等級保護(hù)基礎(chǔ)安全防護(hù)技術(shù)概覽

1、.,1,等級保護(hù) 基礎(chǔ)安全防護(hù)技術(shù)概覽,網(wǎng)神信息技術(shù)（北京）股份有限公司 肖 寒 CISP、PMP、北京市安全服務(wù)高級工程師,內(nèi)部資料 請勿外泄,.,2,大 綱,2,.,3,1.1等級保護(hù)基本概念-定義,是指對信息安全實(shí)行等級化保護(hù)和等級化管理。 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、公共利益和社會穩(wěn)定。 等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。,.,4,

2、1.1等級保護(hù)基本概念-深入理解,信息安全等級保護(hù)是指： 對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級實(shí)行安全保護(hù)； 對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理； 對信息系統(tǒng)中發(fā)生的信息安全事件實(shí)行分等級響應(yīng)、處置。,.,5,等級保護(hù)政策體系,1.2等級保護(hù)基本概念-政策體系,.,6,1.3級保護(hù)基本概念-相關(guān)標(biāo)準(zhǔn),.,7,1.4等級保護(hù)基本概念-安全保護(hù)等級,全國的信息系統(tǒng)（包括網(wǎng)絡(luò)）按照重要性和受破壞后的危害性分成五個安全保護(hù)等級,.,8,1.5等級保護(hù)基本概念-系統(tǒng)等級分類,.,9,定級：明確責(zé)任主體、自主定級、專家審核、上級

3、主管單位審批； 備案：定級系統(tǒng)須在上級主管單位及屬地公安機(jī)關(guān)備案； 建設(shè)整改：根據(jù)基本要求進(jìn)行安全加固與改進(jìn)； 等級測評：邀請具有等級測評資質(zhì)的測評機(jī)構(gòu)進(jìn)行安全等級測評； 監(jiān)督檢查：通過安全檢查的方式持續(xù)改進(jìn)系統(tǒng)安全。,1.6等級保護(hù)基本概念-規(guī)定動作,.,10,不同信息系統(tǒng)的安全保護(hù)等級相同，但其內(nèi)在安全需求可能會有所不同，業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全保護(hù)等級也可能不同。 （5個等級，25種組合） 保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為S）；保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為A）；通用安

4、全保護(hù)類要求（簡記為G）。,1.7等級保護(hù)基本概念- 系統(tǒng)等級與安全要求對應(yīng)關(guān)系,.,11,以安全保發(fā)展 發(fā)展中求安全,1.8等級保護(hù)基本概念-基本要求,.,12,電力供應(yīng),電磁防護(hù),安全審計(jì),身份鑒別,訪問控制,結(jié)構(gòu)安全,訪問控制,身份鑒別,安全審計(jì),訪問控制,入侵防范,備份和恢復(fù),完整性,保密性,1.9等級保護(hù)基本概念-實(shí)施步驟- 差距分析,.,13,應(yīng)用層,SQL注入,身份 冒用,溢出 攻擊,數(shù)據(jù)竊取,傳輸 竊聽,數(shù)據(jù)重放,主機(jī)層,弱口令,系統(tǒng)漏洞,病毒入侵,資源占用,黑客攻擊,網(wǎng)絡(luò)層,帶寬資源濫用,非法接入,非法外聯(lián),區(qū)域混亂,協(xié)議攻擊,中間人攻擊,信息泄露,物理層,斷電,物理攻擊,非

5、法進(jìn)出,盜竊,火災(zāi),數(shù)據(jù)層,篡改,非法訪問,丟失,泄露,不可用,計(jì)算環(huán)境,區(qū)域邊界,網(wǎng)絡(luò)通信,安全管理,缺乏組織,缺乏流程,人員安全意識不足,缺乏過程控制,缺乏專業(yè)技能,缺乏安全監(jiān)控,管理不到位,1.9等級保護(hù)基本概念-實(shí)施步驟- 差距分析,1.9等級保護(hù)基本概念-實(shí)施步驟- 方案編寫,.,15,依據(jù)信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)基本要求 參照信息安全技術(shù)-信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求 引入“安全域”的概念，強(qiáng)化訪問控制 安全技術(shù)控制策略 安全管理控制策略,1.9等級保護(hù)基本概念-實(shí)施步驟- 方案編寫,1.9等級保護(hù)基本概念-實(shí)施步驟- 設(shè)計(jì)策略,.,17,業(yè)務(wù)風(fēng)險控制,業(yè)務(wù),應(yīng)用,主

6、機(jī),組件,應(yīng)用平臺,網(wǎng)絡(luò),業(yè)務(wù)安全需求,安全功能實(shí)現(xiàn),數(shù)據(jù)庫,功能組件,支撐安全 功能實(shí)現(xiàn),安全 軟件環(huán)境,安全邊界 安全傳輸通道,業(yè)務(wù)風(fēng)險 保護(hù)策略,信息系統(tǒng) 保護(hù)策略,整體 保護(hù)策略,程序安全,組件安全,主機(jī)安全,網(wǎng)絡(luò)安全,“業(yè)務(wù)+系統(tǒng)”安全=整體安全策略,1.9等級保護(hù)基本概念-實(shí)施步驟- 設(shè)計(jì)策略,結(jié)合實(shí)際，部署實(shí)施安全措施,1.9等級保護(hù)基本概念-實(shí)施步驟- 實(shí)施措施,.,19,信息安全領(lǐng)導(dǎo)小組,信息安全主管（部門）,安全管理員,安全審計(jì)員,系統(tǒng)管理員,網(wǎng)絡(luò)管理員,數(shù)據(jù)庫管理員,決策、監(jiān)督,應(yīng)用系統(tǒng)管理員,管理,執(zhí)行,落實(shí)信息安全責(zé)任制,建立安全組織（舉例）,1.9等級保護(hù)基本概念-

7、實(shí)施步驟- 建立安全組織,.,20,方針策略 信息安全工作的綱領(lǐng)性文件。,制度辦法 在安全策略的指導(dǎo)下，制定的各項(xiàng)安全管理和技術(shù)制度、辦法和準(zhǔn)則，用來規(guī)范各部門處室安全管理工作。,流程細(xì)則 細(xì)化的實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容，用來支撐第二層對應(yīng)的制度與管理辦法的有效實(shí)施。,記錄表單 記錄活動實(shí)行以符合等級1,2,和3的文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動的證據(jù),編寫安全管理制度,1.9等級保護(hù)基本概念-實(shí)施步驟- 完善管理制度,.,21,1.9等級保護(hù)基本概念-實(shí)施步驟- 完善管理制度,“三個體系、一個中心、三重防護(hù)”,整改方案的技術(shù)路線,1.9等級保護(hù)基本概念-實(shí)施步驟- 總體

8、思路,.,23,定級：明確責(zé)任主體、自主定級、專家審核、上級主管單位審批； 備案：定級系統(tǒng)須在上級主管單位及屬地公安機(jī)關(guān)備案； 建設(shè)整改：根據(jù)基本要求進(jìn)行安全加固與改進(jìn)； 等級測評：邀請具有等級測評資質(zhì)的測評機(jī)構(gòu)進(jìn)行安全等級測評； （測評機(jī)構(gòu)） 監(jiān)督檢查：通過安全檢查的方式持續(xù)改進(jìn)系統(tǒng)安全。 （公安部、工信部、直屬領(lǐng)導(dǎo)單位等）,2.0等級保護(hù)基本概念-規(guī)定動作,.,24,大 綱,24,.,25,傻根在外地打工掙了錢，隨身攜帶著10萬元錢坐上了一輛混雜著很多小偷的長途火車回家。 傻根把錢就放在了普通的布質(zhì)書包里。傻根沒有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時候累了，就坐著打個瞌睡。 一

9、路上，葛優(yōu)等小偷團(tuán)伙頻頻出手，嘗試著偷這10萬元錢。但是在好心人劉德華和劉若英等的保護(hù)下，葛優(yōu)等小偷團(tuán)伙未能得逞。 好險啊，如果這錢被偷走了，傻根就娶不上媳婦了。,天下無賊,2.1什么是安全防護(hù)-“小故事”,1、核心是-錢,2、攻擊-賊,3、防護(hù)-賊,.,26,身份及憑證,認(rèn)證,授權(quán),審計(jì),通信安全,2.2真實(shí)世界的信息安全,.,27,A、信息： 信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價值，因此需要妥善保護(hù)。 B、信息安全： 信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)

10、生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。 C、信息系統(tǒng)： 計(jì)算機(jī)信息系統(tǒng)是由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo) 和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。,2.3等保安全防護(hù)技術(shù)-名詞解釋,.,28,安全需求是驅(qū)動；安全威脅是風(fēng)險；安全技術(shù)是手段；安全產(chǎn)品來執(zhí)行；安全狀態(tài)是結(jié)果。 威脅：可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。,安全 需求,安全 目標(biāo),安全 威脅,安全 技術(shù),安全 產(chǎn)品,安全 狀態(tài),安全傳導(dǎo)鏈,2.4需求如何來滿足,2.5信息系統(tǒng)覆蓋內(nèi)容,電力供應(yīng),非法進(jìn)入,環(huán)境威脅,電力中斷

11、電壓不穩(wěn),火災(zāi)、水災(zāi),盜竊、破壞,物理安全威脅,安全防護(hù)手段,UPS、冗余電路,滅火器、防水門窗,門禁系統(tǒng)、專人值守,2.5.1物理安全的威脅及防護(hù),電力供應(yīng),非法進(jìn)入,環(huán)境威脅,電力中斷 電壓不穩(wěn),火災(zāi)、水災(zāi),盜竊、破壞,物理安全威脅,視頻監(jiān)控,溫濕度監(jiān)控,電壓、負(fù)載監(jiān)控,安全監(jiān)控手段,2.5.1物理安全的監(jiān)控,網(wǎng)絡(luò)攻擊,惡意代碼,漏洞探測,非授權(quán)訪問,外部威脅,防火墻,防病毒網(wǎng)關(guān),入侵防御,SSL VPN,內(nèi)部威脅,防病毒網(wǎng)關(guān),防火墻,2.5.2網(wǎng)絡(luò)安全的威脅及防護(hù),其他威脅,區(qū)域劃分不合理,中間人攻擊,信息泄露,運(yùn)行日志,報警日志,巡檢記錄,綜合分析,設(shè)備監(jiān)控,攻擊監(jiān)控 病毒監(jiān)控,綜合分

12、析,設(shè)備巡檢,2.5.2網(wǎng)絡(luò)安全的監(jiān)控,惡意代碼,非法訪問,主機(jī)故障,互聯(lián)網(wǎng)服務(wù)器,內(nèi)網(wǎng)服務(wù)器,辦公網(wǎng)計(jì)算機(jī),辦公用戶使用的個人計(jì)算機(jī),內(nèi)網(wǎng)的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器,向互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)站、郵件等服務(wù)器,網(wǎng)絡(luò)防病毒,網(wǎng)絡(luò)防病毒,網(wǎng)絡(luò)防病毒,主機(jī)核心防護(hù),主機(jī)核心防護(hù),服務(wù)器冗余,服務(wù)器冗余,2.5.3主機(jī)安全的威脅及防護(hù),用戶,數(shù)據(jù)庫,應(yīng)用服務(wù)器,1,2,3,4,訪問請求,查詢數(shù)據(jù)庫,返回查詢結(jié)果,返回請求內(nèi)容,非授權(quán)訪問,通信竊聽,漏洞攻擊,非法操作,攻擊應(yīng)用,攻擊數(shù)據(jù)庫,竊聽通信數(shù)據(jù),CA認(rèn)證系統(tǒng),應(yīng)用安全加固,數(shù)據(jù)傳輸加密,2.5.4應(yīng)用安全的威脅及防護(hù),數(shù)據(jù)處理端,數(shù)據(jù)存儲端,數(shù)據(jù)傳

13、輸線路,數(shù)據(jù)傳輸被竊聽、破壞,數(shù)據(jù)存儲被竊取、破壞,數(shù)據(jù)傳輸加密,數(shù)據(jù)存儲加密,2.5.5數(shù)據(jù)安全的威脅及防護(hù),.,37,信息安全技術(shù)縱深防御,.,38,2.6 總體防護(hù)策略,分區(qū)分域結(jié)構(gòu)劃分，形成“縱深防御體系”。 基于“一個中心、三重防護(hù)”的設(shè)計(jì)思路，從計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)通信和統(tǒng)一安全監(jiān)控管理等幾方面設(shè)計(jì)。 重點(diǎn)以等級保護(hù)3級為防護(hù)要求基線，部分防護(hù)環(huán)節(jié)根據(jù)威脅和脆弱程度會適當(dāng)高于或低于等級保護(hù)3級基本要求。,38,.,39,2.7 基礎(chǔ)安全防護(hù)體系,安全產(chǎn)品,安全目標(biāo),2.6信息安全技術(shù)產(chǎn)品,.,41,大 綱,41,42,3.1ISO 7498.2 安全架構(gòu)三維體系結(jié)構(gòu)圖,.,43

14、,三級： 73個控制點(diǎn) 290控制項(xiàng),參考,安全產(chǎn)品對照（參考）,3.1安全產(chǎn)品對照,.,44,參考,安全產(chǎn)品對照（參考）,3.1安全產(chǎn)品對照,.,45,3.2 基礎(chǔ)安全防護(hù)結(jié)構(gòu)中的安全產(chǎn)品,45,46,1、VPN 13、WAF 2、防火墻（FW） 14、抗DDOS 3、防毒墻 4、安全審計(jì)類 5、入侵檢測系統(tǒng)（IDS） 6、入侵防御系統(tǒng)（IPS） 7、UTM 8、漏洞掃描設(shè)備 9、認(rèn)證系統(tǒng) 10、運(yùn)維審計(jì)、安全管理平臺（SOC） 11、網(wǎng)閘 12、終端安全管理,常用安全產(chǎn)品介紹,47,VPN的作用： 取締專用網(wǎng)絡(luò)，通過TCP/IP分組交換方式傳遞數(shù)據(jù)，連接連接隧道，進(jìn)而保證數(shù)據(jù)傳輸?shù)陌踩院?/p>

15、完整性。 VPN的基本功能： 加密數(shù)據(jù) 信息認(rèn)證和身份認(rèn)證 提供訪問控制 VPN的分類： 按協(xié)議層次：二層VPN，三層VPN、四層VPN和應(yīng)用層VPN； 按應(yīng)用范圍：遠(yuǎn)程訪問VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN 按體系結(jié)構(gòu)：網(wǎng)關(guān)到網(wǎng)關(guān)VPN、主機(jī)到網(wǎng)關(guān)VPN和主機(jī)到主機(jī)VPN 常見的VPN：IPSec VPN 和 SSL VPN,VPN,48,防火墻的作用： 在網(wǎng)絡(luò)間（內(nèi)部/外部網(wǎng)絡(luò)、不同信息級別）提供安全連接的設(shè)備； 用于實(shí)現(xiàn)和執(zhí)行網(wǎng)絡(luò)之間通信的安全策略 防火墻的功能： 控制進(jìn)出網(wǎng)絡(luò)的信息流向和數(shù)據(jù)包，過濾不安全的服務(wù)； 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)； 提供使用和流量的日志和審計(jì)功能； 部

16、署NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）； 邏輯隔離內(nèi)部網(wǎng)段，對外提供WEB和FTP； 實(shí)現(xiàn)集中的安全管理； 提供VPN功能。 防火墻的分類：軟件防火墻、硬件防火墻 防火墻的發(fā)展：包過濾、應(yīng)用代理、狀態(tài)檢測,防火墻（FW）,49,防火墻的弱點(diǎn)和局限性： 防火墻防外不防內(nèi)； 防火墻難于管理和配置，易造成安全漏洞； 很難為用戶在防火墻內(nèi)外提供一致的安全策略； 防火墻只實(shí)現(xiàn)了粗粒度的訪問控制； 對于某些攻擊防火墻也無能為力。 選擇防火墻需考慮的要素： 形態(tài) 性能 適用性 可管理性 完善及時的售后服務(wù)體系,防火墻,50,病毒方面我們面臨的威脅： 根據(jù)國際著名病毒

17、研究機(jī)構(gòu)ICSA（國際計(jì)算機(jī)安全聯(lián)盟，International Computer Security Association）的統(tǒng)計(jì)，目前通過磁盤傳播的病毒僅占7%，剩下93%的病毒來自網(wǎng)絡(luò)，其中包括Email、網(wǎng)頁、QQ和MSN等傳播渠道。 防毒墻的作用：識別和阻斷各類病毒攻擊。 網(wǎng)絡(luò)版殺毒軟件的局限性：1、操作系統(tǒng)本身的穩(wěn)定性以及是否存在漏洞都對網(wǎng)絡(luò)版殺毒軟件的使用有一定影響；2、它并不能對網(wǎng)絡(luò)病毒進(jìn)行有效防護(hù)。 防毒墻：網(wǎng)絡(luò)版殺毒軟件+防火墻：,防毒墻,51,計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)（Audit）是指按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動，

18、從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。也是審查評估系統(tǒng)安全風(fēng)險并采取相應(yīng)措施的一個過程。 主要作用和目的： （1）對可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險評估。 （2）測試系統(tǒng)的控制情況，及時進(jìn)行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。 （3）對已出現(xiàn)的破壞事件，做出評估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。 （4）對系統(tǒng)控制、安全策略與規(guī)程中的變更進(jìn)行評價和反饋，以便修訂決策和部署。 （5）協(xié)助系統(tǒng)管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。,安全審計(jì)技術(shù),52,根據(jù)對象類型： 1）系統(tǒng)級審計(jì) 系統(tǒng)級審計(jì)主要針對系統(tǒng)的登入情況、用戶識別號、登入嘗試的日期和具體時間

19、、退出的日期和時間、所使用的設(shè)備、登入后運(yùn)行程序等事件信息進(jìn)行審查。典型的系統(tǒng)級審計(jì)日志還包括部分與安全無關(guān)的信息，如系統(tǒng)操作、費(fèi)用記賬和網(wǎng)絡(luò)性能。這類審計(jì)卻無法跟蹤和記錄應(yīng)用事件，也無法提供足夠的細(xì)節(jié)信息。 2）應(yīng)用級審計(jì) 應(yīng)用級審計(jì)主要針對的是應(yīng)用程序的活動信息，如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯、刪除記錄或字段的等特定操作，以及打印報告等。 3）用戶級審計(jì) 用戶級審計(jì)主要是審計(jì)用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認(rèn)證操作，用戶所訪問的文件和資源等信息。,安全審計(jì),53,產(chǎn)品分類： 1、上網(wǎng)行為審計(jì) 2、主機(jī)審計(jì) 3、數(shù)據(jù)庫審計(jì) 等,安全審計(jì),54,入侵檢測系統(tǒng)的作

20、用： 克服某些傳統(tǒng)的防御機(jī)制的限制； 在“深度防御”的基礎(chǔ)上成為安全框架的一部分； 在整個組織的網(wǎng)絡(luò)中能夠識別入侵或違反安全策略的行為，并能夠做出回應(yīng)。 入侵檢測系統(tǒng)的功能： 自動檢測入侵行為； 監(jiān)視網(wǎng)絡(luò)流量（Network IDS)和主機(jī)(Host IDS)中的操作； 分析入侵行為：基于特征、基本異常 按預(yù)定的規(guī)則做出響應(yīng)：阻止指定的行為。 入侵檢測系統(tǒng)的分類： 按檢測方法：異常檢測、特征檢測 按地點(diǎn)：基于主機(jī)、基于網(wǎng)絡(luò)、基于網(wǎng)絡(luò)節(jié)點(diǎn) 按比較/分類方法：基于規(guī)則、統(tǒng)計(jì)分析、神經(jīng)網(wǎng)絡(luò)、模式匹配、狀態(tài)轉(zhuǎn)換分析,入侵檢測系統(tǒng)（IDS）,55,選擇IDS需考慮的要素： Porras等給出了評價入侵檢

21、測系統(tǒng)性能的三個因素： 準(zhǔn)確性（Accuracy） 處理性能（Performance） 完備性（Completeness） Debar等增加了兩個性能評價測度 容錯性（Fault Tolerance） 及時性（Timeliness）,入侵檢測技術(shù),56,IPS的定義：是一種集入侵檢測和防御于一體的安全產(chǎn)品。簡單地理解，可認(rèn)為IPS就是防火墻加上入侵檢測系統(tǒng)。 入侵防御系統(tǒng)的功能： 識別對網(wǎng)絡(luò)和主機(jī)的惡意攻擊，并實(shí)時進(jìn)行阻斷； 向管理控制臺發(fā)送日志信息； 集成病毒過濾、帶寬管理和URL過濾等功能； IPS與IDS的區(qū)別： IPS采用In-line的透明模式接入網(wǎng)絡(luò)，IDS并聯(lián)在網(wǎng)絡(luò)中，接入交換機(jī)

22、的接口需要做鏡像； IDS是一種檢測技術(shù)，而IPS是一種阻斷技術(shù)，只不過后者阻斷攻擊的依據(jù)是檢測；,入侵防御系統(tǒng)（IPS）,57,UTM（United Threat Management）意為統(tǒng)一威脅管理，是在2004年9月由IDC提出的信息安全概念。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統(tǒng)一威脅管理的新類別中，該概念引起了業(yè)界的廣泛重視，并推動了以整合式安全設(shè)備為代表的市場細(xì)分的誕生。 UTM的功能： 傳統(tǒng)的防火墻功能； 入侵防御（IPS）功能； 防病毒功能； 端到端的IPSec VPN功能； 動態(tài)路由功能； 內(nèi)容過濾功能。 缺點(diǎn)： 網(wǎng)關(guān)集中防御對內(nèi)部安全防護(hù)不足 過度集成帶來的

23、風(fēng)險 性能和穩(wěn)定性,UTM（統(tǒng)一威脅管理系統(tǒng)）,58,漏洞的初步分類： A、按漏洞可能對系統(tǒng)造成的直接威脅：遠(yuǎn)程管理員權(quán)限、本地管理員權(quán)限、普通用戶訪問權(quán)限、權(quán)限提升、讀取受限文件、遠(yuǎn)程拒絕服務(wù)、本地拒絕服務(wù)、遠(yuǎn)程非授權(quán)文件存取、口令恢復(fù)、欺騙、服務(wù)器信息泄露等 B、按漏洞的成因：輸入驗(yàn)證錯誤、訪問驗(yàn)證錯誤、競爭條件、意外情況處置錯誤、設(shè)計(jì)錯誤、配置錯誤、環(huán)境錯誤 C、對漏洞嚴(yán)重性的分級：低、中、高 D、對漏洞被利用方式的分類：物理接觸、主機(jī)模式、客戶機(jī)模式 漏洞掃描設(shè)備，將被動攻擊，提升到了主動防御的階段，更多體現(xiàn)了人在信息安全建設(shè)中的作用。 相對需要高技術(shù)人員，才能準(zhǔn)確解析并做出合理的處置

24、判斷。,漏洞掃描設(shè)備,59,關(guān)鍵技術(shù)： 公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure-PKI）技術(shù)是以公開密鑰密碼技術(shù)為基礎(chǔ)構(gòu)建的信息安全基礎(chǔ)設(shè)施，PKI以數(shù)字證書為手段，結(jié)合現(xiàn)代密碼技術(shù)理論，將用戶、部門、設(shè)備標(biāo)識、公鑰、私鑰簽名等信息組織在一起，并通過自動管理密鑰和證書，為用戶創(chuàng)建一個安全、可信的網(wǎng)絡(luò)運(yùn)行環(huán)境。它可以是用戶在不同的網(wǎng)絡(luò)應(yīng)用環(huán)境下方便地使用密碼技術(shù)來完成身份認(rèn)證和數(shù)字簽名等操作，進(jìn)而保護(hù)所傳輸信息的安全性。 PKI作為一種安全基礎(chǔ)信任結(jié)構(gòu)，提供多種安全服務(wù)：認(rèn)證服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)保密性服務(wù)、不可否認(rèn)性服務(wù)、公正服務(wù)等。,認(rèn)證系統(tǒng),60,產(chǎn)品原型功能

25、： 以PKI技術(shù)為基礎(chǔ)的安全認(rèn)證體系主要功能是實(shí)現(xiàn)數(shù)字證書生命周期的管理。安全認(rèn)證體系主要包括：證書簽發(fā)中心（CA）、證書注冊審核中心（RA）、密鑰管理中心（KMC）、證書在線狀態(tài)驗(yàn)證系統(tǒng)（OCSP）、時間戳（TSA）、目錄服務(wù)（LDAP）等。 證書簽發(fā)模塊（CA）：主要負(fù)責(zé)數(shù)字證書生命周期管理； 密鑰管理模塊（KMC）：主要對用戶加密密鑰的生命周期實(shí)施管理，主要包括密鑰的產(chǎn)生、密鑰的存儲、密鑰的歸檔等，并在需要時提供相關(guān)的司法取證功能。 注冊審核模塊（RA）：屬于證書簽發(fā)模塊向用戶提供證書服務(wù)的窗口，為人員提供證書申請、下載、注銷、更新等各項(xiàng)業(yè)務(wù)的服務(wù)。 時間戳服務(wù)模塊（TSA）：基于國家權(quán)

26、威時間源和數(shù)字簽名技術(shù)，為業(yè)務(wù)系統(tǒng)提供精確可信的時間戳，保證處理數(shù)據(jù)在某一時間（之前）的存在性及相關(guān)操作的相對時間順序，為業(yè)務(wù)處理的不可抵賴性和可審計(jì)性提供有效支持。 證書在線狀態(tài)查詢模塊（OCSP）：主要為業(yè)務(wù)系統(tǒng)提供實(shí)時的、在線的證書狀態(tài)查詢服務(wù)。 目錄服務(wù)模塊：主要負(fù)責(zé)數(shù)字證書和黑名單的存儲和發(fā)布，并根據(jù)策略將相關(guān)信息發(fā)布到對應(yīng)的下級目錄服務(wù)節(jié)點(diǎn)上，是整個PKI基礎(chǔ)設(shè)施建設(shè)的基礎(chǔ)支撐性部件。,認(rèn)證系統(tǒng),61,概念： SOC（Security Operations Center）是一個外來詞。而在國外，SOC這個詞則來自于NOC（Network Operation Center，即網(wǎng)絡(luò)運(yùn)行

27、中心）。NOC強(qiáng)調(diào)對客戶網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控、分析與響應(yīng)，實(shí)現(xiàn)體系化的網(wǎng)絡(luò)運(yùn)行維護(hù)。 維基百科也只有基本的介紹：SOC（Security Operations Center）是組織中的一個集中單元，在整個組織和技術(shù)的高度處理各類安全問題。 一般地，SOC被定義為：以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時的資產(chǎn)風(fēng)險模型，協(xié)助管理員進(jìn)行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。 本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還有運(yùn)維（運(yùn)營），SOC是技術(shù)、流程和人的有機(jī)結(jié)合。,運(yùn)維審計(jì)-安全管理平臺（SOC

28、）,62,功能： 收集各種防火墻、IDS、IPS等網(wǎng)絡(luò)設(shè)備的信息； 對安全事件進(jìn)行收集、過濾、合并和查詢； 分析可能存在的風(fēng)險，發(fā)出告警信息； SOC2.0：SOC2.0是一個以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)。SOC2.0從業(yè)務(wù)出發(fā)，通過業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價值分析、業(yè)務(wù)風(fēng)險和影響性分析、業(yè)務(wù)可視化等各個環(huán)節(jié)，采用主動、被動相結(jié)合的方法采集來自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息，從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計(jì)、報警、響應(yīng)、存儲和報告。SOC2.0以業(yè)務(wù)為核心，貫穿了信息安全管理系統(tǒng)建設(shè)生命周期從調(diào)研、部署、實(shí)施到運(yùn)

29、維的各個階段。,運(yùn)維審計(jì)-安全管理平臺（SOC）,63,定義：網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。 組成：安全隔離網(wǎng)閘是由軟件和硬件組成。 隔離網(wǎng)閘分為兩種架構(gòu)，一種為雙主機(jī)的2+1結(jié)構(gòu)，另一種為三主機(jī)的三系統(tǒng)結(jié)構(gòu)。2+1的安全隔離網(wǎng)閘的硬件設(shè)備由三部分組成:外部處理單元、內(nèi)部處理單元、隔離安全數(shù)據(jù)交換單元。安全數(shù)據(jù)交換單元不同時與內(nèi)外網(wǎng)處理單元連接，為2+1的主機(jī)架構(gòu)。隔離網(wǎng)閘采用SU-Gap安全隔離技術(shù)，創(chuàng)建一個內(nèi)、外網(wǎng)物理斷開的環(huán)境。三系統(tǒng)的安全隔離網(wǎng)閘的硬件

30、也由三部分組成：外部處理單元（外端機(jī)）、內(nèi)部處理單元（內(nèi)端機(jī)）、仲裁處理單元（仲裁機(jī)），各單元之間采用了隔離安全數(shù)據(jù)交換單元。,網(wǎng)閘（GAP）,.,64,網(wǎng)閘對請求數(shù)據(jù)進(jìn)行合法性檢查，剝離原有協(xié)議成裸數(shù)據(jù)，進(jìn)行內(nèi)容檢查，然后重組,對收到外網(wǎng)的數(shù)據(jù)進(jìn)行病毒檢查、解析、過濾和重組等處理,網(wǎng)閘將重組的數(shù)據(jù)還原為標(biāo)準(zhǔn)通訊協(xié)議，回傳到內(nèi)網(wǎng),將重組的數(shù)據(jù)還原為標(biāo)準(zhǔn)通訊協(xié)議，向外網(wǎng)發(fā)送,專用隔離硬件、 專用通訊協(xié)議,專用隔離硬件、 專用通訊協(xié)議,網(wǎng)閘（GAP）的工作流程,.,65,網(wǎng)閘（GAP）應(yīng)用數(shù)據(jù)處理流程,.,66,性能指標(biāo)： 1、系統(tǒng)數(shù)據(jù)交換速率：小于等于120Mbps 2、硬件切換時間：小于等于5

31、ms 主要功能： 1、安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)、身份認(rèn)證； 2、防止未知和已知木馬攻擊； 3、具有防病毒措施。,網(wǎng)閘（GAP）的性能和功能指標(biāo),.,67,Web應(yīng)用防護(hù)系統(tǒng)（也稱：網(wǎng)站應(yīng)用級入侵防御系統(tǒng)。英文：Web Application Firewall，簡稱： WAF）。利用國際上公認(rèn)的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。,Web應(yīng)用防護(hù)系統(tǒng)(WAF),.,68,分布式拒絕服務(wù)攻擊防護(hù)系統(tǒng),DDOS 即 分布式拒絕服務(wù)攻擊 。 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計(jì)算機(jī)上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代