信息系統(tǒng)安全建設(shè)方案

3信息系統(tǒng)安全建設(shè)方案摘要 系統(tǒng)安全建設(shè)規(guī)劃設(shè)計(jì)技術(shù)體系以及運(yùn)行治理等三個(gè)方面對(duì)信息系統(tǒng)安全建設(shè)技術(shù)要點(diǎn)進(jìn)展了分析。關(guān)鍵詞信息系統(tǒng) 安全系統(tǒng)建設(shè)建設(shè)目標(biāo)開(kāi)展越來(lái)越依靠信息網(wǎng)絡(luò)，公司的信息安全問(wèn)題日益突出，安全建設(shè)任務(wù)更加緊迫。性、完整性和真實(shí)性。設(shè)計(jì)要點(diǎn)切合本公司信息安全系統(tǒng)建設(shè)內(nèi)涵及特點(diǎn)。要。目前正在與有關(guān)主管單位詢問(wèn)。進(jìn)展信息系統(tǒng)定級(jí)，實(shí)行分級(jí)治理。的成效。建設(shè)內(nèi)容是運(yùn)行保障安全體系建設(shè)。其中，技術(shù)安全體系設(shè)計(jì)和建設(shè)是關(guān)鍵和重點(diǎn)。臺(tái)安全、應(yīng)用安全以及用戶終端安全等內(nèi)容。物理層安全標(biāo)準(zhǔn)和實(shí)施要求，可以依據(jù)相關(guān)要求具體開(kāi)展建設(shè)。網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)層安全，不管是安全域劃分還是訪問(wèn)把握，都與網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)嚴(yán)密相關(guān)。網(wǎng)絡(luò)〔網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需要做到：統(tǒng)籌考慮信息系統(tǒng)系統(tǒng)安全等級(jí)、網(wǎng)絡(luò)建設(shè)規(guī)模、業(yè)務(wù)安全性需求等；準(zhǔn)確劃分安全域〔邊界〕侵檢測(cè)技術(shù)等。分成假設(shè)干個(gè)安全級(jí)別不同的子網(wǎng)，有效防止某一網(wǎng)段的安全問(wèn)題在整個(gè)網(wǎng)絡(luò)傳播［1對(duì)于一個(gè)網(wǎng)絡(luò)，假設(shè)某網(wǎng)段比另一個(gè)網(wǎng)段更受信任，或某網(wǎng)段安全性要求更高，就將它們劃分VLAN身份認(rèn)證技術(shù)及訪問(wèn)把握措施身份認(rèn)證技術(shù)即公共密鑰根底設(shè)施〔PKI，是由硬件、軟件、各種產(chǎn)品、過(guò)程、標(biāo)準(zhǔn)和保證發(fā)送方所發(fā)信息不被篡改；發(fā)送方無(wú)法否認(rèn)已發(fā)該信息的事實(shí)。PKI是一種遵循標(biāo)準(zhǔn)的密鑰治理平臺(tái)，它能夠?yàn)槿烤W(wǎng)絡(luò)應(yīng)用透亮地供給承受加密和數(shù)字簽名等密碼效勞所必需的密鑰和證書治理［2。構(gòu)建PKICA、證書庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端證書處理系統(tǒng)等五大系統(tǒng)。入侵檢測(cè)技術(shù)〔IDS〕及產(chǎn)品IDS通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中假設(shè)干關(guān)鍵節(jié)點(diǎn)收集信息并加以分析，監(jiān)控網(wǎng)絡(luò)中是否有違反安全防范體系的一個(gè)重要組成局部。防火墻技術(shù)及產(chǎn)品有效監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動(dòng)，防止惡意或非法訪問(wèn)，保證內(nèi)部網(wǎng)絡(luò)的安全。從網(wǎng)絡(luò)安全角度上講，它們屬于不同的網(wǎng)絡(luò)安全域。依據(jù)供給信息查詢等效勞的要求，為了把握對(duì)關(guān)鍵效勞器的授權(quán)訪問(wèn)，應(yīng)把效勞器集中起來(lái)劃分為一個(gè)特地的效勞器子網(wǎng)VLAN置防火墻策略來(lái)保護(hù)對(duì)它們的訪問(wèn)?；谏鲜鼍W(wǎng)絡(luò)層安全設(shè)計(jì)思路，承受核心效勞器區(qū)和用戶終端區(qū)的體系構(gòu)造，將兩個(gè)區(qū)域進(jìn)展規(guī)律隔離，嚴(yán)格保護(hù)核心效勞器資源。在網(wǎng)絡(luò)層，將核心效勞器群和終端用戶群劃分放置防火墻，實(shí)現(xiàn)不同安全域之間的安全防范。該技術(shù)體系對(duì)終端用戶實(shí)行嚴(yán)格的實(shí)名制。每位終端用戶配置一個(gè)用于身份認(rèn)證的USBKEY〔一個(gè)存放密鑰證書的加密設(shè)備，USBKEY里存放用戶唯一身份信息。在規(guī)劃安全技術(shù)效勞器時(shí)，考慮網(wǎng)絡(luò)狀況及安全需求，將安全技術(shù)效勞器放在用戶終端區(qū)的某一VLAN，便于對(duì)終端用戶進(jìn)展安全治理。承受其他？上述網(wǎng)絡(luò)技術(shù)體系具有如下優(yōu)點(diǎn)：以便于對(duì)核心效勞器資源進(jìn)展集中治理，同時(shí)又能有效地將未授權(quán)用戶拒之門外，確保信息的安全。的網(wǎng)絡(luò)模式，可通過(guò)增加認(rèn)證效勞器或安全代理效勞器數(shù)量予以解決。器資源，這樣即不受用戶空間位置的限制，又可以使用戶便利使用。平臺(tái)安全信息系統(tǒng)平臺(tái)安全包括操作系統(tǒng)安全和數(shù)據(jù)庫(kù)安全。效勞器包括數(shù)據(jù)庫(kù)效勞器、應(yīng)用效勞Server、Windows2023Server、Windows2023Server。網(wǎng)管終端、辦公終端可以承受通用圖形窗口操WindowsXP操作系統(tǒng)加固Windows加強(qiáng)，包括打補(bǔ)丁、文件系統(tǒng)、帳號(hào)治理、網(wǎng)絡(luò)及效勞、注冊(cè)表、共享、應(yīng)用軟件、審計(jì)/日志，其他〔包括緊急恢復(fù)、數(shù)字簽名等。NFS系統(tǒng)、應(yīng)用軟件、審計(jì)/日志，其他〔包括專用安全軟件、加密通信，及數(shù)字簽名等。數(shù)據(jù)庫(kù)加固〔OracleSQLServerSybaseMySQLInformix〕的補(bǔ)丁、賬號(hào)治理、口令強(qiáng)度和有效期檢查、遠(yuǎn)程登陸和遠(yuǎn)程效勞、存儲(chǔ)過(guò)程、審核層次、Unix平臺(tái)和Oracle應(yīng)用安全應(yīng)用層安全的目標(biāo)是建立集中的應(yīng)用程序認(rèn)證與授權(quán)機(jī)制，統(tǒng)一治理應(yīng)用系統(tǒng)用戶的合PKI〔SSO〕為用戶供給極大的便利，也能實(shí)現(xiàn)應(yīng)用系統(tǒng)內(nèi)容的集中呈現(xiàn)，保證應(yīng)用和數(shù)據(jù)安全［2。應(yīng)用安全問(wèn)題包括信息內(nèi)容保護(hù)和信息內(nèi)容使用治理。信息內(nèi)容保護(hù)業(yè)務(wù)規(guī)律層、數(shù)據(jù)效勞層等，實(shí)行軟件技術(shù)安全措施。同時(shí)，要考慮不同應(yīng)用層面和身份認(rèn)證和代理效勞器等交互。數(shù)據(jù)加密技術(shù)。通過(guò)承受確定的加密算法對(duì)信息數(shù)據(jù)進(jìn)展加密，可提高信息內(nèi)容的安全性。防病毒技術(shù)。病毒是系統(tǒng)最常見(jiàn)、威逼最大的安全隱患。對(duì)信息系統(tǒng)中關(guān)鍵的效勞器，治理。信息內(nèi)容治理應(yīng)做到對(duì)用戶接入網(wǎng)絡(luò)的把握和對(duì)信息資源訪問(wèn)和用戶權(quán)限進(jìn)展綁定。方面扮演重要角色。有助于用戶賬號(hào)和口令治理，削減因口令破解引起的風(fēng)險(xiǎn)。〔內(nèi)部網(wǎng)站〕作為企業(yè)訪問(wèn)集中入口。用戶可通過(guò)門戶系統(tǒng)訪問(wèn)集成化的各個(gè)應(yīng)用系統(tǒng)。建立數(shù)據(jù)備份和恢復(fù)機(jī)制用和數(shù)據(jù)。終端安全加強(qiáng)信息系統(tǒng)終端安全建設(shè)和治理應(yīng)當(dāng)做到如下幾點(diǎn)：突出防范重點(diǎn)安全。強(qiáng)化內(nèi)部審計(jì)計(jì)不但要進(jìn)展網(wǎng)絡(luò)級(jí)審計(jì)，更重要是對(duì)內(nèi)網(wǎng)里用戶進(jìn)展審計(jì)。技術(shù)和治理并重做到信息系統(tǒng)安全。運(yùn)行治理發(fā)揮應(yīng)有的作用。運(yùn)行治理方面的要點(diǎn)包括組織機(jī)構(gòu)