信息系统安全建设方案

信息系统安全建设方案

网络安全是信息系统安全建设中至关重要的一环。针对本公司的网络规模和业务特点，需要建立完善的网络安全保障体系，包括网络拓扑结构设计、网络设备安全配置、网络流量监测和防火墙等措施。同时，还需要加强对内部网络和外部网络的隔离和访问控制，确保网络安全的可控性和可靠性。

3.3平台安全

平台安全主要指操作系统、数据库和中间件等平台的安全性能和安全管理。需要选用安全性能较高的操作系统和数据库，对平台进行加固和安全配置，并建立完善的安全管理制度和操作规范，确保平台安全的可靠性和稳定性。

3.4应用安全

应用安全是指对各类应用系统的安全保护和管理。需要对应用系统进行安全评估和漏洞扫描，及时修补漏洞和加强安全配置，同时建立完善的应用系统安全管理制度和操作规范，确保应用系统安全的可靠性和稳定性。

3.5用户终端安全

用户终端安全是指对用户终端设备的安全保护和管理。需要加强对用户终端设备的安全管理和监控，包括安装杀毒软件、

加密措施、访问控制等措施，确保用户终端设备的安全性和可控性。

4运行管理

信息系统安全建设的运行管理是保障信息系统安全的重要环节。需要建立完善的安全管理制度和操作规范，加强对信息系统的监控和日志记录，及时发现和处理安全事件和漏洞，保障信息系统的稳定性和安全性。同时，还需要加强对系统管理员的培训和管理，提高其安全意识和技能水平，确保信息系统安全建设的可持续发展。

5结论

本文从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。在建设过程中，需要充分考虑国家相关政策要求和本公司信息安全系统建设的内涵和特点，建立完善的安全保障体系，确保信息系统安全建设的可靠性和稳定性。

网络层安全与网络架构设计密切相关，包括安全域划分和访问控制。网络架构设计需要考虑信息系统安全等级、网络规模和业务安全性需求等因素，准确划分安全域，保护核心服务信息资源，有利于访问控制和应用分类授权管理，以及终端用户的安全管理。

网络安全域的合理划分和访问控制是网络层安全的重要问题。其中，物理隔离和逻辑隔离是常用的安全域划分方法。虚拟局域网（VLAN）技术可以将内部网络分成不同安全级别的子网，有效防止安全问题在整个网络传播。

身份认证技术是网络访问控制的重要手段，公共密钥基础设施（PKI）是一种密钥管理平台，可以为网络应用提供加密和数字签名等密码服务。PKI包括认证机关、证书库、密钥备份与恢复系统、证书作废处理系统和客户端证书处理系统等五大系统。

入侵检测技术（IDS）可以监控网络中的安全事件和入侵行为，并提供安全审计、监视、攻击识别和反攻击等功能。IDS是安全防御体系的重要组成部分，可以采取相应行动，如断开网络连接、记录攻击过程、跟踪攻击源和紧急告警等。

防火墙技术是网络安全的重要防御手段，可以控制网络流量和访问规则，保护网络安全域不受攻击和入侵。防火墙产品

包括软件和硬件设备，可以根据网络规模和安全需求进行选择和配置。

防火墙是网络信息安全的基础设施，通过包过滤或代理技术筛选数据，有效监控内部网和外部网之间的活动，防止非法或恶意访问，保证内部网络的安全。为了控制对关键服务器的授权访问，应该将服务器集中起来划分为一个专门的服务器子网，并设置防火墙策略来保护对它们的访问。

基于这种网络层安全设计思路，可以采用核心服务器区和用户终端区的体系结构，将两个区域进行逻辑隔离，严格保护核心服务器资源。在网络层，将核心服务器群和终端用户群划分在不同的VLAN中，VLAN之间通过交换机进行访问控制。在核心服务器区和用户终端区之间放置防火墙，实现不同安全域之间的安全防范。

为了提高终端用户的安全性，每个用户都配置一个用于身份认证的USBKEY，里面存放用户的唯一身份信息。安全技

术服务器放在用户终端区的某一VLAN，方便对终端用户进

行安全管理。

这种网络技术体系具有以下优点：首先，安全防范有效。通过将各类数据库服务器和应用服务器集中地存放于核心服务器区，以便于对核心服务器资源进行集中管理，同时又能有效地将未授权用户拒之门外，确保信息的安全。其次，技术体系结构可扩展。随着终端用户数量的增加，在实际使用中会产生访问并发瓶颈问题。但是，基于此体系结构的网络模式，可以通过增加认证服务器或安全代理服务器数量来解决这个问题。最后，用户使用灵活方便。终端用户只需要拥有合法有效的USBKEY，在任何联网的终端机器上都能访问核心服务器资源，这样即不受用户空间位置的限制，又可以使用户方便使用。

信息系统平台的安全性包括操作系统和数据库的安全。服务器包括数据库服务器、应用服务器、Web服务器、代理服

务器、Email服务器、防病毒服务器和域服务器等，应该采用

服务器版本的操作系统。常见的操作系统有：IBMAIX、SUNSolaris、HPUnix、WindowsNTServer、Windows2000 Server和Windows2003 Server。网管终端和办公终端可以采用

通用图形窗口操作系统，如Windows XP等。

1)操作系统的加固

Windows操作系统平台的加固可以通过修改安全配置、

增加安全机制等方法，合理进行安全性加强。这包括打补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志和其他（包括紧急恢复、数字签名等）。

Unix操作系统平台的加固包括：补丁、文件系统、配置

文件、帐号管理、网络及服务、NFS系统、应用软件、审计/

日志和其他（包括专用安全软件、加密通信和数字签名等）。

2)数据库的加固

数据库的加固包括：主流数据库系统（包括XXX、SQLServer、Sybase、MySQL和Informix）的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。

在平台选择上应该考虑建设规模、投资预算情况、平台安全性、平台稳定性、平台效率和业务应用需求等。在实际建设中，建议选择Unix平台和Oracle数据库管理系统。

应用层安全的目标是建立集中的应用程序认证与授权机制，统一管理应用系统用户的合法访问。建立统一的信息访问入口