系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)方案
評(píng)論: 更新日期:2018年10月10日
隨著信息化的高速發(fā)展�����,信息安全已成為網(wǎng)絡(luò)信息系統(tǒng)能否正常運(yùn)行所必須面對(duì)的問(wèn)題�����,它貫穿于網(wǎng)絡(luò)信息系統(tǒng)的整個(gè)生命周期�����。是保障系統(tǒng)安全的重要手段�����,通過(guò)安全檢測(cè)�����,我們可以提前發(fā)現(xiàn)系統(tǒng)漏洞�����,分析安全風(fēng)險(xiǎn)�����,及時(shí)采取安全措施�����。
??????? 1物理安全保護(hù)措施
??????? 物理安全是信息系統(tǒng)安全中的基礎(chǔ)�����,如果無(wú)法保證實(shí)體設(shè)備的安全�����,就會(huì)使計(jì)算機(jī)設(shè)備遭到破壞或是被不法分子入侵,計(jì)算機(jī)系統(tǒng)中的物理安全�����,首先機(jī)房采用“門(mén)禁系統(tǒng)”配合“監(jiān)控系統(tǒng)”等控制手段來(lái)控制機(jī)房出入記錄有效的控制接觸計(jì)算機(jī)系統(tǒng)的人員�����,由專人管理周記錄�����、月總結(jié)�����。確保計(jì)算機(jī)系統(tǒng)物理環(huán)境的安全�����;其次采取設(shè)備線路準(zhǔn)確標(biāo)記�����、計(jì)算機(jī)設(shè)備周維護(hù)�����、月巡檢以及機(jī)房動(dòng)力環(huán)境監(jiān)測(cè)短信報(bào)警等安全措施�����,確保計(jì)算機(jī)設(shè)備的安全�����。另外�����,通信線路是網(wǎng)絡(luò)信息系統(tǒng)正常運(yùn)行的信息管道�����,物理安全還包括通信線路實(shí)體的安全�����。檢測(cè)網(wǎng)絡(luò)信息系統(tǒng)物理安全的主要方法采用現(xiàn)場(chǎng)檢查�����、方案審查等。
??????? 2網(wǎng)絡(luò)安全保護(hù)措施
??????? 網(wǎng)絡(luò)的開(kāi)放性帶來(lái)了方便的可用性�����,但也使其更容易受到外界的攻擊和威脅�����。入侵者可以利用系統(tǒng)中的安全漏洞�����,采用惡意程序來(lái)攻擊網(wǎng)絡(luò)�����,篡改�����、竊取網(wǎng)絡(luò)信息�����,從而導(dǎo)致網(wǎng)絡(luò)癱瘓、系統(tǒng)停止運(yùn)行�����。在網(wǎng)絡(luò)維護(hù)過(guò)程中�����,我們采用深信服多級(jí)防設(shè)備嚴(yán)格的與網(wǎng)絡(luò)攻防行為對(duì)抗�����,保障網(wǎng)絡(luò)安全�����。
??????? 2.1網(wǎng)絡(luò)結(jié)構(gòu)安全保護(hù)措施
??????? 網(wǎng)絡(luò)信息系統(tǒng)為了保證內(nèi)部網(wǎng)絡(luò)拓?fù)湫畔⒉槐环欠ǐ@得�����,在不對(duì)性能造成影響的前提下�����,采用VPN虛擬專用網(wǎng)絡(luò)并以多重身份認(rèn)證系統(tǒng)隔離內(nèi)部網(wǎng)絡(luò)�����;在網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部采用使用加密設(shè)備以及劃分VLAN的方法來(lái)防止非法竊聽(tīng)�����;采取監(jiān)控�����、隔離的措施來(lái)保護(hù)重要的服務(wù)器�����。
??????? 2.2網(wǎng)絡(luò)系統(tǒng)設(shè)備安全保護(hù)措施
??????? 網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)設(shè)備配備防火墻�����、入侵檢測(cè)系統(tǒng)�����、以及行為審計(jì)系統(tǒng)等�����。
??????? 1)防火墻,防火墻的抗攻擊能力特別強(qiáng)�����,它是不同網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全域信息交換的唯一出入口�����,功能包括:網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾功能�����、訪問(wèn)控制功能�����、網(wǎng)絡(luò)訪問(wèn)行為功能以及安全審計(jì)�����、安全告警功能�����;
??????? 2)入侵檢測(cè)系統(tǒng)�����,入侵檢測(cè)系統(tǒng)可以它可以協(xié)助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊�����,主動(dòng)保護(hù)自己免受攻擊�����,使信息安全基礎(chǔ)的結(jié)構(gòu)更加的完整�����。入侵檢測(cè)系統(tǒng)功能包括:實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上的數(shù)據(jù)流�����,分析處理和過(guò)濾生成的審計(jì)數(shù)據(jù)�����;聯(lián)動(dòng)功能和自動(dòng)響應(yīng)功能是否正常�����;身份認(rèn)識(shí)功能是否合理有效,什么權(quán)限的授權(quán)人員才有資格設(shè)置入侵管理規(guī)則�����,才能查閱�����、統(tǒng)計(jì)�����、管理以及維護(hù)日志記錄�����,其他人不能任意的更改或刪除日志記錄�����;
??????? 3)病毒防范系統(tǒng)�����。病毒防范系統(tǒng)功能包括:病毒防范功能�����、病毒特征庫(kù)更新功能以及審計(jì)數(shù)據(jù)生成與管理�����。病毒防范系統(tǒng)安全檢測(cè)包括:能控制病毒侵入途徑�����,控制并阻斷病毒在系統(tǒng)內(nèi)傳播�����;系統(tǒng)能在病毒侵入時(shí)應(yīng)及時(shí)的隔離�����、清除病毒�����,在日志上詳細(xì)記錄病毒時(shí)間的發(fā)生及處理過(guò)程�����;病毒特征庫(kù)定期更新,定期統(tǒng)計(jì)和分析病毒的相關(guān)日志記錄�����,及時(shí)的對(duì)病毒防范策略進(jìn)行調(diào)整�����;
??????? 4)漏洞掃描儀�����。漏洞掃描儀可定期掃描系統(tǒng)�����,發(fā)現(xiàn)系統(tǒng)漏洞�����,防范于未然�����。系統(tǒng)漏洞信息具有雙面性�����,維護(hù)人員盡早發(fā)現(xiàn)它可采取措施填補(bǔ)�����,不法份子也可利用它搞破壞�����。只有授權(quán)人員才能對(duì)漏洞掃描器進(jìn)行查閱�����、管理�����、統(tǒng)計(jì)�����、維護(hù)掃描報(bào)告�����,只有授權(quán)人員才能制定掃描規(guī)則,比如說(shuō)定義攻擊類(lèi)型�����、標(biāo)準(zhǔn)服務(wù)類(lèi)型以及IP地址�����,授權(quán)使用者要定期的更新掃描特征數(shù)據(jù)庫(kù)�����,并及時(shí)的調(diào)整安全策略�����,更新反病毒數(shù)據(jù)庫(kù)或設(shè)置更高的保護(hù)級(jí)別�����。
??????? 5)安全審計(jì)系統(tǒng)�����。審計(jì)數(shù)據(jù)是系統(tǒng)根據(jù)設(shè)置的審計(jì)規(guī)則產(chǎn)生的�����,審計(jì)系統(tǒng)功能包括:審計(jì)查閱功能�����、選擇性審計(jì)功能�����。只有授權(quán)人才有權(quán)查閱審計(jì)系統(tǒng)的日志記錄�����;采取加密保護(hù)措施來(lái)確保日志的安全�����,任何人不得隨意更改日志記錄�����。???
??????? 2.3網(wǎng)絡(luò)系統(tǒng)可用性保護(hù)措施
??????? 網(wǎng)絡(luò)系統(tǒng)的可用性是網(wǎng)絡(luò)信息系統(tǒng)安全要求的重要組成部分�����,保證網(wǎng)絡(luò)系統(tǒng)安全的技術(shù)手段有:網(wǎng)絡(luò)冗余、技術(shù)方案驗(yàn)證�����、網(wǎng)絡(luò)管理和監(jiān)控等方面�����。其中�����,網(wǎng)絡(luò)冗余是解決網(wǎng)絡(luò)故障的重要措施�����,備份重要的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路�����,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀態(tài)�����,一旦網(wǎng)絡(luò)出現(xiàn)故障或是信息流量突變可以及時(shí)的切換分配�����,確保網(wǎng)絡(luò)的正常運(yùn)行�����。我們適當(dāng)?shù)牟捎镁W(wǎng)絡(luò)監(jiān)控系統(tǒng)�����、網(wǎng)絡(luò)管理系統(tǒng)這些網(wǎng)絡(luò)管理和監(jiān)控手段�����,運(yùn)用網(wǎng)絡(luò)故障發(fā)現(xiàn)�����、網(wǎng)絡(luò)異常報(bào)警等功能來(lái)確保網(wǎng)絡(luò)運(yùn)行的安全�����。才用深信服全網(wǎng)監(jiān)測(cè)設(shè)備實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)。
??????? 3運(yùn)行安全措施
??????? 信息系統(tǒng)的安全與運(yùn)行密不可分�����,網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行安全主要包括以下幾個(gè)方面的內(nèi)容:
??????? 3.1備份與恢復(fù)
??????? 為了使數(shù)據(jù)保持一致和完整�����,我們對(duì)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行備份�����,以此來(lái)確保整體網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全�����。備份和恢復(fù)的檢測(cè)方案是:
??????? 1)如果系統(tǒng)的硬件或存儲(chǔ)媒體發(fā)生故障�����,使用系統(tǒng)自帶的備份功能�����,進(jìn)行單機(jī)備份�����,然后將數(shù)據(jù)存儲(chǔ)到其他存儲(chǔ)設(shè)備;
??????? 2)在建立系統(tǒng)時(shí)要進(jìn)行設(shè)備備份冗余備份�����。局域網(wǎng)內(nèi)存在備份服務(wù)器�����,備份的數(shù)據(jù)保存在本地和異地�����;為了確保備份的高效性�����,要采用磁帶機(jī)加存儲(chǔ)的方法共同執(zhí)行的方法�����;采用RAID等技術(shù)�����,確保備份的容錯(cuò)性�����。
??????? 3.2惡意代碼
??????? 惡意代碼是指沒(méi)有作用卻會(huì)帶來(lái)危險(xiǎn)的代碼�����。惡意代碼本身是程序�����,通過(guò)執(zhí)行可能會(huì)利用網(wǎng)絡(luò)信息系統(tǒng)的漏洞來(lái)攻擊和破壞系統(tǒng)�����。處理惡意代碼我們采用:系統(tǒng)應(yīng)審查所有從外界獲取的文件�����;在一定范圍內(nèi)建立防惡意代碼體系�����,具有防惡意代碼工具�����,在造成損失之前徹底清除惡意代碼。
??????? 3.3入侵檢測(cè)
??????? 入侵檢測(cè)可以實(shí)時(shí)保護(hù)和防范網(wǎng)絡(luò)惡意攻擊以及誤操作�����,它能夠提前攔截和響應(yīng)系統(tǒng)的入侵�����。
??????? 1)可分析處理和過(guò)濾安全事件報(bào)警記錄�����,全方位的反映系統(tǒng)的安全情況�����;
??????? 2)支持用戶根據(jù)系統(tǒng)安全需求定義用戶規(guī)則模板�����;
??????? 3)能實(shí)時(shí)監(jiān)測(cè)系統(tǒng)活動(dòng)�����,尋找敏感或可疑的系統(tǒng)活動(dòng)�����;
??????? 4)和防火墻機(jī)及其他網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)�����,實(shí)施阻斷連接�����。
??????? 3.4應(yīng)急響應(yīng)
??????? 應(yīng)急響應(yīng)的目的是在發(fā)生緊急事件或是安全事件時(shí)�����,確保系統(tǒng)不中斷或緊急恢復(fù)�����。
??????? 應(yīng)急響應(yīng)方案應(yīng)包括的措施有:
??????? 1)與多家網(wǎng)絡(luò)公司合作能夠在發(fā)生安全事件或是緊急事件時(shí)及時(shí)的做出影響分析�����,并組成應(yīng)急小組�����,在法定時(shí)間內(nèi)對(duì)發(fā)生的事件做出響應(yīng);
??????? 2)具有完善的應(yīng)急計(jì)劃和多種切實(shí)可行的備選方案�����,有由外地和本地專家組成的應(yīng)急小組�����,在法定時(shí)間內(nèi)對(duì)發(fā)生的事件做出響應(yīng)�����。
??????? 3.5系統(tǒng)維護(hù)
??????? 維護(hù)的目的是確保系統(tǒng)的正常運(yùn)行�����,減少安全風(fēng)險(xiǎn)�����,不同信息系統(tǒng)的安全要求不同�����,其維護(hù)安全的要求也會(huì)不同�����,對(duì)所有系統(tǒng)進(jìn)行一周一次的一般性的檢測(cè)和維護(hù)�����。對(duì)特殊的設(shè)備進(jìn)行日巡檢維護(hù)�����。
??????? 4系統(tǒng)軟件安全措施
??????? 軟件安全是網(wǎng)絡(luò)信息安全應(yīng)考慮的一部分�����。軟件安全是指確保計(jì)算機(jī)軟件的完整性以及不被破壞或是泄漏�����。軟件的完整性指的是系統(tǒng)應(yīng)用軟件�����、數(shù)據(jù)庫(kù)管理軟件等相關(guān)資料的完整性�����,系統(tǒng)軟件在保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行中發(fā)揮著重要的作用。
??????? 4.1系統(tǒng)軟件安全措施與驗(yàn)收
??????? 定期檢查軟件�����,對(duì)軟件進(jìn)行有效管理�����,及時(shí)的發(fā)現(xiàn)安全隱患�����,針對(duì)存在的問(wèn)題來(lái)適當(dāng)?shù)母倪M(jìn)現(xiàn)行的軟件�����,以保證軟件的安全�����。
??????? 在正式對(duì)軟件進(jìn)行加載之前�����,先檢測(cè)軟件�����,確定軟件和其他應(yīng)用軟件之間是否兼容�����,對(duì)檢測(cè)結(jié)果的真實(shí)性�����、準(zhǔn)確性負(fù)責(zé)�����,對(duì)檢測(cè)軟件的結(jié)果應(yīng)做好完整的記錄�����。
??????? 4.2軟件安全措施
??????? 在計(jì)算機(jī)中安裝兩份軟件�����,一份運(yùn)行,一份備份�����,當(dāng)運(yùn)行的軟件出現(xiàn)問(wèn)題影響到系統(tǒng)的正常運(yùn)行時(shí)�����,就運(yùn)行備份軟件�����。比較這兩個(gè)軟件�����,如果備份軟件也在運(yùn)行中出現(xiàn)問(wèn)題�����,則說(shuō)明該軟件存在造成網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)故障的隱患�����,面臨著安全的威脅�����;如果備份軟件在運(yùn)行過(guò)程中是正常的�����,就將備份軟件復(fù)制一份�����,再進(jìn)行相同的檢測(cè)�����。
???????
