信息系统安全方案的.ppt

信息系统安全方案;目录;OA网;网络结构复杂;信息化系统的发展趋势;埃森哲建议的联通总部和省份信息系统总体架构;用户信用控制，综合经营分析，统一客户服务体验等集中应用部署需要数据中心的整合。 萨班斯、内控、经营数据本身的重要性要求整个系统提供综合性的技术安全机制（内部互访、对外互联、终端、服务器） 降低建设、维护成本同时提高对集中应用部署支持能力和系统安全控制能力要求整合 ;联通信息系统统一承载平台体系结构－功能分区，结构分层;目录;萨班斯法案对企业持续管控的要求;萨班斯法案针对的对象;内部控制的审核标准、框架和规范;IT 控制的重要意义;信息系统在IT管控过程中存在的普遍问题;信息控制层面临的具体技术问题;安全区域;网络域： 信息系统承载网，是安全域的承载子域。 信息控制重点是进行各专业系统的网络隔离与边界防护并保障网络性能 系统域： 核心业务逻辑服务器、数据库服务器，是信息系统的核心子域。 信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。 服务域： 各业务的界面服务器，为信息系统提供公共服务，是整个系统的信息交换域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。 信息控制重点是防非法访问、防信息篡改。 终端域： 各类客户端和维护终端，是信息系统的公众子域。 信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性检查。 ;系统域、服务域、终端域、网络域逻辑关系示意;互联网;互联网;互联网;互联网;互联网;互联网;目录;什么是思科网络安全准入控制（NAC）？;目前企业/SP DCN内部桌面管理系统面临的问题;之前的网络准入方法 依靠单纯的用户名密码认证机制;正确的方式: Network Admission Control;NAC 设计的SOX符合性;NAC的安全架构设计;NAC涵盖多项安全防护需求;NAC安全框架的主要功能;NAC安全框架的关键特性;实施NAC对SOX符合性的好处;思科网络准入控制方案 两套网络准入控制解决方案定位分析;Cisco Clean Access Components瘦Client管理模式 由CAM管理CAS ;;THE GOAL;Cisco Clean Access 解决方案实现方法要点总结;CAS Foundation: Virtual Gateway Real IP Gateway;CAS Foundation: In Band Out of Band;In-Band and Out-of-Band 区别及应用定位;End User Experience: With CCA Agent;ACSv4.0;策略服务器 决策点;Switch Platforms 重点部署模式平台兼容性：L2 IP 及 L2 802.1X;Strong NAC Partner Program/en/US/partners/pr46/nac/partners.html;目录;CSA端点安全可以帮助你做什么？;CSA Approach:Behavioral Protection for Endpoints;Correlation;Cisco Security Agent Consolidates Multiple Endpoint Products ;CSA Architecture;Dynamic States using NAC;Trusted Boot;Cisco Security Agent NAC – Understanding the Differences;Performance;目录;目前网络安全方面面临最大的问题是什么? ;针对安全事件的响应;安全管理问题主要归结 ;信息安全管理体系结构的改变;业界领先的STM安全威胁管理设备-思科监控分析和响应系统 (MARS) ;思科 CS-MARS工作流程;CS-MARS 流程典型例子 ;企业用户的安全管理需求;如何管理多厂商安全设备？-思科 CS-MARS 支持多厂商设备;利用网络拓扑发现同一个进程的不同事件和流程 MARS采用专利算法，利用拓扑知识和设备配置信息，将不同设备产生事件关联到同一个进程，创造出整个攻击环境 利用网络拓扑减少误报 识别同一个进程的事件，分析攻击从源到目的地的拓扑路径，发现某个攻击是否的确到达了预定的目的地 利用网络拓扑发现最理想的防御点 通过分析从攻击者到预定目的地的路径，将距离攻击者最近的设备定为最理想的防御点 利用网络拓扑发现攻击路径和网络热点 利用网络拓扑提高证据分析能力 通过识别NAT地址解析和攻击者MAC地址提供大大增强的证据分析能力;哪儿发生了安全事件？-MARS自动识别攻击路