信息安全技術(shù)

信息安全需求

＞PMP職業(yè)道德需求

＞IS09001:2008要求

＞實(shí)際風(fēng)險(xiǎn)帶來的需求

PMP職業(yè)道德需求

PMI項(xiàng)目管理行業(yè)職業(yè)道德規(guī)范

?條款一：項(xiàng)目管理專業(yè)人員應(yīng)保持較高的個(gè)人和職業(yè)行為標(biāo)準(zhǔn)并且:

-G:遵守工作所在國家的法律（注：很多法律涉及信息安全）。

?條款三：在與雇主和客戶的關(guān)系中,項(xiàng)目管理專業(yè)人員應(yīng)：

-B:無論是在在聘期間或離職之后，對(duì)雇主和客戶沒有被正式公開的業(yè)務(wù)和

技術(shù)工藝信息應(yīng)予以保密。

IS09001:2008要求

1509001:2008第7.5.4條款“顧客信息”中“若顧客財(cái)產(chǎn)發(fā)生丟失、損壞

或發(fā)現(xiàn)不適用的情況時(shí)，應(yīng)報(bào)告顧客，并保持記錄?！?/p>

注解：顧客財(cái)產(chǎn)包括知識(shí)產(chǎn)權(quán)和個(gè)人信息

實(shí)際風(fēng)險(xiǎn)帶來的需求

某著名公司為某運(yùn)營商提供系統(tǒng)集成某項(xiàng)服務(wù)，由于管理不善，該公司某員

工離職后將客戶信息出賣給敵對(duì)國家和組織，給國家?guī)砹撕艽笪：Γ瑢?dǎo)致該公

司幾乎退出通信行業(yè)，出賣信息者也受到了嚴(yán)厲懲罰。

信息安全技術(shù)體系的各種技術(shù)

物理安全環(huán)境安全、設(shè)備安全、媒體安全

＞系統(tǒng)安全操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全

＞網(wǎng)絡(luò)安全入侵檢測(cè)、VPN、網(wǎng)絡(luò)隔離、訪問控制、掃描評(píng)估

＞應(yīng)用安全Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全

＞數(shù)據(jù)加密硬件加密、軟件加密

＞認(rèn)證授權(quán)口令認(rèn)證、證書認(rèn)證

＞訪問控制防火墻、訪問控制列表

A審計(jì)跟蹤入侵檢測(cè)、日志審計(jì)、辨析取證

＞網(wǎng)絡(luò)防病毒：?jiǎn)螜C(jī)防病毒監(jiān)測(cè)、網(wǎng)絡(luò)整體防病毒體系

＞災(zāi)難恢復(fù)與備份：數(shù)據(jù)存儲(chǔ)和備份技術(shù)、數(shù)據(jù)備份計(jì)劃、災(zāi)難恢復(fù)計(jì)劃

項(xiàng)目中涉及的信息、系統(tǒng)及設(shè)備

＞項(xiàng)目計(jì)劃、技術(shù)資料、客戶系統(tǒng)及配置

＞項(xiàng)目管理系統(tǒng)、電子郵件系統(tǒng)、OA系統(tǒng)、及時(shí)消息系統(tǒng)、視頻會(huì)議系統(tǒng)

＞服務(wù)器、數(shù)據(jù)庫、桌面機(jī)及筆記本、網(wǎng)絡(luò)設(shè)備、移動(dòng)通信設(shè)備如手機(jī)等

什么是信息

＞對(duì)現(xiàn)代各種組織來說，信息是一種資產(chǎn)，除了傳統(tǒng)上的專利、標(biāo)準(zhǔn)、商業(yè)機(jī)

密、文件、圖紙、管理規(guī)章、關(guān)鍵人員等，還包括計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)。

＞信息本身是無形的，但借助于各種信息媒體，可以以多種形式存在或傳播，

如存儲(chǔ)在紙張、磁帶、磁盤、光盤和計(jì)算機(jī)中，也可以記憶在人的大腦里，

還可以通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播。

＞信息資產(chǎn)一旦受到破壞，如非法曝光、篡改或者無法使用則會(huì)給組織帶來一

系列的損失。如“冰山原理”，能直接感知到的損失，只是全部損失的冰山

一角，潛藏在水面下的部分，可能會(huì)是直接損失的6~53倍，這包括：損失

了時(shí)間、替代的成本、可能的法律風(fēng)險(xiǎn)、聲譽(yù)下降、丟失潛在的業(yè)務(wù)、競(jìng)爭(zhēng)

力和生產(chǎn)力降低等。這些損失是我們不愿意面對(duì)的，因此信息安全越來越成

為我們關(guān)注的熱點(diǎn)問題。

信息安全事件案例

＞美國媒體報(bào)道，名列《財(cái)富》全球1000強(qiáng)的大公司，平均每年發(fā)生2.45次

的商業(yè)間諜事件，損失總數(shù)高達(dá)450億美元。商業(yè)機(jī)密關(guān)系到企業(yè)的生死存

亡。在競(jìng)爭(zhēng)激烈的商場(chǎng)上，將自己生產(chǎn)、管理、銷售的信息拱手讓人，無異

于置己于絕境。商業(yè)間諜案件的頻發(fā)警示中國企業(yè)與國際接軌時(shí)一定要提高

保密意識(shí)，為自己構(gòu)筑起防護(hù)墻。

＞力拓“間諜門”事件近期引發(fā)廣泛關(guān)注，力拓有關(guān)人員通過不正當(dāng)手段竊取

中國的國家秘密，直接經(jīng)濟(jì)損失4000億~7000憶！嚴(yán)重危害中國的經(jīng)濟(jì)安全

和利益，目前此案正在審理中。在經(jīng)濟(jì)全球化的今天，無孔不入的商業(yè)間諜

讓一些跨國企業(yè)又愛又恨，也讓各國政府頭疼不已。

＞澳大利亞力拓公司駐上海辦事處四人被上海市國家安全局以涉嫌竊取中國

國家秘密拘捕。至少已有22人在這次風(fēng)暴中受到處理。

＞據(jù)保密系統(tǒng)內(nèi)部人士透露，以往處理泄密人員只是輕描淡寫，“一個(gè)人有的

就泄密兒百份上千份，只給了行政處分甚至處分不了"，這次，不排除追究

刑責(zé)的可能。

＞國家保密局局長夏勇此次向人大常委會(huì)所作報(bào)告中，稱保密法是因應(yīng)''新情

況和新問題”而改，其中最主要的挑戰(zhàn)來自互聯(lián)網(wǎng)：內(nèi)司委的調(diào)研報(bào)告稱，

計(jì)算機(jī)泄密案發(fā)數(shù)已占70%。

什么是信息安全

＞按照27001術(shù)語定義

?信息安全是指保持信息的保密性、完整性、可用性，另外也可包括例如

真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。

＞在商業(yè)領(lǐng)域，信息安全是

?保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)風(fēng)險(xiǎn)最小化,

使投資回報(bào)和商業(yè)機(jī)遇最大化。

?現(xiàn)代社會(huì)，信息的產(chǎn)生、使用等已經(jīng)離不開信息系統(tǒng)，因此信息安全也

需要更加關(guān)注信息系統(tǒng)的安全。

?保護(hù)信息系統(tǒng)的硬件、軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换蛘邜阂馇址?/p>

而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行。

什么是信息安全管理體系

＞要做好信息安全工作，除了采用技術(shù)措施如部署各種信息安全產(chǎn)品而直接、

高效地解決問題外，還需要采用技術(shù)之外的管理措施來彌補(bǔ)技術(shù)的不足并提

升技術(shù)和產(chǎn)品的價(jià)值。

＞信息安全管理體系(InformationSecurityManagementSystem,ISMS)是

一個(gè)組織的整體管理體系的有機(jī)部分，是組織在整體或特定范圍內(nèi)建立信息

安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)。

建立信息安全體系的益處

＞增加競(jìng)爭(zhēng)力

一降低信息安全風(fēng)險(xiǎn)，進(jìn)一步提高風(fēng)險(xiǎn)管理能力

—實(shí)現(xiàn)私有信息的最佳化管理

一維護(hù)良好的公眾形象、有利爭(zhēng)取訂單

＞實(shí)現(xiàn)合規(guī)性

一滿足政府、行業(yè)主管機(jī)構(gòu)的監(jiān)管、審計(jì)要求

一完善內(nèi)部信息保障架構(gòu)

一加固商業(yè)機(jī)密保護(hù)與隱私保護(hù)

＞達(dá)到客戶要求

—服務(wù)質(zhì)量達(dá)標(biāo)：不中斷客戶服務(wù)

一滿足來自業(yè)務(wù)伙伴及客戶的安全審計(jì)要求

建立信息安全管理體系的過程：

＞制定政策-信息安全方針文檔

＞確定范圍91sMs范圍文檔

＞資產(chǎn)識(shí)別分資產(chǎn)清單

＞風(fēng)險(xiǎn)評(píng)估分風(fēng)險(xiǎn)評(píng)估文檔

＞選擇控制-選擇控制目標(biāo)和控制措施

＞體系運(yùn)行分運(yùn)行計(jì)劃和運(yùn)行記錄

＞體系審核-審核計(jì)劃與審核記錄

＞管理評(píng)審-評(píng)審計(jì)劃與評(píng)審記錄

＞體系認(rèn)證-認(rèn)證申請(qǐng)及認(rèn)證證書

控制目標(biāo)和控制措施

11個(gè)域，39個(gè)控制目標(biāo)，133個(gè)控制措施

----、安全方針(SecurityPolicy)

一二、信息安全組織(SecurityOrganization)

一三、資產(chǎn)管理(AssetManagement)

一四、人員安全(PersonnelSecurity)

一五、物理與環(huán)境安全(PhysicalandEnvironmentalSecurity)

一六、通信與運(yùn)營管理(CommunicationsandOperationsManagement)

—匕、訪問控制(AccessControl)

一八、系統(tǒng)開發(fā)與維護(hù)(SystemsDevelopmentandMaintenance)

一九、信息安全事故管理(InformationIncidentManagement)

一十、業(yè)務(wù)持續(xù)性管理(BusinessContinuityManagement)

—I—、法律符合性(Compliance)

信息安全管理體系的實(shí)施過程

準(zhǔn)備階段分實(shí)現(xiàn)階段分運(yùn)行階段少認(rèn)證階段分項(xiàng)目結(jié)束

準(zhǔn)備階段：

＞項(xiàng)目啟動(dòng)

＞前期培訓(xùn)

＞預(yù)先審核

＞業(yè)務(wù)分析：通過采用訪談、調(diào)查方式了解核心與支持性業(yè)務(wù)，了解業(yè)務(wù)對(duì)資

源的需求，開展業(yè)務(wù)影響分析

＞風(fēng)險(xiǎn)評(píng)估

實(shí)現(xiàn)階段：

＞風(fēng)險(xiǎn)處理：針對(duì)風(fēng)險(xiǎn)問題做文件編寫規(guī)劃，做BCP規(guī)劃，做技術(shù)方案規(guī)劃

＞文件編寫：編寫ISMS各級(jí)文件，多次Review及修訂，管理層討論確認(rèn)

＞發(fā)布實(shí)施：ISMS實(shí)施計(jì)劃，體系文件發(fā)布，控制措施實(shí)施

＞中期培訓(xùn)：全員安全意識(shí)培訓(xùn)，ISMS實(shí)施推廣培訓(xùn)，必要的考核

運(yùn)行階段：

＞認(rèn)證申請(qǐng)：與認(rèn)證機(jī)構(gòu)磋商、準(zhǔn)備材料申請(qǐng)認(rèn)證、制定認(rèn)證計(jì)劃、預(yù)審核

＞后期培訓(xùn)

＞內(nèi)部審核：制定審核計(jì)劃、制定Checklist、執(zhí)行內(nèi)部審核、不符合項(xiàng)整改

＞管理評(píng)審：信息安全管理委員會(huì)組織ISMS整體評(píng)審，糾正預(yù)防

認(rèn)證階段：

＞認(rèn)證準(zhǔn)備：準(zhǔn)備送審文件，安排部署審核事項(xiàng)

＞協(xié)助認(rèn)證：內(nèi)部審核小組陪同協(xié)助，應(yīng)對(duì)審核問題

文件體系列表

＞一?級(jí)文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等,

至少包括：信息安全方針、風(fēng)險(xiǎn)評(píng)估報(bào)告、適用性聲明(SsA)0

＞二級(jí)文件：各類程序文件，至少包括：

一風(fēng)險(xiǎn)評(píng)估流程

一風(fēng)險(xiǎn)管理流程

一風(fēng)險(xiǎn)處理計(jì)劃

一管理評(píng)審程序

一信息設(shè)備管理程序

一信息安全組織建設(shè)規(guī)定

一新設(shè)施管理程序

一內(nèi)部審核程序

一第三方和外包管理規(guī)定

一信息資產(chǎn)管理規(guī)定

一工作環(huán)境安全管理規(guī)定

一介質(zhì)處理與安全規(guī)定

一系統(tǒng)開發(fā)與維護(hù)程序

一業(yè)務(wù)連續(xù)性管理程序

—法律符合性管理規(guī)定

一信息系統(tǒng)安全審計(jì)規(guī)定

一文件及材料控制程序

＞三級(jí)文件：具體的作業(yè)指導(dǎo)書，描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是

對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。

＞四級(jí)文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表

現(xiàn)為記錄表格，應(yīng)該成為ISMS得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門

自行維護(hù)。

典型技術(shù)篇一信息安全技術(shù)

第三講數(shù)據(jù)加密

數(shù)據(jù)加密需求

現(xiàn)有解決方案的缺陷

統(tǒng)一數(shù)據(jù)加密解決方案的優(yōu)勢(shì)

企業(yè)數(shù)據(jù)保護(hù)

用戶需求：眾多保護(hù)不能解決的問題

很多情況下，現(xiàn)有的防護(hù)網(wǎng)式的安個(gè)措施是不夠的

移動(dòng)用戶經(jīng)常到外部網(wǎng)絡(luò)

電腦丟失或被惡意竊取

服務(wù)器托管在外部

安全性

全盤加密一“關(guān)機(jī)安全”

“加密計(jì)算機(jī)所有數(shù)據(jù)”

“操作系統(tǒng)啟動(dòng)前認(rèn)證”

加密/解密“后臺(tái)運(yùn)行”

文件加密-“開機(jī)安全”

加密本地/遠(yuǎn)程文件/目錄

使用時(shí)認(rèn)證

加密文件內(nèi)容

密文傳輸

數(shù)據(jù)庫安全的驅(qū)動(dòng)力

90%以上的企業(yè)數(shù)據(jù)郡保存在數(shù)據(jù)庫里，這些數(shù)據(jù)可能是遺留下來沒用的，可

能是新的，也很有可能足完個(gè)不同類別的數(shù)據(jù)。

每天都會(huì)發(fā)生敏感信息被破壞泄露的事件。

數(shù)據(jù)庫成為一些有組織的犯罪團(tuán)伙的犯罪目標(biāo)，以此獲取個(gè)人身份信息。

避免負(fù)債：

1.三年多的時(shí)間里，有2.17億美國人個(gè)人信息被盜或泄露。

2.每次數(shù)據(jù)被盜造成的平均損失630萬美元

具體來說，企業(yè)（數(shù)據(jù)庫和應(yīng)用程序）用戶需要透明的處理各種數(shù)據(jù)來源和在操

作、管理和報(bào)告方面的簡(jiǎn)化。

混合數(shù)據(jù)庫環(huán)境■傳統(tǒng)

WEB服

-多個(gè)數(shù)據(jù)庫單機(jī)的本地安全性

-單獨(dú)的管理控制臺(tái)，往往是單獨(dú)的命令行驅(qū)動(dòng)

-多管理員驅(qū)動(dòng)操作使成本上升

-數(shù)據(jù)庫服務(wù)器處理過程加密降低性能

-遵守法規(guī)的夢(mèng)魘

當(dāng)前數(shù)據(jù)庫環(huán)境的安全挑戰(zhàn)

安全性

?密鑰存放在本地?cái)?shù)據(jù)庫服務(wù)器中，安全性很差

?多種模式需要不同廠家的補(bǔ)丁

?不提供職責(zé)分工

性能

?數(shù)據(jù)庫服務(wù)器執(zhí)行加解密操作會(huì)嚴(yán)重影響服務(wù)器性能

?大批量處理文件更難

適應(yīng)性

?每個(gè)數(shù)據(jù)庫需要它自己的安全管理

?不綁在特定的廠商上一Oracle,IBMDB2,SOL靜態(tài)部署

可管理性

?每個(gè)應(yīng)用均會(huì)配備一個(gè)數(shù)據(jù)庫，帶有不同的管理控制臺(tái)

?需要多個(gè)管理員來管理不同數(shù)據(jù)庫

?安全策略管理分散在不同的數(shù)據(jù)庫里

可用性

?安全功能的分散導(dǎo)致更多系統(tǒng)漏洞

?安全功能缺少冗余

保護(hù)數(shù)據(jù)資產(chǎn)

法規(guī)規(guī)范

確保強(qiáng)有力的控制&安/

全審核跟蹤/

1/集中的密鑰&策略管理

降低成本&化域從窄

確?？晒芾硇院妥畲笙掊猷?/p>

備」」/確1

低運(yùn)行成*1

DataSecure企業(yè)級(jí)加密和密鑰管理平臺(tái)

DataSecure企業(yè)級(jí)加密

DataCen

系統(tǒng)優(yōu)勢(shì)

安全性

?基干硬件，中心密鑰和策略管理

?FIPS/CC認(rèn)證

?認(rèn)證和授權(quán)

高性能

?高性能加密處理，超過10000TPS

?批量處理海量數(shù)據(jù)

?有效的備份/恢復(fù)功能，可選本地加密

靈活性

?支持多種不同的環(huán)境（應(yīng)用系統(tǒng)，數(shù)據(jù)庫，文件系統(tǒng)和大型機(jī)）

?支持公開標(biāo)準(zhǔn)和API

?廣泛的企業(yè)部署模型

可管理性

?直觀，易用的管理

?職責(zé)分離

?中心策略管理

可用性

?高可用性和集群

?負(fù)載均衡，運(yùn)行狀況檢查和容錯(cuò)機(jī)制

?地理位置分布式冗余備份

安全性

集中安全管控

?安全管理員控制數(shù)據(jù)保護(hù)策略

?在單一設(shè)備上集中創(chuàng)建并存儲(chǔ)密鑰，減少薄弱點(diǎn)

?多重管理控制

?職責(zé)分離，數(shù)據(jù)庫管理員僅僅管理數(shù)據(jù)，安全管理員僅僅管理密鑰

?日志、審計(jì)和報(bào)警。對(duì)所有的數(shù)據(jù)庫和應(yīng)用程序進(jìn)行全面、安全、集中記錄

和審計(jì)。

FlpS140-2Level2&CommonCriteria認(rèn)證的解決方案

?密鑰與機(jī)密數(shù)據(jù)分開保存，數(shù)據(jù)庫任何的泄露也只能拿到加密的數(shù)據(jù)

身份認(rèn)證和授權(quán)

?多因素系統(tǒng)與系統(tǒng)間身份認(rèn)證和訪問控制

?細(xì)粒度、基于密鑰的加密策略

高性能

分擔(dān)加密負(fù)載

?優(yōu)化的高性能硬件

?減輕數(shù)據(jù)庫和應(yīng)用服務(wù)器負(fù)載，無需執(zhí)行耗費(fèi)大量CPU計(jì)算能力的加密運(yùn)算,

使整體性能更高

?每個(gè)請(qǐng)求不到300微妙的延遲

批處理

?執(zhí)行批量加解密以獲得高性能

?超過lOOkTPS

?易與現(xiàn)有應(yīng)用系統(tǒng)集成

靈活性

適合異構(gòu)環(huán)境

?綜合的企業(yè)級(jí)解決方案

?Web,應(yīng)用系統(tǒng)，數(shù)據(jù)庫，大型機(jī)或者文件系統(tǒng)

?數(shù)據(jù)中心或者分布式環(huán)境

?開放的基于標(biāo)準(zhǔn)的APIs和加密協(xié)議

擴(kuò)展性

?多種型號(hào)提供從2,500TPS到100,000TPS處理能力

?集群模式進(jìn)一步提升處理能力和冗余能力

?模塊式許可架構(gòu)提供高性價(jià)比擴(kuò)展

可管理性

直觀的管理

?圖形和命令行界面

?鼠標(biāo)點(diǎn)按式策略管理

加解密權(quán)限管理

密鑰管理

網(wǎng)絡(luò)和系統(tǒng)管理

?類似于交換機(jī)或者路由器那樣的簡(jiǎn)單配置

職責(zé)分離

?安全管理員管理安全

?最大化生產(chǎn)效率，最小化責(zé)任風(fēng)險(xiǎn)

可擴(kuò)展的管理平臺(tái)

?與企業(yè)中其他組成部分協(xié)調(diào)一致

?通用的管理協(xié)議和過程

?標(biāo)難化實(shí)現(xiàn)和集成方式

可用性

集群

?密鑰和策略在集群中所有

?Datasecure設(shè)備之間共享和復(fù)制

負(fù)載均衡

?連接器軟件能夠在一組設(shè)備之間實(shí)現(xiàn)負(fù)載均衡

?多層次負(fù)載均衡能夠在多個(gè)可選設(shè)備之間實(shí)現(xiàn)透明容錯(cuò)

集成DataSecure到應(yīng)用系統(tǒng)

應(yīng)用系統(tǒng)連接器

?Microsott.NET,CAPI

?JCE(JaVa)

?PKCS#11(C/C++)

?SafeNetlCAPI(CIC++)

?Z/OS(Cobol,ASSembler,etC.)

?XML

事實(shí)上支持所有的應(yīng)用服務(wù)器和web服務(wù)器環(huán)境

Customer

Database

E-CommerceReporting

ApplicationApplication

SafeNet

DataSecure

使用DataSecure加密數(shù)據(jù)庫1

數(shù)據(jù)庫連接器

?oracle8i,9i,10g,llg

?IBMDB2versions8,9

?MicrosoftSQLSerVer2000,20052008

?Teradata

無需改動(dòng)應(yīng)用

數(shù)據(jù)批量處理以適應(yīng)大量數(shù)據(jù)集

使用DataSecure加密數(shù)據(jù)庫2

文件系統(tǒng)連接器

?WindowsServer2003

?Linux

?WindowsXP,VISta

文件加密密鑰（FEKs）在文件服務(wù)器進(jìn)行加密

FEKs保護(hù)密鑰（KEK）保存在Datasecure設(shè)備中

策略在Datasecure管理，推送到文件服務(wù)器

使用ProtectDrive-啟動(dòng)

?后臺(tái)自動(dòng)加密/解密，無需用戶操作

?開啟電腦，待BloS檢測(cè)通過之后，出現(xiàn)用戶認(rèn)證畫面，這時(shí)候操作系統(tǒng)還

沒有啟動(dòng)

?使用和windows登陸相同的用戶名/密碼

?這個(gè)畫而登陸后Windows不用再輸入登陸密碼

SafeNet

ProtectDrive

UwlO

全盤加密好處

?關(guān)機(jī)安全的靜態(tài)數(shù)據(jù)解決方案，主要用于移動(dòng)筆記木電腦和有重要數(shù)據(jù)的服

務(wù)器的加密

?方便的安裝部署，支持A0集中管理

?啟動(dòng)前身份認(rèn)證，用戶與Windows用戶集成

?支持靜態(tài)密碼和USB令牌認(rèn)證

?極其容易使用，用戶透明，移動(dòng)媒體設(shè)備（U盤/移動(dòng)硬盤）管理

?高效的加密引擎，用戶感覺不到的性能損失

企業(yè)數(shù)據(jù)保護(hù)

客戶數(shù)據(jù)

個(gè)人數(shù)據(jù)

災(zāi)備設(shè)備

財(cái)務(wù)數(shù)據(jù)

應(yīng)用服務(wù)器

Web服務(wù)器

文件服務(wù)整

移動(dòng)和建的設(shè)

合作伙伴

CZ4^IFH什二--

在所有的系統(tǒng)關(guān)鍵八占八JzL

需要完整硼解施

單一解決方案=更安全

?單一FIPS認(rèn)證的硬件設(shè)備減少薄弱點(diǎn)。

?數(shù)據(jù)和密鑰的單獨(dú)加密一文件和密鑰單獨(dú)存放，因此數(shù)據(jù)庫任何的泄露也只

能拿到加密的數(shù)據(jù)。

?中央身份驗(yàn)證和授權(quán)可以使組織建立安全訪問策略，以管理用戶和應(yīng)用程序

的訪問。

?職責(zé)分離一數(shù)據(jù)庫管理僅管理數(shù)據(jù)，當(dāng)然他們需要密鑰登錄。安全管理員僅

僅管理密鑰，而不管理數(shù)據(jù)。

第四講身份認(rèn)證

內(nèi)容

?強(qiáng)身份認(rèn)誡需求

?動(dòng)態(tài)令牌原理

?動(dòng)態(tài)令牌身份認(rèn)證的應(yīng)用

?USB令牌和PKI原理

?USB令牌身份認(rèn)證的應(yīng)用

信息安全技術(shù)：電子商務(wù)的發(fā)射器

?電子商務(wù)和企業(yè)安全需要實(shí)現(xiàn)信息安全的每個(gè)階段

?信息安全的最基本需求是身份認(rèn)證和PKI

第四階段

7±\

數(shù)據(jù)的完整性和私密性

密碼可靠嗎

?密碼容易被竊取

■從您的身后窺視您正在鍵入的口令

■發(fā)現(xiàn)保留在紙上的口令

■猜測(cè)口令："password”、用戶名、生日

■口令破解："Crack"、"LOphtCrack"、CrackerJack”

?太多的密碼讓用戶難以管礎(chǔ)

?密碼維護(hù)成本很高

?最弱的驗(yàn)證機(jī)制

跨越密碼的原因

?開通新商業(yè)途徑：讓客戶、伙伴及員工訪問增強(qiáng)的商務(wù)應(yīng)用

?遵從法規(guī)：遵從相關(guān)行業(yè)法規(guī)(sox,HIPAA,FDApart11,BaselII,and

others)

?提高生產(chǎn)力：讓用戶利用更多時(shí)間在增值的活動(dòng)上

?節(jié)減開支：減輕密碼和身份管理成本

?吸引客戶：解決需要安全客戶的需求

身份認(rèn)證的選擇

PINPIN

++

動(dòng)態(tài)令牌原理

OTP組件

令牌動(dòng)態(tài)的只能成功使用次

時(shí)間同步令牌

認(rèn)證服務(wù)器

令牌擁有自己的內(nèi)服務(wù)器時(shí)鐘獨(dú)立-、

令牌種子

「■部時(shí)鐘’時(shí)鐘運(yùn)行

使用.

組合當(dāng)前的時(shí)間和種子,在服

經(jīng)過散列運(yùn)算以后運(yùn)算

散列

恪輸出結(jié)果截取到

’所希望的長度

事件同步令牌

事件同步令牌認(rèn)證服務(wù)器

@令牌擁有自己的按服務(wù)器計(jì)數(shù)獨(dú)立;

令牌種子

XTX鍵計(jì)數(shù)彳工按鍵計(jì)數(shù)

使用

組合當(dāng)前的按鍵計(jì)數(shù)和.在服

子,經(jīng)過散列運(yùn)算以后運(yùn)算

散列

恪輸出結(jié)果截取到

,所希望的長度

?.?。?；：；「，力？

挑戰(zhàn)響應(yīng)令牌

I從令牌上讀取響應(yīng)碼

II并在登錄界面中輸入

硬件令牌

?eTokenPASS

■OATHCompliant

■事件和時(shí)間同步

?GOLD

■PIN保護(hù)，挑戰(zhàn)相應(yīng)模式

?提供現(xiàn)有客戶Alpine和Platimulltokens令牌

軟件令牌

?讓您的移動(dòng)設(shè)備實(shí)現(xiàn)雙因素身份認(rèn)證

?工作在主流平臺(tái)上

■BlackBerry

■Palm

■WindowsMobile

■支持J2ME的移動(dòng)設(shè)備

■Windows桌面

?SMS/SMIP文木方式發(fā)送0IP

?MobilePass工作間

■軟令牌管理，用戶自助部署，請(qǐng)求一個(gè)0Tp

?不需要部署、維護(hù)并且攜帶一個(gè)額外設(shè)備

?易于音部署、維護(hù)成木低并且快速部署

動(dòng)態(tài)令牌身份認(rèn)證的應(yīng)用

應(yīng)用：保護(hù)信息資產(chǎn)

?保護(hù)您最重要的信息資產(chǎn)和應(yīng)用

■CitrixApplications

■MicrosoftOutlookWebAccess

■VPN:Cisco,CheckPoint,Juniper,Aventail,Nortel等

■網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)備:路由器、交換機(jī)、防火墻等

■MicrosoftIAS/ISA/IIS

■終端服務(wù)/遠(yuǎn)程桌面

■Windows域登錄

Domain登陸

?使用動(dòng)態(tài)令牌登陸微軟域環(huán)境

LogOntoWindows

F

StCU?ECOMPUIING,

Saf^Mord.?

—Zo^d7Z<?*，_M__a_y_k_*_?_-_____3

Username:[Administrator

Eassword:11

Logonto:|sWEDEMO

「Logonusing刎-upconnection

EhleryouPremierAccesspassworc

OK|Caned

YourPremierAccesspasswordisonlyrequret

PremierAccess-protecteddomains.

USB令牌技術(shù)和PKI介紹

對(duì)稱密鑰加密

?使用相同密鑰加密和解密信息

?雙方需要共享密鑰

?只用使用正確的密鑰才能解開密文

?關(guān)鍵點(diǎn)是如何分發(fā)或者發(fā)送共享密鑰給對(duì)方

?已知的同步加密算法：DES,3DES,DESX,AES,RC2,RC4,RC5,BLOWFISH,

AES,ETC..

?128位屬于強(qiáng)對(duì)稱密鑰

非對(duì)稱密鑰加密

?非對(duì)稱算法使用不同的密鑰進(jìn)行加密和解密

?無法從加密密鑰推算出解密密鑰

?加密密鑰可以公開一一我們成為公鑰，允許任何人使用此密鑰加密

?只有合法的擁有解密密鑰的接收者一一文明稱為私鑰，可以解密消息

?安全性依賴于私鑰保存的安全性

基于證書的挑戰(zhàn)響應(yīng)身份認(rèn)證

h

GenerateServer

random

challenge

Sifted〃狂。

RcmdoinC為

RetrieveUser2Public

Kev

SenerDatabase

Certificate

Certificate

Certificate

eToken設(shè)備

?eTokenPRO

■USB接口，不需要讀卡器的智能卡令牌

■給強(qiáng)身份驗(yàn)證和憑證存儲(chǔ)提供高度安全性

?eTokenPROSmartcard

■eTokenPRO是傳統(tǒng)智能卡款式的令牌

?eTokenNG-OTP

■提供OTP（一次性密碼）功能的USB接口智能卡令牌

?eTokenNG-FLASH

■含閃存提供便攜式大量數(shù)據(jù)存儲(chǔ)功能的USB接口智能卡令牌

后臺(tái)服務(wù)器必須提供的功能

?備份和恢復(fù)令牌中的證書、密鑰和登陸憑證

?安全地處理令牌丟失和損壞問題

?基于角色方式來訪問

?基于web方式的用戶自助服務(wù)，幫助臺(tái)和管理員管理工具

?通過電話遠(yuǎn)程重置被鎖定的用戶PIN碼

?雇員在出差的時(shí)候丟失令牌的緊急處理

?完全的審計(jì)和報(bào)表功能

?使用密鑰來加密數(shù)據(jù)庫

USB令牌用于windows域登陸

?需要WindowsCA支持

?USB存儲(chǔ)智能卡用戶證書

?拔掉USB自動(dòng)鎖定Windows

?提高系統(tǒng)安全性，用戶使用更加方便

USB令牌用于終端服務(wù)

?本地的智能卡/usb令牌就可以被映射到遠(yuǎn)程服務(wù)器

?使用本地的智能卡/令牌登陸遠(yuǎn)程服務(wù)器應(yīng)用

USB令牌用于安全電子郵件

?Usb存儲(chǔ)電子郵件證書

?郵件客戶端支持S/MIME

USB令牌用于VPN訪問（IPSECVPN）

?需要CA支付

?USB存儲(chǔ)VPN登錄證書

?VPNI配置證書認(rèn)證

?連接時(shí)候輸入U(xiǎn)SB密碼

?運(yùn)用于大多數(shù)的IPSECVPN網(wǎng)關(guān)

USB令牌用于VPN訪問（SSLVPN）

?選擇使用USB中的證書登陸

?輸入U(xiǎn)SB密碼口令

?適用于大多數(shù)的SSLVPN網(wǎng)關(guān)

USB令牌用于網(wǎng)上銀行

?證書下載

?插入U(xiǎn)SB

?登陸到網(wǎng)上銀行安全站點(diǎn)

?選擇USB中存儲(chǔ)的證書

?輸入U(xiǎn)SB的保護(hù)口令，就可以開始交易了

數(shù)據(jù)安全

?eToken的數(shù)據(jù)安全解決方案包括：

?計(jì)算機(jī)啟動(dòng)保護(hù)，文件和數(shù)據(jù)加密

?可以與全盤加密軟件相配合

?加強(qiáng)電子郵件的安全

?數(shù)字簽名實(shí)現(xiàn)不可否認(rèn)性

單點(diǎn)登陸解決方案

?eTokenSimpleSign-On

■安全存儲(chǔ)并且自動(dòng)地填寫CIS應(yīng)用程序的登陸憑證

?eTokenWebSign-On

■安全存儲(chǔ)并且自動(dòng)地填寫web應(yīng)用程序的憑證和表單數(shù)據(jù)

?eTokenNetworkLogon(GINA)

■安全存儲(chǔ)并且自動(dòng)地填寫windows網(wǎng)絡(luò)登陸憑證

■可以強(qiáng)制使用usb中的憑證登陸

?基于eToken的單點(diǎn)登陸解決方案，可以實(shí)現(xiàn)使用簡(jiǎn)單但是更加安全地訪問

企業(yè)IT資源

第五講防火墻技術(shù)原理

主要內(nèi)容

?防火墻技術(shù)原理

?訪問控制及訪問控制列表

防火墻技術(shù)原理

?防火墻概要介紹

?防火墻功能及原理

?防火墻典型應(yīng)用

?防火墻存在的問題

防火墻的定義

一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過相關(guān)的安全策略來控制(允許、

拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.兩個(gè)安全域之間通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根據(jù)訪問控制規(guī)則決

定進(jìn)出網(wǎng)絡(luò)的行為

防火墻核心技術(shù)

傳輸層Segment

吟Packet

網(wǎng)絡(luò)接Frame

I」層

BitFlow

?1、包過濾(Packetfiltering):工作在網(wǎng)絡(luò)層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)

議等確定是否允許數(shù)據(jù)包通過。

?2、應(yīng)用代理(ApplicationProxy):工作在應(yīng)用層，通過編寫應(yīng)用代理程序，實(shí)

現(xiàn)對(duì)應(yīng)用層數(shù)據(jù)的檢測(cè)和分析。

?3、狀態(tài)檢測(cè)(StatefulInspection):工作在2-4層，控制方式與1同，處理的對(duì)

象不是單個(gè)數(shù)據(jù)包，而是整個(gè)連接，通過規(guī)則表和連接狀態(tài)表，綜合判斷是

否允許數(shù)據(jù)包通過。

4、完全內(nèi)容檢測(cè)(CompeleteContentInspection):工作在2-7層，不僅分析數(shù)

據(jù)包頭信息、狀態(tài)信息，而且對(duì)應(yīng)用層協(xié)議進(jìn)行還原和內(nèi)容分析，有效防范

混合型安全威脅。

包過濾防火墻技術(shù)原理

包過濾防火力

am鏟網(wǎng)

應(yīng)用代理防火墻技術(shù)原理

應(yīng)用代理防火孑

狀態(tài)檢測(cè)防火墻技術(shù)原理

完全內(nèi)容檢測(cè)防火墻技術(shù)原理

IP層開始攻擊主服務(wù)器硬盤數(shù)據(jù)

網(wǎng)絡(luò)層保護(hù)強(qiáng)▲

應(yīng)用層保護(hù)強(qiáng)III

會(huì)話保護(hù)很強(qiáng)III還原會(huì)送

網(wǎng)絡(luò)接口層上下文相關(guān)

前后報(bào)文有聯(lián)系報(bào)文3X?TCP硬盤數(shù)據(jù)

I

報(bào)文2T?TCP主眼務(wù)海

報(bào)文1TPTCP開蛤攻擊

TTT?

III

防火墻體系結(jié)構(gòu)

?過濾路由器

?多宿主主機(jī)

?被屏蔽主機(jī)

?被屏蔽子網(wǎng)

過濾路由器

?過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，通過ACL策略要求所有的報(bào)文都

必須在此通過檢查，實(shí)現(xiàn)報(bào)文過濾功能。

?它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)且不能識(shí)別不同的用戶（沒有日志記錄〉。

進(jìn)行包過濾

雙宿主主機(jī)

?雙宿主主機(jī)優(yōu)于過濾路由器的地方是:堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)

日志。

?它的致命弱點(diǎn)是:一旦入侵者侵入堡壘主機(jī)，則無法保證內(nèi)部網(wǎng)絡(luò)的安全。

進(jìn)行過濾

被屏蔽主機(jī)

?通常在路由器上設(shè)立ACL過濾規(guī)則，并通過堡壘主機(jī)進(jìn)行了數(shù)據(jù)轉(zhuǎn)發(fā)，來

確保內(nèi)部網(wǎng)絡(luò)的安全。

?弱點(diǎn):如果攻擊者進(jìn)入屏敝主機(jī)內(nèi)，內(nèi)網(wǎng)中的就會(huì)受到很大威脅;這與雙宿主

主機(jī)受攻擊時(shí)的情形差不多。

雙宿主主機(jī)

被屏蔽子網(wǎng)

?這種結(jié)構(gòu)是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的了網(wǎng)，用兩臺(tái)過濾

路由器分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊接，中間通過堡壘主機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

?特點(diǎn):如果攻擊者試圖進(jìn)入內(nèi)網(wǎng)或者子網(wǎng)，他必須攻破過濾路由器和雙宿主主

機(jī)，然后才可以進(jìn)入子網(wǎng)主機(jī)，整個(gè)過程中將引發(fā)警報(bào)機(jī)制。

DMZ區(qū)

內(nèi)外部網(wǎng)絡(luò)之間的通信

都經(jīng)過堡至主機(jī)

包過城總包過就資

于網(wǎng)主機(jī)

防火墻基本功能

?訪問控制

?地址轉(zhuǎn)換

?網(wǎng)絡(luò)環(huán)境支持

?帶寬管理

?入侵檢測(cè)和攻擊防御

?用戶認(rèn)證

?高可用性

基本訪問控制功能

基本訪問控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

規(guī)則匹配成4

時(shí)間控制策略

時(shí)間控制策m

liiteniet

地址轉(zhuǎn)換策略1

地址轉(zhuǎn)考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保護(hù)網(wǎng)絡(luò)

Eth2：

3

?隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

?內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址

?：?公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù);

地址轉(zhuǎn)換策略2

地址轉(zhuǎn)換

DNS

MAIL

?:?公開服務(wù)器可以使用私有:

?:?隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

文件

MAP：80TO：80

MAP：21TO：21於接

MAP：25TO：25地址（

MAP：53TO：53

太平遂0

中

?訪

Internet

MAP（地址/端口映射）

第五講防火墻技術(shù)原理

主要內(nèi)容

?防火墻技術(shù)原理

?訪問控制及訪問控制列表

防火墻技術(shù)原理

?防火墻概要介紹

?防火墻功能及原理

?防火墻典型應(yīng)用

?防火墻存在的問題

防火墻的定義

一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過相關(guān)的安全策略來控制（允許、

拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為

安全域1安全土

①HostAHostB

S■HostCI

S昌

Si

.兩個(gè)安全域之間通s

信流的唯一通道

SourceDestinationPermitProtocol

HostAHostCPassTCP

HostBHostCBlockUDP

根據(jù)訪問控制規(guī)則決

定進(jìn)出網(wǎng)絡(luò)的行為

防火墻核心技術(shù)

傳輸層Segment

吟Packet

網(wǎng)絡(luò)接Frame

I」層

BitFlow

?1、包過濾(Packetfiltering):工作在網(wǎng)絡(luò)層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)

議等確定是否允許數(shù)據(jù)包通過。

?2、應(yīng)用代理(ApplicationProxy):工作在應(yīng)用層，通過編寫應(yīng)用代理程序，實(shí)

現(xiàn)對(duì)應(yīng)用層數(shù)據(jù)的檢測(cè)和分析。

?3、狀態(tài)檢測(cè)(StatefulInspection):工作在2-4層，控制方式與1同，處理的對(duì)

象不是單個(gè)數(shù)據(jù)包，而是整個(gè)連接，通過規(guī)則表和連接狀態(tài)表，綜合判斷是

否允許數(shù)據(jù)包通過。

4、完全內(nèi)容檢測(cè)(CompeleteContentInspection):工作在2-7層，不僅分析數(shù)

據(jù)包頭信息、狀態(tài)信息，而且對(duì)應(yīng)用層協(xié)議進(jìn)行還原和內(nèi)容分析，有效防范

混合型安全威脅。

包過濾防火墻技術(shù)原理

包過濾防火力

am鏟網(wǎng)

應(yīng)用代理防火墻技術(shù)原理

應(yīng)用代理防火孑

狀態(tài)檢測(cè)防火墻技術(shù)原理

完全內(nèi)容檢測(cè)防火墻技術(shù)原理

IP層開始攻擊主服務(wù)器硬盤數(shù)據(jù)

網(wǎng)絡(luò)層保護(hù)強(qiáng)▲

應(yīng)用層保護(hù)強(qiáng)III

會(huì)話保護(hù)很強(qiáng)III還原會(huì)送

網(wǎng)絡(luò)接口層上下文相關(guān)

前后報(bào)文有聯(lián)系報(bào)文3X?TCP硬盤數(shù)據(jù)

I

報(bào)文2T?TCP主眼務(wù)海

報(bào)文1TPTCP開蛤攻擊

TTT?

III

防火墻體系結(jié)構(gòu)

?過濾路由器

?多宿主主機(jī)

?被屏蔽主機(jī)

?被屏蔽子網(wǎng)

過濾路由器

?過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，通過ACL策略要求所有的報(bào)文都

必須在此通過檢查，實(shí)現(xiàn)報(bào)文過濾功能。

?它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)且不能識(shí)別不同的用戶（沒有日志記錄〉。

進(jìn)行包過濾

雙宿主主機(jī)

?雙宿主主機(jī)優(yōu)于過濾路由器的地方是:堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)

日志。

?它的致命弱點(diǎn)是:一旦入侵者侵入堡壘主機(jī)，則無法保證內(nèi)部網(wǎng)絡(luò)的安全。

進(jìn)行過濾

被屏蔽主機(jī)

?通常在路由器上設(shè)立ACL過濾規(guī)則，并通過堡壘主機(jī)進(jìn)行了數(shù)據(jù)轉(zhuǎn)發(fā)，來

確保內(nèi)部網(wǎng)絡(luò)的安全。

?弱點(diǎn):如果攻擊者進(jìn)入屏敝主機(jī)內(nèi)，內(nèi)網(wǎng)中的就會(huì)受到很大威脅;這與雙宿主

主機(jī)受攻擊時(shí)的情形差不多。

雙宿主主機(jī)

被屏蔽子網(wǎng)

?這種結(jié)構(gòu)是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的了網(wǎng)，用兩臺(tái)過濾

路由器分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊接，中間通過堡壘主機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

?特點(diǎn):如果攻擊者試圖進(jìn)入內(nèi)網(wǎng)或者子網(wǎng)，他必須攻破過濾路由器和雙宿主主

機(jī)，然后才可以進(jìn)入子網(wǎng)主機(jī)，整個(gè)過程中將引發(fā)警報(bào)機(jī)制。

DMZ區(qū)

內(nèi)外部網(wǎng)絡(luò)之間的通信

都經(jīng)過堡至主機(jī)

包過城總包過就資

于網(wǎng)主機(jī)

防火墻基本功能

?訪問控制

?地址轉(zhuǎn)換

?網(wǎng)絡(luò)環(huán)境支持

?帶寬管理

?入侵檢測(cè)和攻擊防御

?用戶認(rèn)證

?高可用性

基本訪問控制功能

基本訪問控制.

Accesslist192168.1

Accessnat192168^

Access202.12.3to1

Accessdefaultpass

規(guī)則匹配成4

時(shí)間控制策略

時(shí)間控制策m

liiteniet

地址轉(zhuǎn)換策略1

地址轉(zhuǎn)考

源地址：

目地址：4

源地址：1

目地址：4

HostCHostD

15

EthO：

101.211.

受保護(hù)網(wǎng)絡(luò)

Eth2：

3

?隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

?內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址

?：?公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù);

地址轉(zhuǎn)換策略2

地址轉(zhuǎn)換

InoiegI5

DNS

MAIL

?:?公開服務(wù)器可以使用私有:

?:?隱藏內(nèi)部網(wǎng)絡(luò)的