系統(tǒng)安全保護設施設計方案實用版

YF-ED-J8659可按資料類型定義編號系統(tǒng)安全保護設施設計方案實用版系統(tǒng)安全保護設施設計方案實用版InOrderToEnsureTheEffectiveAndSafeOperationOfTheDepartmentWorkOrProduction,RelevantPersonnelShallFollowTheProceduresInHandlingBusinessOrOperatingEquipment.（示范文稿）二零XX年XX月XX日文件名系統(tǒng)安全保護設施設計方案實用版日期20XX年XX月版次1/1編制人XXXXXX審核XXXXXX批準XXXXXX系統(tǒng)安全保護設施設計方案實用版提示：該解決方案文檔適合使用于從目的、要求、方式、方法、進度等都部署具體、周密，并有很強可操作性的計劃，在進行中緊扣進度，實現最大程度完成與接近最初目標。下載后可以對文件進行定制修改，請根據實際需要調整使用。隨著信息化的高速發(fā)展，信息安全已成為網絡信息系統(tǒng)能否正常運行所必須面對的問題，它貫穿于網絡信息系統(tǒng)的整個生命周期。是保障系統(tǒng)安全的重要手段，通過安全檢測，我們可以提前發(fā)現系統(tǒng)漏洞，分析安全風險，及時采取安全措施。

1物理安全保護措施

物理安全是信息系統(tǒng)安全中的基礎，如果無法保證實體設備的安全，就會使計算機設備遭到破壞或是被不法分子入侵，計算機系統(tǒng)中的物理安全，首先機房采用“門禁系統(tǒng)”配合“監(jiān)控系統(tǒng)”等控制手段來控制機房出入記錄有效的控制接觸計算機系統(tǒng)的人員，由專人管理周記錄、月總結。確保計算機系統(tǒng)物理環(huán)境的安全；其次采取設備線路準確標記、計算機設備周維護、月巡檢以及機房動力環(huán)境監(jiān)測短信報警等安全措施，確保計算機設備的安全。另外，通信線路是網絡信息系統(tǒng)正常運行的信息管道，物理安全還包括通信線路實體的安全。檢測網絡信息系統(tǒng)物理安全的主要方法采用現場檢查、方案審查等。

2網絡安全保護措施

網絡的開放性帶來了方便的可用性，但也使其更容易受到外界的攻擊和威脅。入侵者可以利用系統(tǒng)中的安全漏洞，采用惡意程序來攻擊網絡，篡改、竊取網絡信息，從而導致網絡癱瘓、系統(tǒng)停止運行。在網絡維護過程中，我們采用深信服多級防設備嚴格的與網絡攻防行為對抗，保障網絡安全。

2.1網絡結構安全保護措施

網絡信息系統(tǒng)為了保證內部網絡拓撲信息不被非法獲得，在不對性能造成影響的前提下，采用VPN虛擬專用網絡并以多重身份認證系統(tǒng)隔離內部網絡；在網絡信息系統(tǒng)內部采用使用加密設備以及劃分VLAN的方法來防止非法竊聽；采取監(jiān)控、隔離的措施來保護重要的服務器。

2.2網絡系統(tǒng)設備安全保護措施

網絡系統(tǒng)的網絡設備配備防火墻、入侵檢測系統(tǒng)、以及行為審計系統(tǒng)等。

1）防火墻，防火墻的抗攻擊能力特別強，它是不同網絡以及網絡安全域信息交換的唯一出入口，功能包括：網絡數據包過濾功能、訪問控制功能、網絡訪問行為功能以及安全審計、安全告警功能；

2）入侵檢測系統(tǒng)，入侵檢測系統(tǒng)可以它可以協(xié)助系統(tǒng)對付網絡攻擊，主動保護自己免受攻擊，使信息安全基礎的結構更加的完整。入侵檢測系統(tǒng)功能包括：實時監(jiān)測網絡上的數據流，分析處理和過濾生成的審計數據；聯動功能和自動響應功能是否正常；身份認識功能是否合理有效，什么權限的授權人員才有資格設置入侵管理規(guī)則，才能查閱、統(tǒng)計、管理以及維護日志記錄，其他人不能任意的更改或刪除日志記錄；

3）病毒防范系統(tǒng)。病毒防范系統(tǒng)功能包括：病毒防范功能、病毒特征庫更新功能以及審計數據生成與管理。病毒防范系統(tǒng)安全檢測包括：能控制病毒侵入途徑，控制并阻斷病毒在系統(tǒng)內傳播；系統(tǒng)能在病毒侵入時應及時的隔離、清除病毒，在日志上詳細記錄病毒時間的發(fā)生及處理過程；病毒特征庫定期更新，定期統(tǒng)計和分析病毒的相關日志記錄，及時的對病毒防范策略進行調整；

4）漏洞掃描儀。漏洞掃描儀可定期掃描系統(tǒng)，發(fā)現系統(tǒng)漏洞，防范于未然。系統(tǒng)漏洞信息具有雙面性，維護人員盡早發(fā)現它可采取措施填補，不法份子也可利用它搞破壞。只有授權人員才能對漏洞掃描器進行查閱、管理、統(tǒng)計、維護掃描報告，只有授權人員才能制定掃描規(guī)則，比如說定義攻擊類型、標準服務類型以及IP地址，授權使用者要定期的更新掃描特征數據庫，并及時的調整安全策略，更新反病毒數據庫或設置更高的保護級別。

5）安全審計系統(tǒng)。審計數據是系統(tǒng)根據設置的審計規(guī)則產生的，審計系統(tǒng)功能包括：審計查閱功能、選擇性審計功能。只有授權人才有權查閱審計系統(tǒng)的日志記錄；采取加密保護措施來確保日志的安全，任何人不得隨意更改日志記錄。

2.3網絡系統(tǒng)可用性保護措施

網絡系統(tǒng)的可用性是網絡信息系統(tǒng)安全要求的重要組成部分，保證網絡系統(tǒng)安全的技術手段有：網絡冗余、技術方案驗證、網絡管理和監(jiān)控等方面。其中，網絡冗余是解決網絡故障的重要措施，備份重要的網絡設備和網絡線路，實時監(jiān)控網絡的運行狀態(tài)，一旦網絡出現故障或是信息流量突變可以及時的切換分配，確保網絡的正常運行。我們適當的采用網絡監(jiān)控系統(tǒng)、網絡管理系統(tǒng)這些網絡管理和監(jiān)控手段，運用網絡故障發(fā)現、網絡異常報警等功能來確保網絡運行的安全。才用深信服全網監(jiān)測設備實時監(jiān)控網絡設備運行狀態(tài)。

3運行安全措施

信息系統(tǒng)的安全與運行密不可分，網絡信息系統(tǒng)的運行安全主要包括以下幾個方面的內容：

3.1備份與恢復

為了使數據保持一致和完整，我們對網絡系統(tǒng)的數據進行備份，以此來確保整體網絡系統(tǒng)數據的安全。備份和恢復的檢測方案是：

1）如果系統(tǒng)的硬件或存儲媒體發(fā)生故障，使用系統(tǒng)自帶的備份功能，進行單機備份，然后將數據存儲到其他存儲設備；

2）在建立系統(tǒng)時要進行設備備份冗余備份。局域網內存在備份服務器，備份的數據保存在本地和異地；為了確保備份的高效性，要采用磁帶機加存儲的方法共同執(zhí)行的方法；采用RAID等技術，確保備份的容錯性。

3.2惡意代碼

惡意代碼是指沒有作用卻會帶來危險的代碼。惡意代碼本身是程序，通過執(zhí)行可能會利用網絡信息系統(tǒng)的漏洞來攻擊和破壞系統(tǒng)。處理惡意代碼我們采用：系統(tǒng)應審查所有從外界獲取的文件；在一定范圍內建立防惡意代碼體系，具有防惡意代碼工具，在造成損失之前徹底清除惡意代碼。

3.3入侵檢測

入侵檢測可以實時保護和防范網絡惡意攻擊以及誤操作，它能夠提前攔截和響應系統(tǒng)的入侵。

1）可分析處理和過濾安全事件報警記錄，全方位的反映系統(tǒng)的安全情況；

2）支持用戶根據系統(tǒng)安全需求定義用戶規(guī)則模板；

3）能實時監(jiān)測系統(tǒng)活動，尋找敏感或可疑的系統(tǒng)活動；

4）和防火墻機及其他網絡設備聯動，實施阻斷連接。

3.4應急響應

應急響應的目的是在發(fā)生緊急事件或是安全事件時，確保系統(tǒng)不中斷或緊急恢復。

應急響應方案應包括的措施有：

1）與多家網絡公司合作能夠在發(fā)生安全事件或是緊急事件時及時的做出影響分析，并組成應急小組，在法定時間內對發(fā)生的事件做出響應；

2）具有完善的應急計劃和多種切實可行的備選方案，有由外地和本地專家組成的應急小組，在法定時間內對發(fā)生的事件做出響應。

3.5系統(tǒng)維護

維護的目的是確保系統(tǒng)的正常運行，減少安全風險，不同信息系統(tǒng)的安全要求不同，其維護安全的要求也會不同，對所有系統(tǒng)進行一周一次的一般性的檢測和維護。對特殊的設備進行日巡檢維護。

4系統(tǒng)軟件安全措施

軟件安全是網絡信息安全應考慮的一部分。軟件安全是指確保計算機軟件的完整性以及不被破壞或是泄漏。軟件的完整性指的是系統(tǒng)應用軟件、數據庫管理軟件等相關資料的完整性，系統(tǒng)軟件在保證網絡系統(tǒng)正常運行中發(fā)揮著重要的作用。

4.1系統(tǒng)軟件安全措施與驗收

定期檢查軟件，對軟件進行有效管理，及時的發(fā)現安全隱患，針對存在的問題來適當的改進現行的軟件，以保證軟件的安全。

在正式對軟件進行加載之前，先檢測軟件，確定軟件和其他應用軟件之間是否兼容，對檢測結果的真實性、準確性負責，對檢測軟件