防火墙产品小结 一款不错的产品 信息传输安全产品介绍 VPN VPN网关 网络密码机VRC VPN客户端SCM 安全集中管理器 VPN网关形态 系统组成网络密码机硬件 1U机箱 一次性口令认证软件集中管理器软件 用于管理多台密码机 IC卡标准配置三个10 100M自适应以太网接口一个CONSOLE RS232C 串口管理方式支持SSH管理支持SSL方式管理 通过IE浏览器 支持SNMP管理 VPN网关简要介绍 11001110010100010100101010010001001001000001000000 11001110010100010100101010010001001001000001000000 明文 加密 解密 明文 保证数据在传输途中不被窃取 发起方 接受方 支持IKE密钥协商支持IPSEC协议密钥自动刷新128位对称加密1024位非对称加密设备之间采用证书认证支持CA认证 VPN网关特点一 发起方 接受方 1001000101010010100001000000110110001010 10001010 1001000101010010100001000000110110001010 Hash Hash 10001010 1001000101010010100001000000110110001010 是否一样 防止数据被篡改 支持透明模式支持路由模式 VPN网关特点二 VPN网关的部署 用户保护整个网段可以实现子网分割支持明密结合支持带宽管理 VRC产品 VRC 安装平台 WindowsXPprofessionalokWindows2000serverokWindows98okWindowsmeWindowNTWindows95WindowsXPhomeedition产品形态 软件可以设定开机后自动运行可以设定运行程序时提供密码保护私钥和证书可以设定保存在硬盘或者USB卡中可以设定提供上下线提示 对方的VRC登录时自动提示 SCM产品 SCM系统组成 SCM服务器保存管理员配置的安全策略数据库 SPD 每个SPD针对一条特定的隧道Agent登录到SCM服务器后可以自动获得SASCM服务器自动生成SA并分发给已经登录的AgentSCM管理器用来管理scm服务器可以分别以管理员 审计员的身份登录到scm服务器管理员可以对scm系统进行安全管理 修改系统配置 添加设备和通道审计员只能浏览系统的状态 但不能对系统的参数 配置做任何修改审计员对日志有完全操作权限 包括管理员的操作日志等ET VRC快捷通道VRC自动完成与scm服务器的通信网关代理 Agent 嵌入在VPN网关设备中客户端代理 Agent 用户客户端VRC与SCM服务器通信 SCM服务器 安装平台WINDOWS2000SERVER系统通信安全采用基于证书的公 私钥体制与SCMManager采用基于TCP的安全通讯协议与Agent采用基于UDP的通讯协议在通信过程中引用加密 认证 抗重播 重传等机制SCM服务器的管理通过专门的SCM管理器进行管理SCMManager和SCMServer可以安装在同一台服务器 也可以分别安装建议将SCMServer和SCMManager安装在不同的机器上管理员通过SCMManager管理SCMServer SCM管理器 安装平台WINDOWS2000SERVEROKWINDOWSXPProfessionalOKWINDOWS98通信安全与SCMSERVER采用基于TCP的安全通信协议具备认证 加密 抗重播 重传等机制SCM管理器的保护机制超时掉线 可以设定SCM管理器与SCM服务器的自动掉线超时时间 1 600毫秒 SCMServer SCMManager 申请登录 ET VRC1 ET VRC2 申请登录 SCM对VPN设备的管理 SCM通过ID来管理和访问VPN设备 配置SCM服务器 安全信息 012 安全信息 SCMServer SCMManager 申请启动通道 ET VRC1 ET VRC2 隧道建立过程 建立安全隧道 SPD数据库 SA SA 一个优秀的信息传输安全解决方案 由VPN网关 客户端 SCM构成的解决方案可以实现从广域网到局域网 桌面的信息传输解决方案 政务网现状介绍政务网风险分析政务网安全需求政务网解决方案政务网安全产品天融信简要介绍 提纲 我们是 作为 国内最早国内最专业 我们是 作为 主要的安全产品提供商主要的安全方案提供商主要的安全服务提供商 我们是 作为 国内安全市场的领导者12 CCID 国内厂商之首10 21 CCID2001 国内厂商之首每年的业绩和利润100 以上的增长 1996年02月 2000年05月 2000年10月 2001年04月 2001年06月 2001年12月 2002年04月 2002年05月 NGFW2000高速包过滤防火墙国内最早市场份额最高 适合于小型企业和分支机构 VPN网关 SJW11网络密码机业界优秀的网路传输安全解决方案 NGFW3000状态检测防火墙国内最畅销防火墙 适合于中型企业 TOPSEC网络安全解决方案引导国内市场潮流的安全解决方案 VPN客户端 VRC优秀的客户端安全传输解决方案 NGFW4000核检测防火墙国内最新一代防火墙 适合于大型企业 安全管理系统 SCM优秀的安全管理平台 ARES防火墙免维护防火墙 我们拥有 丰富的产品线 北京 上海 天津 乌鲁木齐 西藏 昆明 南宁 广州 长沙 呼和浩特 哈尔滨 长春 沈阳 武汉 南昌 福州 成都 贵阳 郑州 西安 济南 南京 杭州 合肥 深圳 重庆 石家庄 太原 我公司在上述城市设有专门的技术服务中心 在这些城市你可以获得本地方便 快捷的服务 专门的人员专做安全产品的服务 我们拥有 完整的销售 服务体系 国家统计局 全国68个点防火墙 密码机 防病毒 信息审计 PKI CA国家卫生部 全国34个点防火墙 密码机国家计委 全国47个点防火墙国家外交部 已经部署60个点驻外使馆防火墙 密码机中国电信CA系统全国82个点防火墙百盛集团 全国30多个点防火墙 密码机国际华能电力股份有限公司 全国网络20多个点防火墙 密码机安全部 全国300多个点防火墙鲁能电力 纵向网络50个点防火墙宁波市政务网 全市122台防火墙中国人民银行 内联网项目90套防火墙 我们拥有 庞大的客户群 电子政务解决方案 方案的设计者 方案用到的信息安全产品 涉密网方案设计资质 安全服务资质 经过认证的专业人员 经过认证的产品 经过认证的服务 经过认证的系统 因而我们希望能够有机会为政务网的信息安全奉献自己的一份力量 我们还拥有 谢谢