中国电信信息安全业务方案.ppt

信息安全业务,2023年2月27日,目 录,市场分析,产品介绍,成功案例,需求分析,鸿信优势,需求分析,我们的网络安全吗？可靠吗？如何改善？,多台PC感染蠕虫木马病毒，到底是怎么感染的呢？是谁感染的？,公司重要信息泄密，黑客攻击？员工泄密？,缺乏专业的网络维护人员！,网速极慢，是什么原因？网络资源被谁占了？,设备数量太多，海量的日志信息。,老板发现有些员工上班时间听音乐，上黄色网站，大发雷霆。,我删、我删，删不完的垃圾邮件，哎呀不好，把客户的重要邮件也给删了。,问题：什么是信息安全？,现状分析,2007年国家计算机网络应急处理中心接收46476件非扫描类网络安全事件报告，与2006年相比增长了两倍左右。2007年国内安全事件特点：国内政府机构的网页篡改类事件、重要商业机构的网络仿冒类事件和针对互联网企业的拒绝服务攻击类事件的影响最为严重，僵尸网络和木马的威胁依然非常严重，攻击者谋求非法利益的目的更加明确，行为更加嚣张，黑客地下产业链基本形成。,国内信息安全的状况,WorkstationVia Email,Workstation,Internet,混合型攻击:蠕虫,Workstation,安全攻防的现状,问题：信息安全了吗？,什么是分布式拒接服务DDoS攻击？,mbehring,ISP,CPE,Internet,Zombie(僵尸),Master(主攻手),发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备,攻击来自于众多来源，发出不计其数的IP数据包攻击的众多来源来自不同的地理位置会过渡地利用网络资源拒绝合法用户访问企业内部资源洪水般的攻击包堵塞住企业与互联网的全部出口企业内部的设备处理能力再强，由于出口被拥塞，企业网络将形成一个信息的孤岛，因此终端客户都不能有效抵御这种攻击,骨干级,链路级,应用级,目标遭受DDoS被攻击后现象,被攻击主机上有大量等待的TCP连接网络中充斥着大量的无用数据包，源地址为假大量的无用数据占用大量的网络带宽，造成网络拥塞高频率的某种服务请求，受害主机无法及时处理所用请求主机资源占用巨大即便将内部网络和互联网中断，通信线路仍然严重拥塞网络服务(如Web服务器)中断或响应极其缓慢网络设备或网络服务器CPU利用率持续为高网络设备或网络服务器停止响应其他网络、系统、应用的性能异常接收到网络威胁和勒索电话、邮件,DDoS攻击防护措施,1.黑洞技术：在遭遇DDoS攻击时，通常会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向，将其丢弃在一个数据“黑洞”中，以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃，业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用，拒绝为合法用户提供接入。2.路由访问控制列表过滤：电信服务提供商对骨干网络进行ACL配置，缺点是给访问控制量管理带来极大困难，无法识别虚假和针对应用层的攻击。3.防火墙非法流量过滤：限制同时打开的SYN最大连接数，限制特定IP地址的访问，启用防火墙的防DDoS的属性，严格限制对外开放的服务器的向外访问等，缺点是由于防火墙能力和技术水平所限，几个G的防火墙设备很容易就会超载导致网络无法正常运行。4.自行部署DDOS设备：在企业出口部署DDOS设备，能解决DDOS攻击问题，但存在一个上限瓶颈且价格昂贵。,网站被劫持,网站被挂马,网站感染蠕虫和恶意代码,网站钓鱼软件,后台数据库的SQL注入攻击,网页被恶意篡改,WEB应用常见威胁,网站篡改和攻击的原理,Firewall,加固的操作系统,Web服务器,应用服务器,Firewall,数据库,Legacy Systems,Web服务,目录服务,人力资源系统,Billing,定制开发的应用代码,应用层攻击,网络层,应用层,你的安全边界在应用层有着巨大的漏洞,网络层保护手段(firewall,SSL,IDS，防病毒)无法检测、阻止应用层攻击,信息安全的特点,相对性,体系性,隐蔽性,动态性,灾难的发生-数据安全,灾难是指由于人为或自然原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受突发性事件。灾难的原因 自然灾害:例如地震、火灾、水灾、疾病。人为风险：例如操作失误、黑客攻击、计算机病毒发作、环境污染、社会骚乱、恐怖袭击、意外、建筑倒塌、战争。技术风险：例如设备失败、软件错误、通讯中断、电力失败等。,信息安全的理念,安全咨询 安全评估 安全方案 安全培训 安全集成 安全产品,目 录,市场分析,产品介绍,成功案例,需求分析,鸿信优势,安全服务,2007年,2006年7号文件,2004年66号文件,2003年27号文件,2005年25号文件,6月22日，发布“信息安全等级保护管理办法”（公通字200743号）7月16日，发布“关于开展全国重要信息系统安 全等级保护定级工作的通知”公信安2007861号7月20日，召开“全国重要信息系统安全等级保护 定级工作电视电话会议”，部署在全国范围内开 展重要信息系统安全等级保护定级工作。7月31日，中央部委定级工作培训会议,国家确立信息安全等级保护制度,等级保护试行与试点,信息系统等级保护定级工作,等级保护在全国推广实施,当前，重要信息系统安全等级保护定级是国家信息安全保证最重要和最迫切的工作,等级保护,等级保护流程,第三级信息系统应当每年至少进行一次等级测评第四级信息系统应当每半年至少进行一次等级测评,网络安全顾问服务,中国电信互联网网站安全服务包,基于应用层的攻击泛滥成灾,传统的安全防护设备防火墙、IPS/防DDOS不起作用,没有专业技术人员进行分析处理,网站安全服务包,基础网络DDOS防护、流量监控管理,（网络层）,防篡改防攻击,（应用层）,安全评估安全保障,中国电信网站安全服务包产品,网站安全服务包,安全评估,安全加固,流量监控,抗DDOS,应急响应,WEB检测评估过程,WEB安全检测评估服务内容和流程,网页防篡改设备,上网行为审计产品,规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率,规范员工网络行为，避免法律风险,流量控制、带宽管理，提升带宽利用率,防范信息机密外泄、保护组织信息资产安全,修补安全漏洞、提升内网安全级别,1.内容审计-对上网行为进行审计2.用户认证-对上网用户、主机、IP、MAC进行管理3.安全日志管理-对上网行为记录的日志报表管理4.系统管理-对上网行为审计设备进行管理,基础型（基础功能）,增强型（注重审计功能）,1.流量管理-根据应用协议、用户、主机、IP等对流量进行更细致管理2.审计功能-提供更细致的审计功能，比如，上传数据的本地存档3.网络功能-提供各种网络协议服务,根据上网行为产品的功能特点,划分为:,上网行为审计产品功能:,身份认证系统,身份认证系统,企业专用平台,应用领域-应用模型,数据保障：灾备系统,灾难恢复（DR）,当自然灾祸或人为灾难发生后，在限定的时间内立即对计算和网络操作运行做临时性恢复。,业务连续性（BC）,维持整个企业流程和信息的连续可用的能力。,业务连续性已经成为灾难备份业界的趋势！,灾难恢复势在必行，但仅仅灾难恢复还不够！,鸿信优势,目 录,市场分析,产品介绍,成功案例,需求分析,信息发布商家及业主维护物业日常业务处理服务管理其他物业功能安保系统、全球眼,重点拓展行业及关注方向,关注方向,关注国家秘密、涉密研究资料外泄和国家政策法规,关注网络正常运行和国家政策法规,关注病毒、木马蠕虫、影响网络正常运行和国家政策法规,关注内部机密外泄,重点拓展行业,拓展行业,工作范围,D,C,铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。,电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。,涉及国家秘密的信息系统（以下简称“涉密信息系统”）。,市（地）级以上党政机关的重要网站和办公信息系统等。,定级工作范围要求,注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。,强制规定,定级工作的强制性,逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果,规定,对违反管理办法规定的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正,造成严重损害的，由相关部门依照有关法律、法规予以处理。,第二步：安全漏洞评估报告,第一步：体验式安全评估,第三步：网站安全加固,第五步：应急响应,第六步：定期巡检保障,第四步：网络规划方案,安全顾问服务业务拓展思路,国家信息安全等级保护制度,体验式营销模式,网站安全服务包业务竞争性分析,其他运营商还没有此项业务模式，只有单纯的DDOS业务，且业务容量远远小于中国电信市场上的网页防篡改产品功能单一，且厂商都较小，跟电信不在一个竞争量级上。打包的业务和服务模式提高了安全服务的门槛，能够屏蔽很多大大小小的安全服务厂商。中国电信的品牌效应更容易获得用户的信赖，安全保障能力本身就具备很强说服力。,WEB安全服务包,安全评估,安全加固,流量监控,抗DDOS,应急响应,中国电信在DDoS防护上的优势,集中部署“监控分析中心”，通过对流量的采样，进行7x24小时的安全监控，发现异常立即告警。,ISP1,ISP2,监控分析中心,分析设备,用户,流量采样,1,2,CHINANET,攻击流量,正常流量,集中/分布式部署“清洁中心”，通过路由策略将攻击流量牵引到清洁中心，过滤后再将用户正常流量回送到用户网络，保障流量的清洁。牺牲自身资源，为用户承担被攻击的风险，保障用户业务连续性中国电信08年在全国范围内建设成了总容量120G的流量清洗中心，国内最大。,从源头对攻击进行过滤，总体部署统一清洗的方式是最佳的解决办法。,数据保障优势,中国电信在灾难备份服务方面并不陌生，已经具有了几十年的丰富经验。中国电信骨干传输网络做了容灾设计和保护，每个省传输网络都有2个以上的出口。中国电信语音、数据和互联网络骨干节点都实现了容灾设计和保护，网状连接，并且每省业务都有至少两个以上的节点。中国电信全国有7个应急通信局，承担了党政军应急通信的保障服务，应对突发事件和抢险救灾的通信任务。中国电信从2004年开始，已经对外为政府、金融、制造、连锁等客户提供业务连续性服务。中国电信积极参与国家信息化办公室等政府主管部门组织的和业务内部的灾备体制标准制定和资质认证工作。,网页防篡改设备营销方式,提供在电信IDC机房安装，将有防篡改需要的用户集中迁移到同台服务器，提供防篡改增值安全服务,金融,政府,证券,事业单位,交通,科研院所,电力,应用行业,普教,高教,外贸,私企,烟草,民企,酒店,网吧,茶社,咖啡厅,拥有地域优势和行业优势，主要集中于熟悉的领域，资源更加集中，做细政府与公安市场。省电信的客户资源优势，利于集中推广和快速营销。采取和电信带宽捆绑销售或租用的方案，客户更容易接收。整合资源的优势，适当的时机和公安网监合作，用行政指令推进销售。,优势,上网行为审计产品行业分析,A,C,B,上网行为审计是一个新兴的产品，市场没有像防火墙、UTM产品一样的价格透明，市场已培育成熟，发展前景良好,现阶段100用户以内的上网行为审计产品需求数量巨大,系统集成等中高端市场，是上网行为审计产品高利润点,一是产品本身的概念和定位逐渐清晰化，相关产品特性在与用户应用磨合中得到了确立；二是用户需求确实有着很大的拓展空间，每一家企业用户都可能需要上网行为管理产品，拥有它的用户进而会有更深层的延展应用需求。,上网行为审计产品市场现状,让企业的管理者了解到，中国电信一直提供优质的宽带服务，企业网络慢，并不一定是电信线路问题，请先查看上网行为审计系统中的流量分析。,满足企业对电信宽带业务黏性,title,产品推广方式,2租赁方式且每 年收取服务费,1直接销售方式,上网行为审计产品推广分析,推荐模式,身份认证系统的推广分析,鸿信优势,目 录,市场分析,产品介绍,成功案例,需求分析,中国电信集团系统集成公司有国家涉密系统集成甲级资质、国家认证的信息安全服务资质，各类服务和产品在外部市场及中国电信内部市场均有成功的案例，具有丰富的安全服务经验,和业界领先的安全厂商有长期良好的合作关系,安全服务团队拥有4名CISSP、6名CISPCCIE SE10名在北京、上海、广东设有三个研究院，研发人员超过2500人，拥有提供知识服务的人才储备丰富的专业化安全检测评估工具和检测脚本库省鸿信2008年7月正式成立信息安全业务组，现有员工均有深厚的行业背景08年12月，集团政企客户事业部下文，确定成立“网络与信息安全服务团队”，支撑全国安全业务,信息安全团队与资质,安全业务支撑工作流程,安全专家业务支撑体系,集团安全专业支撑团队（以集成公司为主）,各研究院支撑团队,政企客户,知识库共享、经验交流、技术业务培训,以商机为基础的项目支撑协同机制,省公司安全支撑团队,集成分公司安全专业团队,集成公司合作伙伴专家库,各省安全专业支撑团队接口人,一线支撑团队,二线支撑团队,三线支撑团队,厂商专家库,鸿信优势,目 录,市场分析,产品介绍,成功案例,需求分析,全国政协机关网络信息安全系统工程,中国铝业（流量监控）,面向政府/金融/企业的安全业务成功案例,中国工商行政管理局网络安全系统,信息产业部政务信息网络工程安全系统,国泰君安证券公司业务网络安全工程,交通部全网信息安全系统建设项目,河北省邯郸市政务网网络安全,水利部国家抗防汛总指挥系统网络安全,中信证券（安全邮局）,中信控股（Web评估、流量监控）,建设部公积金系统安全方案,甘肃地税局网络安全项目,新华社等级保护预评估,大唐电力集团安全安全域划分,福建师范大学防火墙采购项目,国家电子政务外网安全子系统,甘肃酒泉钢铁集团安全评估及邮件安全治理项目（安全邮局、web评估）,国家开发银行（安全邮局、安全集成、安全审计、保密检查）,安全服务,网页防篡改设备,上网行为审计产品,47,云南楚雄州政府CDMA1X无线接入平台,苏州电子劳动合同申报认证系统,身份认证系统成功案例,江苏省高速公路管理处无线电路备份认证系统,江苏省航道管理处CDMA1X无线接入认证系统,中国农业银行徐州分行CDMA1X无线接入认证系统,中国人保南京分公司CDMA1X无线接入认证系统,无锡市公安局警务通CDMA1X无线接入认证系统,无锡人口信息系统安全认证方案,华夏银行无锡分行CDMA1X无线接入认证系统,无锡建设银行CDMA1X无线接入认证系统,苏州电信内控系统,光大银行ATM机接入安全认证系统,无锡国税网上报税VPN远程接入安全身份认证系统,江苏联通CDMA 1X VPDN无线接入平台，在全省20多家单位先后投入使用,身份认证系统,成功案例 苏州电信,在苏州市电信统一认证平台中实现了与30多个应用系统(包含C/S架构和B/S架构)的对接。共部署一千七百余个指纹认证终端四千余营业厅操作人员以及代维网点人员。市区及五个所辖县级市等区县平台与市级平台实现统一认证,身份认证系统,身份认证系统,动态口令,宽带（ADSL/LAN）,短信,宽带（ADSL/LAN）,宽带或内网,USB Key,无锡人口信息系统,Internet电信，联通，广电 等网络,低端用户报送数据为主，可选择非指纹设备,人计委及市有关工作人员指纹认证进行人口数据审核监督及查询,高端用户远程指纹登录上传或查询人口数据,统一身份认证网关,人口综合信息处理服务器,数据存储服务器,身份认证系统,无锡市公安局警务通CDMA1X无线接入方案,泰州电信 VPN一次信短信认证系统,身份认证系统,谢 谢！,