天融信信息安全体系建设-技术部分

信息安全保障体系建设目录信息安全体系建设信息安全常见的技术手段122安全设备保障系统安全加固应急响应措施全员安全意识形成日常安全管理制度一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。信息安全的基本常识信息安全的实质采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。ConfidentialityIntegrityAvailabilityInformation信息安全需要考虑哪些因素数据安全：数据机密性保护数据完整性保护数据备份和恢复措施应用安全：身份认证严格的访问控制安全审计软件容错剩余信息保护自动保护功能通信完整性/机密性保护资源控制网络安全：网络结构安全网络访问控制网络安全审计边界完整性检查网络入侵防范恶意代码防护网络防护设备…….物理安全：物理位置的安全物理访问控制防盗窃和防破坏防雷击、防火防水、防潮、防静电温湿度控制电力供应电磁防护主机安全：身份鉴别访问控制系统安全审计剩余信息保护入侵防范恶意代码防范资源控制…….物理层面物理访问控制门禁系统电力供应双路供电UPS电源温湿度控制防水、防潮防盗窃和防破坏机房监控系统防火灭火设备火灾自动报警系统……信息安全常见的技术手段网络层面访问控制防火墙攻击防护病毒防护入侵检测/防御系统WEB防火墙病毒过滤网关传输加密IPSECVPNSSLVPN安全审计网络审计系统日志审计系统事前事中事后漏洞管理漏洞扫描系统信息安全常见的技术手段主机层面服务器安全加固强化身份鉴别强化访问控制病毒防护强化日志记录杀毒软件补丁管理补丁管理系统终端外设管控终端管理审计系统终端准入控制日志审计系统终端行为监控信息安全常见的技术手段应用层面账号管理访问控制身份鉴别安全审计数据加密数据灾备应用灾备数据层面数据容灾堡垒主机CA认证中心信息安全常见的技术手段4A统一安全管理平台完善的产品和服务•7大类40余种安全产品，覆盖终端、网络和云端•专业安全服务，业内最佳实践边界安全下一代防火墙应用安全网关UTM虚拟化安全网关VPN入侵检测和防御IDS/IPSAPT防御无线入侵防御抗拒绝服务防病毒网关网闸有线无线交换机业务交付上网行为管理应用流量管理负载均衡广域网加速应用交付用户与终端安全用户身份认证集中身份管理终端安全管理桌面虚拟化移动设备管理合规管理日志审计网络审计数据库审计运维审计WEB安全WEB应用防火墙网页防篡改WEB漏洞扫描数据安全数据库防火墙数据库安全加固文档安全管理数据防泄漏DLP存储备份数据容灾安全管理脆弱性管理安全运营管理IT运维管理网络管理安全策略管理等保自测管理安全专家服务安全风险评估安全体系建设咨询合规性安全咨询安全监控、加固及应急响应安全集成及安全管理软件定制安全云服务远程评估咨询周期安全巡检安全设备租赁安全设备远程监控网络应用系统监控驻场安全运维安全培训服务CISP培训CISSP培训TCSP培训信息安全定制培训信息安全公益课程•……目录信息安全体系建设信息安全常见的技术手段122信息安全体系建设等级保护分级保护职责部门公安机关国家保密工作部门标准体系国家标准（GB、GB/T）国家保密标准（BMB，强制执行）适用对象非涉密信息系统涉密信息系统级别划分第一级（自主保护）第二级（指导保护）第三级（监督保护）第四级（强制保护）第五级（专控保护）秘密级机密级绝密级涉密信息系统分级保护与信息安全等级保护制度相衔接，三个等级的防护水平不低于国家等级保护的第三、四、五级要求。国家标准信息安全体系建设等级保护如何做?-三步走•1、“差距分析，确定安全需求”。•通过系统定级、等级评估等识别系统的安全风险，确定系统的安全等级，并找出系统安全现状与等级要求的差距，形成完整准确的等级化的安全需求。•2、“体系化建设，实现纵深安全防御”。•采用“体系化”的分析和控制方法，横向把保护对象分成安全计算环境、安全区域边界和安全通信网络；纵向把控制体系分成安全管理、安全技术和安全运维的控制体系框架，同时通过三个体系，一个中心，三重防护”的安全管理概念和模式，建立满足等级保护整体安全控制要求的安全保障体系。•3、“安全运维，确保持续安全运行”。•通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满足持续性纵深防御的安全需求。二级、三级系统建设整改措施对比(2)安全类别控制项主要安全措施二级保护措施三级保护措施物理安全物理访问控制机房安排专人负责，来访人员须审批和陪同■■重要区域配置门禁系统■防盗窃和防破坏暴露在公共场所的网络设备须具备安全保护措施■■主机房安装监控报警系统■防雷击机房计算机系统接地符合GB500571994《建筑物防雷设计规范》中的计算机机房防雷要求■■机房电源、网络信号线、重要设备安装有资质的防雷装置■防火机房设置灭火设备和火灾自动报警系统■■机房配置自动灭火装置■电力供应机房及关键设备应配置UPS备用电力供应■■医院重要科室应采用双回路电源供电■■环境监控机房设置温、湿度自动调节设施■■机房设置防水检测和报警设施■对机房关键设备和磁介质实施电磁屏蔽■改进PDCA持续改进的框架-PDCA信息安全体系建设信息安全体系建设依据分析确定检查进行实施物理安全网络安全主机安全应用安全数据安全身份鉴别（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）剩余信息保护（S）物理位置的选择（G）物理访问控制（G）防盗窃和破坏（G）防雷/火/水（G）温湿度控制（G）电力供应（A）数据完整性（S）数据保密性（S）备份与恢复（A）防静电（G）电磁防护（S）入侵防范（G）资源控制（A）恶意代码防范（G）结构安全（G）访问控制（G）安全审计（G）边界完整性检查（S）入侵防范（G）恶意代码防范（G）网络设备防护（G）身份鉴别（S）剩余信息保护（S）安全标记（S）访问控制（S）可信路径（S）安全审计（G）通信完整性（S）通信保密性（S）抗抵赖（G）软件容错（A）资源控制（A）技术要求防火墙UTM流量控制网络审计日志审计终端安全管理IDS/IPS防病毒网关堡垒机安全加固服务网管系统数据库审计日志审计漏洞扫描堡垒机终端安全安管平台安全加固系统安全加固服务网管系统病毒软件PKI/CAWeb防火墙Web防篡改VPN安全加固服务VPN数据安全产品数据存储、备份提供等保合规性安全产品天融信全线安全产品用户与终端安全终端安全管理移动设备管理网络准入系统4A系统边界安全下一代防火墙IPSECVPNSSLVPN网闸入侵检测IDS入侵防御IPS抗拒绝服务防病毒网关综合安全网关业务交付负载均衡广域网加速应用交付应用流量管理上网行为管理合规管理日志审计网络审计数据库审计运维管理与审计系统WEB安全WEB防火墙网页防篡改数据安全存储备份一体机容灾备份软件网络存储文档加密系统数据库防火墙数据库加密及加固系统安全管理IT运维管理脆弱性管理安全信息管理安全策略管理等保管理平台安全专家服务安全风险评估安全体系建设咨询合规性安全咨询安全监控、加固及应急响应安全增值合作计划安全集成及安全管理软件定制安全云服务安全设备远程监控网络应用系统监控远程评估咨询周期安全巡检安全设备租赁安全培训服务CISP培训CISSP培训TCSP培训信息安全定制培训信息安全公益课程–用通俗的方式表达就是安全要实现：进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉信息安全体系建设谢谢！天融信河北办事处高海明13832180835漏洞管理－漏洞扫描系统漏洞管理的重要性漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞扫描系统架构漏洞管理－漏洞扫描系统扫描任务漏洞管理－漏洞扫描系统扫描配置管理漏洞管理－漏洞扫描系统结果统计分析漏洞管理－漏洞扫描系统知识库查询访问控制－防火墙两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为基本概念一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。访问控制－防火墙防火墙的访问控制HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略基于IP地址基于MAC地址基于端口基于用户名基于时间基于网址基于邮件地址基于关键字基于流量可以灵活的制定的控制策略访问控制－防火墙访问控制配置界面访问控制－防火墙访问控制规则列表需要注意的问题规则的方向性：只需要考虑发起访问方到被访问方的数据流方向规则作用有顺序访问控制列表遵循第一匹配规则规则的一致性和逻辑性访问控制－防火墙动态端口协议支持对于多连接协议，除了建立一个主连接外，还会动态建立一些子连接进行通信。绑定后防火墙可以识别这些子连接，并按照主连接的策略去执行，无需管理员再添加策略。访问控制－防火墙防火墙、路由器对比共性：都属于网关设备，可以支持网络的各种应用差异性设计思路：Router是作为一种“网络连通手段”；保证网络互连互通为主；Firewall是作为一种“网络隔离手段”，隔离网络异常数据为主。实现方式：Router：能正确转发包的设备是路由器；Firewall：能正确丢包的设备是防火墙；无法查緝以夹带方式闯关的非法违禁品您发现这瓶「漂白水」了吗？访问控制－防火墙防火墙办不到的事...攻击过滤－入侵检测及入侵防御系统入侵检测系统：IDS，是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。是一套监控和识别计算机系统或网络系统中发生的事件，根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统入侵防御系统：IPS，对流经设备的流量进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术，并可以实时阻断攻击的系统。攻击过滤－入侵检测及入侵防御系统入侵防御与入侵检测的异同点相同点工作层次相同、都可以工作在7层，对应用层进行深度解析，发现应用层威胁不同点IDS旁路部署、IPS在线串接攻击阻止时效性攻击过滤－入侵检测及入侵防御系统入侵防御与入侵检测的检测原理误用检测（特征检测）：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。异常检测：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。攻击过滤－入侵检测及入侵防御系统误用检测（特征检测）前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程特点：误报低、漏报高用户行为模式匹配入侵特征知识库发现入侵！监控特征提取匹配判定不匹配攻击过滤－入侵检测及入侵防御系统异常检测前提：入侵是异常活动的子集用户轮廓(P