信息安全博士后科研工作站马东平博士2001-10-25信息与网络安全架构与方案Version3Copyright2001X-ExploitTeamX-ExploitTeam2001X-ExploitTeamX-ExploitTeam日程安排安全理念安全体系架构安全模型安全解决方案全线安全产品系列安全顾问服务结束语安全理念Copyright2001X-ExploitTeamX-ExploitTeam2001X-ExploitTeamX-ExploitTeam信息与网络系统安全理念安全不是纯粹的技术问题,是一项复杂的系统工程—信息安全工程论安全是策略,技术与管理的综合组织人才政策法规安全技术安全策略管理-5Copyright2001X-ExploitTeamX-ExploitTeam2001X-ExploitTeamX-ExploitTeam信道加密信源加密身份认证。。。应网络级系统级用级管理级信息网络系统密级管理。。。访问控制地址过滤数据加密,线路加密安全操作系统应用安全集成外联业务安全措施安全管理规范网络病毒监控与清除防火墙技术集中访问控制网络系统安全策略入侵检测弱点漏洞检测系统配置检测系统审计教训培育中软VPN安全网关中软B1安全操作系统中软高性能防火墙中软网络安全巡警中软信息监控与取证系统中软入侵检测系统信息与网络系统安全管理模型-7Copyright2001X-ExploitTeamX-ExploitTeam2001X-ExploitTeamX-ExploitTeam2001X-ExploitTeamX-ExploitTeam(IncludingLANs)TelecommunicationsServiceProviders(TSP)InternetServiceProviderPublicNetwork(Internet)Facility(IncludingLANs)PrivateNetworksClassifiedNetworksPublicTelephoneNetwork企业的信息与网络系统的抽象-10Copyright2001X-ExploitTeamX-ExploitTeam(TSPs)PublicTelephoneNetworkPrivateNetworksClassifiedNetworksPublicNetwork(Internet)ConnectionstoOtherEnclavesClassifiedEnclavePrivateEnclavePublicEnclaveRemoteUsersRemoteUsersViaTSPsInternetServiceProviderRemoteConnectionsViaTSPsSupportingInfrastructures:•Detect&Respond•KeyManagementInfrastructure/PublicKeyInfrastructureFacilityBoundaryProtection(Guard,Firewall,etc.)RemoteAccessProtection(CommunicationsServers,Encryption,etc.)EnclaveBoundariesLocalComputingEnvironmentRemoteUsersRemoteUsersRemoteUsersPBX企业的信息与网络系统的安全框架IATF-11Copyright2001X-ExploitTeamX-ExploitTeam保卫网络和基础设施•主干网络的可用性•无线网络安全框架•系统互连和虚拟私有网(VPN)保卫边界•网络登录保护•远程访问•多级安全保卫计算环境•终端用户环境•系统应用程序的安全支撑基础设施•密钥管理基础设施/公共密钥基础设施(KMI/PKI)•检测和响应-12Copyright2001X-ExploitTeamX-ExploitTeam保护计算环境计算环境包括终端用户工作站——台式机和笔记本,工作站中包括了周边设备;安全框架的一个基本原则是防止穿透网络并对计算环境的信息的保密性、完整性和可用性造成破坏的计算机攻击;对于那些最终得逞了的攻击来说,早期的检测和有效的响应是很关键的;不断的或周期性的入侵检测、网络扫描以及主机扫描可以验证那些已经配置的保护系统的有效性;系统应用的安全;基于主机的检测与响应。-13Copyright2001X-ExploitTeamX-ExploitTeam(Guard,Firewall,etc.)RemoteAccessProtection(CommunicationsServer,Encryption,etc.)PhysicalAccessControlsConnectionstoNetworksandOtherEnclavesBoundaryProtectionDevicesControlAccessIntoLocalComputingEnvironmentEnclaveBoundaryDefinesSeparationBetween:RemoteUsers:DialUpAccessISPConnectionDedicatedLineInside&Outside保护网络边界一个区域边界之内通常包含多个局域网以及各种计算资源组件,比如用户平台、网络、应用程序、通信服务器、交换机等。边界环境是比较复杂的,比如它可以包含很多物理上分离的系统。绝大多数边界环境都拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面有所不同。边界保护主要关注对流入、流出边界的数据流进行有效的控制和监督。有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。有效的监督措施包括基于网络的如今检测系统(IDS)、脆弱性扫描器、局域网上的病毒检测器等。这些机制可以单独使用,也可以结合使用,从而对边界内的各类系统提供保护。虽然边界的主要作用是防止外来攻击,但它也可以来对付某些恶意的内部人员,这些内部人员有可能利用边界环境来发起攻击,和通过开放后门/隐蔽通道来为外部攻击提供方便。-14Copyright2001X-ExploitTeamX-ExploitTeam(Routers/Switches)BackboneBoundaryProtectionNetworkLinks(Fiber,Cable,Wireless,Satellite)Network&InfrastructureIncludesNetworkComponentsofLocalComputingEnvironmentLocalNetworkEnclaveBoundary保护网络和基础设施网络以及为其提供支撑的相关基础设施(比如管理系统)是必须受到保护的。在网络上,有三种不同的通信流:用户通信流、控制通信流以及管理通信流。保护的策略是,使用经过批准的广域网(WAN)来传输企业的机密数据,加密方式采用国家相关部门批准的算法;为保护非加密局域网上交换的敏感数据,要求使用符合一定条件的商业解决方案。-15Copyright2001X-ExploitTeamX-ExploitTeam