监狱信息化整体解决讲述.ppt

* 信息安全方针策略是对信息和信息处理设施进行管理、保护和分配的原则。 信息安全组织管理是信息安全管理的主要方面，人既可以是安全的最可靠的防线，也可能是组织安全的最大威胁，为此要先建立组织机构，明确责任、权利和义务，其次要考虑如何对人的行为进行制约。 信息安全技术管理是信息安全的基础手段，要从物理安全、网络安全、系统安全、应用安全等角度入手。 信息安全管理是一个动态的过程，不仅要关注软硬件静态信息资产的安全，还要关注流程类动态资产的安全，保证其运行过程不存在风险。 * * 信息安全策略是对信息和信息处理设施进行管理、保护和分配的原则。 组织管理，首先建立组织机构，明确责任、权利和义务，其次要考虑如何对人的行为进行制约。 运维管理在下面运维管理部分在详细讲。下面就从技术管理的角度讲一下安全风险。 一、物理层安全 网络物理安全是整个网络系统安全的前提。物理安全的风险主要是： 1、地震、水灾、火灾、雷电等环境事故造成整个系统毁灭。 2、电源故障造成设备断电以至操作系统引导失败或数据信息丢失。 3、物理访问控制方面：设备被盗、被毁造成数据丢失或信息泄露。 4、设备的安全与冗余，负载均衡与双机热备等。 5、通信线路及设备电磁辐射可能造成数据信息被窃取或偷阅。 6、报警系统设计缺陷可能造成原本可以防止但实际发生了的事故。 7、信息安全部门应对网络的场地安全、机房环境、建筑物安全、设备可靠性、辐射控制与防泄露、通讯线路安全性、动力安全性、灾难预防与恢复措施等进行分析和风险评估，找出存在的问题。例如：信息网络中心有无门禁系统，进出机房有无登陆记录表；桌面计算机系统有无物理访问控制手段；设备线路、通信线路是否有冗余，防护措施是否完善；是否符合国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》等。 二、网络层安全 网络层的安全是整个网络系统安全的核心和灵魂，其安全风险主要有以下几个方面。 1、网络设备及服务器的无授权访问。 2、网络层边界防护：网络内部不同安全区域之间的非法访问和攻击，应用服务核心与网络交换核心和外部线路接入层之间的边界防护。 3、入侵检测手段：来源于外网穿过防火墙的一些非法攻击，内部的非法攻击，需要有监控的措施和手段。 4、病毒防范措施：网关设备、服务器、邮件和客户端防病毒等。 5、审计手段：对重要交换设备、路由设备、服务器、操作系统、数据库、安全设备日志的集中行为审计，对网络出入口的网络审计。 6、脆弱性分析：先于黑客发现自己网络或者系统有问题。 7、网络传输泄密分析：物理备份链路的单点故障，接入外网而关键业务数据无加密措施无法保证数据传输的机密性、完整性、源发性。 8、网络结构不合理分析：网络设备配置是否合理、网络结构有没有纵深、有无直接接入互联网等安全隐患。 针对网络层边界防护措施、入侵检测手段、脆弱性分析、网络病毒防范、安全审计措施、网络传输泄密和网络结构是否合理等方面，要逐个采取应对措施。通过调整网络设备配置和连接情况，使得网络边界优化、网络架构清晰、具有高扩展性和灵活性、同时又解决了安全接入和网络纵深等安全隐患，构成具体策略与具体方案。 三、系统层安全 主要是主机系统、数据库系统，存在的主要风险是内部或外部人员可以通过一些技术手段取得系统超级用户的权限，引起数据和应用被破坏。目前常见的漏洞或隐患主要有： 允许空连接（低风险）。、 管理员/用户弱口令（高风险）。 Sql server sa 用户口令为空（高风险）。 Rpc dcom 漏洞（高风险）。 Webdav 漏洞（高风险）。 Windows messenger 远程溢出漏洞（高风险）。 其他漏洞，比如SQL Server，Exchange Server 等的漏洞。 通过部署脆弱性分析系统（漏洞扫描系统），发现网络安全问题。对全网的主机系统进行细致的安全检查监测，依据分析评估结果进行加固。 四、应用层安全 指各个应用系统的安全隐患和风险，主要有以下几个方面。 1、数据传输的安全性：公网上传输的数据被第三方窃取。 2、数据的完整性：指数据在传输过程中不被篡改。 3、身份验证：在相互通信时（交换敏感信息时）确认对方的真实身份。 4、不可抵赖性：数据传输时必须带有自身特有、无法复制的信息，发生纠纷时可以对证。 实现信息系统应用层安全的策略和技术主要有以下几个方面： 1、身份认证技术。 2、数据加密技术。 3、数字签名和数字证书技术。 4、安全内容检查等技术。 安全这部分，从各个层面都有不同的防范策略，对应也都有成熟产品，结合自身应用和经费选择相应产品确保系统和数据安全。下面咱们就着重从应用安全的角度来看一下如何确保系统安全。 * * 信息安全保障体系的内容主要针对应用系