天融信信息安全体系建设 技术部分课件.pptx

信息安全保障体系建设,目 录,信息安全体系建设,信息安全常见的技术手段,2,2,安全设备保障,系统安全加固,应急响应措施,全员安全意识形成,日常安全管理制度,一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。,信息安全的基本常识,信息安全的实质,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,信息安全需要考虑哪些因素,安全管理,信息安全常见的技术手段,信息安全常见的技术手段,信息安全常见的技术手段,信息安全常见的技术手段,完善的产品和服务,7大类40余种安全产品，覆盖终端、网络和云端,专业安全服务，业内最佳实践,目 录,信息安全体系建设,信息安全常见的技术手段,2,2,信息安全体系建设,国家标准,信息安全体系建设,等级保护如何做三步走,1、“差距分析，确定安全需求”。,通过系统定级、等级评估等识别系统的安全风险，确定系统的安全等级，并找出系统安全现状与等级要求的差距，形成完整准确的等级化的安全需求。,2、“体系化建设，实现纵深安全防御”。,采用“体系化”的分析和控制方法，横向把保护对象分成安全计算环境、安全区域边界和安全通信网络；纵向把控制体系分成安全管理、安全技术和安全运维的控制体系框架，同时通过三个体系，一个中心，三重防护”的安全管理概念和模式，建立满足等级保护整体安全控制要求的安全保障体系。,3、“安全运维，确保持续安全运行”。,通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性纵深防御的安全需求。,二级、三级系统建设整改措施对比(2),持续改进的框架-,信息安全体系建设,信息安全体系建设,寻找差距,风险隐患,等级保护,安全需求,方案设计,安全集成,安全服务,依据,分析,确定,检查,进行,实施,物理安全,网络安全,主机安全,应用安全,数据安全,身份鉴别（S）,安全标记（S）,访问控制（S）,可信路径（S）,安全审计（G）,剩余信息保护（S）,物理位置的选择（G）,物理访问控制（G）,防盗窃和破坏（G）,防雷/火/水（G）,温湿度控制（G）,电力供应（A）,数据完整性（S）,数据保密性（S）,备份与恢复（A）,防静电（G）,电磁防护（S）,入侵防范（G）,资源控制（A）,恶意代码防范（G）,结构安全（G）,访问控制（G）,安全审计（G）,边界完整性检查（S）,入侵防范（G）,恶意代码防范（G）,网络设备防护（G）,身份鉴别（S）,剩余信息保护（S）,安全标记（S）,访问控制（S）,可信路径（S）,安全审计（G）,通信完整性（S）,通信保密性（S）,抗抵赖（G）,软件容错（A）,资源控制（A）,技术要求,防火墙流量控制网络审计日志审计终端安全管理防病毒网关堡垒机安全加固服务网管系统,数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统安全加固服务网管系统病毒软件,防火墙防篡改安全加固服务,数据安全产品数据存储、备份,7大类30余种安全产品，覆盖终端、网络和云端,专业安全服务，业内最佳实践,用通俗的方式表达就是安全要实现：进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉,信息安全体系建设,谢谢！,天融信河北办事处高海明,漏洞管理漏洞扫描系统,漏洞管理的重要性 漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。,漏洞扫描系统架构,漏洞管理漏洞扫描系统,扫描任务,漏洞管理漏洞扫描系统,扫描配置管理,漏洞管理漏洞扫描系统,结果统计分析,漏洞管理漏洞扫描系统,知识库查询,访问控制防火墙,两个安全域之间通信流的唯一通道,基本概念一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。,访问控制防火墙,防火墙的访问控制,C,D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于地址 基于地址 基于端口 基于用户名 基于时间基于网址基于邮件地址基于关键字基于流量,可以灵活的制定的控制策略,访问控制防火墙,访问控制配置界面,访问控制防火墙,访问控制规则列表需要注意的问题,规则的方向性：只需要考虑发起访问方到被访问方的数据流方向规则作用有顺序访问控制列表遵循第一匹配规则规则的一致性和逻辑性,访问控制防火墙,动态端口协议支持对于多连接协议，除了建立一个主连接外，还会动态建立一些子连接进行通信。绑定后防火墙可以识别这些子连接，并按照主连接的策略去执行，无需管理员再添加策略。,访问控制防火墙,防火墙、路由器对比,共性：都属于网关设备，可以支持网络的各种应用,差异性设计思路：是作为一种“网络连通手段”；保证网络互连互通为主；是作为一种“网络隔离手段”，隔离网络异常数据为主。实现方式：能正确转发包的设备是路由器；：能正确丢包的设备是防火墙；,无法查緝以夹带方式闯关的 非法违禁品,访问控制防火墙,防火墙办不到的事.,攻击过滤入侵检测及入侵防御系统,入侵检测系统：，是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。是一套监控和识别计算机系统或网络系统中发生的事件，根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统入侵防御系统：，对流经设备的流量进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术，并可以实时阻断攻击的系统。,攻击过滤入侵检测及入侵防御系统,入侵防御与入侵检测的异同点相同点工作层次相同、都可以工作在7层，对应用层进行深度解析，发现应用层威胁不同点旁路部署、在线串接攻击阻止时效性,攻击过滤入侵检测及入侵防御系统,入侵防御与入侵检测的检测原理误用检测（特征检测）：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。异常检测：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。,攻击过滤入侵检测及入侵防御系统,误用检测（特征检测）前提：所有的入侵行为都有可被检测到的特征 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程特点：误报低、漏报高,用户行为,模式匹配,监控,特征提取,匹配,判定,不匹配,攻击过滤入侵检测及入侵防御系统,异常检测前提：入侵是异常活动的子集用户轮廓():通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围；检查实际用户行为和系统的运行情况是否偏离预设的门限？过程：特点:漏报率低,误报率高,监控,量化,比较,判定,修正,攻击过滤入侵检测及入侵防御系统,异常检测实例黑客得知 存在用户名使用字典程序对用户暴力猜密码入侵检测系统会发现在很短的时间内会出现大量如下数据包：*，此时入侵检测系统就会发出，表明服务器正在遭受暴力破解的攻击。,攻击过滤入侵检测及入侵防御系统,入侵防御与防火墙的异同点相同点网关方式在线部署实时处理流经设备的数据报文，要求性能和稳定性不同点防火墙是工作在L3或L4层的安全防护设备，而是工作在L7层上的安全防护设备防火墙也有L7层的功能但是基于内容的访问控制，而是基于攻击特征的发现和防护,攻击过滤入侵检测及入侵防御系统,在组网中，入侵检测系统与防火墙的关系防火墙一般部署在外界，入侵检测系统一般旁路部署在内部网络，当入侵检测系统发现了透过防火墙的入侵行为时，可以通过联动协议通知防火墙，由防火墙生成一条动态的阻断策略，阻断掉相应的网络连接，中断入侵行为。在组网中，入侵防御系统与防火墙的关系防火墙和入侵防御系统往往是一前一后配合使用，同时串接到重要的网络边界处，防火墙进行“逻辑隔离和访问控制”，入侵防御系统用于对应用层威胁的抵御。（防火墙好比在墙上开了一个窗户洞，入侵防御系统就像安装在窗户洞上的纱窗。）,攻击过滤 应用防火墙（）,举例：某男对某网站“我要数据库密码”我要数据库密码,10.1.1.1,192.168.1.1,防火墙,服务器,攻击过滤 应用防火墙（）,防火墙能看到什么？,攻击过滤 应用防火墙（）,入侵防御系统能看到什么？,特征库“密码”,攻击,攻击过滤 应用防火墙（）,入侵防御系统能看到什么？我要数据库密%20码,特征库“密码”,正常，放过,攻击过滤 应用防火墙（）,入侵防御系统能看到什么？我要数据库32,特征库“密码”,正常，放过,攻击过滤 应用防火墙（）,是如何来做的呢？我要数据库32,192.168.1.1 1000 10.1.1.1 80 我要数据库密码,还原编码,攻击,攻击过滤 应用防火墙（）,入侵防御与的异同点,保镖（）和保安（）,攻击过滤 应用防火墙（）,挂马扫描,漏洞扫描,事后审计,攻击统计报表漏洞统计报表挂马统计报表,网站优化,网页加速负载均衡,访问行为分析网站故障监控,网页篡改扫描,违法信息扫描,事中防护,访问者,页面篡改统计报表违法信息统计报表访问行为统计报表,事前预警,服务器,网页防篡改系统,日志审计系统,