构建高效的网络安全系统.ppt

构建高效的网络安全系统,神州数码(中国)有限公司,2002年11月,网络结构,运营商网络面临的安全问题,结构不合理造成安全故障骨干出口带宽限制，抗流量攻击差快速扩张带来的安全隐患,主机和应用系统,运营商网络面临的安全问题,主机和应用系统是hack的最爱基于UNIX的系统有许多漏洞快速扩张带来的安全隐患,人员素质,运营商网络面临的安全问题,每天都有新的漏洞出现没有足够的安全意识安全水平不足,完整的安全系统,建立安全产品防御体系,此闭环的循环周期（自愈能力）决定了安全水准 依靠产品可以快速建立起一定的防御体系 安全产品的选择将会影响到这一安全基本原则的建立和完善,安全产品的选择,建立安全产品防御体系,满足的网络安全防护的技术需求,考虑产品核心模式库之间的互通性,满足一致的安全策略的原则,防护类安全产品的选择_防火墙,建立安全产品防御体系,Internet,Hackers,Customers,Remote Offices,体系结构:于ASIC芯片的硬件体系结构 并发连接数 最大会话数 防拒绝服务攻击能力 防火墙管理:支持集中管理，实现策略的集中分发与控制，且其管理仿制支持通用网管接口，可被未来的安全统一管理平台所控制,防护类安全产品的选择_防病毒系统,建立安全产品防御体系,主要关注:产品体系的结构 病毒库及引擎的更新频率 体系结构角度 支持三层甚至多层的树状结构上层管理节点可对下层进行强制性的策略管理 病毒库及引擎的更新来看产品厂商的病毒跟踪和更新能力强 在多层网络环境下由根结点发起更新到全网更新时所需时间短,Internet,Virus Attack,防护类安全产品的选择_入侵检测,建立安全产品防御体系,一种重要的动态安全技术 与传统的静态防火墙技术共同使用，可以大幅度提高系统的安全防护水平 注重策略调整及报警条件设置,Internet,Probe,管理类安全产品的选择_安全审计系统,建立安全产品防御体系,对网络安全的主动分析及综合审计，主要包括主机类、网络类及数据库类的审计产品 具有Client/Server结构，便于不同级别的管理员通过客户端,针对不同的业务网段进行审计工作。可自动运行审计工作,降低管理员工作压力。针对审计结果给出的解决方法的可操作性。,管理类安全产品的选择_用户认证系统,建立安全产品防御体系,Radius 认证802.1x,防护类安全产品的选择_日志管理系统,建立安全产品防御体系,了解潜在非法用户（内部及外部）对资源非法访问的最好途径。建立一个日志的集中分析系统，可帮助运营商有效地建立和完善安全系统的预警机制。可独立集中地将整网日志收集到日志服务器，确保日志信息的完整和不被破坏。可对收集的日志进行实时或准实时的分析，针对电信领域有特定规则。分析原则不应仅限于单独设备日志内容的分析，应结合网络结构，进行多种日志信息的相互关联。,安全策略是根本,建立完善灵活的安全策略,未制定安全策略,制定的安全策略不合理,不能及时调整安全策略,完善灵活的安全策略,健全的阿全管理制度,解决办法,