上海XX有限公司

網絡安全解決方案方案概述目標和體系動態安全解決方案安全需求分析（策略體系和技術體系）安全工程模型（管理體系和服務體系）標準化和安全測評方案對象上海XX有限公司信息安全解決方案突出為3點：企業級Enterprise信息安全InformationSecurity完整解決方案TotalSolution企業級方案的特點企業級方案的特點：可管理性可伸縮性可靠性互操作性基于標準可規劃性信息安全方案的特點一個好的信息安全解決方案需要抓住信息安全自身的突出特點：動態性潛在性相對性標準化管理特性工具特性信息安全完整解決方案的特點方案的完整性應當體現在：完整描述動態安全的各個環節完整體現安全的整個生命周期完整解決各個角度的安全需求體現集成性方案的目標和體系信息安全的三個方面保密性——信息的機密性完整性——信息的完整性、一致性可用性——行為完整性、服務連續性信息安全的經典定義我們真正的目標建立 可評估的風險量化的信息安全體系安全““三元元論””策略管理技術我們的的安全全體系系策略體體系管理體體系技術體體系我們方方案的的核心心特征征動態安安全模模型P2DR安安全P2DR安全模模型安全策略防護

檢測響應P2DR安安全P2DR安全模模型PolicyProtection

DetectionResponseP2DR安安全什么是是安全全？新的定定義P2DR安安全安全———及及時的的檢測測和處處理時間PtDtRtP2DR安安全什么是是安全全？PtDtRt>+P2DR安安全P2DR安全模模型動態模模型基于時時間的的模型型可以量量化可以計計算P2DR安安全信息安安全兩兩態論論信息安安全的的潛在在性安全工工作只只有兩兩個結結果出事和和不出出事安全只只有兩兩個狀狀態正常狀狀態和和異常常狀態態正常狀態異常狀態檢測出異常常狀態緊急響應后后，調整到正常常狀態緊急響應中中，正在進行狀狀態調整檢測狀態正正常系統建設和和啟動信息安全兩兩態論動態安全問問題的關鍵鍵環節設計一個信信息安全解解決方案要要抓住關鍵鍵的環節：：檢測響響應P2DR安安全的動力力P2DR安全的核心心問題———檢測P2DR安安全安全策略防護

檢測響應檢測是靜態態防護轉化化為動態的的關鍵檢測是動態態響應的依依據檢測是落實實/強制執執行安全策策略的有力工具信息安全事事件的模式式攻擊工具攻擊命令攻擊機制制目標網絡絡網絡漏洞目標系統統系統漏洞攻擊者主體客體攻擊事件件和過程程信息安全全問題和和威脅ISO15408-1安全全模型ISO15408安安全概念念和關系系模型ISS創新的安安全技術術攻擊工具具攻擊命令令攻擊機制制目標網絡絡網絡漏洞目標系統統系統漏洞攻擊者漏洞掃描描評估加固攻擊過程程ISS創創新的安安全技術術ISS創創新的安安全技術術WorkOrderWorkOrderCorrectiveActionReportVulnerability:Severity:IPAddress:OS:Fix:GetAdminHighRisk215.011.200.255WindowsNT4.0FromtheStartmenu,choosePrograms/AdministrativeTools/UserManager.UnderPolicies/UserRights,checktheuserswhohaveadminprivilegesonthathost.Strongeractionmaybeneeded,suchasreinstallingtheoperatingsystemfromCD.Considerthishostcompromised,aswellasanypasswordsfromanyotherusersonthishost.Inaddition,Applythepost-SP3getadminpatch,orSP4whenavailable.AlsorefertoMicrosoftKnowledgeBaseArticleQ146965.txt.ISS創創新的安安全技術術詳盡的安安全報告告ISS創創新的安安全技術術及時修補補安全漏漏洞ISS創創新的安安全技術術網絡漏洞洞掃描ISS創創新的安安全技術術系統漏洞洞掃描ISS創創新的安安全技術術數據庫漏漏洞掃描描ISS創創新的安安全技術術安全和健健康漏洞掃描描評估就就像體檢ISS創創新的安安全技術術ISS創新的安安全技術術攻擊工具具攻擊命令令攻擊機制制目標網絡絡網絡漏洞目標系統統系統漏洞攻擊者漏洞掃描描評估加固攻擊過程實時入侵檢測ISS創新的的安全技術ISS創新的的安全技術EXTERNALATTACKALERT!ATTACKDETECTEDRECORDSESSIONTERMINATESESSIONALERT!ATTACKDETECTEDEMAIL/LOG/REPORTEMAIL/LOG/REPORTRECONFIGUREFIREWALL/ROUTERINTERNALATTACKALERTALERTRECORDSESSIONSENDEMAILLOGSESSIONISS創新的的安全技術網絡入侵發現現的模式統計異常發現現方法模式匹配發現現方法基于主機的發發現方法基于網絡的發發現方法ISS創新的的安全技術網絡入侵發現現ISS創新的的安全技術安全和健康入侵檢測就像像急診ISS創新的的安全技術ISS產品全面防黑黑漏洞掃描和評評估實時入侵檢測測系統網絡系統代理管理控制臺網絡引擎管理控制臺網管平臺接口系統網絡ISS創新的的安全技術安全方案的前前提安全需求分析析安全策略需求求業務安全需求求分布式安全需需求層次性安全需需求集成性安全需需求安全策略需求求和管理體系系總則管理綱要人員組織管理理規章介紹和一般模模型需求分析和功功能分析評估準則保護等級劃分分準則教育培訓和考考核體系檢查執行指南南緊急響應體系系實施和管理指指南系列...BS7799/ISO17799信息安全政策策安全組織資產分類及控控制人員安安全物理及及環境境安全全計算機機及系系統管管理系統訪訪問控控制系統開開發與與維護護業務連連續性性規劃劃符合性性信息安安全管管理綱綱要Codeofpracticeforinformationsecuritymanagement業務安安全需需求內部辦辦公平臺業業務輔助業業務分布式式安全全需求求分析析分布式式安全全的主主要問問題：：水桶效效應加強薄薄弱環環節劃分安安全網網段層次性性安全全需求求分析析從多個個層面面解決決安全全問題題環境、、物理理、實實體通信和和網絡絡（網網絡協協議、、網絡絡服務務、網網絡設設備等等）主機和和操作作系統統數據庫庫管理理系統統（如如：Oracle，，Sybase，MSSQLServer等）應用系系統人員、、組織織和管管理需求分分析和和要素素確定定的依依據ISO/IEC15408-2InformationtechnologySecuritytechniquesEvaluationcriteriaforITsecurityPart2:SecurityfunctionalrequirementsISO15408-2安安全全功能能1.審審計計———安全全審計計自動動響應應、安安全審審計數數據產產生、、安全全審計計分析析、安安全審審計評評估、、安全全審計計事件件選擇擇、安安全審審計事事件存存儲2.通通信信———源不不可否否認、、接受受不可可否認認3.密密碼碼支持持———密碼碼密鑰鑰管理理、密密碼操操作4.用用戶戶數據據保護護———訪問問控制制策略略、訪訪問控控制功功能、、數據據鑒別別、出出口控控制、、信息息流控控制策策略、、信息息流控控制功功能、、入口口控制制、內內部安安全傳傳輸、、剩余余信息息保護護、反反轉、、存儲儲數據據的完完整性性、內內部用用戶數數據保保密傳傳輸保保護、、內部部用戶戶數據據完整整傳輸輸保護護ISO15408-2安全功功能5.鑒鑒別別和認認證———認認證失失敗安安全、、用戶戶屬性性定義義、安安全說說明、、用戶戶認證證、用用戶鑒鑒別、、用戶戶主體體裝訂訂6.安安全全管理理———安全全功能能的管管理、、安全全屬性性管理理、安安全功功能數數據管管理、、撤回回、安安全屬屬性終終止、、安全全管理理角色色7.隱隱私私———匿名名、使使用假假名、、可解解脫性性、可可隨意意性8.安安全全功能能保護護———底層層抽象象及其其測試試、失失敗安安全、、輸出出數據據的可可用性性、輸輸出數數據的的保密密性、、輸出出數據據的完完整性性、內內部數數據傳傳輸安安全、、物理理保護護、可可信恢恢復、、重放放檢測測、參參考仲仲裁、、領域域分割割、狀狀態同同步協協議、、時間間戳、、內部部數據據的一一致性性、內內部數數據復復制的的一致致性、、安全全自檢檢。ISO15408-2安全功功能9.資資源源利用用———容錯錯、服服務優優先權權、資資源分分配10.訪訪問———可可選屬屬性范范圍限限制、、多并并發限限制、、鎖、、訪問問標志志、訪訪問歷歷史、、會話話建立立11.可可信通道/信道———內部可信信通道、可可信通道安全工程模模型安全的工程程性安全的生命命周期特性性SafeCycle模型SafeCycle模型安全策略Policy安全評估Assessment設計/方案案Design/Solution實施/實現現Implementation安全管理Management安全教育EducationSafeCycle模型PADIMEE緊急事件響響應EmergencyResponseSafeCycle模型SafeCycle模型實現信息系系統安全的的原則安全管理是是信息安全全的關鍵人員管理是是安全管理理的核心安全策略是是安全管理理的依據安全工具是是安全管理理的保證管理核心原原則安全服務體體系專業安全服服務體系安全產品服服務體系安全顧問服服務體系企業安全策策略顧問服服務安全評估顧顧問服務安全管理維維護方案安全緊急響響應服務安全測評服服務安全教育培培訓體系安全標準美國國防部部公布的“可信計算算機系統評評估標準TCSEC”─彩虹系列標標準為計算機安安全產品的的評測提供供了測試準準則和方法法指導信息安安全產品的的制造和應應用傳統安全理理念的高峰峰國際上最據據權威的評評估標準信息安全標標準的演變變傳統安全標標準DOD85TCSECTCSEC網絡解釋（（87）TCSECDBMS解釋（91）ITSEC（歐洲標準））CommonCriteria-CCInternet標準（IETF/RFC等）可信賴計算算機系統安安全等級1）TCSEC是針對孤立立計算機系系統，特別別是小型機機和主機系系統。假設設有一定的的物理保障障，該標準準適合政府府和軍隊，，不適和企企業。這個個模型是靜靜態的。2））NCSC的TNI是把把TCSEC的思思想想用用到到網網絡絡上上，，缺缺少少成成功功實實踐踐的的支支持持。。經典典計計算算機機安安全全模模型型信息息安安全全標標準準的的演演變變ISO/IEC15408CCVersion2.1BS7799/ISO17799ISO13335SSE-CMMCVEISO/IEC15408第一一部部分分介介紹紹和和一一般般模模型型第二二部部分分安安全全功功能能需需求求第三三部部分分安安全全認認證證需需求求ISO15408-3安安全全評評估估評估估類類配置置管管理理分發發和和操操作作開發發指導導文文檔檔生命命周周期期支支持持測試試漏洞洞評評估估評估估級級別別EAL1~EAL7EAL3-C2EAL4-B1SSE-CMM安全全工工程程標標準準SystemsSecurityEngineering-CapabilityMaturityModel系統統安安全全工工程程-能能力力成成熟熟度度模模型型CapabilityLevelsLevel1-PerformedinformallyLevel2-PlannedandTrackedLevel3-WellDefinedLevel4-QuantitativelyControlledLevel5-ContinuouslyImprovingSSE-CMM管理安全控制制評估影響評估安全風險險評估威脅評估脆弱性建立認證參數數調整安全監控安安全狀狀態提供安安全輸輸入說明安安全需需求檢查和和驗證證安全全系統安安全工工程-能力力成熟熟度模模型中中的11個個安全基本實實踐過過程SSE-CMM質量保保證配置管管理項目風風險管管理技術人人力監監控技術人人力計計劃組織的的系統統工程程過程程定義義組織的的系統統工程程過程程改進進產品線進化化管理系統工程支支持環境管管理提供持續的的技術和知知識供應商協調調系統安全工工程-能力力成熟度模模型中的11個項目和組織織基本實踐過過程漏洞和風險險的標準CommonVulnerabilitiesandExposuresTheCVEEditorialBoardCVEEditorialBoardMembersAcademic/EducationalMattBishop-UCDavisPascalMeunier-CERIASAlanPaller-SANSGeneSpafford-CERIASNetworkSecurityAnalystsEricCole-VistaITKellyCooper-GenuityOtherSecurityExpertsMarcDacier-IBMResearchAdamShostack-Zero-KnowledgeSystemsIntrusionDetectionExpertsStuartStaniford-SiliconDefenseSteveNorthcutt-SANSSoftwareVendorsCasperDik-SunMicrosystemsDavidLeBlanc-MicrosoftIncidentResponseTeamsKenArmstrong-CanCERTMarvinChristensen-IBMEmergencyResponseService(ERS)BillFithen-CERTScottLawler-DOD-CERTToolVendorsDavidBalenson-PGPSecurity,NetworkAssociatesAndyBalinsky-CiscoScottBlake-BindViewNatalieBrader-SymantecRobClyde-AXENTAndreFrech-ISSPatrickHeim-Hiverworld-NEW!KentLandfield-NFRJimMagdych-PGPSecurity,NetworkAssociatesDavidMann-BindViewCraigOzancin-AXENTPaulProctor-CyberSafeMikeProsser-SymantecMarcusRanum-NFR-NEW!SteveSchall-ISteveSnapp-CyberSafeTomStracener-HiverworldBillWall-HarrisKevinZiese-CiscoInformationProvidersRussCooper-NTBugtraqEliasLevy-SecurityFocusRonsonNguyen-Ernst&YoungKenWilliams-eSecurityO-NEW!安全測評安全測評是是安全質量量保證體系系的關鍵測評標準選選擇測評規范建建立測評過程制制訂內部測評申請第三方方權威機構構進行測評評可評估、可可量化的風風險管理體體系P2DR模型和兩態態論多角度安全全需求分析析SafeCycle生命周期模模型(PADIMEE)安全標準(15408,7799,SSE-CMM)安全測評謝謝9、靜夜四四無鄰，，荒居舊舊業貧。。。12月-2212月-22Thursday,December29,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。14:26:4314:26:4314:2612/29/20222:26:43PM11、以我獨沈沈久，愧君君相見頻。。。12月-2214:26:4314:26Dec-2229-Dec-2212、故人江海別別，幾度隔山山川。。14:26:4314:26:4314:26Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2214:26:4314:26:43December29,202214、他鄉鄉生白白發，，舊國國見青青山。。。29十十二二月20222:26:43下下午14:26:4312月月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月222:26下下午12月-2214:26December29,202216、行動出出成果，，工作出出財富。。。2022/12/2914:26:4314:26:4329December202217、做前，能夠夠環視四周；；做時，你只只能或者最好好沿著以腳為為起點的射線線向前。。2:26:43下午2:26下下午14:26:4312月-229、沒有有失敗敗，只只有暫暫時停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結結果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。14:26:4314:26:4314:2612/29/20222:26:43PM11、成功就就是日復復一日那那一點點點小小努努力的積積累。。。12月-2214:26:4314:26Dec-2229-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。14:26:4314:26:4314:26Thursday,December29,202213、不不知知香香積積寺寺，，數數里里入入云云峰峰。。。。12月月-2212月月-2214:26:4314:26:43December29,202214、意志志堅強強的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20222:26:43下下午14:26:4312月月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月222:26