信息與網(wǎng)絡(luò)安全技術(shù)-整體網(wǎng)絡(luò)安全解決方案-

信息系統(tǒng)安全技術(shù)--整體網(wǎng)絡(luò)安全解決方案用戶網(wǎng)絡(luò)安全的需求用戶系統(tǒng)風(fēng)險(xiǎn)分析用戶安全目標(biāo)分析安全技術(shù)管理規(guī)范設(shè)計(jì)安全機(jī)制集成與服務(wù)用戶網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)設(shè)計(jì)整體安全解決方案應(yīng)急事故恢復(fù)安全中心——風(fēng)險(xiǎn)分析、制定/實(shí)施/維護(hù)安全策略安全知識(shí)培訓(xùn)網(wǎng)絡(luò)設(shè)備組件的加固與維護(hù)日常檢測(cè)——漏洞/異常攻擊事故報(bào)告利用企業(yè)的資源最大限度地滿足客戶的需求！安全分析工程師基于角色的培訓(xùn)安全動(dòng)態(tài)知識(shí)長(zhǎng)期培訓(xùn)主機(jī)保護(hù)產(chǎn)品組件加固服務(wù)網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品漏洞掃描產(chǎn)品應(yīng)急服務(wù)小組攻防實(shí)驗(yàn)室安全知識(shí)數(shù)據(jù)庫維護(hù)網(wǎng)絡(luò)安全與信息安全安全的定義遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性，為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。安全不是技術(shù),安全是一個(gè)過程。網(wǎng)絡(luò)安全網(wǎng)絡(luò)的組成方式、拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用信息安全信息的來源、去向，內(nèi)容的真實(shí)無誤及保證信息的完整性，信息不會(huì)被非法泄露擴(kuò)散保證信息的保密性網(wǎng)絡(luò)信息安全的基本要求數(shù)據(jù)的保密性、數(shù)據(jù)的完整性、數(shù)據(jù)的可用性、數(shù)據(jù)的可控性網(wǎng)絡(luò)信息安全技術(shù)體系身份認(rèn)證技術(shù)密碼技術(shù)訪問控制技術(shù)防病毒技術(shù)防火墻技術(shù)漏洞掃描技術(shù)入侵檢測(cè)技術(shù)審計(jì)技術(shù)INTERNET案例一：網(wǎng)絡(luò)拓?fù)浞治鰬?yīng)用案例一：SVPN典型應(yīng)用服務(wù)子網(wǎng)代理服務(wù)器郵件服務(wù)器內(nèi)部子網(wǎng)管理中心網(wǎng)絡(luò)DNS服務(wù)器路由器路由器分支子網(wǎng)2代理服務(wù)器分支子網(wǎng)1路由器網(wǎng)絡(luò)現(xiàn)狀分析內(nèi)部子網(wǎng)采用私有地址，通過代理服務(wù)器訪問INTERNET服務(wù)子網(wǎng)對(duì)外提供WWW服務(wù)和電子郵件服務(wù)中心子網(wǎng)與分支子網(wǎng)通過INTERNET網(wǎng)絡(luò)連接并有重要信息傳遞服務(wù)子網(wǎng)和內(nèi)部子網(wǎng)與INTERNET之間無任何保護(hù)措施,無網(wǎng)絡(luò)安全管理手段應(yīng)用案例一：SVPN典型應(yīng)用安全需求分析內(nèi)部與外部的隔離外部能訪問內(nèi)部指定區(qū)域提供的服務(wù)實(shí)現(xiàn)對(duì)子網(wǎng)之間通信的加密傳輸能夠?qū)?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信進(jìn)行審計(jì)用網(wǎng)關(guān)設(shè)備代替代理服務(wù)器其它安全要求應(yīng)用案例一：SVPN典型應(yīng)用INTERNET案例一：網(wǎng)絡(luò)安全設(shè)計(jì)服務(wù)子網(wǎng)代理服務(wù)器郵件服務(wù)器內(nèi)部子網(wǎng)管理中心網(wǎng)絡(luò)DNS服務(wù)器路由器分支子網(wǎng)2代理服務(wù)器分支子網(wǎng)1路由器NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3內(nèi)網(wǎng)接口

5

6外網(wǎng)接口

8

9電源

0

?NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3內(nèi)網(wǎng)接口

5

6外網(wǎng)接口

8

9電源

0

?NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3外網(wǎng)接口

8

9電源

0

?NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3內(nèi)網(wǎng)接口

5

6外網(wǎng)接口

8

9電源

0

?CAMANSG1內(nèi)網(wǎng)接口

5

6

SG2SG3路由器應(yīng)用案例一：SVPN典型應(yīng)用實(shí)現(xiàn)的主要功能子網(wǎng)之間的通信加密各子網(wǎng)與外部網(wǎng)絡(luò)的訪問控制管理中心對(duì)各子網(wǎng)安全進(jìn)行統(tǒng)一管理實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）其它應(yīng)用案例一：SVPN典型應(yīng)用安全策略實(shí)施安全策略制定安全策略實(shí)現(xiàn)安全策略檢驗(yàn)安全策略修改其它應(yīng)用案例一：SVPN典型應(yīng)用E-MAIL

DNS

其它省管理中心網(wǎng)絡(luò)路由器DDN路由器路由器WWW某尋呼臺(tái)信息網(wǎng)絡(luò)縣網(wǎng)絡(luò)中心縣網(wǎng)絡(luò)中心應(yīng)用案例二：防火墻典型應(yīng)用網(wǎng)絡(luò)現(xiàn)狀分析及需求內(nèi)部所有網(wǎng)絡(luò)采用私有地址，自成體系省和縣通過DDN專線進(jìn)行網(wǎng)絡(luò)通信通過ADSL接入INTERNET使用防火墻的NAT功能使所有用戶能訪問INTERNET，并進(jìn)行訪問控制能對(duì)外提供INTERNET服務(wù)應(yīng)用案例二：防火墻典型應(yīng)用DDNE-MAILWWW路由器路由器路由器其它NN

EE

ss

ee

cc

33

00

00

FF

WW告警

22

33內(nèi)網(wǎng)接口55

66外網(wǎng)接口88

99電源

00

??INTERNET防火墻ADSL縣網(wǎng)絡(luò)中心縣網(wǎng)絡(luò)中心省管理中心網(wǎng)絡(luò)應(yīng)用案例二：防火墻典型應(yīng)用主要實(shí)現(xiàn)的功能提供訪問控制提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）內(nèi)部所有用戶都能夠訪問INTERNET提供端口映射功能，使INTERNET用戶能訪問尋呼臺(tái)的WWW、E-MAIL和其它服務(wù)其它應(yīng)用案例二：防火墻典型應(yīng)用內(nèi)部核心子網(wǎng)INTERNET分支機(jī)構(gòu)1分支機(jī)構(gòu)2電子政務(wù)網(wǎng)絡(luò)拓?fù)涓攀鰬?yīng)用案例三：綜合應(yīng)用領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)1電子政務(wù)網(wǎng)絡(luò)拓?fù)湓敿?xì)分析應(yīng)用案例三：綜合應(yīng)用領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機(jī)構(gòu)1此人正試圖進(jìn)入網(wǎng)絡(luò)監(jiān)聽并竊取敏感信息應(yīng)用案例三：綜合應(yīng)用電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)及需求分析分支機(jī)構(gòu)工作人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安裝木馬分支機(jī)構(gòu)工作人員正試圖越權(quán)訪問業(yè)務(wù)子網(wǎng)安裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NN

EE

ss

ee

cc

33

00

00

FF

WW2

35

68

90

?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源內(nèi)部核心子網(wǎng)NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

35

6內(nèi)網(wǎng)接口外網(wǎng)接口8

9電源

?NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3內(nèi)網(wǎng)接口

外網(wǎng)接口

8

9電源

0

?NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3內(nèi)網(wǎng)接口

外網(wǎng)接口

8

9電源

0

?交換機(jī)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3安全網(wǎng)關(guān)SG1路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器內(nèi)網(wǎng)核心網(wǎng)絡(luò)與各級(jí)子網(wǎng)間的安全設(shè)計(jì)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NN

EE

ss

ee

cc

33

00

00

FF

WW2

35

68

90

?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源內(nèi)部核心子網(wǎng)NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3內(nèi)網(wǎng)接口

5

6外網(wǎng)接口

8

9電源

0

?NN

EE

ss

ee

cc

33

00

00

FF

WW2

368

90

?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NN

EE

ss

ee

cc

33

00

00

FF

WW2

36告警內(nèi)網(wǎng)接口外網(wǎng)接口

8

9電源

0

?交換機(jī)安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3安全網(wǎng)關(guān)SG1路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)漏洞掃描器內(nèi)網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)分支機(jī)構(gòu)2分支機(jī)構(gòu)1NN

EE

ss

ee

cc

33

00

00

FF

WW2

35

68

90

?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源內(nèi)部核心子網(wǎng)NN

EE

ss

ee

cc

33

00

00

FF

WW告警

2

3外網(wǎng)接口8

9電源

?NN

EE

ss

ee

cc

33

00

00

FF

WW2

35

68

90

?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NN

EE

ss

ee

cc

33

00

00

FF

WW2

35

68

90

?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器INTERNET路由器路由器內(nèi)網(wǎng)接口

5

6

安全認(rèn)證服務(wù)器安全管理器網(wǎng)絡(luò)入侵檢測(cè)探頭網(wǎng)絡(luò)入侵策略管理器內(nèi)網(wǎng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)INTERNET路由器交換機(jī)安全管理器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）E-MAIL服務(wù)器WWW 應(yīng)用服 數(shù)據(jù)庫服務(wù)器 務(wù)器 服務(wù)器電子政務(wù)外網(wǎng)基礎(chǔ)平臺(tái)安全設(shè)計(jì)INTERNET路由器交換機(jī)安全管理器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）E-MAIL服務(wù)器WWW 應(yīng)用服 數(shù)據(jù)庫服務(wù)器 務(wù)器 服務(wù)器網(wǎng)絡(luò)漏洞掃描器外網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)INTERNET路由器交換機(jī)安全管理器物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）E-MAIL服務(wù)器WWW 應(yīng)用服 數(shù)據(jù)庫服務(wù)器 務(wù)器 服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測(cè)探頭網(wǎng)絡(luò)入侵策略管理器防火墻FW外網(wǎng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)INTERNET路由器交換機(jī)安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服 數(shù)據(jù)庫務(wù)器 服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡(jiǎn)稱“專網(wǎng)”）Web網(wǎng)站監(jiān)測(cè)&自動(dòng)修復(fù)系統(tǒng)外網(wǎng)WEB服務(wù)器安全設(shè)計(jì)INTERNET路由器交換機(jī)安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW 應(yīng)用服 數(shù)據(jù)庫服務(wù)器 務(wù)器 服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡(jiǎn)稱

“專網(wǎng)”）內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設(shè)計(jì)典型整體解決方案的應(yīng)用案例應(yīng)用案例一：成都市某機(jī)關(guān)單位應(yīng)用案例二：北京市某機(jī)關(guān)單位應(yīng)用案例三：國家某部委全國信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用案例四：電子政務(wù)安全應(yīng)用平臺(tái)相對(duì)性綜合性：涉及管理及技術(shù)多個(gè)層面網(wǎng)絡(luò)安全產(chǎn)品的單一性動(dòng)態(tài)性：技術(shù)跟進(jìn)和維護(hù)支持的重要性管理難度大黑盒性網(wǎng)絡(luò)安全特點(diǎn)P2DR模型是在整體的安全策略（Policy）的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（Protection，如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時(shí)，利用檢測(cè)工具（Detection，如漏洞評(píng)估、入侵檢測(cè)等系統(tǒng)）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)（Response）將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。P2DR：動(dòng)態(tài)安全模型信息安全產(chǎn)品的平臺(tái)化戰(zhàn)略圍繞COE所提供的關(guān)鍵業(yè)務(wù)的風(fēng)險(xiǎn)分析形成對(duì)各種風(fēng)險(xiǎn)的適度控制機(jī)制把各安全控制的功能模塊融合在一個(gè)統(tǒng)一的管理、監(jiān)控和響應(yīng)的平臺(tái)中信息安全平臺(tái)化戰(zhàn)略是COE的重要組成部分對(duì)網(wǎng)絡(luò)安全現(xiàn)狀作出正確判斷較為準(zhǔn)確地估計(jì)特定網(wǎng)絡(luò)用戶的風(fēng)險(xiǎn)建立相應(yīng)的控制風(fēng)險(xiǎn)的機(jī)制,并把這些機(jī)制容為一體形成防護(hù)體系最大限度地提高系統(tǒng)的可用性,并把網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn)減低到可接受程度網(wǎng)絡(luò)信息安