网络安全技术与管理体系规划汇编.docx

目录第1章安全体系建设方案41.1信息安全需求分析41.1.1网络安全现状41.1.2安全风险分析网络层面的安全风险主机层面的安全风险应用层面的安全风险数据层面的安全风险81.1.3安全需求分析安全技术需求安全管理需求111.2信息安全建设详细方案设计111.2.1信息安全总体设计总体设计原则总体安全目标安全技术防护体系设计总体部署架构131.2.2网站安全防护体系设计网站防火墙网页防篡改 WEB扫描网站安全监测网站抗拒绝服务攻击231.2.3攻击检测预警体系设计实现网站入侵防护实现病毒防护预警2实现漏洞检测预警291.2.4边界访问控制体系设计301.2.5终端管控安全体系设计331.2.6身份鉴别认证体系设计381.2.7行为审计跟踪体系设计391.2.8数据防泄漏安全体系设计411.2.9数据库安全防护体系设计4数据库防火墙4数据库审计4数据库防泄漏47第2章信息安全管理体系规划492.1信息安全管理体系492.2组织安全机构502.3人员安全502.3.1员工信息安全手册502.3.2员工安全管理办法512.3.3第三方安全管理办法522.3.4培训及教育管理办法532.3.5 IT员工保密协议532.4安全管理制度542.5系统运维安全552.5.1机房管理552.5.2介质管理562.5.3帐号/密码管理572.5.4防病毒管理582.5.5计算机终端安全管理592.5.6信息资产管理592.5.7安全监控及审计管理602.5.8网络管理612.5.9安全事件管理612.5.10安全现状评估与持续改进622.5.11事件预警与应急响应机制63第3章数据存储平台建设方案653.1需求分析653.1.1用户现状分析6数据安全性方向6业务连续性方向653.1.2建设目标663.1.3建设原则673.2系统方案设计683.2.1系统结构设计693.2.2配置模块与功能介绍6模块配置6模块功能介绍693.2.3数据备份与恢复建议70备份策略定义7备份策略设计7数据量计算7数据备份过程7数据恢复过程733.2.4灾难恢复设计7灾难恢复制度7灾难演习制度7灾难恢复763.2.5备份系统管理建议7备份系统管理的角色7备份策略制定的角色7修改备份策略的过程7恢复的管理783.3方案部署793.3.1存储备份一体机设备的部署793.3.2代理模块部署803.3.3应用容灾部署803.3.4备份策略部署813.4方案优势81第4章分期建设建议844.1 一期要加强基础性安全防护844.2 二期强化安全管理能力建设844.3 三期强化安全与业务的融合85第5章安全设备及服务投入汇总86安全体系建设方案信息安全需求分析网络安全现状某政府单位WEB门户系统，内网安全防护尤其数据安全部分薄弱，目前仅部署有防火墙设备。安全风险分析网络层面的安全风险网络层是网络入侵者进攻信息系统的渠道和通路，许多安全问题都集中体现在网络的安全方面。网络层面临的安全风险主要体现在如下两个方面：网络设备自身存在的安全风险某政府单位中部署的网络设备，如路由器、交换机等，其所采用的网络操作系统都存在固有的或配置、使用上的安全弱点，一旦被暴露，可能导致网络设备自身的不安全。例如对网络设备登录用户的身份鉴别机制过于简单，对用户的登录和访问行为缺少控制和审计，对特权用户没有进行权限分离等。此外，有些网络设备还可能存在系统开发时留下的“后门”（back door），容易造成设备被他人非法操控。网络内部威胁造成的安全风险内部威胁是由于网络内部管理不善，由内部用户（包括合法用户或非法接入用户）造成，分为恶意攻击和非恶意威胁两种。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。非恶意威胁则是由于合法用户的无意行为造成的，他们并非故意要破坏信息和系统，但由于误操作、经验不足、抵挡不住诱惑而导致的一些网络滥用行为，对信息系统正常运行造成了影响。据权威数据表明，有80％以上的攻击是来自内部攻击和内外勾结的攻击，由于内部用户具有对信息系统的合法访问权限，因此内部攻击成功的概率要远远高于来自于外部网络的攻击，造成的后果也严重的多。例如：内部用户故意泄露网络结构或合法账户信息，勾结外部攻击者实施网络攻击；内网用户通过Sniffer等嗅探程序在网络内部抓包，获得系统用户名和口令等关键信息或其他机密数据，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；内网用户通过扫描软件获取其他用户系统或服务器的配置信息和安全漏洞，并利用这些信息对整个网络或其他系统进行破坏；如果没有对局域网终端接入和网络地址的使用进行适当限制，对内部用户的网络访问行为没有采取有效的监控措施，很容易造成网络资源滥用、信息泄露、系统破坏，轻则降低网络工作效率，重则导致业务停顿，甚至造成严重的经济损失和社会影响。此外，对用户