信息與網(wǎng)絡(luò)安全架構(gòu)與方案

信息平安博士后科研工作站馬東平博士2001-10-25信息與網(wǎng)絡(luò)

平安架構(gòu)與方案Version3Copyright?2001X-ExploitTeamX-ExploitTeam日程安排平安理念平安體系架構(gòu)平安模型平安解決方案全線平安產(chǎn)品系列平安參謀效勞結(jié)束語平安理念Copyright?2001X-ExploitTeamX-ExploitTeam信息與網(wǎng)絡(luò)系統(tǒng)平安理念組織人才平安策略管理信息平安特性物理安全應(yīng)用安全網(wǎng)絡(luò)安全系統(tǒng)安全層次性動態(tài)性過程性生命周期性全面性相對性

信道加密

信源加密身份認(rèn)證。。。

應(yīng)網(wǎng)絡(luò)級系統(tǒng)級用級管理級信息網(wǎng)絡(luò)系統(tǒng)密級管理。。。訪問控制地址過濾數(shù)據(jù)加密，線路加密平安操作系統(tǒng)應(yīng)用平安集成外聯(lián)業(yè)務(wù)平安措施平安管理標(biāo)準(zhǔn)網(wǎng)絡(luò)病毒監(jiān)控與去除網(wǎng)絡(luò)系統(tǒng)平安策略入侵檢測弱點漏洞檢測系統(tǒng)配置檢測系統(tǒng)審計教訓(xùn)培育中軟VPN平安網(wǎng)關(guān)中軟B1安全操作系統(tǒng)中軟網(wǎng)絡(luò)平安巡警中軟信息監(jiān)控與取證系統(tǒng)中軟入侵檢測系統(tǒng)信息與網(wǎng)絡(luò)系統(tǒng)平安管理模型企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)統(tǒng)一平安策略Policy平安管理標(biāo)準(zhǔn)Administrator密碼技術(shù)認(rèn)證授權(quán)訪問控防火墻技術(shù)動態(tài)安全管理技術(shù)網(wǎng)絡(luò)防病毒技術(shù)政策法規(guī)安全機(jī)構(gòu)與組織安全管理人員安全管理流程信息支援體系企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)主要平安實施領(lǐng)域信息與網(wǎng)絡(luò)系統(tǒng)平安體系架構(gòu)企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)具體平安解決方案基于具體平安解決方案的平安產(chǎn)品功能標(biāo)準(zhǔn)典型企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)拓?fù)銲NSIDE撥號接入效勞器企業(yè)內(nèi)部網(wǎng)絡(luò)WANINTERNET企業(yè)廣域網(wǎng)絡(luò)WebServerMailServerDNSServerAAAServer企業(yè)合作伙伴網(wǎng)絡(luò)Internet出口PSTNINTERNET企業(yè)部門數(shù)據(jù)中心數(shù)據(jù)庫效勞器數(shù)據(jù)庫效勞器圖1-2信息基礎(chǔ)設(shè)施元素企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)的抽象企業(yè)的信息與網(wǎng)絡(luò)系統(tǒng)的平安框架IATF平安框架IATF保衛(wèi)網(wǎng)絡(luò)和根底設(shè)施主干網(wǎng)絡(luò)的可用性無線網(wǎng)絡(luò)平安框架系統(tǒng)互連和虛擬私有網(wǎng)〔VPN〕保衛(wèi)邊界網(wǎng)絡(luò)登錄保護(hù)遠(yuǎn)程訪問多級平安保衛(wèi)計算環(huán)境終端用戶環(huán)境系統(tǒng)應(yīng)用程序的平安支撐根底設(shè)施密鑰管理根底設(shè)施/公共密鑰根底設(shè)施〔KMI/PKI〕檢測和響應(yīng)保護(hù)計算環(huán)境計算環(huán)境包括終端用戶工作站——臺式機(jī)和筆記本，工作站中包括了周邊設(shè)備；平安框架的一個根本原那么是防止穿透網(wǎng)絡(luò)并對計算環(huán)境的信息的保密性、完整性和可用性造成破壞的計算機(jī)攻擊；對于那些最終得逞了的攻擊來說，早期的檢測和有效的響應(yīng)是很關(guān)鍵的；不斷的或周期性的入侵檢測、網(wǎng)絡(luò)掃描以及主機(jī)掃描可以驗證那些已經(jīng)配置的保護(hù)系統(tǒng)的有效性；系統(tǒng)應(yīng)用的平安；基于主機(jī)的檢測與響應(yīng)。保護(hù)網(wǎng)絡(luò)邊界保護(hù)網(wǎng)絡(luò)和根底設(shè)施支撐根底設(shè)施可定制的平安要素和領(lǐng)域網(wǎng)絡(luò)物理與拓?fù)淦桨病睠SS-SEC-ARC〕訪問控制與平安邊界〔CSS-SEC-CTL〕弱點漏洞分析和風(fēng)險審計〔CSS-SEC-ASS〕入侵檢測與防御〔CSS-SEC-IDS〕信息監(jiān)控與取證〔CSS-SEC-INF〕網(wǎng)絡(luò)病毒防范〔CSS-SEC-VPR〕身份認(rèn)證與授權(quán)〔CSS-SEC-AAA〕通信鏈路平安〔CSS-SEC-LNK〕系統(tǒng)平安〔CSS-SEC-SYS〕數(shù)據(jù)與數(shù)據(jù)庫平安〔CSS-SEC-DBS〕應(yīng)用系統(tǒng)平安〔CSS-SEC-APS〕個人桌面平安〔CSS-SEC-PCS〕涉密網(wǎng)的物理隔離〔CSS-SEC-PHY〕災(zāi)難恢復(fù)與備份〔CSS-SEC-RAB〕集中平安管理〔CSS-SEC-MAN〕網(wǎng)絡(luò)物理與結(jié)構(gòu)平安〔CSS-SEC-ARC〕訪問控制與平安邊界〔CSS-SEC-CTL〕弱點漏洞分析和風(fēng)險審計〔CSS-SEC-ASS〕弱點漏洞檢測錯誤配置檢測誤操作檢測風(fēng)險識別風(fēng)險度量風(fēng)險控制事前管理安全隱患管理—網(wǎng)絡(luò)安全巡警系統(tǒng)入侵檢測與防御〔CSS-SEC-IDS〕入侵檢測攻擊/違規(guī)操作識別審計/日志/報告行為管理事件管理操作管理事中監(jiān)控行為監(jiān)控—分布式入侵檢測預(yù)警與響應(yīng)系統(tǒng)信息監(jiān)控與取證〔CSS-SEC-INF〕信息流分析信息流過濾入侵取證信息流控制信息流管理證據(jù)留存事后取證信息分析—網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)網(wǎng)絡(luò)病毒防范〔CSS-SEC-VPR〕計算機(jī)病毒一段能夠自我復(fù)制，自行傳播的程序。病毒運行后能夠損壞文件、使系統(tǒng)癱瘓，從而造成各種難以預(yù)料的后果。在網(wǎng)絡(luò)環(huán)境下，計算機(jī)病毒種類越來越多、危害越來越大、傳染速度越來越快。計算機(jī)網(wǎng)絡(luò)病毒具有不可估量的威脅性和破壞力，因而計算機(jī)病毒的防范也是網(wǎng)絡(luò)平安建設(shè)的重要環(huán)節(jié)?？紤]內(nèi)部網(wǎng)絡(luò)系統(tǒng)運行環(huán)境復(fù)雜，網(wǎng)上用戶數(shù)多，同Internet有連接等，需在網(wǎng)絡(luò)上建立多層次的病毒防護(hù)體系，對桌面、效勞器和網(wǎng)關(guān)等潛在病毒進(jìn)入點實行全面保護(hù)。〔1〕

建立基于桌面的反病毒系統(tǒng)在內(nèi)部網(wǎng)中的每臺桌面機(jī)上安裝單機(jī)版的反病毒軟件，實時監(jiān)測和捕獲桌面計算機(jī)系統(tǒng)的病毒，防止來自軟盤、光盤以及活動驅(qū)動器等的病毒來源?！?〕

建立基于效勞器的反病毒系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)的文件及應(yīng)用效勞器〔一些關(guān)鍵的WindowsNT效勞器〕上安裝基于效勞器的反病毒軟件，實時監(jiān)測和捕獲進(jìn)出效勞器的數(shù)據(jù)文件病毒，使病毒無法在網(wǎng)絡(luò)中傳播?！?〕

建立基于群件環(huán)境的反病毒系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)的LoutsNotes和MsExchange效勞器上安裝基于群件環(huán)境的反病毒軟件，堵住夾在文檔或電子郵件中的病毒?！?〕

建立基于Internet網(wǎng)關(guān)的反病毒系統(tǒng)在代理效勞器〔Proxy〕網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件，堵住來自Internet通過Http或Ftp等方式進(jìn)入內(nèi)部網(wǎng)絡(luò)的病毒，而且可過濾惡意ActiveX,Java和JavaApplet程序?！?〕

建立病毒管理控制中心在中心控制臺〔平安管理控制臺〕實施策略配置和管理、統(tǒng)一事件和告警處理、保證整個網(wǎng)絡(luò)范圍內(nèi)病毒防護(hù)體系的一致性和完整性。通過自動更新、分發(fā)和告警機(jī)制，使桌面PC和效勞器等設(shè)備自動獲得最新的病毒特征庫，完成終端用戶軟件及病毒特征信息的自動更新和升級，以實現(xiàn)網(wǎng)絡(luò)病毒防范系統(tǒng)的集中管理。信息與網(wǎng)絡(luò)系統(tǒng)平安解決方案OUTSIDEINSIDEDMZ撥號接入效勞器企業(yè)內(nèi)部網(wǎng)絡(luò)WANDMZ中立區(qū)INTERNET企業(yè)廣域網(wǎng)絡(luò)WebServerMailServerDNSServerAAAServer企業(yè)合作伙伴網(wǎng)絡(luò)Internet出口PSTN企業(yè)部門VPN網(wǎng)關(guān)構(gòu)建企業(yè)VPN數(shù)據(jù)中心數(shù)據(jù)庫效勞器數(shù)據(jù)庫效勞器統(tǒng)一平安管理平臺：網(wǎng)絡(luò)平安巡警系統(tǒng)入侵檢測系統(tǒng)控制臺信息監(jiān)控與取證系統(tǒng)控制臺Windows審計系統(tǒng)控制臺INTERNET系統(tǒng)平安產(chǎn)品中軟平安操作系統(tǒng)COSIX64中軟LinuxB1級平安操作系統(tǒng)中軟操作系統(tǒng)平安加固系統(tǒng)系統(tǒng)平安系統(tǒng)平安系統(tǒng)平安靜態(tài)網(wǎng)絡(luò)平安產(chǎn)品高帶寬支持IDS擴(kuò)展支持IPSec擴(kuò)展地址轉(zhuǎn)換包過濾代理應(yīng)用網(wǎng)關(guān)網(wǎng)絡(luò)安全邊界訪問控制-中軟高性能防火墻高效算法支持IPSec等安全協(xié)議完善的密鑰管理數(shù)據(jù)源認(rèn)證數(shù)據(jù)機(jī)密性隧道技術(shù)IPsec網(wǎng)絡(luò)通信安全通訊安全-中軟VPN安全網(wǎng)關(guān)弱點漏洞檢測錯誤配置檢測誤操作檢測風(fēng)險識別風(fēng)險度量風(fēng)險控制事前管理安全隱患管理—網(wǎng)絡(luò)安全巡警系統(tǒng)入侵檢測攻擊/違規(guī)操作識別審計/日志/報告行為管理事件管理操作管理事中監(jiān)控行為監(jiān)控—分布式入侵檢測預(yù)警與響應(yīng)系統(tǒng)信息流分析信息流過濾入侵取證信息流控制信息流管理證據(jù)留存事后取證信息分析—網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)動態(tài)網(wǎng)絡(luò)平安產(chǎn)品集中平安管理平臺個人桌面系統(tǒng)審計系統(tǒng)桌面平安與平安管理產(chǎn)品系統(tǒng)平安系統(tǒng)平安系統(tǒng)平安平安邊界通信平安動態(tài)平安桌面平安平安管理信息與網(wǎng)絡(luò)系統(tǒng)全線平安產(chǎn)品基于X-Exploit庫的平安參謀效勞企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)風(fēng)險分析與評估企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)平安需求分析企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)平安策略制定基于X-Exploit庫的平安參謀效勞企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)平安體系設(shè)計