信息安全技术体系设计-IBM.docxVIP

信息安全技术体系设计 根据对塔里木油田信息安全技术需求的总结，参考IBM企业安全技术架构方法，提出塔里木油田安全技术架构框架。安全技术架构框架覆盖了塔里木油田未来3年所需要的安全技术功能服务组件。 每个定义的安全技术功能服务组件，都能够形成独立安全服务平台，用于实现塔里木油田的安全技术目标。 安全技术功能服务组件框架同时也是塔里木油田的安全技术功能服务组件库，便于塔里木油田的安全技术人员从组件库中选取所需的安全服务组件，以规范一致的方式来进行的安全技术解决方案设计。 图 42 信息安全技术体系框架 针对服务模块所实现的安全机制在数据安全、应用安全、主机系统安全、网络安全、物理环境安全方面有不同体现，展示如下： 安全技术功能服务组件目录定义 与安全架构方法模型中的五个安全域相对应，定义了五个安全技术功能服务组件目录，分别是身份与信任管理目录、访问控制目录、信息流控制目录、完整性管理目录和安全审计管理目录。以下是每个安全服务组件目录的定义。 身份与信任管理目录 该目录定义了身份和信任管理方面的功能服务组件，它们能够对企业范围内的用户身份的识别、验证进行管理控制，提供对用户身份和信任凭证生命周期的管理。在本目录中包含的安全服务组件有集中用户管理、统一用户目录、数字证书服务、双因素认证、电子签章服务。 访问控制目录 该目录定义了对IT资源（包括网络资源、平台系统资源、应用系统资源、数据资源等）进行访问控制的功能服务组件，它们负责企业范围内的IT资源访问的管理控制。在本目录中包含的安全服务组件有集中身份认证及单点登录、统一统一授权服务、终端准入控制、远程访问控制、视频监控、物理门禁。 信息流控制目录 该目录定义了对网络信息流进行安全控制的功能服务组件，它们负责对企业范围内的信息流进行把关控制，保证信息流的机密保护、完整准确和合理可达。在本目录中包含的安全服务组件有数据防泄漏、入侵检测防护、信息流内容检测过滤、防火墙、DDOS防护（拒绝服务防护）。 完整性管理目录 该目录定义了保障IT实体（包括网络、平台系统、应用系统、数据等）完整性的功能服务组件，它们负责对企业范围内IT实体正确、完整、可靠运行提供管理控制。在本目录中包含的安全服务组件有电子文档加密服务、网页防篡改策略符合性管理、终端桌面管理、防病毒服务、补丁管理、可用性保障服务。 安全审计管理目录 该目录定义了对安全审计管理的功能服务组件，它们负责对企业范围内的IT安全事件进行记录和监控，保证IT安全事件的可追溯和及时响应。在本目录中包含的安全服务组件有安全事件统一监控管理、日志审计系统、操作行为审计、安全符合性检查和安全弱点管理。 安全技术功能服务组件定义 身份与信任管理目录 身份与信任管理目录包含以下的安全技术功能服务组件。 每个安全技术功能服务组件的说明如下。 集中用户管理服务 名称 版本 归属 集中用户管理服务 1.0 身份与信任管理 描述 集中用户管理服务能够为企业用户提供集中统一的用户账号管理服务，管理企业用户使用各种企业IT系统时的用户账号。本服务有利于降低用户管理的成本，有利于强化用户账号安全策略实施。 关键服务 集中用户管理服务应该为塔里木油田信息系统提供以下的管理服务： 组织管理，实现对塔里木油田组织结构的管理，使得企业能够按照自身情况以部门或者地域进行组织结构的定义，管理内部用户在塔里木油田的组织结构的分布； 账号管理，实现对塔里木油田所有内部用户自然人身份的主账号的管理，包括创建，激活、中止，废除、修改和删除，以及主账号与用户在目标IT系统的账号的关联同步管理； 用户审批管理，实现对塔里木油田用户账号建立、变动的审批管理； 角色管理，定义和管理在塔里木油田企业用户的工作岗位/角色，提高企业用户管理的效率和灵活性。通过角色定义，可以将某类角色和不同目标系统上的账号进行对应，实现基于角色的企业用户管理； 基于角色的访问管理：通过角色定义，可以将某类角色和目标系统上的资源进行对应，支持基于角色的访问授权。 当前实施情况 目前，塔里木油田虽然建立了统一授权与单点登录系统，但仅覆盖部分应用系统，且未覆盖主机系统及数据库层面。部分应用系统在账号管理方面采用了竖井式的建设，未使用统一的企业用户目录，独立管理自身的账号。 统一用户目录 名称 版本 归属 统一用户目录 1.0 身份与信任管理 描述 统一用户目录能够为企业用户该提供集中的用户基础数据信息管理和存储服务。 关键服务 统一用户目录服务应该为塔里木油田信息系统提供以下的管理服务： 企业用户目录：实现将塔里木油田所有用户信息存储在企业用户目录，企业用户目录设计需要反映出塔里木油田的组织结构；一般来讲，企业用户目录的设计应该具备高效处理的扁平结构。其中企业用户目录中对用户的标识可以为员工工号、邮件地址、HR系统中员