信息安全保障措施(一).docxVIP

信息安全保障措施（一） 一：信息安全保障措施采用浪潮英信服务器作主机 1、软件系统： 操作系统：WINGDOWS2000SERVER 数据库：MSSQLServer2000 防火墙：天融信、诺顿防病毒软件2、硬件系统：主机位置及带宽：系 统主机设在IDC主机房内，通过100M带宽光纤与CHINGANETt干网 相连接。二：信息安全保密管理制度 1.建立全员安全意识，合理规划 信息安全 安全意识的强弱对于整个信息系统避免或尽量减小损失，乃至整个具 备主动防御能力的信息安全体系的搭建，都具有重要的战略意义。我 们首先建立起全员防护的环境。在意识上建立牢固的防患意识，并有 足够的资金支持，形成企业内部的信息安全的共识与防御信息风险的 基本常识，其次是选用安全性强的软硬件产品，构筑软硬协防的安全 体系，确保安全应用。 建立信息采集（来源）、审核、发布管理制度并结合关键字过滤系统， 保障信息安全。采编部按照采编制度和相关互联网规定，严格把关。 涉密信息，包括在对外交往与合作中经审查、批准与外部交换的秘密 信息，不得在连有外网的计算机信息系统中存储、处理、传递。加强 对计算机介质（软盘、磁带、光盘、磁卡等）的管理，对储存有秘密 文件、资料的计算机等设备要有专人操作，采取必要的防范措施，严 格对涉密存储介质的管理，建立规范的管理制度，存储有涉密内容的 介质一律不得进入互联网络使用 建立系统保密措施，严格实行安全管理。系统的安全、帐号及权限的 管理，责任到人；对系统软件的管理；在系统维护过程中，产生的记 录：系统维护日志、系统维护卡片、详细维护记录。 对涉密信息实行加密、解密及管理，确保数据传输的安全。 建立数据库的信息保密管理制度，保障数据库安全。数据库由专人管 理并负责。 建立日志的跟踪、记录及查阅制度，及时发现和解决安全漏洞。三： 技术保障措施1加强内部网络管理、监测违规 在强、弱电安全方面，采用双路交流电供电形成电源冗余并配置 UPS 的设计方案保证强电安全，另外，采用避雷防电和放置屏蔽管道的方 法来保证弱电线路(交换机、网线)的安全。 在IP资源管理方面，采用IP+MAC捆绑的技术手段防止用户随意更 改IP地址和随意更换交换机上的端口。通过网管中心的管理软件，对 该交换机远程实施 PortSecurity策略，将客户端网卡 MAC地址固定绑 在相应端口上。 在网络流量监测方面，使用网络监测软件对网络传输数据协议类型 进行分类统计，查看数据、视频、语音等各种应用的利用带宽，防止 频繁进行大文件的传输，甚至发现病毒的转移及传播方向。 在违规操作监控方面，对涉秘信息的处理，严禁 』机两用”事件的 发生。即一台计算机同时联接内部网和互联网，还包括轮流上内部网 和国际互联网的情形，因此我们对每个客户端安装了监控系统，实行 电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理 定位等措施。 管理服务器 应用服务器安装的操作系统为 Windows系列，服务器的管理包括服务器 安全审核、组策略实施、服务器的备份策略。 服务器安全审核的范围包括安全漏洞检查、日志分析、补丁安装情况 检查等，审核的对象是 DC、ExchangeServer SQLServer IIS等。 在组策略实施时，使用软件限制策略，即哪些内部用户不能使用哪个 软件，对操作用户实行分权限管理。 服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件 备份拟利用现有的ARCServe专用备份程序，制定合理的备份策略，每 周日晚上做一次完全备份，然后周一到周五晚上做增量备份或差额备 份；定期对服务器备份工作情况进行检查(数据库备份后面有论述) 管理客户端 将客户端都加入到域中，客户端纳入管理员集中管理的范围。出于 安全上的考虑，安装 win2000系列客户端。 只给用户以普通域用户的身份登录到域，因为普通域用户不属于本 地Administrators和PowerUsers组，这样就可以限制他们在本地计算机 上安装大多数软件。当然为了便于用户工作，通过本地安全策略措施， 授予基本操作权利。 实现客户端操作系统补丁程序的白动安装。 实现客户端防病毒软件的白动更新。 利用SMS对客户端进行不定期监控，发现不正常情况及时处理。 数据备份与冗余 考虑到综合因素，采用如下数据备份和冗余方案: 在网络中心的异地机房建立单机+磁盘阵列的硬件环境，作为容灾异 地在线备份点，安装VERITAS勺服务器端软件。 在网络中心的 SQLServer服务器、LotusNoteMail服务器、Oracle服 务器以及文件服务器上分别安装 VERITAS勺相关客户端Agent软件。 在服务器上设置在线备份策略，每天凌晨1点白动备份SQLB据库、 凌晨2点白动备份Oracle数据库、凌晨3点白动备份邮件，