信息安全保障方法.doc.doc

信息安全保障措施 一、信息安全保障措施 采用IBM服务器作主机 软件系统：操作系统：WINGDOWS2000SERVER数据库：Oralce 防火墙：诺顿防病毒软件 硬件系统： 主机位置及带宽：系统主机设在IDC主机房内，通过100M带宽光纤与CHINGANET骨干网相连接。 二、信息安全保密管理制度 建立全员安全意识，合理规划信息安全安全意识的强弱对于整个信息系统避免或尽量减小损失，乃至整个具备主动防御能力的信息安全体系的搭建，都具有重要的战略意义。我们首先建立起全员防护的环境。在意识上建立牢固的防患意识，并有足够的资金支持，形成企业内部的信息安全的共识与防御信息风险的基本常识，其次是选用安全性强的软硬件产品，构筑软硬协防的安全体系，确保安全应用。 建立信息采集（来源）、审核、发布管理制度 涉密信息，包括在对外交往与合作中经审查、批准与外部交换的秘密信息，不得在连有外网的计算机信息系统中存储、处理、传递。加强对计算机介质（软盘、磁带、光盘、磁卡等）的管理，对储存有秘密文件、资料的计算机等设备要有专人操作，采取必要的防范措施，严格对涉密存储介质的管理，建立规范的管理制度，存储有涉密内容的介质一律不得进入互联网络使用系统保密措施系统的安全、帐号及权限的管理对系统软件的管理在系统维护过程中，产生的记录：系统维护日志、系统维护卡片、详细维护记录 对涉密信息加密、解密及管理 建立数据库的信息保密管理制度 建立日志的跟踪、记录及查阅制度措施(1)在强、弱电安全方面，采用双路交流电供电形成电源冗余并配置UPS的设计方案保证强电安全，另外，采用避雷防电和放置屏蔽管道的方法来保证弱电线路(交换机、网线)的安全。? (2)在IP资源管理方面，采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。通过网管中心的管理软件，对该交换机远程实施Port?Security策略，将客户端网卡MAC地址固定绑在相应端口上。　 (3)在网络流量监测方面，使用网络监测软件对网络传输数据协议类型进行分类统计，查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向。? (4)在违规操作监控方面，对涉秘信息的处理，严禁“一机两用”事件的发生。即一台计算机同时联接内部网和互联网，还包括轮流上内部网和国际互联网的情形，因此我们对每个客户端安装了监控系统，实行电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等措施。? 管理服务器应用服务器安装的操作系统为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。? 服务器安全审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等，审核的对象是DC、Exchange?Server、SQL?Server、IIS等。? 在组策略实施时，使用软件限制策略，即哪些内部用户不能使用哪个软件，对操作用户实行分权限管理。服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件备份拟利用现有的ARC?Server?专用备份程序，制定合理的备份策略，每周日晚上做一次完全备份，然后周一到周五晚上做增量备份或差额备份；定期对服务器备份工作情况进行检查（数据库备份后面有论述）。 管理客户端(1)将客户端都加入到域中，客户端纳入管理员集中管理的范围。出于安全上的考虑，安装win2000系列客户端。? (2)只给用户以普通域用户的身份登录到域，因为普通域用户不属于本地Administrators和Power?Users组，这样就可以限制他们在本地计算机上安装大多数软件。当然为了便于用户工作，通过本地安全策略措施，授予基本操作权利。? (3)实现客户端操作系统补丁程序的自动安装。(4)实现客户端防病毒软件的自动更新。(5)利用SMS对客户端进行不定期监控，发现不正常情况及时处理。 数据备份与冗余考虑到综合因素，采用如下数据备份和冗余方案： (1)在网络中心的Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端Agent软件。? (2)在服务器上设置在线备份策略，每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle数据库、凌晨3点自动备份邮件，主要用于系统层恢复后的数据加载。? (3)采用本地硬件RAID?5对硬件级磁盘故障进行保护。 数据加密考虑到网络上非认证用户可能试图旁路系统的情况，如物理地“取走”数据库，在通信线路上窃听截获。对这样的威胁采取了有效方法：数据加密。即以加密格式存储和传输敏感数据。发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，用解密密钥将密文解密，恢复为明文。