返回
北信源证券网络桌面安全课件.ppt

北信源证券网络桌面安全课件.ppt

ID:57107219

大小:1.84 MB

页数:70页

时间:2020-07-31

北信源证券网络桌面安全课件.ppt_第1页
北信源证券网络桌面安全课件.ppt_第2页
北信源证券网络桌面安全课件.ppt_第3页
北信源证券网络桌面安全课件.ppt_第4页
北信源证券网络桌面安全课件.ppt_第5页
资源描述:

《北信源证券网络桌面安全课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、北信源终端安全管理解决方案一、证券安全运营需求二、证券系统安全体系三、安全管理四、安全服务五、成功经验介绍目录一、证券安全运营需求证券网络现状重要性:与证券业务密切相关庞大性:全国两级级联的大型网络危险性:以windows操作系统为主的网络,用户 对于网络安全认识相对有限复杂性:信息化程度较高的网络,承载着大量 应用证券网络面临威胁外部植入威胁:病毒和恶意程序影响网络正常运行;黑客行为影响正常交易。内部威胁:用户违规行为带来的危险;用户越权使用造成的威胁。证券网络保护原则分级、分类保护原则最小授权原则动态调整原则力求保

2、密性、完整性和可用性均衡力求投资最优化二、证券系统安全体系2.1总体构架 2.2物理安全 2.3网络安全 2.4应用安全 2.5主机防泄密 2.6备份和恢复 2.7集中报警安全体系2.1 安全整体构架keywords兼容性主机资源消耗网络资源消耗通用性保密性2.2物理安全机房安全通信线路安全设备安全介质安全2.3网络安全2.3.1边界安全2.3.2内部安全2.3.1网络边界安全防护网络准入控制外联控制防火墙数据流分析移动设备控制移动存储设备控制设备准入控制访客隔离区工作区域安全修复区防止由于网络终端造成的行情网 和办公

3、网等各子网之间的直接连接;内部重要信息的输出审计;违规网站连接审计和控制。——设备外联控制————移动设备控制——移动设备接入认证管理;移动设备行为控制;移动设备安全控制;移动设备数据交换控制;移动设备数据交换审计;——防火墙——抵御常见的攻击的能力:包括IP地址欺骗、DoS攻击(如TCPSYNFlood等)、中间人攻击、碎片攻击等。内外网间的访问控制;地址及端口转换(NAT、PAT)功能建立三个以上网络区域的能力:外网、内网、一个或多个DMZ区——数据分析——协议级数据捕获和分析。数据审计和回放;辅助入侵攻击事件的检

4、测;辅助非授权访问的检测;辅助数据资源的窃取检测;辅助对服务器访问的检测;辅助网络流量和网络异常行为;入侵检测抓包分析工具——移动存储设备控制——移动存储设备接入认证管理;移动存储数据读写控制;移动存储设备分组管理;移动存储设备使用行为审计;移动存储设备数据加密控制;移动存储设备销毁。2.3.2网络内部安全防护网络结构安全身份识别和访问控制恶意代码防范节点加固节点控制异常行为检测和控制——网络结构安全——具有清晰的层次,以便于进行网络逻辑隔离、访问控制、结构调整和应急处理。采用安全域的概念进行网络逻辑和物理划分,同一安

5、全域应尽可能地只支持单一的业务、服务或流程,形成清晰的安全域边界根据各部门的工作职能、重要性、所涉及信息等级等因素,划分不同的子网或网段。合理设计网络带宽,按照对业务服务的重要次序制定带宽分配优先级别——身份鉴别和访问控制——身份鉴别:唯一性标识用户鉴别鉴别失败处理访问控制:连接控制协议控制数据控制——节点加固——主机加固补丁加固;弱口令;防病毒软件的安装和正常运行。网络设备加固管理严格限制对控制台(CONSOLE)端口的访问;使用强口令并定期更新;采用权限分级策略;限制远程管理,并采用带加密保护的远程访问方式。如用S

6、SH代替telnet——补丁加固————主机控制————恶意代码防范——全面部署网络版防病毒软件;使用专用工具配合进行恶意代码查杀;对IE等主要恶意代码传播手段重点监控;——异常行为检测和控制——异常连接;异常流量;异常进程或模块;违规软件或操作。注册表异常篡改;交换机端口快速定位——主机审计——对指定目录读写的控制及审计;共享目录审计;硬件变化审计;违规软件进程审计;网络连接审计;注册表操作审计;特殊行为审计;2.4应用安全数据库安全业务系统安全2.5主机防泄密移动存储设备监控审计主机数据审计2.5.1主机防泄密防护

7、注册介质在内网具有唯一标志符。移动存储介质按需求可以划分为可信区和普通区,分区容量可自定义。可信区在已安装客户端并具有访问权限的计算机上可以读写,在未安装客户端的计算机上将不被识别并弹出可定制化的消息框提醒;普通区凭密码认证可在所有计算机上使用。系统支持注册移动存储介质和授权计算机形成“多对多”的使用方式。支持注册后的移动存储介质依据授权信息进行细粒度、多层次的访问控制;支持禁止、读、写、加密写等访问权限的细化。管理员可以按所有的网络终端结点进行任意分组,不同组可以执行不同的介质访问策略。未注册存储介质接入内网时将在客

8、户端产生嗡鸣器报警并弹出可定制化的消息框提醒,服务器端并有响应的报警。移动存储介质上的数据都以密文方式保存。加密方式是扇区级加密,加解密过程自动完成。2.5.2主机数据防泄密打印输出监控审计网络输出监控审计邮件审计监控审计软盘审计监控审计光盘审计监控审计2.6备份与恢复主要应用系统热备双链路备份数据定期备份异地灾备2.7集中报警中

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。