某某集团信息安全建设项目设计方案.docx

PAGE PAGE 10 某某集团信息安全建 设项目设计方案 1 、 概述 同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大 , 网络的飞速发展以及企业对计算机的依赖性逐渐增强， 随之而来的网络信息安全问题日益突出。 据美国FBI 统计，美国每年因网络信息安全问题所造成的经济损失高达 75 亿美元，而全球平均每20 秒钟就发生一起网络计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏给 企业造成的损失令人触目惊心。 网络防黑客、 防病毒等安全问题也必须引起相关企业、 事业单位的重视。 近两年来， 黑客攻击、 网络病毒等等已经屡见不鲜， 而且一次比一次破坏力大， 对网络信息安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。 由于利益的驱使， 针对信息系统的安全威胁越来越多， 为了有效防范和化解风险， 保证 ** 集团信息系统平稳运行和业务持续开展，须建立 ** 集团的信息安全保障体系，抵御外来和内在的信息安全威胁，提升整体信息安全管理水平和抗风险能力，以增强 ** 集团的信息安全风险防范能力。 根据 ** 集团网络信息系统的安全现状和基本安全构想，设计了以下网络信息安全建议方案，以此来保障 ** 集团网络信息系统的有效运维和信息资源的安全性、可用性和完整性 （ CIA 属性）。 本项目具体的网络信息安全目标即： 建立一个安全屏障，保护 ** 集团的网络信息系统不受来自网络开放所带来的网络信息安全问题的影响，和通信数据安全的非法破坏。 对内是要建立一个安全堡垒， 控制网络内部用户非授权通信和进行的一些有意的、无意的破坏活动，保证网络系统信息平台和应用系统平台的正常运行。 通过系统的信息安全体系规划和建设， 加强内部控制和内部管理， 降低运营风险， 建立高效、统一、运转协调的管理体制。 2 、 网络现状 网络现状 ** 集团已经配置了当务之急的网络系统设备和基本的技术防范设备，如路由器、交换机、防病毒软件等，如并制定了较为详细具体的管理制度，对管理人员也作了细致的分工； 系统与外部网络已经实现了逻辑隔离； 系统内部也划分了基本的安全域； 系统安全策略已基本形成并趋于健全。目前的拓扑示意图如下： 网络现状拓扑示意图 北京 北京 互联网 河南 分/ 子公司 分/ 子公司 分/ 子公司 3 、 信息安全分析 资产 在本方案中， ** 集团网络的相关资产包括： 有形资产： 有通信基础设备、 网络设备 （路由器、 交换机、 防火墙等） 、主机（含外购的操作系统、数据库管理系统、邮件服务器等）、外围设备、存储设备、数据介质等构 成的 IT 支撑系统； 无形资产： 业务系统，业务数据，数字化的业务相关信息与知识（以文档或程序的形式存在）。 本次 ** 集团网络信息安全建设的内容就在于保障上述有形及无形资产。 弱点 资产包括有形资产和无形资产两部分，相应的弱点主要包括： 通信基础设施、网络设备、主机、外围设备、存储设备、数据介质等“硬件”的物理安全弱点。主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等； 主机、可管理的网络设备等包含可设置的“软件”的资产的安全弱点（这些弱点的原因可能是软件缺陷，也可能是配置不当或者人员使用不当）； 保存在数据介质中的业务数据、数字化的业务相关信息与知识的安全弱点。 人的脆弱性：人的安全意识不足导致的各种被攻击可能，如接受未知数据，设置弱口令等。 安全技术的脆弱性：操作系统和数据库的安全脆弱性，系统配置的安全脆弱性， 访问控制机制的安全脆弱性，测评和认证的脆弱性。 运行的脆弱性： 监控系统的脆弱性， 无入侵检测设备， 响应和恢复机制的不完善。 威胁 威胁就是将会对资产造成不利影响的潜在的事件或行为，包括自然的、故意的以及偶然的情况。威胁至少包含以下属性：动机（自然威胁除外）、能力、影响方式等。可以说威胁是不可避免的，我们必须采取有效的措施，降低各种情况造成的威胁。 被动攻击产生的威胁 1、 网络和基础设施的被动攻击威胁 局域网 / 骨干网线路的窃听；监视没被保护的通信线路；破译弱保护的通信线路信息；信息流量分析； 利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破 坏，如截获用户的账号或密码以便对网络设备进行破坏； 机房和处理信息终端的电磁泄 露。 2、 区域边界 / 外部连接的被动攻击威胁 截取末受保护的网络信息；流量分析攻击；远程接入连接。 3、 计算环境的被动攻击威胁 获取鉴别信息和控制信息；获取明文或解密弱密文实施重放攻击。 4、 支持性基础设施的被动攻击威胁 机房和处理信息终端的信息电磁泄露；获取鉴别信息和控制信息。 主动攻击产生的威胁 1、 对网络和基础设施的主动攻击威胁 一是可用带宽的损失攻击， 如网络阻塞攻击、