系统安全体1/13安全策安全制度管理数据安全:数据备份、数据库安全策略V'应用安全:应用系统安全、PKI/CA认'^证/系统安全:操作系统安全策略、防病毒软件网络安全:网络边界安全、防火物理安全:环境建设、设备冗安全管理:安全管理制度、人员安全管,理、系统建设管理、系统运维管理V1.安全设计1.1.安全体系总体设计安全系统建设的重点是,确保信息的安全,确保业务应用过程的安全防护、身份识别和管理。安全系统建设的任务,需从技术和管理两个方面进行安全系统的建设,基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。本项目安全体系结构如下图所示。3.7.1-1安全体系结构图1.2.技术目标从安全体系上考虑,实现多种安全技术或措施的有机整合,形成一个整体、动态、实时、互动的有机防护体系。具体包括:安全标准、规应用安全系统安全2/131)本地计算机安全:主机系统文件、主机系统的配置、数据结构、业务原始数据等的保护。2)网络基础设施安全:网络系统安全配置、网络系统的非法进入和传输数据的非法窃取和盗用。3)边界安全:横向网络接入边界,内部局域网不同安全域或子网边界的保护。4)业务应用安全:业务系统的安全主要是针对应用层部分。应用软件的设计是与其业务应用模式分不开的,同时也是建立在网络、主机和数据库系统基础之上的,因此业务部分的软件分发、用户管理、权限管理、终端设备管理需要充分利用相关的安全技术和良好的安全管理机制。1.3.管理目标安全建设管理目标就是根据覆盖信息系统生命周期的各阶段管理域来建立完善的信息安全管理体系,从而在实现信息能够充分共享的基础上,保障信息及其他资产,保证业务的持续性并使业务的损失最小化,具体的目标如下:1)定期对局域网网络设备及服务器设备进行安全隐患的检查,确保所有运行的网络设备和服务器的操作系统安装了最新补丁或修正程序,确保所有网络设备及服务器设备的配置安全。2)提供全面风险评估、安全加固、安全通告、日常安全维护、安全应急响应及安全培训服务。3)对已有的安全制度,进行更加全面的补充和完善。4)应明确需要定期修订的安全管理制度,并指定负责人或负责部门负责制度的日常维护。3/135)应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。6)应通过第三方工程监理控制项目的实施过程。1.4.安全技术方案1.4.1.网络与边界安全网络安全是指通过各种手段保证网络免受攻击或是非法访问,以保证网络的正常运行和传输的安全。1、防火墙通过防火墙进行缺省路由巡径、内部私有地址转换和公众服务静态地址映射,开启2-3层安全防护功能,完成Internet基础安全接入,实现互联网接入域的合法接入控制、内容过滤、传输安全需求。2、安全隔离网闸布置安全隔离网闸,实现网间有效的数据交换。3、网络基础设施的可用性本项目政务网核心交换机、政务网边界防火墙采用主备冗余设计,以保证业务信息的可靠传输。1.4.2.主机系统安全1、操作系统安全策略及时检测、发现操作系统存在的安全漏洞;对发现的操作系统安全漏洞做出及时、正确的处理;及时给系统打补丁,系统内部的相互调用不对外公开;通过配备安全扫描系统对操作系统进行安全扫描,发现其中存在的安全漏洞,并有针对性地对网络设备进行重新配置或升级。4/132、网络防病毒建立完善的病毒防护管理体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理。通过统一的管理服务器管理所有的病毒防护产品,包括防病毒、防病毒网关、防垃圾邮件、防木马程序、主机入侵防护。对网络内的应用服务器进行全面防护,从而切断病毒在服务器内的寄生和传播。对所有的客户机进行全面防护,彻底消除病毒对客户机的破坏,保证全网安全。1.4.3.应用安全1、应用系统访问控制控制不同用户在不同数据、不同业务环节上的查询、添加、修改、删除的权限,提供面向URL的控制能力,提供面向Service的控制能力,提供面向IP的控制能力,提供Sessio...
