信息安全保障方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全保障措施

一、信息安全保障措施

采用IBM服务器作主机

1、软件系统:

操作系统:WINGDOWS2000SERVER

数据库:Oralce

防火墙:诺顿防病毒软件

2、硬件系统:

主机位置及带宽:系统主机设在IDC主机房内,通过100M带宽光纤与CHINGANET 骨干网相连接。

二、信息安全保密管理制度

1.建立全员安全意识,合理规划信息安全

安全意识的强弱对于整个信息系统避免或尽量减小损失,乃至整个具备主动防御能力的信息安全体系的搭建,都具有重要的战略意义。我们首先建立起全员防护的环境。在意

识上建立牢固的防患意识,并有足够的资金支持,形成企业内部的信息安全的共识与防

御信息风险的基本常识,其次是选用安全性强的软硬件产品,构筑软硬协防的安全体系,确保安全应用。

2.建立信息采集(来源)、审核、发布管理制度并结合关键字过滤系统,保障信息安全。采

编部按照采编制度和相关互联网规定,严格把关。

3.涉密信息,包括在对外交往与合作中经审查、批准与外部交换的秘密信息,不得在连有

外网的计算机信息系统中存储、处理、传递。加强对计算机介质(软盘、磁带、光盘、

磁卡等)的管理,对储存有秘密文件、资料的计算机等设备要有专人操作,采取必要的

防范措施,严格对涉密存储介质的管理,建立规范的管理制度,存储有涉密内容的介质

一律不得进入互联网络使用

4.建立系统保密措施,严格实行安全管理。系统的安全、帐号及权限的管理,责任到人;

对系统软件的管理;在系统维护过程中,产生的记录:系统维护日志、系统维护卡片、

详细维护记录。

5.对涉密信息实行加密、解密及管理,确保数据传输的安全。

6.建立数据库的信息保密管理制度,保障数据库安全。数据库由专人管理并负责。

7.建立日志的跟踪、记录及查阅制度,及时发现和解决安全漏洞。

三、技术保障措施

1.加强内部网络管理、监测违规

(1)在强、弱电安全方面,采用双路交流电供电形成电源冗余并配置UPS的设计方案保

证强电安全,另外,采用避雷防电和放置屏蔽管道的方法来保证弱电线路(交换机、网线)的安全。

(2)在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意

更换交换机上的端口。通过网管中心的管理软件,对该交换机远程实施Port Security 策略,将客户端网卡MAC地址固定绑在相应端口上。

(3)在网络流量监测方面,使用网络监测软件对网络传输数据协议类型进行分类统计,

查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现

病毒的转移及传播方向。

(4)在违规操作监控方面,对涉秘信息的处理,严禁“一机两用”事件的发生。即一台计

算机同时联接内部网和互联网,还包括轮流上内部网和国际互联网的情形,因此我们

对每个客户端安装了监控系统,实行电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等措施。

2.管理服务器

应用服务器安装的操作系统为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。

服务器安全审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等,审核的对

象是DC、Exchange Server、SQL Server、IIS等。

在组策略实施时,使用软件限制策略,即哪些内部用户不能使用哪个软件,对操作用户

实行分权限管理。

服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的ARCServer专用备份程序,制定合理的备份策略,每周日晚上做一次完全备份,然

后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况进行检查(数据

库备份后面有论述)。

3.管理客户端

(1)将客户端都加入到域中,客户端纳入管理员集中管理的范围。出于安全上的考虑,

安装win2000系列客户端。

(2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地

Administrators和Power Users组,这样就可以限制他们在本地计算机上安装大多数

软件。当然为了便于用户工作,通过本地安全策略措施,授予基本操作权利。

(3)实现客户端操作系统补丁程序的自动安装。

(4)实现客户端防病毒软件的自动更新。

(5)利用SMS对客户端进行不定期监控,发现不正常情况及时处理。

4.数据备份与冗余

考虑到综合因素,采用如下数据备份和冗余方案:

(1)在网络中心的Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端

Agent软件。

(2)在服务器上设置在线备份策略,每天凌晨1点自动备份SQL数据库、凌晨2点自动

备份Oracle数据库、凌晨3点自动备份邮件,主要用于系统层恢复后的数据加载。

(3)采用本地硬件RAID5对硬件级磁盘故障进行保护。

5.数据加密

考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信

线路上窃听截获。对这样的威胁采取了有效方法:数据加密。即以加密格式存储和传输

敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方

在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得

到无法理解的密文,从而对信息起到保密作用。

6.病毒防治措施

我们对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病

毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒

代码的升级要迅速有效。所以,综合以上各种因素,我们选择了SYMANTEC公司的Norton Antivirus企业版。在实施过程中,本单位以一台服务器作为中央控制一级服

务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。

正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同

步更新。

7.补丁更新与软件分发

网络安全防御不是简单的防病毒或者防火墙。只有通过提高网络整体系统安全,才能让

相关文档
最新文档