10.网络安全整体解决方案
校验码技术 初始化验证 敏感信息加密
数据有效性检验、部分运行保护
组合鉴别技术 敏感标记的设置及操作
审计报表
审计过程的保护
空间释放及信息清除
密码技术
整个报文及会话过程加密
自动保护功能
资源控制
对用户会话数及 系统最大并发会话数的限制
资源分配限制、资源分配优先级 最小服务水平的检测及报警
通信保密性 通信完整性 剩余信息保护 安全审计 访问控制 身份鉴别
• 应用安全具体包括:9个控制点 • 身份鉴别、访问控制、安全审计、剩余信息保护、
通信完整性、 • 通信保密性、抗抵赖、软件容错、资源控制
应用安全要点
身份鉴别 访问控制 抗抵赖 安全审计 剩余信息保护 通信完整性 通信保密性
软件容错
基本的身份鉴别 安全策略
最小授权原则 运行情况审计(用户级)
审计记录的保护
.
..
新
.
大 楼
.
网络安全整体解决方案—主机安全
• 主机系统安全是包括服务器、终端/工作站等在内 的计算机设备在操作系统及数据库系统层面的安 全。
• 主机安全具体包括:7个控制点 • 身份鉴别、访问控制、安全审计、 • 剩余信息保护、入侵防范、 • 恶意代码防范、资源控制
身份鉴别 访问控制
主机安全的要点
网络安全的整改要点
结构安全
关键设备冗余空间 核心网络带宽 子网/网段控制
主要设备冗余空间 整体网络带宽 重要网段部署
路由控制 带宽分配优先级
访问控制
访问控制设备(用户、网段) 拨号访问限制
端口控制
防止地址欺骗
应用层协议过滤
会话终止
最大流量数及最大连接数
安全审计
日志记录
审计报表
审计记录的保护
边界完整性检查
网络安全整体解决方案
物理安全
环境安全 视频监控
安全
安全制度 安全审计
网络安全
安全运维 系统运维管理 人员安全管理
安全技术
主机安全
应用应安用全安全
结构安全 边界安全 安全审计 访问控制
病毒防范 入侵防御 补丁管理 安全审计
通信保密
数据库审 计
Web应用安 全
业务连续 性
数据安全
文档加密 数据备份
网络安全整体解决方案—物理安全
冗余/并行线路 备用供电系统
电力供应 防盗窃和防破坏 物理访问控制 物理位置选择
电磁防护
防雷击、防火、防水和防潮、防静电、温湿度控制
不做硬 性要求
网络安全整体解决方案—网络安全
• 网络安全主要关注的方面包括:网络结构、网 络边界以及网络设备自身安全等。
• 网络安全具体包括:7个控制点 • 结构安全、访问控制、安全审计、 • 边界完整性检查、入侵防范、 • 恶意代码防范、网络设备防护
内部的非法联出
非授权设备私自外联 定位及阻断
入侵检测/防御
检测常见攻击
记录、报警
恶意代码防范 网络设备防护
基本的登录鉴别
网络边界处防范 组合鉴别技术 特权用户的权限分离
入侵防范 边界完整性检查 安全审计 访问控制 结构安全
.. . .. .
XXX单位业务网安全拓扑图
网络设备防护
恶意代码200防9年7范月8日
.. . .. .
XXX单位业务网安全拓扑图 比较较难超实前现资源控制
软件容错
抗抵赖 2009年7月8日
基本的身份鉴别
组合鉴别技术
安全策略 特权用户的权限分离
管理用户的权限分离 敏感标记的设置及操作
安全审计
服务器基本运行情况审计
重要客户端的审计
审计报表
审计记录的保护
剩余信息保护
空间释放及信息清除
入侵防范 恶意代码防范
资源控制
最小安装原则 升级服务器
重要服务器:检测、记录、报警 重要程序完整性
防恶意代码软件、代码库统一管理
Cisco
Catalyst
4507R
Si
Si
Catalyst 3550-24 Catalyst 3550-24
主机安全审计
数据库 服务器
内网
备份
服务器群
服务器
防病毒和网管 服务群
Catalyst 3550-24
Catalyst 3550-24
新大楼 交换机
.
.
..
.
.
.
.
.
.
.
. .
.
..
.
..
.
..
主机安全审计
数据库 服务器
内网
备份
服务器群
服务器
防病毒和网管 服务群
Catalyst 3550-24
Catalyst 3550-24
新大楼 交换机
.
.
..
.
.
.
.
.
.
.
. .
.
..
.
..
.
..
.
..
新
.
大 楼
.
网络安全整体解决方案—应用安全
• 应用系统的安全就是保护系统的各种应用程序安全运 行。包括基本应用,如:消息发送、web浏览等;业 务应用,如:电子商务、电子政务等。
电力供应 电磁防护 防水和防潮
物理安全要点
基本防护能力 基本出入控制 在机房中的活动
高层、地下室 分区域管理
存放位置、标记标识
监控报警系统
建筑防雷、机房接地
设备防雷
灭火设备、自动报警 关键设备
稳定电压、短期供应 线缆隔离
温湿度控制
自动消防系统 主要设备 主要设备 接地防干扰 电磁屏蔽
电子门禁
区域隔离措施 防静电地板
分行
下
联
单
位
分行
Cisco 2611XM Cisco 2611XM
上级单位
路由器
市政务外网
Catalyst 3524 Catalyst 3524
百兆防火墙
千兆防火墙 千兆IDS
Catalyst 3550-48 Catalyst 3550-48 Catalyst 3550-24
Cisco 2611XM
上级单位
路由器
市政务外网
Catalyst 3524 Catalyst 3524
百兆防火墙
千兆防火墙 千兆IDS
Catalyst 3550-48 Catalyst 3550-48 Catalyst 3550-24
Cisco 2611XM
Cisco
Catalyst
4507R
Si
Si
Catalyst 3550-24 Catalyst 3550录的限制
监视重要服务器 最小服务水平的检测及报警
入侵防范 剩余信息保护 安全审计 访问控制 身份鉴别
.. . .. .
XXX单位业务网安全拓扑图
比较超前 较难实现
资源控制
恶意代码2009防年7月范8日
分行
下
联
单
位
分行
Cisco 2611XM Cisco 2611XM
• 物理安全主要涉及的方面包括环境安全(防火、防 水、防雷击等)设备和介质的防盗窃防破坏等方面。
• 物理安全具体包括:10个控制点 • 物理位置的选择、 物理访问控制、 • 防盗窃和防破坏、 防雷击、 • 防火、防水和防潮 、防静电 、温湿度控制、电
力供应、 电磁防护
物理位置的选择 物理访问控制
防盗窃和防破坏 防雷击 防火 防静电
