网络安全做解决方案.ppt

天融信网络安全解决方案 北京天融信网络安全技术有限公司 编写网络安全方案基本要求 必须具备基础知识 网络知识（网络设备、网络互联、网络协议） 网络安全知识 编写有针对性方案要求 了解网络安全产品的功能、性能 详细了解用户的网络及应用 了解用户资金预算 了解用户需要保护对象的价值 了解市场上的攻击技术 分析将来可能的攻击手段 详细了解用户网络应用情况 与INTERNET互联 INTRANET互联（线路、速率、几级网络、远程拔号） 网络中共使用几台路由器 交换机（接口数、接口类型、VLAN、速率） 在广域网上传输数据性质（商业、政府） 企业网有哪些本行业的具体应用 内部网中各部门的分布情况（子网） 需要保护信息所在位置 服务应用（WEB、EMAIL、DNS、FTP、PROXY、DB及软件名称） 统计内部网中服务器数量及其操作系统类型及版本；工作站数量及其系统类型；各应用系统类型、数量及版本 整体网络安全解决方案 一、前言 二、网络状况描述 三、网络安全风险分析 四、网络安全策略分析 五、安全体系设计原则 六、网络安全体系总体设计 七、安全产品选型原则 八、安全产品配备及说明 九、安全服务 十、附件 一、前 言 介绍目前网络安全形势 针对具体用户简单阐述解决安全问题的必要 介绍我们公司解决网络安全的实力 二、网络状况描述 2.1、结合拓扑图描述网络互联情况 画一个原始网络拓扑图 局域网组成、广域网组成(交换机、通讯网络） 2.2、网络应用情况 局域网（共享网络资源、WEB、MAIL等内部公开服务器以及打印机等硬件设备） 广域网应用（远程信息交换、上报、下数据以及对外提供公开应用服务，如： WEB\EMAIL\FTP等） 三、网络安全风险分析 3-1 物理安全风险 3-2 网络安全风险 3-3 系统安全风险 3-4 应用安全风险 3-5 管理安全风险 3-1 物理安全风险 机房环境（水灾、火灾、地震等） 设备被盗（门窗、报警装置） 设备辐射泄密（设备高压辐射） 3-2 网络安全风险 3.2.1网络结构 局域网（双绞线、光纤：各级用户或部门网络划分、对外服务器子网与办公系统子网混合） 广域网（与INTERNET公网连接、通过专线组成企业网、电话拔号） 3.2.2 路由选择 从本地到目的地在中间过程中所经过的网络设备多少（越多越不安全） 3-3 系统安全风险 3.3.1 操作系统安全（ Windows 、UNIX） 系统存在“BUG” 系统开放不安全服务（程序编译 ） 目录及文件的权限控制 系统使用授权认证强度不够（用户名及口令） 3.3.2 应用系统安全（ WEB 、EMAIL 、DB等） 后门、漏洞 存在开放不安全应用端口 使用身份认证 访问权限控制 3-4 应用安全风险 3.4.1 盗版介质的使用（病毒传播途径） 3.4.2 网络资源共享（未授权使用资源或泄密） 3.4.3 邮件传输（病毒传播途径） 3.4.4 提供WEB、FTP等公开服务器应用（增加攻击可能性） 3.4.5 下载数据（病毒传播途径） 3.4.6 TELNET应用（黑客控制主机修改权限） 3.4.7 远程通讯（数据窃取、篡改、假冒） 3-6 风险造成结果 设备毁坏、丢失 非法使用网络资源 恶意破坏数据 数据窃取泄密 数据篡改 假冒、伪造、欺骗、敲诈勒索 拒绝服务等 四、网络安全策略 4.1 网络安全产品集成 4.2 采用安全机制及安全技术 4.3 结合安全管理 4-1 安全产品集成 （一） 辐射干扰机 防盗报警装置 4-1 安全产品集成（二） 物理隔离卡集成 跟据政策考虑隔离方式（物理隔离卡、完全物理隔离） 三层交换机集成 对不同对象分别保护（划分虚拟子网） 防火墙系统集成 内外网及不信任域之间隔离与访问控制 4-1 安全产品集成（三） 加密系统集成 链路层加密系统 网络层加密系统 应用层加密系统 入侵检测系统集成 对重要网段进行保护 动态安全防护 防火墙的必要补充 4-1 安全产品集成（四） 网络安全性扫描系统集成 模拟攻击手段对网络进行攻击性扫描、分析 操作系统安全性扫描系统集成 以系统管理员身份进行检查、分析 数据库安全性扫描系统集成 检查数据库特有的安全漏洞，全面评估安全漏洞和认证、授权、完整性方面的问题 4-1 安全产品集成（五） 病毒防护系统集成 服务器病毒防护系统 应用系统病毒防护系统（邮件服务器） 网关病毒防护系统 工作站病毒防护系统 4-1 安全产品集成（六） 网络备份与恢复系统集成 系统备份与恢复 数据库备份与恢复 网站页面备份与恢复系统（WEBGUARD) 灾难恢复 4-1 安全产品集成（七） 其它安全集成 如：构建CA认证中心 4-1 安全产品集成（八） 应用开发 一般应用安