华北电网安全技术交流.ppt

华北电网调度中心安全技术交流,专业，所以值得信赖！,NSFocus Information Technology Co.Ltd.,绿盟科技 咨询设计部彭新春 2006年9月,提纲,电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介,计算机犯罪带来严重的经济损失,攻击目标和方式的多样化,每年发现的漏洞数量飞速上升,每年发现的漏洞数量飞速上升 2004年CVE全年收集漏洞信息1707条绿盟科技到到2005年底跟踪的漏洞也超过了2072条,黑客的职业化之路,不再是小孩的游戏，而是与 金钱挂钩职业入侵者受网络商人或商业间谍雇佣不在网上公开身份，不为人知，但确实存在。攻击者采用的技术不断深入和多样,我们面临新的安全威胁,攻击技术已经开始普及漏洞挖掘流程专业化，工具自动化。Zero-day的攻击无线安全/手机安全问题开始出现,高,低,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,回话劫持,擦除痕迹,臭探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,攻击者,入侵者技术,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,网络钓鱼,Google hacking,2005,攻击手法和入侵者技术趋势,SQL注入,为什么会不安全？,不可避免的因素技术发展的局限，系统在设计之初不能认识到所有问题TCP/IP协议在开发过程中并未主要考虑安全问题人类的能力有限，失误和考虑不周在所难免操作系统和应用程序在编码过程中难免引入Bug没有避免的因素系统实施过程中采用了默认配置而未针对实际情况进行定制和安全优化新的漏洞补丁跟踪、使用不及时拥有者的组织结构，管理和技术体系不够完善技术发展和环境变化使网络安全处于动态之中,电力企业在信息化过程中存在的现象,在我国电力企业中，信息部门未能受到应有的重视 信息部门在发电企业没有一个专门机构配置，没有规范的建制和岗位 信息化作为一项系统工程，需要专门机构来推进，需要企业各个部门相互配合 电力信息系统深入到电力生产和管理的全过程，涉及到电力生产各个层面2002年国家电网公司规范了信息网络安全管理从安全政策到安全技术措施等方面实施了电力安全计划的研究和试点计划经济模式下形成的电力企业条块分割、信息闭塞、效率低下的管理体制已不能适应当前的要求电力企业需要启动一轮企业管理革新，从企业战略出发，实行业务调整、流程梳理与优化，引入信息技术的支持,电力企业在信息化过程中存在的问题,生产控制自动化的先进性与管理信息化的滞后性并存 信息化基础设施相对完善 电力营销管理系统得到广泛应用信息化机构建设尚需进一步健全 信息安全管理是电力企业信息化重点电力系统信息化缺乏系统性 电力企业在不同时期不同部门为了满足业务需要进行了一系列信息系统建设各系统之间缺乏联系，信息不共享，业务不能协同开展，对企业管理决策的作用十分有限 缺乏统一的标准体系尚未制定统一的信息化标准体系，电力企业内部信息系统的信息编码、技术标准、规范也不统一 影响了企业内部、上下级企业之间信息的共享与交互 造成企业内部“信息孤岛”无处不在、系统不能集成、资源不能共享的局面，严重制约企业信息化建设和应用,电力行业信息化特点,电力行业是国民经济的基础产业，是保障生活生产秩序正常运行的基础行业!与其他行业相比，发电企业具有分散控制、统一联合运行的特点建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立，网上应用着各种电力业务及办公系统电力信息网络系统的网络安全问题愈来愈显得重要目前主要采取了物理隔离、防火墙和防病毒软件,电网安全关系国家发展命脉,2001年8月份，中国电力信息中心的服务器就曾受到了SirCam、Code Red两种病毒的攻击，对信息系统的正常运行造成了很大影响2003年，美加8.14停电事件造成负荷损失6180万千瓦，停电范围9300多万平方公里，受影响居民5000万人以上，造成增加巨大的经济损失和社会影响2004年，中国出现大面积的“电荒”，拉闸限电等影响人民生活、工业生产的现象屡见不鲜带给我们的启示加快信息化建设，实行统一调度，协调配合，提高防御事故的能力加快建立和完善重大电网事故的应急处理机制,电力企业信息系统安全分析,网络拓扑逻辑上为星型+树状结构由主干网、区域网、省内网和地区网四级组成各级网络有分支网络和主节点各级信息中心为电力系统全行业提供信息服务安全分析物理层：硬件设备和通信链路的安全网络层：相对的内/外网结构；面临拒绝服务、信息窃取、网络瘫痪等威胁应用层：应用软件的缺陷、网络病毒的侵害系统层：系统自身的重大漏洞管理层：安全管理的不完善、安全组织的缺乏,电力二次系统安全防护总体示意图,电力企业具体风险分析,电力行业网络安全分析主要考虑点,1,2,3,4,网络结构设计是否层次分明、分级管理、统一规划的网络接入是否考虑防止多个接入点存在内部各VLAN或区域之间边界划分是否合理，在网络节点互连互通是否根据实际需求进行严格访问控制是否对关键业务系统和非关键业务系统进行逻辑隔离；是否采用QoS的多种技术来优化网络系统是否具备网络异常流量分析及发现机制IP地址规划是否合理。路由协议是否采用安全的配置,是否存在帐号、口令、文件属性等安全问题是否具备有效的、统一漏洞发现、解决机制是否具有服务器的冗余备份机制应用系统是否具有访问验证机制是否具有应用滥用等问题,终端系统是否存在系统漏洞，是否及时修补了。是否具有终端统一管理策略和统一策略下发机制。是否具有终端防病毒体系。是否具有终端访问外网的限制措施,“三分技术，七分管理”安全管理机制是否应及时完善。是否具有统一安全管理部门或组织。是否具有安全巡检、安全事件处罚等措施。是否具备统一安全管理策略和制度下发机制。是否具备有效的应急响应流程和方法。,网络,主机,终端,管理,提纲,电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介,信息安全体系架构示例,核心,保障,支撑,明确的安全组织体系统一的安全管理策略积极防御、综合防范,如何合理有效的建立安全体系,从安全理论出发安全标准-体系架构-安全策略-控制措施适合集团或总公司进行这方面的工作从安全实践出发发现问题-控制措施-形成体系-持续改进适合省、地市级电网公司针对特定网络/系统进行安全建设,从实践出发的安全建设过程,分析安全风险外部风险评估（委托评估）内部风险评估（自评估）明确安全需求根据风险评估提炼需求根据日常实践提出需求部署安全产品从风险管理角度进行设计多种技术综合使用、全面防护建设安全管理中心对各类安全产品和技术的综合分析进行持续性风险管理和改进,全面风险评估与安全咨询,方案设计,风险评估,1,2,安全规划,资产评估威胁评估脆弱性评估风险评估,安全域与边界整合终端管理与控制安全产品部署安全加固,一期建设计划,安全域划分,安全产品部署,安全加固实施,安全战略,Filter/Prioritize,安全培训,体系建设,安全规划,3,4,安全策略安全制度安全流程安全考核办法,一期规划二期规划三期规划,安全规划,二期建设计划,安全预警服务,安全维护服务,安全监控服务,安全策略推行,安全规划,三期建设计划,安全策略落实,安全运营中心的搭建,安全培训,安全培训,建设信息安全管理体系（ISMS）,制度建设,考核,结合电网公司的安全管理现状，针对电力行业业务网络的相关组织、管理策略部分进行必要的建设和加强！,绿盟科技安全设计方法论,安全体系模型NISFIATFPDR安全技术标准ISO 15408ISO15852GB 50173安全管理标准ISO 17799ISO 27001ISO 13335工程服务标准SSE-CMMITIL,安全域划分CIA评价法威胁类型分析物理攻击主动攻击被动攻击内部越权攻击分发攻击层次风险分析物理网络系统应用管理,分级安全策略等级保护原则参照安全标准体系分步实施策略短中长期安全目标实施过程规划选型策略技术选择厂商选择产品选择,多安全能力评估防护检测（响应）恢复安全组织建设组织设置人员职责人员管理安全管理体系（ISMS）制度建设风险管理,提纲,电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介,安全原理,安全和复杂性成正比，安全和可用性通常成反比,安全两难,相对安全,木桶原理,2/8法则,蝴蝶效应,世界上只有相对安全，而没有完美无缺的绝对安全,安全性取决于整个体系防护最弱的地方,安全性的80%的成果，来自于20%的投入。集中处理已知的和最可能的威胁比花费精力处理未知的和不大可能的威胁更有用（2/8法则）,一个微小的疏忽，如果不加以及时注意，有可能会给整个安全防护体系带来非常大的危害,安全技术产品安防体系的基本保证,网络安防更需要完善的整体防卫架构,防火墙,访问控制,防病毒,入侵检测,虚拟专用网,漏洞评估,安全防护是一个过程,安全防护是一个周而复始、循环上升的过程,100%安全的网络是不存在的；安防系统需要不断的变化和调整；安防工作是循序渐进、不断完善的过程。,安全技术产品选型,以需求为导向，选择最适合需求的产品 对于产品的选型，可参考各类产品的指标来源 按照实际需求定制相应的测试方案考虑案例应用,电力系统安全防护技术,1 备份与恢复2 防病毒措施3 防火墙4 入侵检测/保护5 主机防护6 数字证书与认证7 专用安全隔离装置8 IP认证加密装置9 WEB服务的使用与防护10 Email的使用,11 远程拨号访问12 计算机系统本地访问控制13 线路加密设备14 安全“蜜罐”诱骗15 应用程序安全16 关键应用系统服务器安全增强17 安全审计,防火墙的基本概念,防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,防火墙的主要技术种类,应用层代理技术(Application Proxy)包过滤技术(Packet Filtering)状态包过滤技术(Stateful Packet Filtering),数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,防火墙包过滤技术的基本原理,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,防火墙应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,防火墙的用途,控制对网点的访问和封锁网点信息的泄露能限制被保护子网的泄露具有审计作用能强制安全策略,防火墙不能防备病毒防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击限制有用的网络服务防火墙不能防止防火墙的攻击,防火墙的弱点,电力行业防火墙的部署,防火墙产品可以部署在安全区I与安全区II之间（横向），实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方，还需要考虑在调度数据接入处部署（纵向），以保证本地调度系统的安全。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。,防火墙产品的选型因素,网络结构适应性边界出口链路的带宽、数量的要求安全级别的不同对于设立多网段的要求应用系统适应性对特定应用的支持功能和性能对应用层信息过滤的要求对应用系统是否具有负载均衡能力关键的性能指标吞吐量、丢包率、延迟、背靠背、最大并发连接数、每秒新建立连接数可靠性、可用性和易用性冗余能力集中控管,作用安全域之间的有效隔离严格的访问控制,入侵检测系统的概念,防火墙不能彻底消除网络入侵的威胁；入侵检测系统(IDS：Intrusion detection system)用于监控网络和计算机系统被入侵或滥用的征兆；IDS系统以后台进程的形式运行，发现可疑情况，立即通知有关人员；IDS是监控和识别攻击的标准解决方案，是安防体系的重要组成部分；假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。,形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。,入侵检测系统图示说明,入侵检测系统的主要类型,主机入侵检测系统Host Intrusion Detection网络入侵检测系统Network Intrusion Detection,网络入侵检测系统的概念,NIDS（Network Intrusion Detection System）网络入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。网络入侵检测技术是动态安全技术的最核心技术之一。,入侵检测系统的作用,实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理,网络入侵检测系统的工作原理,1、捕获数据包2、分析数据包3、检测、匹配数据包4、响应,网络入侵检测系统与防火墙,1、所在的位置不同2、防范的方向不同3、检测的细粒度不同,所在的位置不同,防火墙是安装在网关上，将可信任区域和非可信任区域分开，对进出网络的数据包进行检测，实现访问控制。一个网段只需要部署一个防火墙。而NIDS是可以装在局域网内的任何机器上，一个网段内可以装上数台NIDS引擎，由一个总控中心来控制。,防范的方向不同,防火墙主要是实现对外部网络和内部网络通讯的访问控制，防止外部网络对内部网络的可能存在的攻击。网络入侵检测系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护，防止内外部的恶意攻击和网络资源滥用。,检测的细粒度不同,防火墙为了实现快速的网络包转换，故只能对网络包的IP和端口进行一些防黑检测，比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵，防火墙是毫无办法。而网络入侵检测系统则可以拥有更多特征的入侵数据特征库，可以对整个网络包进行检查过滤。,入侵检测系统与防火墙图示说明,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,防火墙与NIDS联动,时间,Dt-检测时间,Pt-防护时间,Rt-响应时间,Pt-防护时间,+,多样的入侵响应方式,报警信息,典型部署企业内部安装,Firewall,监控中心,router,典型部署广域网应用,监控中心（辅）,监控中心（主）,电力行业入侵检测IDS的部署,IDS系统的主要功能包括：实时检测入侵行为，事后安全审计 对于安全区I与II，建议统一部署一套IDS管理系统。考虑到调度业务的可靠性，采用基于网络的入侵检测系统（NIDS），其IDS探头主要部署在：安全区I与II的边界点、SPDnet的接入点、以及安全区I与II内的关键应用网段。其主要的功能用于捕获网络异常行为，分析潜在风险，以及安全审计。对于安全区III，禁止使用安全区I与II的IDS，建议与安全区IV的IDS系统统一规划部署。,如何更有效防御攻击？,入侵保护系统IPS,入侵检测系统IDS,IDS,IPS,传统的安全技术,网络访问控制不能有效检测并阻断夹杂在正常流量中的恶意攻击代码 无法发现内部网络中的攻击行为,防火墙的局限,入侵检测系统的不足,检测恶意流量，发现攻击行为旁路部署，无法有效阻断攻击亡羊补牢，侧重安全状态监控,网络入侵保护系统IPS解决什么问题？,攻击防护,防御黑客攻击防御蠕虫、网络病毒防御拒绝服务攻击防御间谍软件,管理控制,控制IM即时通讯控制P2P下载控制网络在线游戏控制在线视频,IPS与IDS的不同：实时的保护,!,!,!,!,!,!,IDS/IPS混合防护方案,目标客户,分层防护，监控与防护相结合，更完善 在线NIPS模式、旁路NIDS模式相配合IDS旁路部署，无法阻断攻击，亡羊补牢，侧重安全状态监控，注重安全审计IPS在线部署，精确检测出恶意攻击流量；主动防御、实时有效的阻断攻击；侧重访问控制，注重主动防御,设计要点,入侵检测/保护产品的选型因素,攻击分析技术的要求新一代检测/防护技术的应用（协议识别、协议异常检测、攻击结果判定、拒绝服务检测等）攻击检测/防护覆盖面要求支持协议、攻击种类、新增规则、新增攻击检测类型检测类型和数目分析检测及时性要求规则至少应该保持每周一次的常规升级和随时的针对严重攻击的紧急升级 大数据量网络的要求基于硬件优化的线速入侵检测和防护可靠性、可用性及易用性,作用识别、检测/阻断攻击祢补防火墙的不足，对于上层应用协议的深层检测及解码分析,针对难以防范的拒绝服务攻击,1999年 Yahoo、ebay 被拒绝服务攻击，DDoS出现2001年 CERT 被拒绝服务攻击2002年 CNNIC 被拒绝服务攻击2002年 全球13台根 DNS 中有8台被大规模拒绝服务2002年，两省高考网上查分系统遭受拒绝服务攻击，无法完成网上招生工作,DDoS攻击的特点,危害巨大两台位于宽带网上的普通服务器就可以使目标瘫痪极易实施简单的设备，广为传播的免费工具软件难于防范甚至防火墙都经常成为被攻击目标难于追查需要电信级部门的紧密配合才有可能进行追查智能化IP欺骗技术,抗拒绝服务系统实现的效果,SYN Flood,UDP Flood,ACK Flood,DNS Flood,HTTP Get,连接耗尽,其他DDoS,抗拒绝服务系统,使拒绝服务攻击流不再对服务器造成威胁保证访问速度保证访问成功率,不全面的防御导致被攻击,SYN Flood,DNS Flood,连接耗尽,HTTP Get,SYN Flood,DNS Flood,连接耗尽,HTTP Get,全面与否，决定成败,DDoS攻击介绍SYN Flood,SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务,攻击者,受害者,伪造地址进行SYN 请求,不能建立正常的连接！,SYN Flood 攻击原理,攻击现象,方便的串联部署,应用场景,部署特色,采用Collapsar-D型的设备零安装，零配置，即插即用网络隐身，无IP地址配置,少量服务器小型网络防火墙,Server Group,WAN,WAN,Router,COLLAPSAR-D,Switch,旁路部署拓扑图,Router,WAN,Collapsar,-,D,Collapsar,-,D,Router,Server Group,Server Group,Server Group,Collapsar,-,P,Collapsar,-,P,可支持对更大流量的拒绝服务攻击防御完全解决单点故障对原有网络结构影响小,抗拒绝服务产品的选型因素,提供内部业务系统或网站的Internet出口，免遭到DDoS攻击。该防护措施使得网站不用购买额外的带宽或是设备，节省了大量重复投资，为客户带来了更好的投资回报率。DDoS防护不仅仅可以避免业务损失，还能够作为一种增值服务提供给最终用户，带来了新的利润增长点，也增强了其行业竞争能力。,作用,抵御拒绝服务攻击种类SYN Flood、UDP Flood/UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood、连接耗尽攻击防护的及时性要求本地技术支持的能力随时的针对严重攻击的紧急升级大数据量网络的性能要求基于专用芯片的硬件架构背景流和攻击流的集群分流成熟度和稳定程度灵活的部署模式,选型建议,“未雨绸缪”的漏洞管理,操作系统和应用漏洞能够直接威胁数据的完整性和机密性流行蠕虫的传播通常也依赖与严重的安全漏洞黑客的主动攻击往往离不开对漏洞的利用,99%of security breaches target known vulnerabilities for which there are existing countermeasures.CERT Coordination Center 事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。,对安全漏洞“未雨绸缪”的管理胜于“亡羊补牢”的修补,漏洞扫描技术,检测远程或本地系统安全脆弱性的一种安全技术,远程探测系统漏洞,远程扫描原理,漏洞管理中的问题,有新漏洞发布吗？,如何有效管理已经发现的漏洞？,检查起来太麻烦了，没空,怎么去查啊？,漏洞是动态有生命的,漏洞生命周期,漏洞扫描器的效果,提高系统健壮性杜绝蠕虫、病毒传播和破坏有效降低攻击的破坏程度减少管理员工作量,典型应用方式之一,平坦式部署,典型应用方式之二,分布式部署,漏洞扫描产品的选型因素,漏洞扫描技术漏洞管理的思想应用级漏洞的深入探测漏洞知识库检测最新漏洞数量定期更新速度部署方式软件、硬件分布、分级扫描速度报表输出和解决方案描述易用性自动化向导性本地化,作用自动化的定期脆弱性检测，降低管理员负担方便安全管理者跟踪、记录和验证脆弱性评估的成效，把问题的重要性和优先级进行分类,内网安全管理系统作用,阻止各种内网攻击 防止商业机密泄漏灵活内网资产管理 提高网络资源使用效率,内网安全管理系统部署,主动防御/自动修复技术基于主机入侵防御保护技术，发现并且阻断攻击行为；基于补丁与病毒库自动升级技术，修复系统存在的安全漏洞；采用网络准入控制技术，强制隔离不符合安全策略的设备的接入。智能化内网管理/行为监控资产自动收集技术发现各类资产变更，避免资产流失；配置强制技术，防止内网资源误用与滥用的发生。,部署模式,终端管理产品的选型因素,作用统一策略制定与下发补丁、软件、防病毒库的统一下发能力终端的安全防护（生产）终端的行为监控,需求侧重在哪个方面资产管理、软件分发，配置强制终端安全基线检测，基于区域的策略准入，基于终端的防火墙和入侵检测应用监控，非法外联监控、非法应用流过滤关注不同产品的核心技术优势是否与自身需求匹配桌面管理终端保护行为管理产品稳定性及售后服务能力,计算机病毒的概念,计算机病毒是指一段具有自我复制和传播功能的计算机代码，这段代码通常能影响计算机的正常运行，甚至破坏计算机功能和毁坏数据。,网络病毒的危害,破坏性强,传播性强,针对性强,扩散面广,传染方式多,病毒网络攻击的有效载体,网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。网络攻击的程序可以通过病毒经由多种渠道广泛传播攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查病毒的潜伏性和可触发性使网络攻击防不胜防许多病毒程序可以直接发起网络攻击植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统,病毒网络攻击的有效载体,网络的新威胁病毒+网络攻击,电力行业防病毒的部署,病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。病毒特征码要求必须以离线的方式及时更新。,防病毒产品的选型因素,关注对病毒的监控深度关注产品研发队伍水平不片面追求产品查毒的绝对数量 关注防毒产品的稳定、实用和高效性 不片面追求产品升级的绝对时间间隔 关注防毒产品的网络管理功能 尤其针对大规模部署的客户群关注防毒产品的售后服务,作用服务器、终端、邮件、网关防毒集中控制分级管理：统一升级、策略的制定及统一下发,电力行业的主机防护,安全配置 通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。安全补丁 通过及时更新系统安全补丁，消除系统内核漏洞与后门。主机加固 安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。,提纲,电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介,信息安全正确理念,信息安全不是目标，而是过程信息安全的本质是风险管理安全评估是风险管理的基础安全监控是风险管理的核心安全预警是风险管理的升华应急响应是风险管理的基石,安全风险评估,宏观讲，安全风险评估是安全保障工作的前提发现安全问题提出解决方案指导安全规划完善安全体系保障安全运行具体讲，安全风险评估是安全体系搭建工作的基础发现信息系统存在的脆弱性识别可能会遭受的各种威胁全面评估面临的安全风险,三种评估模式,检查评估,委托评估,安全风险评估,自评估,识别三种评估模式,目前存在的问题,空口令、简单口令、默认口令设置、长期不更换。点击进入危险的网站或链接。接收查看危险的电子邮件附件。系统默认安装，从不进行补丁升级。拨号上网，给个人以及整个公司建立了后门。启动了众多的不用的服务。个人重要数据没有备份。,兼职的安全管理员物理安全保护基本的安全产品简单的系统升级机房安全管理制度资产管理制度,超过70%的信息安全事件，如果事先加强管理，都可以得到避免,老生常谈信息安全如何做,信息安全,资源投入,需要采用何种安全技术及投入多少资源取决于三个基本因素:市场运作要求及政策法律法规要求 实现安全保障所需要的资源投入 安全性提高后，所节省或保护的信息价值,一个好的信息安全保障体系不是要弥补所有安全缺陷或采用最先进的安全技术,风险避免，风险降低，风险转移，风险接受,安全性,风险性,安全需求,高,高,低,安全风险,支出平衡点,风险管理=信息安全服务+信息安全管理,什么是信息安全,RISK,RISK,RISK,RISK,RISK,RISK,风险的构成,风险的降低,信息系统的风险管理,安全评估方法,3、在线分析,评估主要方法,2、勘察调研,6、渗透测试,4、安全扫描,5、人工审计,7、策略评估,1、问卷访谈,各评估方法的具体内容,网络系统信息收集网络拓扑设备与链路冗余ACL、路由表、VLAN划分网络流量与拥塞控制网络接口网络可用性安全技术措施（部署情况）网络系统事故案例,1,数据收集,系统应用信息收集漏洞情况账号口令情况安全策略配置安全技术措施情况（AV、SCANNER、SAS、终端管理等）事故案例,业务应用信息收集业务类型及用户数据处理流程数据安全管理业务系统安全功能业务事故案例业务拓展状况源代码,组织管理信息收集安全组织安全人员安全策略安全制度资产管理,2,3,4,各评估方法的具体内容,数据采集,评估工具采集-定量入侵检测漏洞扫描,人工审计采集-定量脚本提取ACL、路由表提取,问卷访谈采集-定性领导主管层技术管理层最终用户层,1,2,3,4,勘察调研采集-定性物理安全环境安全行为安全,安全评估服务,评估方法（技术）工具扫描渗透测试人工检查采样分析,评估方法（管理）问卷调查顾问访谈文档审核策略分析,安全加固服务,系统增强配置补丁安装口令帐户策略服务与端口安全增强日志审计能力增强远程管理安全改变维护方式修改登陆策略重要系统将进入安全管理服务定期 保护,安全加固主要面向主流操作系统、应用系统、网络设备进行。,紧急响应服务,协助处理突发的紧急安全事件，最大限度的降低造成的损失和影响成熟的紧急响应流程和预案7X24小时待命的应急响应团队远程紧急响应：1小时内响应，电话网络、支持，每8小时反馈一次响应简报本地紧急响应：4小时+路程时间，现场支持，协助中心运维人员进行处理 提供完整报告和事后一周的效果追踪服务病毒事件响应系统入侵事件响应网络故障事件响应拒绝服务攻击事件响应,紧急响应流程,提纲,电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介,公司概况,总部与研发中心：北京分公司：广州上海 沈阳 成都办事处华南区：深圳 长沙 福州 南宁 海口华东区：南京 杭州 南昌东北区：长春 哈尔滨西南区：重庆 昆明 贵阳西北区：西安 兰州 乌鲁木齐华中区：济南 武汉,成立于2000年4月，是中国首家专业安全服务公司。2006年，员工300余人，建立了22个分支机构。客户涵盖电信、移动、金融、政府、能源、企业等多个行业和全国除港澳台外的全部省市。参与了多项国内安全标准的制定，承担了多项国家安全研究课题的工作。拥有国内顶尖的安全专家和研发团队。,Highlights,中国安全技术研究的领导厂商,拥有顶级安全专家的独立安全研究部门NSForce，具备独立漏洞研究与发现能力，成果涵盖各主流厂商和系统。发现包括Microsoft、HP、CISCO、SUN、Juniper等多家厂商的31个严重安全漏洞。六年来一直维护国内最权威的安全漏洞库，数目已经超过9000条。核心技术出口美国，并在国内测评机构得到广泛应用。,强大的研发创新能力,保持每年一款新产品的推出原有产品每六个月进行一次升级,2000年,2001年,2002年,2003年,2004年,2005年,2006年,V5.0,V4.0,V4.0,V1.5,V5.0,V1.0,持续6年维护高达9088条权威中文安全漏洞库具备独立漏洞研究与发现能力，成果涵盖各主流厂商和系统核心技术出口美国，并在国内测评机构得到广泛应用,我们优异的安全产品,网络入侵检测/保护系统-冰之眼,远程安全评估系统(RSAS)-极光,抗拒绝服务系统(ADS)-黑洞,内网安全管理系统矩阵,深度检测网络异常行为，实时阻断攻击，及时告警响应并记录攻击证据，灵活控制网络流量，支持分级大规模部署。,定期远程检测网络资产的漏洞，量化展示资产风险，提供开放的漏洞管理流程。,对各种拒绝服务（包括DDoS)攻击进行检测、防御的专用硬件设备。,企业级桌面安全管理系统，能够对针对客户端的各种威胁进行防护；同时，能够对终端安全策略进行集中管理。,异常流量分析系统(FAS)-风动,对大中型网络中的流量进行分析，提取其异常信息并进行告警，以便网络管理人员能够及时发现异常流量并加以处理，避免损失。,专业服务保障能力,工程技术中心：具备各种资质和丰富项目经验，160余名技术人员提供全国的技术服务支持基础研究部：顶尖的底层技术研究专家提供后台支持采用自主开发的先进的安全检测工具完备的紧急事件响应过程和工具储备经过多年完善的基于SSE-CMM的安全服务方法论2002 第66届国际电工委员会年会(IEEE)2003 中国电信全国安全评估2004 春节联欢晚会2005 中国-东盟博览会 2001-2006 银河证券安全服务,人员储备,工具与过程,成功经验,我们领先的专业安全服务,部分服务用户中国电信中国移动中国联通银河证券华泰证券山东通信国家民政部国家质检总局湖北移动TOM.COM所获荣誉2003中关村最佳客户服务奖2003值得信赖的服务品牌2004值得信赖的服务品牌2005值得信赖的服务品牌2006值得信赖的服务品牌,NSPS,安全管理,安全评估安全管理认证辅导,安全咨询,早期预警服务威胁管理服务现场值守服务安全加固服务应急处理服务,安全培训,安全基础培训系统安全培训高级安全培训,绿盟科技的专业服务业务始于2000年，是中国最早成立的商业安全服务公司,绿盟科技-信息安全领导厂商,在全球范围内提供核心竞争力的的安全解决方案公司服务资质 国家安全服务二级资质国家级公共互联网应急处理试点单位ISO9001质量管理体系国际国内双认证国家网络与信息安全信息通报技术支持单位公司产品资质入侵检测产品EAL3认证中国国家信息安全产品测评认证中心认证中国国家公安部认证中国人民解放军安全产品测评中心认证国家保密局认证国际CVE兼容性认证20032006四次蝉联“中国信息安全值得信赖的安全服务品牌”“2005中国网络产品与技术调查”三项大奖 2005年度冰之眼入侵检测/保护产品包揽国内安全产品奖项的大满贯,定位,获奖荣誉,资质情况,行业客户,中国人民银行12省采用绿盟科技产品 中国农业银行6省采用了绿盟科技产品 电力行业中，绿盟科技的产品已在7个省得到了应用,中国电信/网通总部和10个省采用了绿盟科技的产品和服务 中国移动/联通总部和14省采用了绿盟科技的产品和服务,行业客户,内容回顾,电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介,绿盟科技 巨人背后的专家,谢谢！,销售经理 陈小钰 MSN：安全顾问 彭新春 MSN：,