信息平安和容災(zāi)備份徐建鋒中國電信股份廣東研究院提綱背景概述平安理念和模型平安關(guān)鍵技術(shù)平安運營管理體系背景概述?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號〕要重點保護根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級保護制度，制定信息平安等級保護的管理方法和技術(shù)指南“積極防御，綜合防范〞的方針關(guān)于信息平安等級保護工作的實施意見信息平安等級保護的核心是對信息平安分等級、按標準進行建設(shè)、管理和監(jiān)督信息平安等級保護制度的原那么〔1〕〔一〕明確責任，共同保護。通過等級保護，組織和發(fā)動國家、法人和其他組織、公民共同參與信息平安保護工作；各方主體按照標準和標準分別承擔相應(yīng)的、明確具體的信息平安保護責任。〔二〕依照標準，自行保護。國家運用強制性的標準及標準，要求信息和信息系統(tǒng)按照相應(yīng)的建設(shè)和管理要求，自行定級、自行保護?！踩惩浇ㄔO(shè)，動態(tài)調(diào)整。信息系統(tǒng)在新建、改建、擴建時應(yīng)當同步建設(shè)信息平安設(shè)施，保障信息平安與信息化建設(shè)相適應(yīng)。因信息和信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，平安保護等級需要變更的，應(yīng)當根據(jù)等級保護的管理標準和技術(shù)標準的要求，重新確定信息系統(tǒng)的平安保護等級。等級保護的管理標準和技術(shù)標準應(yīng)按照等級保護工作開展的實際情況適時修訂。四、指導(dǎo)監(jiān)督，重點保護。國家指定信息平安監(jiān)管職能部門通過備案、指導(dǎo)、檢查、催促整改等方式，對重要信息和信息系統(tǒng)的信息平安保護工作進行指導(dǎo)監(jiān)督。國家重點保護涉及國家平安、經(jīng)濟命脈、社會穩(wěn)定的根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)，主要包括：國家事務(wù)處理信息系統(tǒng)〔黨政機關(guān)辦公系統(tǒng)〕；財政、金融、稅務(wù)、海關(guān)、審計、工商、社會保障、能源、交通運輸、國防工業(yè)等關(guān)系到國計民生的信息系統(tǒng)；教育、國家科研等單位的信息系統(tǒng)；公用通信、播送電視傳輸?shù)雀仔畔⒕W(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。信息平安等級保護制度的原那么〔2〕第一級為自主保護級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益。第二級為指導(dǎo)保護級，適用于一定程度上涉及國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害。信息平安等級保護制度的等級〔1〕第三級為監(jiān)督保護級適用于涉及國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害。第四級為強制保護級適用于涉及國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴重損害。第五級為?？乇Ｗo級適用于涉及國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家平安、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害。信息平安等級保護制度的原那么〔2〕P2DR動態(tài)平安模型Policy〔平安策略〕、Protection〔防護〕、Detection〔檢測〕和Response〔響應(yīng)〕。PADIMEE模型〔安氏企業(yè)信息系統(tǒng)平安生命周期模型〕Policy〔平安策略〕、Assessment〔平安評估〕、Design〔設(shè)計/方案〕、Implementation〔實施/實現(xiàn)〕、Management/Monitor〔管理/監(jiān)控〕、EmergencyResponse〔緊急響應(yīng)〕和Education〔平安教育〕ISAF模型(安氏信息平安保障模型)InformationSecurity&AssureFramework信息平安模型

提綱背景概述平安理念和模型平安關(guān)鍵技術(shù)平安運營管理體系網(wǎng)絡(luò)平安建設(shè)模型-P2DR模型

信息平安生命周期-PADIMEE?模型〔1〕PADIMEE?是安氏公司提出的并被業(yè)界廣泛認同的信息平安生命周期方法論，它建立在BS7799/ISO17799之上七個核心策略〔Policy〕評估(Assessment)設(shè)計(Design)執(zhí)行(Implementation)管理(Management)緊急響應(yīng)(EmergencyResponse)教育(Education)信息平安生命周期-PADIMEE?模型〔2〕平安保障模型〔ISAF〕能力來源人管理技術(shù)保密性完整性可用性可控性安全需求安全對象防御領(lǐng)域子領(lǐng)域信息資產(chǎn)不可否認網(wǎng)絡(luò)基礎(chǔ)設(shè)施ISAF—四大防御領(lǐng)域支持性基礎(chǔ)設(shè)施網(wǎng)絡(luò)邊界計算環(huán)境ISAF—安全保障模型ISAF模型用三維來描述信息平安保障體系結(jié)構(gòu)第一維是平安需求維，主要闡述信息平安需求的不斷變化和演進，以及當前主要的平安需求；第二維維平安對象描述，提供將平安對象按類型和層次劃分方法論，到達能夠更清晰和系統(tǒng)地描述客觀平安對象地平安需求；第三維為能力來源維，主要描述能夠提供滿足平安對象相關(guān)平安需求的防護措施的種類和級別ISAF模型三維描述平安產(chǎn)品與ISAF的關(guān)系網(wǎng)絡(luò)邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施計算環(huán)境支持性基礎(chǔ)設(shè)施FirewallUTMNetworkbasedUTMHostbasedIDSSOCSecurityservices保密性誰能擁有信息保證秘密和敏感信息僅為授權(quán)者享有。完整性擁有的信息是否正確保證信息從真實的信源發(fā)往真實的信宿，傳輸、存儲、處理中未被刪改、增添、替換?？捎眯孕畔⒑托畔⑾到y(tǒng)是否能夠使用保證信息和信息系統(tǒng)隨時可為授權(quán)者提供效勞而不被非授權(quán)者濫用?？煽匦允欠衲軌虮O(jiān)控管理信息和系統(tǒng)保證信息和信息系統(tǒng)的授權(quán)認證和監(jiān)控管理。不可否認性：為信息行為承擔責任保證信息行為人不能否認其信息行為。ISAF平安需求ISAF平安需求平安對象按照所處網(wǎng)絡(luò)的具體位置和面臨威脅的類型橫向分成四個平安域：網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)根底設(shè)施、計算環(huán)境和支撐性根底設(shè)施網(wǎng)絡(luò)邊界企業(yè)內(nèi)不同平安域間的邊界與Internet的邊界與第三方合作伙伴的互連邊界與電信專用網(wǎng)〔DDN、FR等〕的邊界與傳統(tǒng)網(wǎng)〔撥號用戶、ADSL用戶等〕的邊界與無線網(wǎng)的邊界網(wǎng)絡(luò)根底設(shè)施網(wǎng)絡(luò)的體系結(jié)構(gòu)網(wǎng)絡(luò)的容量和可用性網(wǎng)絡(luò)與網(wǎng)絡(luò)間的通信設(shè)備與設(shè)備間的通信設(shè)備的管理與維護用戶數(shù)據(jù)接口網(wǎng)絡(luò)管理中心〔NMC〕的遠程管理設(shè)備到NMC的通信NMC的平安ISAF平安需求計算環(huán)境平安的應(yīng)用系統(tǒng)平安的操作系統(tǒng)平安的終端系統(tǒng)補丁管理病毒防護完整性管理配置管理〔軟硬件清單〕訪問控制管理〔應(yīng)用級〕入侵檢測行為監(jiān)控網(wǎng)絡(luò)準入管理支撐性根底設(shè)施密鑰管理根底設(shè)施/公鑰根底設(shè)施〔KMI/PKI〕入侵檢測系統(tǒng)〔IDS〕ISAF平安需求能力來源該維描述的是為了使特定的平安對象到達平安策略中要求的平安需求，可以在哪些方面選擇控制措施，給大家在解決方案上提供思考空間。安氏公司使用以下PTM〔People－Technology－Management〕模型來描述：平安意識平安組織平安技能職責定義和區(qū)分第三方人員管理與執(zhí)法機構(gòu)的聯(lián)系危機處理一般企業(yè)的解決思路：外包集中能力來源-人員MicroaiM認為構(gòu)成平安體系的最核心要素，包括：1、資產(chǎn)Assets2、威脅Threats3、防護措施Safeguards防護措施那么分為4個層次：1、策略框架――表達整個機構(gòu)的信息平安方針、標準、制度、標準、指南等。2、組織框架――建立有效的信息平安組織，為組織中的人員賦予明確的角色和職責，并實施全員的平安教育等。3、運作框架――用戶管理，應(yīng)急方案，物理和環(huán)境平安等。4、技術(shù)框架――MicroaiM獨到的IAARC技術(shù)框架對于信息平安技術(shù)根據(jù)其行為特征予以分類、研究、開發(fā)和實施。能力來源-技術(shù)〔IAARC模型〕能力來源-技術(shù)〔IAARC模型〕MicroaiM認為主要的平安技術(shù)都可以歸結(jié)到下面5個平安行為：1、鑒別和認證Identification&Authentication2、訪問控制AccessControl3、審計和跟蹤AuditTrail4、響應(yīng)和恢復(fù)Response&Recovery5、內(nèi)容平安ContentSecurity能力來源-技術(shù)〔IAARC模型〕管理可以分成兩個層次的管理：一個層次是以政府職能為主的宏觀管理，包括信息平安政策、法規(guī)、標準、標準等；另一個層次就是以企業(yè)為核心的運營管理，也包括了策略、標準、標準、流程等內(nèi)容，流程在這里顯得尤為重要。安氏借鑒ITIL等標準提出平安運營的8大流程，如以下圖所示：能力來源-管理能力來源－管理提綱背景概述平安理念和模型平安關(guān)鍵技術(shù)〔網(wǎng)絡(luò)層的〕平安運營管理體系電信運營商主要采用的網(wǎng)絡(luò)平安技術(shù)電信實現(xiàn)網(wǎng)絡(luò)平安的主要技術(shù)思路是采用AAA技術(shù)，實現(xiàn)可溯源，具體的技術(shù)如下：PPPOE撥號技術(shù)〔中國電信ADSL寬帶用戶使用〕DHCP+WEB技術(shù)〔中國電信WLAN接入使用〕VPN技術(shù)〔中國電信移動辦公和企業(yè)網(wǎng)絡(luò)使用〕uRPF技術(shù)Netflow技術(shù)DDOS攻擊防御技術(shù)PPPOE接入〔LAN接入，RFC2516〕GEIP網(wǎng)絡(luò)接入效勞器〔BRAS〕以太網(wǎng)絡(luò)IPPPP以太幀PPP以太幀PhyPhyPPPPPPPhy以太幀PPP以太幀PhyPhy二層幀IPIPIPIP1、這種模式下PC直接接到樓道交換機，PPP包直接封裝在二層以太包中，樓道交換機完成以太幀的幀頭變化。2、PPP：pointtoPointRADIUS效勞器PPPOE接入〔LAN接入，RFC2516〕GEIP網(wǎng)絡(luò)接入效勞器〔BRAS〕以太網(wǎng)絡(luò)IPPPP以太幀PPP以太幀PhyPhy發(fā)起PPP連接：用戶名，密碼PPPPhy以太幀PPP以太幀PhyPhy二層幀IPIPIPIP1、這種模式下PC直接接到樓道交換機，PPP包直接封裝在二層以太包中，樓道交換機完成以太幀的幀頭變化。RADIUS效勞器用戶認證通過：得到IP地址PPPOE接入控制技術(shù)PPPOE撥號實現(xiàn)了一下功能：第一：AAA功能，也就是認證〔authentication〕、授權(quán)、〔authorization和記賬〔accounting〕功能第二：實現(xiàn)了IP地址的分配第三：RADIUS系統(tǒng)記錄了如下信息用戶名、密碼用戶MAC地址和IP地址用戶上網(wǎng)時間和下網(wǎng)時間用戶的接入端口號或者VLAN用戶上網(wǎng)流量所有這些信息為平安審計提供了根本的保障秋后算賬能夠有力減少平安事件的發(fā)生DHCP+WEB技術(shù)根本實現(xiàn)了PPPOE的功能標準以太幀結(jié)構(gòu)46~1500字節(jié)DASATypeDataCRC6B6B2B4B0800：表示數(shù)據(jù)為IP數(shù)據(jù)報0806：表示數(shù)據(jù)為ARP請求/應(yīng)答數(shù)據(jù)報8035：表示數(shù)據(jù)為RARP請求/應(yīng)答數(shù)據(jù)報1、標準以太幀使用Type字段來表示數(shù)據(jù)局部承載何種協(xié)議數(shù)據(jù)2、標準以太幀最大的長度為1518字節(jié)(6+6+2+1500+4=1518)PPP幀格式(RFC1331)標志地址控制協(xié)議數(shù)據(jù)幀校驗和標志1Byte1Byte1Byte2ByteUpto1500Byte1或2Byte1Byte標志：01111110地址：TheAddressfieldisasingleoctetandcontainsthebinarysequence11111111(hexadecimal0xff),theAll-Stationsaddress.PPPdoesnotassignindividualstationaddresses.TheAll-StationsaddressMUSTalwaysberecognizedandreceived.Theuseofotheraddresslengthsandvaluesmaybedefinedatalatertime,orbyprioragreement.FrameswithunrecognizedAddressesSHOULDbesilentlydiscarded,andreportedthroughthenormalnetworkmanagementfacility.PPP幀結(jié)構(gòu)〔續(xù)〕控制：ControlFieldTheControlfieldisasingleoctetandcontainsthebinarysequence00000011(hexadecimal0x03),theUnnumberedInformation(UI)commandwiththeP/Fbitsettozero.FrameswithotherControlfieldvaluesSHOULDbesilentlydiscarded.協(xié)議：表示PPP幀中數(shù)據(jù)局部承載的協(xié)議數(shù)據(jù)包 其中有代表性的值是： c021 LinkControlProtocol〔用以PPP協(xié)商的〕 c023 PasswordAuthenticationProtocol〔PPP認證〕 c025 LinkQualityReport 8021 NetworkControlProtocol c223 ChallengeHandshakeAuthenticationProtocol兩個階段:Discovery

PPPPPPOE幀結(jié)構(gòu)分析EthernetFrameDASACRCTypeEthernetFramepayload46~1500Byte642B60x0800IP數(shù)據(jù)報0x0806ARP請求/應(yīng)答0x8035RARP請求/應(yīng)答0x8863發(fā)現(xiàn)階段0x8864PPP會話階段VER0x1

TYPE

0x1

CODESESSION_ID

LENGTH

PAYLOAD4b4b8b16b16b用以區(qū)分Discovery階段中不同類型的包以及session階段的包類型PADI:0x09PADO:0x07PADR:0x19PADS:0x65PADT:0xa7Session:0x00DiscoverySessionPPPSession凈載的格式根據(jù)不同階段而定TAG_TYPE

TAG_LENGTH

TAG_VALUEPPPPROTOCOL=0xc021PPPPayLoad16b16b16b最大1492字節(jié)可變PPPOEActiveDiscoveryInitiationPPPOEActiveDiscoveryOfferPPPOEActiveDiscoveryRequestPPPOEActiveDiscoverySession-confirmationLCP/IPCPConcentrator具體參考:RFC2516–AMethodforTransmittingPPPoverEthernet(PPPoE)RFC1483–MultiprotocolEncapsulationoverATMAdaptationLayer5播送單播單播單播,BAS生成Session_ID，通知PC指出以太報上層承載了ppp包PPPOEmaxMTU1494ByteuRPF技術(shù)GEIP網(wǎng)絡(luò)接入效勞器〔BRAS〕以太網(wǎng)絡(luò)IPPPP以太幀PPP以太幀PhyPhyPPPPPPPhy以太幀PPP以太幀PhyPhy二層幀IPIPIPIP1、uRPF技術(shù)：反向地址路徑查找技術(shù)，保證所有數(shù)據(jù)包的地址是真實的，杜絕了偽造的IP地址2、結(jié)合Radius系統(tǒng)信息，很容易實現(xiàn)溯源RADIUS效勞器開啟uRPF功能uRPF和ACL技術(shù)StrictuRPFisdeployedoncustomeraccessinterfacesLooseuRPFisdeployedoninterconnectedinterfaceInfrastructureACLs(iACL)denyexternaltraffictoallrouters.Therefore,allrouterscannotbereachedfromoutsideInfrastructureroutesarehidedtoInternetor/andcustomerInternetCN2UserTerminaluRPFandiACLdenyaccessNoroutinginformationCN2connecttointernetwithoutexternalreachintoitsinfrastructure.DDoS概念mbehringISPCPEInternetZombie(僵尸)Master(主攻手)發(fā)現(xiàn)漏洞取得用戶權(quán)取得控制權(quán)植入木馬去除痕跡留后門做好攻擊準備Hacker(黑客)DDOS為分布式拒絕效勞攻擊。黑客將多個甚至幾十萬個計算機聯(lián)合起來作為攻擊平臺，將造成骨干網(wǎng)絡(luò)資源浪費、鏈路堵塞、業(yè)務(wù)中斷。該平臺一般稱為僵尸網(wǎng)絡(luò)。骨干級鏈路級應(yīng)用級網(wǎng)絡(luò)癱瘓的損失情況

行業(yè)每小時營業(yè)損失金融銀行業(yè)240萬美元制造業(yè)160萬美元保險業(yè)120萬美元零售業(yè)110萬美元醫(yī)藥行業(yè)110萬美元保健業(yè)60萬美元專業(yè)性服務(wù)50萬美元拒絕效勞種類通常造成最大的損失CSI/FBI2004計算機犯罪與平安調(diào)查清洗工作原理DDOS攻擊防御業(yè)務(wù)包括以下幾個工作過程：流量采集和分析流量異常判斷觸發(fā)清洗攻擊流量的牽引攻擊流量的去除清潔流量的回送發(fā)現(xiàn)和通知中毒的機器〔傀儡機〕發(fā)現(xiàn)和尋找攻擊手〔攻擊組織者〕清洗工作原理介紹寬帶用戶/中毒PC城域網(wǎng)游戲效勞器IDCInternetChinaNet寬帶用戶/中毒PC清洗設(shè)備清洗設(shè)備1.攻擊和正常業(yè)務(wù)流量3.異常流量判斷分析效勞器4.通知清洗5.牽引流量2.流量采集點清洗工作原理介紹城域網(wǎng)游戲效勞器IDCInternetChinaNet清洗設(shè)備清洗設(shè)備分析效勞器6.流量被牽引到清洗設(shè)備7.根據(jù)特征庫清洗8.清潔流量送回寬帶用戶/中毒PC寬帶用戶/中毒PC清洗攻擊原理介紹城域網(wǎng)游戲效勞器IDCInternetChinaNet清洗設(shè)備清洗設(shè)備分析效勞器9.記錄攻擊源IP地址10.通知攻擊源寬帶用戶/中毒PC寬帶用戶/中毒PC建設(shè)思路采用全網(wǎng)范圍內(nèi)集中調(diào)度、分布部署、并行處理、就源清洗的思路，建設(shè)“DDOS攻擊防御業(yè)務(wù)網(wǎng)絡(luò)〞。根據(jù)業(yè)務(wù)的開展，總體規(guī)劃，分期建設(shè)清洗設(shè)備部署節(jié)點選擇，根據(jù)用戶數(shù)來確定：寬帶用戶數(shù)大于150萬的省出口寬帶用戶數(shù)大于80萬的城域網(wǎng)出口在國際、網(wǎng)通等網(wǎng)間互聯(lián)出口部署在8大核心部署，負責各自區(qū)域內(nèi)省的流量清洗在偏遠的省出口部署，如新疆和西藏注：2007年底用戶數(shù)現(xiàn)行的末端清洗方式163骨干招商銀行廣東CPE清洗設(shè)備清洗設(shè)備清洗設(shè)備清洗設(shè)備1.占用大量骨干帶寬資源2.只能處理3G攻擊流量，不能滿足業(yè)務(wù)需求，不能承諾SLA4.10幾G的攻擊流量，出口鏈路已經(jīng)被堵塞3.設(shè)備只效勞于本地，利用率低下該方式適合小規(guī)模的DDOS攻擊防御上海成都北京集中調(diào)度、就源清洗方式163骨干招商銀行廣東CPE清洗設(shè)備清洗設(shè)備清洗設(shè)備清洗設(shè)備2.只有清潔流量經(jīng)過骨干網(wǎng)絡(luò)，帶寬大大節(jié)省4.分布式處理能力到達幾百G，滿足任何客戶需求3.不會形成局部鏈路堵塞1.就源清洗，設(shè)備將效勞于任何攻擊，利用率大大提高成都上海北京虛擬專用網(wǎng)VPN〔VirtualPrivateNetwork〕技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過平安的“加密管道〞在公共網(wǎng)絡(luò)中傳播。VPN的根本概念I(lǐng)nternetVPN通道VPN網(wǎng)關(guān)移動用戶VPN網(wǎng)關(guān)VPN的功能保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認〔IPSpoofing〕的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動態(tài)密鑰交換功能，提供密鑰中心管理效勞器，必須具備防止數(shù)據(jù)重演〔Replay〕的功能，保證通道不能被重演。提供平安防護措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制〔AccessControl〕內(nèi)部網(wǎng)VPN——用VPN連接公司總部和其分支機構(gòu).遠程訪問VPN——用VPN連接遠程用戶.外聯(lián)網(wǎng)VPN——用VPN連接其業(yè)務(wù)伙伴.VPN的分類及用途子公司LAN合作伙伴LAN遠程用戶InternetInternetVPN效勞器VPN效勞器路由器路由器加密信道加密認證VPN總部LAN子公司LAN一個平安的VPN效勞，應(yīng)該為子公司的不同用戶指定不同的訪問權(quán)限。內(nèi)部網(wǎng)VPNInternetVPN服務(wù)器加密信道總部LANVPN的功能：1、訪問控制管理。2、用戶身份認證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計記錄。5、密鑰和數(shù)字簽名管理。PC機移動用戶公共服務(wù)器遠程訪問VPNInternetVPN服務(wù)器VPN服務(wù)器加密信道加密認證VPN公司內(nèi)聯(lián)網(wǎng)合作公司內(nèi)聯(lián)網(wǎng)1、VPN服務(wù)應(yīng)有詳細的訪問控制。2、與防火墻/協(xié)議兼容。FTP服務(wù)器外聯(lián)網(wǎng)VPNVPN采用的相關(guān)技術(shù)Tunneling隧道Encryption加密Authentication身份認證VPN常用協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會話層傳輸層會話層代理網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TPVPN常用的協(xié)議有IPSec、PPTP以及L2TP等。這些協(xié)議對應(yīng)的OSI層次結(jié)構(gòu)如下：提綱背景概述平安理念和模型平安關(guān)鍵技術(shù)〔網(wǎng)絡(luò)層的〕平安運營管理體系平安運營管理的問題沒有相對獨立的具有一定經(jīng)驗的平安運營管理人員和隊伍結(jié)構(gòu)NOC和SOC職責不清，合作流程不清楚無法處理來自不同設(shè)備類型的海量平安事件信息缺乏對網(wǎng)絡(luò)平安實時狀態(tài)的監(jiān)測和處理系統(tǒng)，對異常流量沒有認識不知道平安事件發(fā)生原因和一般應(yīng)當方法－知識庫不知道某特定平安事件的風(fēng)險程度對網(wǎng)絡(luò)突發(fā)事件缺乏預(yù)知和響應(yīng)的能力平安事件一定會發(fā)生，在何時，以何種方式發(fā)生可能產(chǎn)生的影響預(yù)測，應(yīng)該采取的行動和響應(yīng)流程引起平安運營管理問題的原因?qū)ζ桨布夹g(shù)及設(shè)備的過分依賴網(wǎng)絡(luò)平安運營管理的思想沒有得到廣泛的認可，沒有平安運營人員和機構(gòu)沒有分清平安運營管理與網(wǎng)絡(luò)管理的區(qū)別和聯(lián)系相關(guān)人員平安技能不夠，經(jīng)驗不能共享各種設(shè)備的管理體系相對獨立，互相沒有任何關(guān)聯(lián)，缺乏一個統(tǒng)一的工具及系統(tǒng)幫助管理海量的平安事件信息沒有對平安事件處理等級分類的標準沒有適宜的平安處理和響應(yīng)流程沒有對異常流量和現(xiàn)象的監(jiān)控手段已經(jīng)擁有大量的平安設(shè)備Defense-in-depthFirewallsProxiesVPNAnti-virusNetworkIDS/IPSHostIDS/IPSVulnerabilityAssessmentPatchManagementPolicyComplianceRouterSwitchIDS設(shè)備只能告訴我們…防火墻只能告訴我們…需要快速響應(yīng)的平安運營管理ActionSteps:AlertInvestigateMitigateNetworkOperationsSecurityOperationsSecurityknowledgebase需要快速的響應(yīng)FirewallIDS/IPSVPNVulnerabilityScannersAuthenticationServersRouter/SwitchAnti-virus10KWin,100sUNIXCollectNetworkDiagramReadandAnalyzeTONSofData…Repeat平安運營管理實施目標〔1〕建立完善的平安運營管理體系，提高對網(wǎng)絡(luò)平安的控制和響應(yīng)能力需要有獨立的平安運營人員，加強對其平安知識和技巧的培訓(xùn)加強對平安管理和網(wǎng)絡(luò)管理兩個部門的合作制定全面的平安事件響應(yīng)制度和流程和其他相關(guān)機構(gòu)之間的信息實時溝通和交流平安運營管理實施目標〔2〕需要一套高效的管理工具幫助處理平安事件信息支持多廠家設(shè)備，對海量的平安事件信息進行高效的關(guān)聯(lián)對網(wǎng)絡(luò)流量的分析以確認異常流量和現(xiàn)象平安事件風(fēng)險評估體系，在平安事件發(fā)生時，能找到重點，快速響應(yīng)平安知識庫幫助快速查詢事件原因網(wǎng)絡(luò)系統(tǒng)的實時的，全面的各種具有客戶化能力的平安報告和網(wǎng)絡(luò)管理體系之間的接口和合作平安運營管理組織機構(gòu)模型CEOCIO信息安全總監(jiān)基礎(chǔ)安全安全技術(shù)架構(gòu)設(shè)計制定與維護安全策略基礎(chǔ)網(wǎng)絡(luò)安全制度安全連接審查安全技術(shù)產(chǎn)品審查安全運作7x24支持安全事件管理應(yīng)急中心應(yīng)用和系統(tǒng)的安全支持安全部署實施安全策略實施安全服務(wù)安全顧問咨詢安全認證服務(wù)入侵檢測服務(wù)防DDoS攻擊服務(wù)安全接入服務(wù)安全培訓(xùn)部門安全審計安全運營安全管理NOC網(wǎng)絡(luò)管理SOC在平安體系架構(gòu)中的位置ADVANCEDSECURITYSERVICESMANAGEMENTANDANALYSISSecuritymanagementSecuritypolicy,securityeventmonitoringandanalysisThreatvalidationandinvestigationEmbeddeddevicemanagementCOMPLETECOVERAGEProtectingDesktops,ServersandNetworksFLEXIBLEDEPLOYMENTSecurityAppliancesSwitchesRoutersSecuritySoftwareSECURITYSERVICESVPN/SSLFirewallIDSIdentityBehaviorSECUREINFRASTRUC-TUREDeviceAuthentication,PortLevelSecurity,SecureandTrustedDevices,SecureAccess,TransportSecurity平安運行管理平臺主要功能網(wǎng)管系統(tǒng)下級安全管理平臺安全策略管理安全工單管理安全知識管理資產(chǎn)風(fēng)險管理防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、服務(wù)器、路由器、交換機……安全數(shù)據(jù)采集、過濾、標準化、聚合……安全數(shù)據(jù)庫上級安全管理平臺安全事件監(jiān)控安全預(yù)警管理安全事件關(guān)聯(lián)分析、安全數(shù)據(jù)處理……SOCKET接口、SYSLOG、SNMP、ODBC……功能描述平安事件集中監(jiān)控模塊主要是從各類平安設(shè)備/系統(tǒng)、主機/應(yīng)用系統(tǒng)采集各種平安相關(guān)的事件信息，而后進行標準化處理和過濾，再對事件進行會聚、關(guān)聯(lián)分析和嚴重程度判斷，最后對一定嚴重程度以上的事件進行呈現(xiàn)并通過平安工單系統(tǒng)進入響應(yīng)流程。資產(chǎn)風(fēng)險管理模塊收集各種信息資產(chǎn)的信息，包括資產(chǎn)的脆弱性信息等，并結(jié)合面臨的平安威脅，計算得出整個信息系統(tǒng)及所含信息資產(chǎn)的風(fēng)險狀況。最后對一定級別以上的平安風(fēng)險進行呈現(xiàn)并通過平安工單管理模塊進入響應(yīng)流程。平安策略管理模塊定義和維護企業(yè)的各種平安策略以及配置信息，并提供保存、檢索等功能。功能描述平安工單管理模塊根據(jù)接收到的各種平安事件告警、風(fēng)險以及其他類型的信息創(chuàng)立平安工單，管理整個工單的派發(fā)流程，并將工單完成情況回饋到事件、風(fēng)險等模塊，從而實現(xiàn)閉環(huán)的平安運維管理。平安知識管理模塊以平安WEB的形式發(fā)布平安信息和平安知識，提供平安問題交流論壇，并將處理的平安事件、預(yù)警、漏洞等的方法和案例收集起來，形成平安經(jīng)驗庫用以培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)平安技術(shù)人員。平安預(yù)警模塊用于接收和處理由平安效勞商或者上級單位發(fā)來的平安預(yù)警信息。解決的平安問題實現(xiàn)對全網(wǎng)平安狀況的監(jiān)控實現(xiàn)資產(chǎn)風(fēng)險管理建立工單系統(tǒng)實現(xiàn)統(tǒng)一平安策略管理為平安運維考核提供根底參數(shù)知識管理FW防火墻VPN虛擬網(wǎng)絡(luò)Router路由器Switch交換機OS操作系統(tǒng)AV防病毒系統(tǒng)安全信息平臺SIMS平安信息應(yīng)用接口策略管理資產(chǎn)管理知識管理風(fēng)險管理決策支持系統(tǒng)顯示報告綜合分析決策專家系統(tǒng)決策審計系統(tǒng)決策下達執(zhí)行智能化平安管理中心模型人工，速度慢，容易犯錯單一平安信息源工單流程數(shù)據(jù)傳送平安運營的系統(tǒng)化過程VulnerabilitiesandRiskAssessmentArchitectureDesignandImplementation