网络工程规划与设计案例教程课件_项目五_任务6_信息系统等级保护设计.ppt

项目五 花都县电子政务外网规划与设计 引入任务 电子政务网基本安全框架 电子政务外网安全保障体系 电子政务外网安全系统重点建设内容 网络安全防护系统 划定安全域，实施安全等级保护, 建设网络防护子系统、因特网出口隔离管理子系统等； 网络信任系统 按照国家网络信任体系建设的统一规划，在国家信息安全主管部门的指导下，建设顶层认证中心(根CA)和证书审核注册中心(RA)；构建外网网络信任系统 安全管理系统，建设中央和省两级安全管理中心, 制订安全标准规范, 建立安全管理和服务机制 电子政务外网安全域划分示意图 花都县政务外网信息系统等级保护设计 （1）政务外网等级保护安全整体规划方案 电子政务外网做国家政务网络系统的重要部门，承载着互联网访问窗口、对公众提供信息化交互服务。为确保后续的发展要求，此次建设总体的安全体系按照三级的规范来设计制定。 电子政务外网网络安全主要关注网络结构、网络边界以及网络设备自身安全等方面，具体的控制点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。 信息系统等级保护设计 按照《信息系统安全等级保护基本要求》中三级网络安全要求,电子政务外网安全保护整体解决方案见下表所示。 信息系统等级保护设计 信息系统等级保护设计 信息系统等级保护设计 信息系统等级保护设计 信息系统等级保护设计 信息系统等级保护设计 信息系统等级保护设计 信息系统等级保护设计 （2）WEB服务防篡改设计 电子政务数据中心政务外网通过WEB的方式，将重要的信息和数据进行公开发布，而管理中心特殊的政府职能，就决定了其WEB站点必将成为黑客关注的焦点。目前，而针对主页系统的攻击包括篡改、拒绝服务、恶意脚本、信息泄露等攻击，常见的防护手段是防火墙、入侵检测和防病毒来，在采纳上述三种技术之上，如果对主页内容进一步进行防护，那将大大降低攻击的成功率，进一步提升WEB应用的安全性，这种技术就是主页防篡改。 信息系统等级保护设计 信息系统等级保护设计 （2）WEB服务防篡改设计 通过WEB防火墙能有效进行webshell 的检测、过滤与侦测、监控 通过单一WAF设备支持多个网站管理员分别配置管理防护策略，并提供独立的攻击事件报警、分析日志与报表； WEB防火墙预置了攻击防御策略；设备上线，无需配置即可防御绝大多数攻击；同时也提供白名单功能，供高级客户使用，达到有效防止网页篡改。 信息系统等级保护设计 （3）内部访问控制及安全审计规划 要对各类系统产生的安全日志实现全面、有效的综合分析，就必须为安全管理员建立一个能够集中收集、管理、分析各种安全日志的安全审计管理中心，使网络管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为，为管理员提供一个方便、高效、直观的审计平台，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。 主要从接入安全管理、安全审计、日志审计三个方面进行设计。 信息系统等级保护设计 （3）内部访问控制及安全审计规划 接入安全管理： 电子政务外网信息系统中有许多核心服务器系统、网络系统、应用系统和数据库系统等，这些系统的日常维护和管理都需要相关人员包括第三方人员的操作，这些维护操作的对象是核心系统，操作人员权限相对都是超级权限，带来的安全风险更大，所以对这些核心系统的维护操作需要专业的安全内控系统进行必要的授权、管理和审计，防止未授权的访问和误操作，对核心系统的维护人员的所有行为进行记录和展现，以备审查。 信息系统等级保护设计 （3）内部访问控制及安全审计规划 安全审计： 电子政务外网网络中普通用户，网络中有大量的访问和数据包被传递，如何在这些访问中发现存在的安全隐患，除了利用入侵防御系统进行实时监测以外，还需要有一种手段，可以对访问过程进行还原在发生安全事故时，通过对访问过程的还原，一方面能有效发现系统中可能存在的安全隐患，另一方面还为安全事故的事后处理提供证据。 信息系统等级保护设计 （3）内部访问控制及安全审计规划 日志审计： 针对电子政务外网信息系统，网络中各种安全设备（防火墙、 IDS 系统、病毒检测等）、操作系统（包括 Windows 和 Unix ）、应用服务（ email、 www 、 ftp 、 DNS ）等都可产生大量的审计数据。这些日志数据详实地记录了系统和网络的运行事件，是安全审计的重要数据。这些日志信息对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用。但由于目前网络攻击的手段越来越多样，攻击方法越来越隐蔽，单纯依靠这些彼此孤立的日志记录和简单的局部分析已经无法满足网络安全监测的目标。 深化任务——技能训练 1.讲解技能训练任务单5 2.下发技能训练任务书5 3.学生按照技能训练任务书4的相关要求完成靳江市电子政务外网