系统安全部内部培训-网络安全.ppt

系统安全部内部培训——网络安全Contents 安全概念客户安全需求当前的主要解决方案我们的重点 网络安全概念 业务运做的IT基础设施核心业务IT解决方案1-1的互通互联全球贸易平台GTW 电子商务基础条件电子商务价值表现第一阶段第二阶段第三阶段第四阶段网络基础平台 B-B 网络社会 企业信息化网络层面的安全 业务层面的安全 用户整体的安全考虑 下游的安全整体考虑网络安全的概念 “3”个安全问题 如何保证？——用户业务运营网络安全的概念安全是什么? 保证网络及其中的资源能够在需要的时候被需要的人正常的使用。这不是定义客户的安全需求用户的信息化级别：（一）信息化级别较低处于用户信息化初期，停留在OA等初级使用层面个人数据安全；防病毒需要；系统宕机后恢复无专人管理其它 客户的安全需求（二）具备一定信息化条件信息化基础较好，已建有内部专门的应用网络。但还未将业务与此挂钩。各种应用系统（财务，人事等）的安全；关注内部网络的可用性和可靠性专门的人员管理或分管管理层对信息安全有一定思路和投入计划企业规模适中 客户的安全需求（三）较高信息化的企业有较完整的网络基础设施业务运行需要依靠现有的网络基础设施且业务的信息化程度较高。对现有运营数据比较敏感企业规模较大相对较稳定有着较明确的安全策略并在一定程度上贯彻执行业务可能外包。 客户的安全需求（四）另类用户——运营商或大型企业的服务性部门特点：服务的对象为一般不是自身。主要是保证其提供服务的对象的网络安全。对于运营网络的技术性考虑较为全面，周全。但对于自身的网络安全欠考虑。对设备的稳定性要求和性能考虑更多；更能行考虑较少。一般存在主机安全、网络安全两种声音存在重复投资当前的主要网络安全解决方案为什么有网络安全问题：最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境而设计的。应该说, 那是一个君子的环境, 用户和主机之间互相信任, 志在进行自由开放的信息交换。在这样的环境里, 使用Internet的人实际上就是创建Internet的人。随着时间的推移, Internet变得更加有用和可靠, 别的人也就参杂了进来。人越来越多, 共同目标却越来越少, Internet的初衷渐渐地被扭曲了.……当前的主要网络安全解决方案为什么有网络安全问题：导致网络安全问题的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心（这方面主要是孩子们）等，当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看，多数网络犯罪者都很年轻，它们表示原来并不知道这样做是犯罪。另外，目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够，意识淡漠，建设中或建设后在没有采取足够的安全防护措施的情况下，将网络接入因特网上，也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻，在满足自己好奇心的同时，触犯了国家法律。 当前的主要网络安全解决方案现有网络安全为什么会失效？网络安全概念中有一个木桶理论……从技术角度分析，网络安全体系失败的原因有以下几种原因：首先，从芯片、操作系统到应用程序，任何一个环节都可能被开发者留下“后门”。其次，网络设备和软件不可能是完美的，在设计开发过程中必然会出现缺陷和漏洞。这些漏洞和缺陷恰恰是黑客进行攻击的目标。再次，对于网络企业网或者ISP的公网来说，管理的失败是网络安全体系失败的非常重要的原因。 当前的主要网络安全解决方案完整的网络解决方案应包括哪些？ 有效的安全策略 网络安全的目标范围、 培养安全意识，制定安全制度 研究技术方案 方案/产品选型 分期实施计划 资金设备 当前的主要网络安全解决方案不同的行业要求需要对应不同的安全策略！电信行业—基础电信运营商 增值电信运营商 增值内容提供商 增值服务提供商移动业务，固网，新增宽带数据运营所对应的安全策略各有侧重！其它的行业，各有行业特点：金融、政府、军队、能源、交通等根据行业的特点对于安全的要求也各有不同。当前的主要网络安全解决方案 技术方向：技术融合，突出整体。 防火墙、入侵检测、网络扫描、安全评估、认证及授权等各项原本基于主机或网络的技术正走向融合。以往的被动防护结合主动防护技术，凸现整体防护意识。处理能力和可用性明显增强，安全设备的级别逐渐提高到电信级别。 安全设备和其它的网络设备结合使用或基于原有的网络设备，性能获重 大提高。