:服务 I分类 I身份与信任管统一用户管理2功能模块数字证书服双因素认信息流控制完整性管理安全审计管理数据防泄漏电子文档加密统一安全事件管理 c虚拟终端网页防篡改日志审计系统网络防火墙厂、系统配置符合性管理操作行为审计应用防火墙桌面安全管理漏洞扫描系统异常流量过滤防病毒服务.V上网行为管理系统防病毒网关补丁管理■互联网审计系统 C入侵检测防御;基础设;I 施建设I网络安全域划数据数据备份中1.1 信息安全技术体系设计根据对塔里木油田信息安全技术需求的总结,参考 IBM 企业安全技术架构方法,提出塔里木油田安全技术架构框架。安全技术架构框架覆盖了塔里木油田未来 3 年所需要的安全技术功能服务组件。每个定义的安全技术功能服务组件,都能够形成独立安全服务平台,用于实现塔里木油田的安全技术目标。安全技术功能服务组件框架同时也是塔里木油田的安全技术功能服务组件库,便于塔里木油田的安全技术人员从组件库中选取所需的安全服务组件以,规范一致的方式来进行的安全技术解决方案设计。安全技术体系支撑访问控单点登统一授权服务一、端点准入控制终端安全虚拟终端桌面安全管理 c—.物理环境安全|数据中心机房c|数据备份中心网络安全域划统授权服漏洞扫描系统图 4-2 信息安全技术体系框架针对服务模块所实现的安全机制在数据安全、应用安全、主机系统安全、网络安全、物理环境安全方面有不同体现,展示如下:1.1.1 安全技术功能服务组件目录定义与安全架构方法模型中的五个安全域相对应,定义了五个安全技术功能服务组件目录,分别是身份与信任管理目录、访问控制目录、信息流控制目录、完整性管理目录和安全审计管理目录。以下是每个安全服务组件目录的定义。身份与信任管理目录该目录定义了身份和信任管理方面的功能服务组件,它们能够对企业范围内的用户身份的识别、验证进行管理控制,提供对用户身份和信任凭证生命周期的管理。在本目录中包含的安全服务组件有集中用户管理、统一用户目录、数字证书服务、双因素认证、电子签章服务。访问控制目录该目录定义了对资源(包括网络资源、平台系统资源、应用系统资源、数据资源等)进行访问控制的功能服务组件,它们负责企业范围内的资源访问的管理控制。在本目录中包含的安全服务组件有集中身份认证及单点登录、统一统一授安全技术体数据防泄数据安电子文档加数字证书服应用防火应用安网页防篡主机系统防病毒网网络安O入侵检测防异常流量计防病毒服上网行为管理...
