HIDS 探测器
HIDS管理中心
HIDS 探测器
NIDS典型部署案例
检测内部网入侵行为
外部威胁监测与识别
互联网内容管理

防止内部员工滥用网络资源 防止来自互联网的病毒的攻击
协助管理 员有效地 调整网络 性能
防止内部员工泄露工作机密
防止垃圾邮件、垃圾信息在网络中扩散
网闸
网闸通过利用一种GAP技术(源于英文的“Air Gap”) ，使两个或 者两个以上的网络在不连通的情况下，实现它们之间安全数据交换 和共享。其技术原理是一个具有控制功能的开关读写存储安全设备， 通过开关的设置来连接或切断两个独立主机系统的数据交换
网络安全管理实例
WINDOWS安全管理 防火墙与IDS部署实例 企业网络防毒防护 互联网内容管理 数据备份与容灾技术
身 份 认 证 技 术
访 问 控 制 技 术
密 码 技 术
备 份 与 恢 复 技 术
安全管理技术
网络安全管理要素
企业网络安全主要构成因素
人 制度
安全防护体系
技术
人
制度
技术
人：网络安全管理的根本因素
人是安防体系中的最薄弱环节
对安全防护工作重视的领导是安防工作顺利 推进的主要动力；
有强烈安全防护意识的员工是企业安防体系 得以切实落实的基础；
防火墙
防火墙部署基本步骤 第一步，根据组织或公司的安全策略要求，将网络划分成
若干安全区域。 第二步，在安全区域之间设置针对网络通信的访问控制点。 第三步，针对不同访问控制点的通信业务需求，制定相应
的边界安全策略。 第四步，依据控制点的边界安全策略，采用合适的防火墙
技术和防范结构。 第五步，在防火墙上，配置实现对应的边界安全策略。 第六步，测试验证边界安全策略是否正常执行。 第七步，运行和维护防火墙。
安全漏洞打补丁
停止服务和卸载软件
修改配置或权限
系统安全
升级或更换程序
去除特洛伊等恶意程序
安装专用的安全工具软件
Windows系统安全增强基本流程
确认系统安全增强的安全目标和系统的业务用途 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 慎用NetBIOS 账户安全配置 文件系统安全配置 配置TCP/IP筛选和ICF 用光盘或软盘启动 安装第三方防护软件 使用屏幕保护口令 设置应用软件安全
网络安全管理
网络安全管理
网络安全管理概述 网络安全管理策略 网络安全管理实例
WINDOWS安全管理 防火墙与IDS部署实例 企业网络防毒防护 互联网内容管理 数据备份与容灾技术
安全涉及的因素
物理安全
信息安全
网络安全
网络安全
研究攻防技术以阻之通讯
研究安全漏洞以防之
控制 广播
响应Response--在安全策略指导下，通过动态调整访问控制系统的 控制规则，发现并及时截断可疑链接、杜绝可疑后门和漏洞，启动相 关报警信息；
恢复Restore--在多种备份机制的基础上，启用应急响应恢复机制实 现系统的瞬时还原；进行现场恢复及攻击行为的再现，供研究和取证； 实现异构存储、异构环境的高速、可靠备份。
付处理复杂多变的攻击活动的能力和远见。
制度：网络安全管理的基础
美国萨班斯法案 国家的信息安全和网络管理法规政策 中华人民共和国计算机信息系统安全保护条例 计算机信息网络国际联网安全保护管理办法 中华人民共和国电子签名法 计算机信息系统安全保护等级划分准则 互联网信息服务管理办法 企业内部管理制度 计算机上机管理制度 用户账户管理制度 internet访问管理制度 信息保护管理制度 防火墙管理制度 应用服务器使用制度
UNIX/Linux系统安全增强基本流程
确 认 UNIX/LINUX系 统 安 全 目 标
安 装 最 小 化 UNIX/LINUX系 统
UNIX/LINUX系 统 安 全 策 略 配 置
UNIX/LINUX系 统 安 全 修 正
安 装 UNIX/LINUX第 三 方 安 全 软 件 工 具 UNIX/LINUX系 统 安 全 检 查
否
系统安全目标是否满足?
是
UNIX/LINUX系 统 安 全 运 行
认证技术
口令认证
接入认证
智能卡/USB 认证
PKI/数字证书
Title
基于生物特征认证
单点登陆
互联网内容管理
防止内部员工滥用网络资源 防止来自互联网的病毒的攻击
协助管理 员有效地 调整网络 性能
防止内部员工泄露工作机密
防止垃圾邮件、垃圾信息在网络中扩散
技术：网络安全管理的基本保证
完善的整体防卫架构
防病毒 访问控制
入侵检测 漏洞评估
防火墙
技术：网络安全管理的基本保证
如果将计算机网络比作城堡：
防火墙就是城堡的护城桥（河）——只允许己方的队伍 通过。
入侵监测系统就是城堡中的了望哨——监视有无敌方或 其他误入城堡的人出现。
VPN就是城褒外到城堡内的一个安全地道——有时城堡 周围遍布敌军而内外需要联络。
P
Protect 安全保护
安全模型（P2DR2)
建立安全模型(P2DR2)
统一管理、协调 PPDRR之间的行动
$dollars
$dollars
Policy 安全策略
Recovery安全恢复 $dollars
Protect 安全保护
Detection 入侵检测
Reaction 安全响应
策略Policy --定义系统的监控周期、确立系统恢复机制、制定网络访 问控制策略和明确系统的总体安全规划和原则；
防护Protection-- 充分利用防火墙系统，实现数据包策略路由、路由 策略和数据包过滤技术，应用访问控制规则达到安全、高效地访问； 应用NAT及映射技术实现IP地址的安全保护和隔离；
检测Detection--利用防火墙系统具有的入侵检测技术及系统扫描工 具，配合其他专项监测软件，建立访问控制子系统ACS，实现网络系 统的入侵监测及日志记录审核，以利及时发现透过ACS的入侵行为；
实施网络安全风险评估
网络安全风险管理系统维护
网络安全风险控制管理
制定网络安全管理相关制度
网络安全风险管理系统运行
网络安全管理应急响应流程
第一步，安全事件报警
第二步，安全事件确认
第六步，应急工作总结
Title
第三步，启动应急预案
第五步，撰写安全事件报告
第四步，安全事件处理
漏洞扫描
系统安全增强方法
第三步，针对监测对象或保护网段的安全需求，制 定相应的检测策略
第四步，依据检测策略，选用合适的IDS结构类型 第五步，在IDS上，配置入侵检测规则 第六步，测试验证IDS的安全策略是否正常执行 第七步，运行和维护IDS
HIDS典型部署案例
HIDS分布式应用 HIDS单机应用
网络安全管理内容
安全管理
环
媒
设
反
备 审访 安
用 传储 内
境 安
体 安
备 安
病
份 计问 全 恢 监控 检
户 输存 容 鉴 安安 审
全
全
全
毒
复 控制 测
权 全全 计
物理安全
重点
网络安全
信息安全
安全体系
网络安全体系结构
访问控制
安全检测
用户鉴权
传输安全
出存 入取 控控 制制
安入 全侵 扫检 描测
主 体 特 征
口 令 机 制
智 能 卡
数 字 证 书
传 输 数 据
数 据 完 整
防 抵 赖
加鉴
密别
控制表技术
攻击技术
口令技术
加密技术 安全协议
网络安全的关键技术
安全集成技术
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
入 侵 检 测 技 术
安 全 评 估 技 术
审 计 分 析 技 术
主 机 安 全 技 术
网络安全管理基本属性
完整性
可用性
机密性 可控性
抗抵赖性 (可审查性）
网络安全管理基本属性
可用性：
得到授权的实体在需要时可访问数据，即攻击者不能占用所有的 资源而阻碍授权者的工作
可控性：
可以控制授权范围内的信息流向及行为方式
机密性：
确保信息不暴露给未授权的实体或进程
完整性： 只有得到允许的人才能修改数据，并且能够判别出数据是否已被
制度：网络安全管理的基础
安防制度的生命周期
制度的生命周期包括制度的制定、推行和监督实施。
第一阶段：规章制度的制 定。本阶段以风险评估工 作的结论为依据制定出消 除、 减轻和转移风险所需 要的安防 控制措施。
第二阶段：企业发
布执行的规章制度，
制度的制定
以及配套的奖惩措 施。
第三阶段：规章制度的监 督实施。制度的监督实施 应常抓不懈、反复进行， 保证制度能够跟上企业的 发展和变化
企业、政府纵向网络中防火墙的部署
分支机构
互联网
总部
分支机构
内部网络安全防护中防火墙的部署
互联网/外网 内部网
高可靠性网络中防火墙部署
互联网/外网
网络入侵管理
IDS部署基本步骤
第一步，根据组织或公司的安全策略要求，确定 IDS要监测对象或保护网段
第二步，在监测对象或保护网段，安装IDS探测器， 采集网络入侵检测所需要的信息
杜绝企业内部员工攻击网络系统是加强安全 防护的一项重要工作。