網(wǎng)絡(luò)安全整體項(xiàng)目解決方案

網(wǎng)

絡(luò)

安

全

整

體

解

決

方

案神州

數(shù)

碼DCN產(chǎn)

品

規(guī)

劃

部王

景

輝服務(wù)中國(guó)神

州

數(shù)

碼

Digital

China1主

要

內(nèi)

容●

網(wǎng)

絡(luò)

安

全

建

設(shè)

原

則●

網(wǎng)

絡(luò)

安

全

體

系

結(jié)

構(gòu)

●P2DR模型●

網(wǎng)

絡(luò)

安

全

技

術(shù)●

不

同

行

業(yè)

中

應(yīng)

用

的

安

全

技

術(shù)神州數(shù)碼

DigitalChina服務(wù)中國(guó)2·

綜

合

性、

整

體

性

原

則·一

致

性

原

則·

易

操

作

性

原

則·

適

應(yīng)

性、

靈

活

性

原

則·多

重

保

護(hù)

原

則·

可

評(píng)

價(jià)

性

原

則網(wǎng)

絡(luò)

安

全

的

建

設(shè)

原

則·

需

求、

風(fēng)

險(xiǎn)、

代

價(jià)

平

衡的

原

則神州數(shù)碼

DigitalChina服務(wù)中國(guó)3邊的安安全管理三維安全體系結(jié)構(gòu)框架安全特性信息處理單元安

全

體

系

結(jié)

構(gòu)應(yīng)用層

表示層

會(huì)話層

傳輸層

網(wǎng)絡(luò)層

鏈路層

物理層數(shù)

數(shù)t據(jù)

據(jù)保

完

密

整可用性審計(jì)管理系統(tǒng)單元結(jié)構(gòu)層次解服務(wù)中國(guó)身份鑒別示可抵賴神

州

數(shù)

碼

DigitalChina控

制」訪

問(wèn)4●

Policy(安全策略)o

Protection(保

護(hù)

)Detection

(檢測(cè)

)o

Response(

響

應(yīng)

)P2DR模型的應(yīng)用神州數(shù)碼

DigitalChinaP2DR

模

型

的

組

成

部

分服務(wù)中國(guó)5RReaction安全

響

應(yīng)安全響應(yīng)相測(cè)Protect

P安全

保

護(hù)訪問(wèn)控制機(jī)制D入

侵

檢

測(cè)

機(jī)

制MPDRR

模

型安全模型MPDRR 7:;

:Recovery安全

恢

復(fù)備份與恢復(fù)機(jī)制Management安

全

管

理神州數(shù)碼

DigitalChina服務(wù)中國(guó)MR6安全需求與目標(biāo)神州數(shù)碼

DigitalChina安全體系建立相應(yīng)的安全集成/應(yīng)用開(kāi)發(fā)潛在的安全風(fēng)險(xiǎn)安全解決方案安全方案設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀安全服務(wù)依照風(fēng)險(xiǎn)制定出服務(wù)中國(guó)7·

物

理

層

安

全

風(fēng)

險(xiǎn)

分

析·

網(wǎng)

絡(luò)

層

安

全

風(fēng)

險(xiǎn)

分

析

·

應(yīng)

用

層

安

全

風(fēng)

險(xiǎn)

分

析

·

管

理

安

全

風(fēng)

險(xiǎn)

分

析安

全

風(fēng)

險(xiǎn)

分

析神州數(shù)碼

DigitalChina服務(wù)中國(guó)8物

理

層

安

全

風(fēng)

險(xiǎn)·

網(wǎng)

絡(luò)

的

物

理

安

全

風(fēng)

險(xiǎn)

主

要

指

網(wǎng)

絡(luò)

周

邊

環(huán)

境

和

物

理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成

網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的

前

提。

如

：一設(shè)備被盜、被毀壞—鏈路老化或被有意或者無(wú)意的破壞一因電子輻射造成信息泄露一設(shè)備意外故障、停電一地震、火災(zāi)、水災(zāi)等自然災(zāi)害神州數(shù)碼

DigitalChina服務(wù)中國(guó)9·

數(shù)

據(jù)

傳

輸

安

全·網(wǎng)

絡(luò)

邊

界安

全

·網(wǎng)

絡(luò)

設(shè)

備安

全網(wǎng)

絡(luò)

層

安

全

風(fēng)

險(xiǎn)

分

析神州數(shù)碼

DigitalChina服務(wù)中國(guó)10·由于在同級(jí)局域網(wǎng)和上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線路

之間存在被竊聽(tīng)的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也

存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，

造成泄密?！び捎谀壳吧袩o(wú)安全的數(shù)據(jù)庫(kù)及個(gè)人終端安全保

護(hù)措施

，

還不能抵御來(lái)自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)

庫(kù)及個(gè)人終端的攻擊。同時(shí)一旦不法分子針對(duì)

網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等

攻擊

，

都將造成十分嚴(yán)重的影響和損失

。神州數(shù)碼

DigitalChina數(shù)

據(jù)

傳

輸

安

全服務(wù)中國(guó)11·

嚴(yán)

格的

說(shuō)

網(wǎng)

絡(luò)

上

的

任

何

一

個(gè)

節(jié)

點(diǎn)，

其

它

所

有

網(wǎng)

絡(luò)

節(jié)

點(diǎn)

都

是

不

可

信

任

域，

都

可

能

對(duì)

該

系

統(tǒng)

造

成

一

定

的

安

全

威

脅

。網(wǎng)

絡(luò)

邊

界

安

全神州數(shù)碼

DigitalChina服務(wù)中國(guó)12·

網(wǎng)

絡(luò)

設(shè)

備

可

能

存

在

系

統(tǒng)

漏

洞·

網(wǎng)

絡(luò)

設(shè)

備

可

能

存

錯(cuò)

誤

的

配

置網(wǎng)

絡(luò)

設(shè)

備

的

安

全神州數(shù)碼

DigitalChina服務(wù)中國(guó)13·

以

CISCO

為

例

說(shuō)明

：一對(duì)于網(wǎng)絡(luò)設(shè)備本身訪問(wèn)認(rèn)證的攻擊一對(duì)于網(wǎng)絡(luò)設(shè)備運(yùn)行的專(zhuān)有操作系統(tǒng)攻擊一對(duì)于網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊一

不必要的IOS

服務(wù)或潛在的安全問(wèn)題—"Multiple

Vendor

SNMP

World

Writeable

CommunityVulnerability":對(duì)于已知的缺省SNMP

社區(qū)，任何用戶都可以進(jìn)

行

寫(xiě)入

或

讀

取

操

作?！?CiscoIOSHTTP%%Vulnerability":當(dāng)正在利用Web接口時(shí)，如果在普通的URL上加上特定的字符串時(shí)，將陷入DoS

狀態(tài)。-"CiscoRouterOnlineHelpVulnerability":在線幫助中顯示不

應(yīng)

泄漏的信息。網(wǎng)

絡(luò)

設(shè)

備

的

安

全

風(fēng)

險(xiǎn)服務(wù)中國(guó)神州數(shù)碼

DigitalChina14·

操

作

系

統(tǒng)

安

全

漏

洞·

數(shù)

據(jù)

庫(kù)

系

統(tǒng)

安

全

漏

洞系

統(tǒng)

層

安

全

風(fēng)

險(xiǎn)

分

析神州數(shù)碼

DigitalChina服務(wù)中國(guó)15·

操作系統(tǒng)(如Windows2000server/professional,

Windows

NT/Workstation

,

Windows

ME

,Windows

95/98、UNIX)、

服務(wù)器(如DOMINO)、數(shù)據(jù)庫(kù)(如SYBASE)

等產(chǎn)品可能會(huì)因?yàn)樵O(shè)計(jì)、編碼的原因存在各種各樣的安全漏洞(有已知的、

未知的),還可能留有隱蔽通道或后門(mén)?！げ僮飨到y(tǒng)(如NT、UNIX)、

服務(wù)器(如DOMINO)、

數(shù)據(jù)庫(kù)(如SQL、SYBASE、ORACLE)

等商用

產(chǎn)品本身安全級(jí)別較低。服務(wù)中國(guó)神州數(shù)碼

DigitalChina16·操作人員對(duì)系統(tǒng)功能、系統(tǒng)服務(wù)、數(shù)據(jù)庫(kù)管理

系統(tǒng)和Web

服務(wù)器等的誤操作或者配置，不可

避免會(huì)給信息網(wǎng)系統(tǒng)帶來(lái)一定的安全風(fēng)險(xiǎn)?！ぞW(wǎng)絡(luò)管理人員和用戶的終端極易感染病毒(如外來(lái)文件的拷貝

，

盜版軟件

，

從外部站點(diǎn)下載

的文件或應(yīng)用軟件的非法安裝等),而一旦感染病毒，就有可能造成整個(gè)系統(tǒng)感染病毒?！る娮余]件系統(tǒng)的郵件收發(fā)，極易感染惡意病毒

程序。病毒可肆意進(jìn)行刪除、篡改和拷貝操作，

從而導(dǎo)致巨大的危害。神州數(shù)碼

DigitalChina服務(wù)中國(guó)17·

身

份

認(rèn)

證

漏

洞·DNS

服務(wù)威脅·WWW

服務(wù)漏洞·電

子

郵

件

系

統(tǒng)

漏

洞應(yīng)

用

層

安

全

風(fēng)

險(xiǎn)神州數(shù)碼

DigitalChina服務(wù)中國(guó)18身

份

認(rèn)

證

漏

洞·

網(wǎng)

絡(luò)

服

務(wù)

系

統(tǒng)

登

錄

和

主

機(jī)

登

錄

使

用的

是

靜

態(tài)口

令，口

令

在

一

定

時(shí)

間內(nèi)

是

不

變

的，

且

在

數(shù)

據(jù)

庫(kù)

中

有

存

儲(chǔ)

記

錄，

可

重

復(fù)

使

用

。

這樣非法用戶通過(guò)網(wǎng)絡(luò)竊聽(tīng)，非法數(shù)據(jù)

庫(kù)

訪

問(wèn)，

窮

舉

攻

擊，

重

放

攻

擊

等

手

段

很

容

易

得

到

這

種

靜

態(tài)口

令，

然

后，

利

用口

令，可

對(duì)

業(yè)

務(wù)

系

統(tǒng)

和OA

系

統(tǒng)

中

的

資

源

非

法

訪

問(wèn)

和

越

權(quán)

操

作

。神州數(shù)碼

DigitalChina服務(wù)中國(guó)19DNS

服

務(wù)

威

脅·

Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了，極

大

的

靈

活

性。

幾

乎

所

有

的

網(wǎng)

絡(luò)

應(yīng)

用

均

利

用

域統(tǒng)

信

息、

推

導(dǎo)

出

可

能

的

網(wǎng)

絡(luò)

結(jié)

構(gòu)

等

?！だ纾掳l(fā)現(xiàn)的針對(duì)BIND-DNS

實(shí)現(xiàn)的安全漏

洞也開(kāi)始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在

類(lèi)

似的問(wèn)

題。

如

由

于DNS

查

詢

使

用

無(wú)

連

接

的UDP協(xié)

議，

利

用

可

預(yù)

測(cè)的

查

詢ID

可

欺

騙

域

名

服

務(wù)器給出錯(cuò)誤的主機(jī)名-IP對(duì)應(yīng)關(guān)系。神州數(shù)碼

DigitalChina名服務(wù)。但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系服務(wù)中國(guó)20·WebServer經(jīng)常成為Internet

用戶訪問(wèn)企業(yè)

內(nèi)

部

資

源

的

通

道

之

一，

如Web

server通過(guò)

中間件訪問(wèn)主機(jī)系統(tǒng)

，

通過(guò)數(shù)據(jù)庫(kù)連接部

件

訪問(wèn)

數(shù)

據(jù)

庫(kù)

，

利

用CGI訪

問(wèn)

本

地

文

件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但Web

服務(wù)器越來(lái)越復(fù)雜

，

其被發(fā)現(xiàn)的安全漏洞越來(lái)越多。為了防止Web

服務(wù)器成為攻擊的犧牲品或成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的跳板

，

我們需要給予更多的關(guān)心。神州數(shù)碼

DigitalChinaWWW

服

務(wù)

漏

洞服務(wù)中國(guó)21·電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件

應(yīng)

用。

內(nèi)

部

網(wǎng)

用

戶

可

夠

通

過(guò)

拔

號(hào)

或

其

它

方式進(jìn)行電子郵件發(fā)送和接收這就存在

被黑客跟蹤或收到一些惡意程序(如，

特

洛

伊

木馬、

蠕

蟲(chóng)

等

)

、

病

毒

程

序

等

，

由

于

許

多

用

戶

安

全

意

識(shí)

比

較

淡

薄，

對(duì)

一

些來(lái)歷不明的郵件

，

沒(méi)有警惕性

，

給入

侵者提供機(jī)會(huì)

，

給系統(tǒng)帶來(lái)不安全因至

素

。22電

子

郵

件

系

統(tǒng)

漏

洞神州數(shù)碼

DigitalChina服務(wù)中國(guó)·

再

安

全的

網(wǎng)

絡(luò)

設(shè)

備

也

離

不

開(kāi)

人

的

管

理

，

再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)

，

因

此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一

環(huán)

，

尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的

網(wǎng)絡(luò)

，

更是如此

。

因此我們有必要認(rèn)真

的分析管理所帶來(lái)的安全風(fēng)險(xiǎn)

，

并采取

相應(yīng)的安全措施

。安

全

管

理神州數(shù)碼

DigitalChina服務(wù)中國(guó)23ApplicationPresentationSessionTransportNetworkData

LinkPhysical安全管理應(yīng)用層安全技術(shù)系統(tǒng)層安全技術(shù)網(wǎng)絡(luò)層安全技術(shù)物理層安全技術(shù)神州數(shù)碼

DigitalChinaOSI

七

層

參

考

模

型服務(wù)中國(guó)24ApplicationPresentationSessionTransportNetworkData

LinkPhysicalGAP

技術(shù)(物理隔離)物理設(shè)備的冗余和備份防電磁輻射、抗靜電等等物

理

層

安

全

技

術(shù)服務(wù)中國(guó)神州數(shù)碼

DigitalChina25·雙機(jī)

雙網(wǎng)·雙硬盤(pán)隔離卡

·單硬盤(pán)隔離卡·安全網(wǎng)閘物

理

隔

離

技

術(shù)神州數(shù)碼

DigitalChina服務(wù)中國(guó)26ApplicationPresentationSessionTransportNetworkData

LinkPhysical防火墻技術(shù)VPN

技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)設(shè)備的安全性增強(qiáng)技術(shù)網(wǎng)

絡(luò)

層

安

全

技

術(shù)神州數(shù)碼

DigitalChina服務(wù)中國(guó)27ApplicationApplication

Layer

GatewayPresentation(Proxy)—Application

LevelSessionTransportNtetworkPacket

Filtering—

NetworkLevelStatefulInspectionData

Link—

BeforeNetworkLevelPhysical防

火

墻

分

類(lèi)服務(wù)中國(guó)神州數(shù)碼

DigitalChina28包

過(guò)

濾

防

火

墻

的

優(yōu)

點(diǎn)

)·

Pros—

Inexpensive一

Application

Transparency一Quickerthan

applicationlayergatewaysApplicationPresentationSessionTransportNetworkData

LinkPhysicalPacketFiltering

(神州數(shù)碼

DigitalChina服務(wù)中國(guó)29包

過(guò)

濾

防

火

墻

的

缺

點(diǎn)

)1C

ss

to

packetheader·Limitedscreeningabove·

yil

to

nSubjecttoIP

SpoofingeortingigumaginforlogcoinfatetoateultulqupeciadffianInDim··ityerLimitedabnetwork

latedacceSecurityLimiLnoswApplicationPresentationSessionTransportNetworkData

LinkPhysicalPacket

Filtering(神州數(shù)碼

DigitalChina服務(wù)中國(guó)30Layer

Gateway的

優(yōu)

點(diǎn)·

Pros—

Good

Security—

Fullapplication-layerawarenessApplicationPresentationSessionTransportNetworkData

LinkPhysicalApplication神州數(shù)碼

DigitalChina服務(wù)中國(guó)31LayerGateway的

缺

點(diǎn)●

Cons一

Stateinformationpartial..一PoorScalability—

DetrimentalPerformance—

ProxiescannotprovideforUDP...—

Mostproxiesnon-transparent—

VulnerabletoOS...—Overlookslowerlevelinfo—

ExpensiveperformancecostApplicationPresentationSessionTransportNetworkData

LinkPhysicalApplication神州數(shù)碼

DigitalChina服務(wù)中國(guó)32ApplicationPresentationSessionTransport

etwork

Data

LinkPhysical—

Good

Security—

FullApplication-layerawareness—

HighPerformance一Scalability—

Extensible—

TransparencyStateful

Inspection的

特

點(diǎn)神州數(shù)碼

DigitalChina服務(wù)中國(guó)33防

火

墻

功

能·訪問(wèn)控制功能·NAT

功

能·

PAT

功能·

流

量

管

理

功能·地址綁

定·雙機(jī)熱備和負(fù)載均衡·支

持

入

侵

檢

測(cè)·支持動(dòng)態(tài)路由·支持身份認(rèn)證等等神州數(shù)碼

DigitalChina服務(wù)中國(guó)34動(dòng)

態(tài)

防

火

墻

安

全

模

型·Policy

網(wǎng)絡(luò)訪問(wèn)控制策略的制訂·Protection——傳統(tǒng)防火墻，可以定義防火

墻

允

許

流

過(guò)

的

服

務(wù)

數(shù)

據(jù)，

定

義

基

本

的

訪

問(wèn)

控制限制·Detection——

實(shí)

時(shí)

入

侵

檢

測(cè)

系

統(tǒng)，

可以

動(dòng)

態(tài)地發(fā)現(xiàn)那些透過(guò)防火墻的入侵行為·Response

根

據(jù)

發(fā)

現(xiàn)

的

安

全

問(wèn)

題，

在

統(tǒng)

一

策

略

的

指

導(dǎo)

下，

動(dòng)

態(tài)

地

調(diào)

整

防

火

墻神州數(shù)碼

DigitalChina服務(wù)中國(guó)35DetectionIDS

主

機(jī)識(shí)別出攻擊行為動(dòng)

態(tài)

防

火

墻

安

全

模

型驗(yàn)證報(bào)文并采取措施Prdtecidr管碼eatthinaResponse阻斷連接或

者報(bào)警等發(fā)起攻擊HostA

Host

B

Host示

例入

侵

檢

測(cè)

控制臺(tái)受保護(hù)網(wǎng)絡(luò)服務(wù)中國(guó)Policy返回黑

客InternetC36Intranet省

局各電廠神州數(shù)碼

DigitalChina方

火

墻

配

置

方

案移動(dòng)辦公用戶各地市局服務(wù)中國(guó)37·

入侵的定義破壞系統(tǒng)資源可用性、完整性和保密性的行為·入侵檢測(cè)系統(tǒng)的定義檢測(cè)侵入系統(tǒng)或非法使用系統(tǒng)資源行為的系統(tǒng)·機(jī)理：基于某種策略或規(guī)則推理的方法知識(shí)庫(kù)方法模式匹配方法自學(xué)習(xí)的方法·響應(yīng)機(jī)制：日志、報(bào)警、通訊阻斷、事后審計(jì)38入侵檢測(cè)技術(shù)

IntrusionDetectionSystem神州數(shù)碼

DigitalChina服務(wù)中國(guó)IDS

的

分

類(lèi)·按

數(shù)

據(jù)

源

：基于主機(jī)IDS:數(shù)據(jù)源來(lái)自單個(gè)主機(jī)--文件系統(tǒng)、帳

戶

系

統(tǒng)

、

進(jìn)

程

分

析分

布

式IDS:

多

主

機(jī)

系

統(tǒng)基于網(wǎng)絡(luò)IDS:網(wǎng)絡(luò)數(shù)據(jù)--數(shù)據(jù)包分析和嗅探器技術(shù)

·按

數(shù)

據(jù)

處

理

方

式

：一單包分析與上下文分析·

按

模

型

：一異常

(anomaly)檢測(cè)模型----偏離正常的行為檢測(cè)

一

違

規(guī)

(misuse)檢

測(cè)

模

型

-

-

-

-

-

具

有

入

侵

特

征

或

利

用

系統(tǒng)漏洞的行為檢測(cè)神州數(shù)碼

DigitalChina服務(wù)中國(guó)39按服務(wù)劃分·監(jiān)視E-Mail攻擊·

監(jiān)視Web攻擊·監(jiān)視遠(yuǎn)程過(guò)程攻擊

·

監(jiān)視NFS攻擊·

監(jiān)視FTP攻擊·

監(jiān)

視Telnet

攻

擊·監(jiān)視非授權(quán)網(wǎng)絡(luò)傳輸按技術(shù)途徑劃分

·監(jiān)視口令攻擊·監(jiān)視掃描攻擊·監(jiān)視特洛伊攻擊·監(jiān)視拒絕服務(wù)攻擊

·監(jiān)視防火墻攻擊·

監(jiān)

視daemon

攻

擊·監(jiān)視非授權(quán)網(wǎng)絡(luò)訪問(wèn)兵

備

的

致

擊

檢

測(cè)

能

J神州數(shù)碼

DigitalChina服務(wù)中國(guó)40內(nèi)部網(wǎng)Internet網(wǎng)

絡(luò)

入

侵

檢

測(cè)

示

意

圖網(wǎng)

絡(luò)

入

侵

檢測(cè)控制臺(tái)神州數(shù)碼

DigitalChina入

侵

檢

測(cè)引擎服務(wù)中國(guó)41什

么

是VPNVPN,英文全稱是virtual

Private

Network,中文名稱一般稱為虛擬專(zhuān)用網(wǎng)或虛擬私有網(wǎng)。

它指的是以公密

和

驗(yàn)

證

網(wǎng)

絡(luò)

流

量

來(lái)

保

護(hù)

在

公

共

網(wǎng)

絡(luò)

上

傳

輸

的

私

有

信息k

似于私有網(wǎng)神州數(shù)碼

Digital

Chinarivate

Networ被竊取和篡改，(P會(huì)絡(luò)不用開(kāi)放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，

通過(guò)加VPN

概

述服務(wù)中國(guó)42●

數(shù)

據(jù)

機(jī)

密

性

保

護(hù)●

數(shù)

據(jù)

完

整

性

保

護(hù)●

數(shù)

據(jù)

源

身

份

鑒

別●

數(shù)

字

簽

名VPN

功

能神州數(shù)碼

DigitalChina服務(wù)中國(guó)43邊界路由器

InternetIntenet區(qū)域●●●●PSTN數(shù)

據(jù)

機(jī)

密

性

保

護(hù)明文傳輸密文傳輸WWW

Mail

DNSSSN區(qū)域神州數(shù)碼

DigitalChina服務(wù)中國(guó)DDN/FRX.25專(zhuān)線內(nèi)部工作子網(wǎng)撥號(hào)服務(wù)器內(nèi)部WWW重點(diǎn)子網(wǎng)管理子網(wǎng)明文傳輸下屬機(jī)構(gòu)般子網(wǎng)44對(duì)原始數(shù)據(jù)包進(jìn)行Hash對(duì)原始數(shù)據(jù)包進(jìn)行加密原始數(shù)據(jù)包加密后的數(shù)據(jù)包

摘要數(shù)據(jù)完整性保護(hù)與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性原始數(shù)扶摘要加密后的數(shù)據(jù)包內(nèi)部wwW般子網(wǎng)加密后的數(shù)據(jù)句摘要解密原始數(shù)據(jù)包DDN/FRX.25專(zhuān)線加密后的數(shù)據(jù)包服務(wù)中國(guó)內(nèi)部工作子網(wǎng)Hash加密管理子網(wǎng)重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)摘要摘要Hash45DsS得到數(shù)字簽名Hash

摘要加密將數(shù)字簽名附在原始包

后面供對(duì)方驗(yàn)證簽名8

0-

日原始數(shù)據(jù)包原始數(shù)據(jù)包內(nèi)部wWW般子網(wǎng)管理子網(wǎng)數(shù)

據(jù)

源

身

份

認(rèn)

證兩摘要相比較相等嗎?原始數(shù)據(jù)包摘要取出DSS解密服務(wù)中國(guó)對(duì)原始數(shù)據(jù)包進(jìn)行HashDDN/FRX.25專(zhuān)線DSSDSs肉部工作子網(wǎng)原始數(shù)據(jù)包驗(yàn)證通過(guò)重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)摘要私鑰HashDSSDSS46VPN

的

應(yīng)

用

示

意

圖Windows客

戶

端受

保

護(hù)

子網(wǎng)控制

中心副

品路

由器品品路

由器VPN

概

述VP

N

移動(dòng)

客

戶服務(wù)中國(guó)神

州

數(shù)

碼

Digital

China受

保

護(hù)

子

網(wǎng)VPN網(wǎng)關(guān)VPN

網(wǎng)

關(guān)Internet●●二

二●

●a

●●

●447●●●●一VPN的

組

成·VPN

網(wǎng)

關(guān)·VPN

客戶

端

軟

件·

集

中

管

理

軟

件

或

控

制

中

心神州數(shù)碼

DigitalChina服務(wù)中國(guó)48·

從

全

網(wǎng)

角

度

考

慮，

在

保

證

全

網(wǎng)

路由

暢

通

的

基

礎(chǔ)

之

上，

通

過(guò)

安

全

配

置

路由

器

、

交換

機(jī)

等

網(wǎng)

絡(luò)

設(shè)

備

改

進(jìn)

整

個(gè)

網(wǎng)

絡(luò)

的

安

全

性

。網(wǎng)

絡(luò)

設(shè)

備

的

安

全

性

增

強(qiáng)神州數(shù)碼

DigitalChina服務(wù)中國(guó)49以

路

由

器

為

例

說(shuō)

明Global服務(wù)配置---通過(guò)考察骨干節(jié)點(diǎn)上的骨干路由器配置

情

況，

結(jié)

合

實(shí)際

需

求，

打

開(kāi)

某

些

必

要的

服

務(wù)

或

是

關(guān)Interface

服務(wù)配置---根據(jù)制定好的基本配置方案對(duì)路由

器進(jìn)行配置檢查，刪去某些不必要ip

特性，諸如：noipredirectsno

ip

drected-broadcastCDP

配置根據(jù)ISP網(wǎng)絡(luò)的特點(diǎn)，以及制定好的方案，配置路由器的CDP。banner,隱藏路由器系統(tǒng)真secret來(lái)加密secret□令。神州數(shù)碼

Digital

ChinaLoginBanner配置修改login

實(shí)信息。Enablesecret配置使用enable

等

等閉一些不必要的服務(wù)。例如：no

service

fingernoservice

pad等●●···

·服務(wù)中國(guó)50·

操

作

系

統(tǒng)

的

安

全

性

增

強(qiáng)

技

術(shù)·

數(shù)

據(jù)

庫(kù)

系

統(tǒng)

的

安

全

性

增

強(qiáng)

技

術(shù)·基于主機(jī)的入侵檢測(cè)技術(shù)·

漏

洞

掃

描

技

術(shù)(

針

對(duì)

操

作

系

統(tǒng)

和

數(shù)

據(jù)

庫(kù)

)系

統(tǒng)

層

的

安

全

技

術(shù)神州數(shù)碼

DigitalChina服務(wù)中國(guó)51基

于

主

機(jī)

的

入

侵

檢

測(cè)·基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查、非法訪問(wèn)的闖入等，并且提供對(duì)典型應(yīng)用的監(jiān)·

個(gè)原理：計(jì)算機(jī)系統(tǒng)上的攻擊和正常的系統(tǒng)活動(dòng)有著顯著的不同。

一個(gè)系統(tǒng)入侵者所表現(xiàn)出的行為模式不同于合法用戶的正常行為。入侵檢測(cè)的工作就是通過(guò)分析現(xiàn)有系統(tǒng)提供的眾多信息來(lái)檢測(cè)那些異常于這樣器應(yīng)用基務(wù)測(cè)服侵檢Web入如機(jī)，主視模式

。神州數(shù)碼

DigitalChina服務(wù)中國(guó)52基

于

主

機(jī)

的

入

侵

檢

測(cè)

示

意

圖主機(jī)入侵檢測(cè)控制合Internet神州數(shù)碼

DigitalChina探測(cè)引擎服務(wù)中國(guó)內(nèi)部網(wǎng)53漏

洞

掃

描

技

術(shù)·

從

原

理

上

講，

網(wǎng)

絡(luò)

漏

洞

檢

測(cè)

就

是

模

擬

攻

擊者的角度

、

攻擊的方法和手段并結(jié)合

漏洞知識(shí)庫(kù)進(jìn)行掃描和檢測(cè)，也就是說(shuō)

網(wǎng)絡(luò)漏洞檢測(cè)是通過(guò)掃描工具發(fā)出模擬

攻擊檢測(cè)包

，

然后偵聽(tīng)檢測(cè)目標(biāo)響應(yīng)來(lái)

收集信息和判斷網(wǎng)絡(luò)中是否存在漏洞。

檢測(cè)范圍包括所有的網(wǎng)絡(luò)系統(tǒng)設(shè)備：

服務(wù)器

、

防火墻

、

交換機(jī)

、

路由器等網(wǎng)絡(luò)

中所有設(shè)備及主機(jī)

。神州數(shù)碼

DigitalChina服務(wù)中國(guó)54內(nèi)部網(wǎng)Internet其他合作的外部網(wǎng)絡(luò)掃描防火墻掃描內(nèi)部網(wǎng)Web服務(wù)器

DNS服務(wù)器掃描Web服務(wù)器漏

洞

掃

描

示

意

圖網(wǎng)絡(luò)掃描器控制臺(tái)神州數(shù)碼

DigitalChina服務(wù)中國(guó)55·對(duì)所有網(wǎng)絡(luò)中的附屬設(shè)備進(jìn)行掃描，檢查來(lái)自通訊、服務(wù)、防火墻、WEB

應(yīng)用等的漏洞；·其掃描對(duì)網(wǎng)絡(luò)不會(huì)做任何修改和造成任何危害；·

生

成

針

對(duì)

企

業(yè)

決

策

人、

部

門(mén)

管

理

人

員以

及

技

術(shù)

人員等不同管理對(duì)象的報(bào)告，報(bào)告中詳細(xì)說(shuō)明

了每個(gè)漏洞的危害及補(bǔ)救辦法；·網(wǎng)絡(luò)的漏洞掃描可以按安全級(jí)別實(shí)施，評(píng)估安

全級(jí)別越高，達(dá)到的安全程度越高。神州數(shù)碼

DigitalChina漏

洞

掃

描

產(chǎn)

品

的

功

能服務(wù)中國(guó)56ApplicationPresentationSessionTransportNetworkData

LinkPhysical身份認(rèn)證技術(shù)防病毒技術(shù)應(yīng)用服務(wù)器的安全增強(qiáng)技術(shù)應(yīng)

用

層

安

全

技

術(shù)神州數(shù)碼

DigitalChina服務(wù)中國(guó)57emallVPNwebEDIPKI

的

引

入$SLeayments服務(wù)中國(guó)神州數(shù)碼

DigitalChinaPKI

isatthe

heart

ofe-businessapplicationsPIGnetprnssSAMIEIPSecSET58基

礎(chǔ)PKI

策

略軟硬件系統(tǒng)PKI

應(yīng)

用服

務(wù)

實(shí)

體證書(shū)機(jī)構(gòu)CA

注冊(cè)機(jī)構(gòu)RA

證書(shū)發(fā)布系統(tǒng)PKI組

成

框

圖神州數(shù)碼

DigitalChina服務(wù)中國(guó)59·一個(gè)

典

型

的CA系

統(tǒng)

包括安全服務(wù)器、注

冊(cè)機(jī)構(gòu)RA

、CA服務(wù)

器、LDAP目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。用戶申請(qǐng)業(yè)務(wù)受理注冊(cè)機(jī)構(gòu)RA

CA.服務(wù)器典

型CA

框

架

圖數(shù)據(jù)庫(kù)服務(wù)器LADP服務(wù)器證書(shū)下載或查詢神州數(shù)碼

DigitalChina服務(wù)中國(guó)數(shù)據(jù)庫(kù)服務(wù)器

LADP服務(wù)器安

全

服

務(wù)

器安

全

服

務(wù)

器證書(shū)用戶60C

AServe

r

認(rèn)

證

中

心CA

本

地

數(shù)

據(jù)

庫(kù)

服

務(wù)

器CA

證

書(shū)

庫(kù)

(

目

錄

服

務(wù)

器)

(

可

選

件

)RAServe

r

注

冊(cè)

中

心

(

可

選

件

)RA

本

地

數(shù)

據(jù)

庫(kù)

服

務(wù)

器LRA(LocalRA)

注

冊(cè)

終

端

(

可

選

件

)CATermina1

個(gè)

人

管

理

器

(

可

選

件

)CABrowser

公

眾

申

請(qǐng)

/

下

載

服

務(wù)

器

(

可

選61T卡

)CA

系

統(tǒng)

構(gòu)

成

神州數(shù)碼

Digital

China服務(wù)中國(guó)根CA管理證

書(shū)

管

理密

鑰

管

理CRL

管

理目

錄

管

理審

計(jì)

管

理CA

主

要

功

能神州數(shù)碼

DigitalChina服務(wù)中國(guó)62證

書(shū)

的

申

請(qǐng)

、

簽

發(fā)

流

程RA/CAAdmin考

授

權(quán)

碼創(chuàng)建用戶DNLDAP身

份

證

明榮

略

規(guī)

定

的

方

法目錄服務(wù)器63神州數(shù)碼

HONE

Chin參

考

號(hào)

和

授

權(quán)

碼新

用

戶用中請(qǐng)服務(wù)中國(guó)CA填寫(xiě)得到的Ref#和AuthCode序通過(guò)驗(yàn)證用戶本地產(chǎn)生密鑰對(duì)LDAP將用戶證書(shū)發(fā)布到自錄服務(wù)號(hào)器CAdminCATerminal

CABrowserHO

C數(shù)碼E州M神證

書(shū)

下

載

流

程IT

服

務(wù)

中

國(guó)CA

簽

證—FTP/HTTP/SMTP·

服

務(wù)

器防

病毒·郵

件

或

群

件

防

毒—EXCHANGE

Sendmail—LotusNotes·

客

戶

機(jī)

防

病

毒·

病毒控制中心防

病

毒

產(chǎn)

品

組

成·

網(wǎng)關(guān)防毒神州數(shù)碼

DigitalChina服務(wù)中國(guó)65