网络攻击、网络病毒防范处理,网络安全可控性.ppt

网络攻击、网络病毒防范处理、网络安全可控性苏亮2009-04主要内容1、集团网络现状2、网络安全需求分析3、网络安全可控性分析4、常见网络攻击及防范5、常见网络病毒及防范现状出口:中兴US2010双机热备—电信30M+网通10M+DMZ二级分公司:2MSDH专线 三级分公司:VPN核心三层:中兴T160G双机,起STP汇聚层:中兴US5928,双线路,划VLAN接入层:中兴US2852客户端:XPSP2,域管理,norton11企业版,safe360防火墙(双机)接入switch核心三层交换机SDH专线防火墙路由器路由器DDOS九州通网络拓朴三层交换机应用服务器终端防火墙2MB光纤30MB光纤10MB光纤VPN应用服务器终端集团总部二级公司三级公司VPNVPN应用服务器终端防火墙VPN双三层交换机冗余汇聚层交换机三层交换机防火墙/VPN外部服务器DMZ区说明:一级骨干网络; 二级内部网络; 三级内部网络; 四级内部网络。双防火墙冗余双核心交换机冗余汇聚层交换机10MB光纤需求分析安全可控的网络当企业建设一个相对封闭的内部网络时,一定要保证对该网络做到完全控制,所谓完全控制,在这里包含以下几层含义: 1、连入网络的节点的监控。内部网络是相对封闭的环境,对于网络中的节点信息和与连入内部网络的节点,要做详细的监控和及时的防范。 2、非法对外访问的监控。内部网络中的节点通过非正当渠道对外访问,如通过Modem拨号的方式连入外部网络的方式,及时发现并做到安全防范。 3、网络数据实时监控和审计。针对内部网络中的传输数据,通过网络设备做到实时监控,实时发现可疑信息并报警,同时做相应的安全审计,从而为事后的电子取证提供有力的依据。 4、实时病毒监控。对内部网络进行实时的病毒防范,对网络中病毒的防护状况做实时监控,包括重要的服务器、工作站和工作PC等网络安全系统。 5、全网的统一监控。对全网的安全数据做到统一管理,统一下发安全策略,统一分析安全数据,得出全网安全状况和风险级别。网络安全可控性1、网络安全管理制度的建设2、网络使用人员安全意识的培养3、网络安全防护系统建设如何构建整体安全方案整体的安全方案分成三部分技术方案 安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。服务方案在安全服务方案中,采用不同的安全服务,定期对网络进行检测、改进,以达到动态增进网络安全性,最大限度发挥安全设备作用的目的。支持方案技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重要安全事件后,通过及时、高效的安全服务,达到尽快恢复网络应用的目的*一、技术方案1、防火墙2、入侵检测3、网络防病毒软件控制中心以及客户端软件4、邮件防病毒服务器5、反垃圾邮件系统6、动态口令认证系统7、网络管理软件8、QOS流量管理9、重要终端个人防护软件…*二、安全服务解决方案1、网络拓扑分析2、中心机房管理制度制订以及修改3、操作系统补丁升级4、防病毒软件病毒库定期升级5、服务器定期扫描、加固6、防火墙日志备份、分析7、入侵检测等安全设备日志备份8、服务器日志备份9、设备备份系统10、信息备份系统11、定期总体安全分析报告*