自防御安全解决方案综述

1ISMS实施信息安全管理体系（ISO27001:2005）信息安全国际国家标准信息系统等级保护涉密信息系统分级保护COBIT其他相关标准23ISMS检查•执行程序和其他控制（如检查错误，识别失败的，成功的破坏）•定期评审ISMS有效性•评审剩余风险和可接受风险的等级•执行管理程序•定期对ISMS正式评审•记录并报告所有活动和事件规划•定义ISMS范围与方针•定义风险评估的系统性方法•识别风险•应用系统性方法评估风险•识别并评价风险处理的方式•为风险选择控制目标与控制方式改进•测量ISMS业绩•识别ISMS改进措施•并有效实施•采取适当的纠正和预防措施•与包含所有的相关方磋商沟通结果与措施•必要时修改ISMS•确保修订ISMS达到预定目标实施•实施特定的管理程序•实施所选择的控制•管理运作•实施程序和其它控制过程4内容安全入侵检测加密防火墙访问控制审计监控认证授权隐患扫描防病毒InformationSecurity©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID5完美的安全防御包括什么?严密的边界防护强大的内部控制灵活的统一指挥©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID6CiscoConfidentialbaidu严密的边界防护:应用防火墙,入侵检测与防护,内容安全以及VPN接入纵深化的概念:安全域FWM强大的内部控制:用户身份与系统安全的控制–AAA/NAC终端的防护与安全策略控制-CSA灵活的统一指挥:基于全局的定位:MARS快速有效的响应:CSM/MARS©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID7CiscoConfidential互联网局域网无线接入数据中心远程机构企业园区客户的安全需求DMZ安全攻击入侵的防护利用IPS以及CSA进行网络与主机的安全防护关键应用系统的防护利用防火墙，入侵防护以及认证授权系统完成关键应用系统的防护与控制企业互联网的业务安全利用ASA,Ironport,VPN,CSA以及NAC技术保证终端用户以及网络系统在接入互联网的安全安全事件监控与日常维护利用CS-MARS以及CS-Manager进行系统级的策略操作以及威胁监控响应BusinessPartnerAccessExtranetConnections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网InternetConnections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制•应用级别的安全防护•防火墙•入侵防护系统•内容级别的安全防护•Web/AV•SPAM防护•统一VPN接入系统企业网络安全接入控制•LAN/WLAN/VPN的接入控制•评估终端的安全防护状态•控制终端接入的安全策略主动终端防护系统•主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击•企业安全策略控制,防止内部用户的恶意行为•终端与网络入侵防护及监控系统的联动©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID9CiscoConfidential互联网边界安全控制•应用级别的安全防护：下一代防火墙•防火墙•入侵防护系统•内容级别的安全防护：Ironport•Web/AV•SPAM防护•统一VPN接入系统：IPSec/SSLVPN纵深化的安全架构是系统稳固的基础主机接入CIP路由器ESCONDirectorCouplingFacility快速以太网或令牌环交换机DLSW+路由器IBM主机Cisco7507Catalyst6509Catalyst5509Cisco7507FC交换核心SiSiSiSiSiSiSiSiCatalyst6513SNA/IP网关IP业务服务器SNAswDLSW业务服务器群Catalyst6513开发测试网区域主机系统Cisco5350/Cisco5400外围网关IPPBXIP自动语音应答客户关系管理数据库应用网关CTI服务器AW管理工作站传真系统IP录音系统普通业务咨询专长理财n*E1客户专职业务代表语音接入VoIP网关ICMPGCTI客服中心核心系统Catalyst6509外联网区域PIX535Catalyst4000CiscoIDSPIX535Cisco7200拨号访问服务器Cisco3600Cisco7200DNS应用服务器CiscoIDS4-7层分析CiscoIDS4-7层分析WEB协同服务器电子邮件服务器内容交换机CSS11500电子邮件管理服务器PIX535GSS全局网站定位器GSS全局网站定位器CiscoWorks2000IDS管理CiscoInfoServerVPNSolutionCenterCICReporter运行管理网络区域网元管理事件管理中心事件统计汇报SNA管理安全管理话音管理广域接入网区域Catalyst6513Catalyst4500Catalyst3550服务器群(均衡负载）VoIP关守HSRPCDM4650CE560/CE590无线以太网访问点E-LearningLMS服务器WEB服务器其它服务器IP/TV内容管理器Cisco3660VoIP网关AS5350MCSVV办公网络区域内容分发管理器CDM内容路由器CR互联网连接区域访问管理控制服务器外层防火墙DNS服务器InternetISPA内层防火墙邮件服务器邮件网关(防毒)CiscoVPN集中器CiscoIDS4-7层分析AAA认证服务器外网交换机Cisco7200拨号访问服务器Cisco3600PSTNCisco7200PIX535PIX535Catalyst4507InternetISPBCatalyst6509Catalyst4500客户服务中心区域生产/应用区域分公司合作伙伴分公司安全管理中心安全认证中心入侵监测中心防病毒服务器边界防火墙入侵防范安全VPN路由器集成安全防护边界防火墙边界防火墙入侵监测防范入侵监测防范安全交换机网络准入控制路由器集成安全防护VPN安全接入垃圾邮件防护内容安全控制防DDoS攻击边界防火墙认证服务器入侵监测拨号接入无线安全接入动态密码语音安全服务器安全加固入侵监测边界防火墙网络病毒过滤漏洞扫描网络准入控制终端安全防护防DDoS攻击入侵监测反向地址验证边界防火墙二级防火墙二级防火墙流量监测服务器安全加固垃圾邮件防范入侵监测网络准入控制防火墙语音安全应用安全流量监控设备加固反向地址验证防火墙入侵监测入侵监测设备加固应用安全保护防DDoS攻击©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID11CiscoConfidential互联网边界安全控制•应用级别的安全防护：下一代防火墙•防火墙•入侵防护系统•内容级别的安全防护：Ironport•Web/AV•SPAM防护•统一VPN接入系统：IPSec/SSLVPN基于内容的安全解决方案IRONPORTSERVICESSender-BaseReputationalFilteringIRONPORTPLATFORMSAnti-SpamVirusOutbreakFilteringContentFilteringC-SeriesEmailSecurityApplianceS-SeriesWebSecurityAppliancePARTNERSERVICESAnti-VirusAnti-SpywareURLFilteringInstantMessaging&Peer-to-PeerControlDataLeakageEncryption©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID13CiscoConfidential互联网边界安全控制•应用级别的安全防护：下一代防火墙•防火墙•入侵防护系统•内容级别的安全防护：Ironport•Web/AV•SPAM防护•统一VPN接入系统：IPSec/SSLVPN使用统一VPN接入系统满足各种客户需求PublicInternetASA5500VPNEdition网页定制化的SSLVPN接入网页定制化SSLVPN接入隧道模式的SSL或IPSecVPNLAN接入商业合作伙伴的VPN接入Requires“locked-down”accesstospecificextranetresourcesandapplications出差员工的远程接入服务Remoteaccessusersrequireseamless,easytouse,accesstocorporatenetworkresources第三方平台临时接入服务Remoteusersmayrequirelightweightaccesstoe-mailandweb-basedapplicationsfromapublicmachine远程分支机构以及SOHU型用户的LAN接入DayextendersandmobileemployeesrequireconsistentLAN-like,full-networkaccess,tocorporateresourcesandapplications隧道模式的SSL或IPSecVPN客户端接入BusinessPartnerAccessExtranetConnections企业网络互联网远程接入系统远程分支机构数据中心管理网段内部局域网InternetConnections企业互联网的业务安全STOPGOSTOPGOGOSTOPGO互联网边界安全控制•应用级别的安全防护•防火墙•入侵防护系统•内容级别的安全防护•Web/AV•SPAM防护•统一VPN接入系统企业网络安全接入控制•LAN/WLAN/VPN的接入控制•评估终端的安全防护状态•控制终端接入的安全策略主动终端防护系统•主动适应型终端防护,确保终端访问互联网时的安全，抵御互联网蠕虫以及网页木马病毒的攻击•企业安全策略控制,防止内部用户的恶意行为•终端与网络入侵防护及监控系统的联动©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID16CiscoConfidential防止终端用户的数据泄漏限制移动介质的数据复制USB,floppydisk,CDBurner限制通过非授权接口的进行数据传送Modem,Bluetooth,IRDA限制通过webmail,p2p或IM发送关键数据限制系统的cut&pasteclipboard误操作EMAILSecurityApplianceWEBSecurityAppliance企业级别的安全内容识别与数据保护©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID17CiscoConfidential企业网络安全接入控制•LAN/WLAN/VPN的接入控制•评估终端的安全防护状态•控制终端接入的安全策略©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID18CiscoConfidential什么是网络准入控制？?Pleaseenterusername:设备安全网络安全使用网络准入安全策略，确保进入网络的设备符合策略。身份识别SiSiSiSi用户是谁?用户是否得到了授权?用户的角色是什么?NACMS是否进行了修补?是否存在A/V或A/S?是否正在运行?是否提供服务?所需文件是否存在?是否建立了策略?不符合策略的设备是否被隔离?是否需要修复?是否提供修复?©2006CiscoSystems,Inc.Allrightsreserved.Presentation_ID19CiscoCo