IT系統(tǒng)整體安全解決方案總結(jié)

IT2023-8目 錄\l“_TOC_250031“一、信息系統(tǒng)安全的含義 3\l“_TOC_250030“二、信息系統(tǒng)涉及的內(nèi)容 4\l“_TOC_250029“三、現(xiàn)有信息系統(tǒng)存在的突出問(wèn)題 6\l“_TOC_250028“1、信息系統(tǒng)安全治理問(wèn)題突出 6\l“_TOC_250027“2、缺乏信息化安全意識(shí)與對(duì)策 7\l“_TOC_250026“3、重安全技術(shù)，輕安全治理 7\l“_TOC_250025“4、系統(tǒng)治理意識(shí)淡薄 7\l“_TOC_250024“四、信息系統(tǒng)安全技術(shù)及規(guī)劃 8\l“_TOC_250023“1、網(wǎng)絡(luò)安全技術(shù)及規(guī)劃 8\l“_TOC_250022“網(wǎng)絡(luò)加密技術(shù) 8\l“_TOC_250021“防火墻技術(shù)、內(nèi)外網(wǎng)隔離、網(wǎng)絡(luò)安全域的隔離 9\l“_TOC_250020“網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 10\l“_TOC_250019“操作系統(tǒng)安全內(nèi)核技術(shù) 11\l“_TOC_250018“身份驗(yàn)證技術(shù) 11\l“_TOC_250017“網(wǎng)絡(luò)防病毒技術(shù) 11\l“_TOC_250016“網(wǎng)絡(luò)安全檢測(cè)技術(shù) 13\l“_TOC_250015“安全審計(jì)與監(jiān)控技術(shù) 13\l“_TOC_250014“網(wǎng)絡(luò)備份技術(shù) 14\l“_TOC_250013“2、信息安全技術(shù)及規(guī)劃 14\l“_TOC_250012“鑒別技術(shù) 14\l“_TOC_250011“數(shù)據(jù)信息加密技術(shù) 15\l“_TOC_250010“數(shù)據(jù)完整性鑒別技術(shù) 15\l“_TOC_250009“防抵賴(lài)技術(shù) 15\l“_TOC_250008“數(shù)據(jù)存儲(chǔ)安全技術(shù) 16\l“_TOC_250007“數(shù)據(jù)庫(kù)安全技術(shù) 16\l“_TOC_250006“信息內(nèi)容審計(jì)技術(shù) 17\l“_TOC_250005“五、信息系統(tǒng)安全治理 17\l“_TOC_250004“1、信息系統(tǒng)安全治理原則 18\l“_TOC_250003“、多人負(fù)責(zé)原則 18\l“_TOC_250002“、任期有限原則 18\l“_TOC_250001“、職責(zé)分別原則 19\l“_TOC_250000“2、信息系統(tǒng)安全治理的工作內(nèi)容 19一、信息系統(tǒng)安全的含義體系性安全的綜合。具體來(lái)說(shuō)，信息安全指的是信息的保密性、完整得到有效的防范和遏制。的緣由而患病到破壞、更改、泄漏，系統(tǒng)連續(xù)牢靠正常的運(yùn)行，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估、掌握、治理、策略指定、制度落實(shí)、監(jiān)視審計(jì)、持續(xù)改進(jìn)等方面的工作。態(tài)，所謂的安全是相比照較而言的。其次，信息化安全是一個(gè)過(guò)程，斷的應(yīng)用于網(wǎng)絡(luò)和其支撐體系，才可能提高系統(tǒng)的安全性。第三，在信息系統(tǒng)安全中，人始終是一個(gè)重要的角色，由于人的動(dòng)機(jī)、素養(yǎng)、品德、責(zé)任、心情等因素，在治理、操作、攻擊等方面有不同表現(xiàn)，險(xiǎn)都是不斷變化的。記錄、診斷、審計(jì)、分析、追溯各種攻擊，治理方面?zhèn)戎赜谙鄳?yīng)于技術(shù)實(shí)現(xiàn)實(shí)行的人員、流程治理和規(guī)章制度。因此，從某種意義上講，信息系統(tǒng)安全不僅是技術(shù)難題，而且也是治理問(wèn)題。二、信息系統(tǒng)涉及的內(nèi)容信息系統(tǒng)安全所涉及到的主要內(nèi)容包括：·系統(tǒng)運(yùn)行的安全：擾?！ぴL問(wèn)權(quán)限和系統(tǒng)信息資源保護(hù)：對(duì)網(wǎng)絡(luò)中的各種軟硬件資源〔主機(jī)、硬盤(pán)、文件、數(shù)據(jù)庫(kù)、子網(wǎng)等〕進(jìn)展訪問(wèn)掌握，防止未授權(quán)的用戶(hù)進(jìn)展非法訪問(wèn)，訪問(wèn)權(quán)限掌握技術(shù)包括口令設(shè)置、身份識(shí)別、路由設(shè)置、端口掌握等。系統(tǒng)信息資源保護(hù)包括身份認(rèn)證、用戶(hù)口令鑒別、用戶(hù)存取權(quán)限掌握、數(shù)據(jù)庫(kù)存取權(quán)限掌握、安全審計(jì)、計(jì)算機(jī)病毒防治、數(shù)據(jù)保密、數(shù)據(jù)備份、災(zāi)難恢復(fù)等。·信息內(nèi)容安全：全還包括信息傳播產(chǎn)生后果的安全、信息過(guò)濾等，防止和掌握非法、有害的信息進(jìn)展傳播后的后果?！ぷ鳂I(yè)和交易的安全：網(wǎng)絡(luò)中的兩個(gè)實(shí)體之間的信息溝通不被非法竊取、篡改和冒充，保證信息在通信過(guò)程中的真實(shí)性、完整性、保密性和不行否認(rèn)性。作業(yè)和交易安全的技術(shù)包括數(shù)據(jù)加密、身份認(rèn)證。數(shù)字簽名等，其核心是加密技術(shù)的應(yīng)用。·人員和安全的規(guī)章制度保障：息系統(tǒng)安全不行缺少的一個(gè)局部。在人員角色、流程、職責(zé)、考察、審計(jì)、聘任、解聘、辭職、培訓(xùn)、責(zé)任分散等方面，建立可操作的治理安全防范體系?！ぐ踩w系整體的防范和應(yīng)急反響功能：的恢復(fù)。三、現(xiàn)有信息系統(tǒng)存在的突出問(wèn)題1、信息系統(tǒng)安全治理問(wèn)題突出全的治理包括安全規(guī)劃、風(fēng)險(xiǎn)治理、應(yīng)急反響打算、安全教育培訓(xùn)、制度可落實(shí)性差，甚至沒(méi)有規(guī)章制度。對(duì)人的治理，還需要解決多人負(fù)責(zé)、責(zé)任到人、任期有限的問(wèn)題。領(lǐng)導(dǎo)對(duì)信息化還不夠重視，沒(méi)有形成群防群治的意識(shí)。信息安全的教育和培訓(xùn)還不夠。2、缺乏信息化安全意識(shí)與對(duì)策導(dǎo)和組織信息化安全治理工作，表現(xiàn)為缺乏完整的信息安全治理制度，缺乏對(duì)員工進(jìn)展必要的安全法律法規(guī)和安全風(fēng)險(xiǎn)防范教育和培訓(xùn)，現(xiàn)有的安全規(guī)章制度組織機(jī)構(gòu)未能?chē)?yán)格發(fā)揮作用。3、重安全技術(shù)，輕安全治理應(yīng)的治理措施不到位，如系統(tǒng)運(yùn)行、維護(hù)、開(kāi)發(fā)等崗位不清，職責(zé)局部，存在一人身兼數(shù)職現(xiàn)象。信息化安全大約70％以上的問(wèn)題是由術(shù)方面入手，同時(shí)更應(yīng)當(dāng)加強(qiáng)安全治理的工作。4、系統(tǒng)治理意識(shí)淡薄的方法，頭疼醫(yī)頭，腳疼醫(yī)腳，是一種就事論事，靜態(tài)的治理方法，不是建立唉安全風(fēng)險(xiǎn)評(píng)估根底之上的動(dòng)態(tài)的持續(xù)改進(jìn)治理方法。四、信息系統(tǒng)安全技術(shù)及規(guī)劃1、網(wǎng)絡(luò)安全技術(shù)及規(guī)劃技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、檢測(cè)審計(jì)技術(shù)、備份技術(shù)等。網(wǎng)絡(luò)加密技術(shù)節(jié)點(diǎn)加密三種。對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路供給加密保護(hù)。〔都加密，因此數(shù)據(jù)在傳輸中是密文的，但在中心節(jié)點(diǎn)必需解密得到路由信息。TCP/IP為不行閱讀和不行識(shí)別的數(shù)據(jù)穿過(guò)網(wǎng)絡(luò)，當(dāng)這些信息一旦到達(dá)目的地，將自動(dòng)解密、重組，成為可讀數(shù)據(jù)。端點(diǎn)加密是面對(duì)網(wǎng)絡(luò)高層主體的，它不對(duì)下層協(xié)議進(jìn)展信息加密，協(xié)議信息以明文的形式傳輸，用戶(hù)數(shù)據(jù)在中心節(jié)點(diǎn)不需解密。更牢靠，更簡(jiǎn)潔設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)。端點(diǎn)加密還避開(kāi)了其他加密系統(tǒng)所固有的同步問(wèn)題，此外，從用戶(hù)的角度動(dòng)身，端點(diǎn)加密更自然些，在對(duì)數(shù)據(jù)信息進(jìn)展加密的同時(shí)，不影響網(wǎng)絡(luò)上其他的用戶(hù)。防火墻技術(shù)、內(nèi)外網(wǎng)隔離、網(wǎng)絡(luò)安全域的隔離在內(nèi)外部網(wǎng)絡(luò)之間，設(shè)置防火墻〔包括分組過(guò)濾和應(yīng)用代理〕實(shí)＝控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息，從而完成僅讓安全、核準(zhǔn)的數(shù)據(jù)信息進(jìn)入，戶(hù)、限定訪問(wèn)的特別站點(diǎn)等等。防火墻的主要技術(shù)類(lèi)型包括網(wǎng)絡(luò)級(jí)數(shù)據(jù)包過(guò)濾器和應(yīng)用級(jí)代理火墻系統(tǒng)各有優(yōu)缺點(diǎn)，因此在實(shí)際中，應(yīng)將二者結(jié)合起來(lái)使用。分組俗稱(chēng)“網(wǎng)關(guān)“，作用在應(yīng)用層，特點(diǎn)是完全隔絕了網(wǎng)絡(luò)通信流，通過(guò)對(duì)作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常有專(zhuān)用工作站實(shí)現(xiàn)。段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。針對(duì)某些網(wǎng)絡(luò)，在某些狀況下，它的一對(duì)全局網(wǎng)絡(luò)造成的影響。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)IP地址缺乏的問(wèn)題，現(xiàn)在多用于網(wǎng)絡(luò)安全。內(nèi)部主IP地址，相反的，外部主機(jī)要向不到內(nèi)部網(wǎng)絡(luò)，從而隱蔽內(nèi)部網(wǎng)絡(luò)，到達(dá)保密的目的，使系統(tǒng)的安全I(xiàn)SPIP地址。操作系統(tǒng)安全內(nèi)核技術(shù)系統(tǒng)的漏洞等。身份驗(yàn)證技術(shù)身份的兩個(gè)重要環(huán)節(jié)。在撥號(hào)上網(wǎng)、主機(jī)登錄、遠(yuǎn)程訪問(wèn)等都涉及到USBKey、IC卡等介質(zhì)上，還可以配備生物活體的身份驗(yàn)證。對(duì)整個(gè)明文進(jìn)展某種變換，得到一個(gè)值，作為核實(shí)簽名。承受者使用某種運(yùn)算結(jié)果全都，則簽名有效，證明雙方的身份是真實(shí)的。固然，簽名也可以承受多種方式。網(wǎng)絡(luò)防病毒技術(shù)計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消退病毒三種技術(shù)。算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)展破壞。技術(shù)手段包括：加密可執(zhí)行程序、引導(dǎo)保護(hù)、系統(tǒng)監(jiān)控與讀寫(xiě)掌握〔如防病毒卡〕等。自身檢驗(yàn)、關(guān)鍵字、文件長(zhǎng)度變化等。病毒檢測(cè)始終是病毒防護(hù)的支柱，然而，隨著病毒的數(shù)目和可能的切入點(diǎn)的大量增加，識(shí)別奇異代碼串的進(jìn)程變得越來(lái)越簡(jiǎn)單，而且簡(jiǎn)潔產(chǎn)生錯(cuò)誤和疏忽。因此，因此功能集成起來(lái)，形成多層次防范體系，既有穩(wěn)健的病毒檢測(cè)功能，又有客戶(hù)機(jī)/效勞器數(shù)據(jù)保護(hù)力量，也就是掩蓋全網(wǎng)的多層次方法。攻擊，這樣的病毒存在于信息共享的網(wǎng)絡(luò)中，因而要在網(wǎng)關(guān)上設(shè)防，在最小的范圍內(nèi)。更病毒庫(kù)。網(wǎng)絡(luò)安全檢測(cè)技術(shù)絡(luò)系統(tǒng)進(jìn)展安全性分析，準(zhǔn)時(shí)覺(jué)察并修正存在的漏洞和弱點(diǎn)。漏洞，建議補(bǔ)救措施和安全策略，到達(dá)增加網(wǎng)絡(luò)安全性的目的。安全審計(jì)與監(jiān)控技術(shù)并且加以分析，有選擇性的對(duì)其中的某些站點(diǎn)或用戶(hù)進(jìn)展審計(jì)跟蹤，以便對(duì)覺(jué)察或可能產(chǎn)生的破壞性行為供給有力的證據(jù)。心或?qū)徲?jì)小組，對(duì)全部各層次的審計(jì)數(shù)據(jù)進(jìn)展統(tǒng)一處理和治理。網(wǎng)絡(luò)備份技術(shù)地內(nèi)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；場(chǎng)地外的數(shù)據(jù)存破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)也是系統(tǒng)災(zāi)難恢復(fù)的前提之一。2、信息安全技術(shù)及規(guī)劃對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面。鑒別技術(shù)體身份。一是只有該主體了解的隱秘，如口令、密鑰；而是主體攜帶或力量，如指紋、聲音、視網(wǎng)膜或簽字等。口令機(jī)制：口令是相互商定的代碼，假設(shè)只有用戶(hù)和系統(tǒng)知道?？诹钣袝r(shí)由用戶(hù)選擇，有時(shí)由系統(tǒng)安排。智能卡：訪問(wèn)不但需要口令，也需要使用物理智能卡，在允許其進(jìn)入系統(tǒng)之前檢查是否允許其接觸系統(tǒng)。主體特征識(shí)別：利用個(gè)人特征進(jìn)展鑒別的方式具有很高的安全性。目前已有的設(shè)備包括：視網(wǎng)膜鑒別儀、聲音驗(yàn)證設(shè)備、手型識(shí)別器和指紋識(shí)別器等。數(shù)據(jù)信息加密技術(shù)信線路上的竊聽(tīng)、泄漏、篡改和破壞。信息加密過(guò)程是由加密算法來(lái)實(shí)現(xiàn)的，以很小的代價(jià)供給很牢靠的安全保護(hù)。在多數(shù)狀況下，信息加密是保證信息保密性的唯一方法。數(shù)據(jù)完整性鑒別技術(shù)所以應(yīng)實(shí)行有效的措施來(lái)保證信息的完整性。防抵賴(lài)技術(shù)三方數(shù)字證書(shū)；使用時(shí)間戳；承受一個(gè)在線的第三方、數(shù)字簽名與時(shí)間戳相結(jié)合等方法。使用便利，有必要選取集成的安全保密技術(shù)措施及設(shè)備。數(shù)據(jù)存儲(chǔ)安全技術(shù)最為典型，而對(duì)各種功能文件的保護(hù)，終端安全很重要。數(shù)據(jù)庫(kù)安全技術(shù)幾點(diǎn)：于影響其他字段；元素完整性，包括在每個(gè)元素中的數(shù)據(jù)是準(zhǔn)確的；數(shù)據(jù)的加密；用戶(hù)鑒別，確保每隔用戶(hù)被正確識(shí)別，避開(kāi)非法用戶(hù)的入侵；可獲得性，指用戶(hù)一般可訪問(wèn)數(shù)據(jù)庫(kù)和全部授權(quán)訪問(wèn)的數(shù)據(jù)；可審計(jì)性，能夠追蹤到誰(shuí)訪問(wèn)過(guò)數(shù)據(jù)庫(kù)。策略；二是以現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)所供給的功能為根底構(gòu)建安全模塊，旨在加強(qiáng)現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)的安全性。信息內(nèi)容審計(jì)技術(shù)泄密行為。五、信息系統(tǒng)安全治理面對(duì)信息化安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全效勞功個(gè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門(mén)的重視。在建立治理體系、制度的同時(shí)，建議1、信息系統(tǒng)安全治理原則對(duì)于信息系統(tǒng)的安全治理，需要確定其安全治理原則，一般的，信息系統(tǒng)的安全治理原則有以下三個(gè)：、多人負(fù)責(zé)原則每一項(xiàng)與安全有關(guān)的操作和治理活動(dòng)，都必需有兩人或多人在場(chǎng)。所進(jìn)展的活動(dòng)應(yīng)當(dāng)是與安全治理相關(guān)的各項(xiàng)活動(dòng)：訪問(wèn)掌握使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等。、任期有限原則輪番培訓(xùn)，以使任期有限制度切實(shí)可行。、職責(zé)分別原則作建議分開(kāi)：計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接