信息化网络安全防护实施方案.docxVIP

信息化网络安全防护实施方案 信息化网络安全防护实施方案 PAGE 信息化网络安全防护实施方案 信息化网络安全防护实施方案 随着信息化及宽带网络建设的发展，各种具有跨区域远程数据信息交流\共享的企业\终端\分站等越来越多，并且这种运营模式也逐渐成为现代社会网络情况的主流需求。企业总部和各地的分公司，数据中心和各二级、三级分中心，然后直接到终端到用户，需要实时地进行信息传输和资源共享，越来越多地依赖于网络。 但是由于互联网的开放性和通信协议原始设计的局限性影响，很多信息采用明文或低安全方式传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。 目前网络信息化的安全威胁主要来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁，造成服务器被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。四是来自内部数据外泄的威胁，造成公司内部数据被恶意传播。 一、网络安全防护 1、防火墙技术和网络隔离技术 防火墙是设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络的访问，及管理内部用户访问外界网络的系统。 网络隔离是指根据数据的保密要求，将内部网络划分为若千个子网。确保把有害的攻击隔离，在可信的网络之外和保?可信网络内部信息不泄漏的前提下，完成网间数据的安全交换。网络隔离的形式可分为：物理隔离、协议隔离和VPN隔离等。 2. 网络安全漏洞扫描 网络攻击、网络人侵等安全事故的频发，多数是由于系统存在安全漏洞导致的。网络安全扫描实际上是根据模拟网络攻击的方式,提前获取可能会被攻击的薄弱环节，为系统安全提供可信的分析报告，发现未知漏洞并且及时修补已发现的漏洞。 3. 网络入侵检测 为了有效的弥补防火墙在某些方面的弱点和不足，入侵检测系统作为一种积极主动的安全防护工具，为网络安全提供内部攻击、外部攻击和误操作的实时和动态检测，在计算机网络和系统收到危害之前进行报餐、拦截和响应。 人侵检测可以分为基于主机、基于网络和混合型入侵检测系统三类。混合型是基于主机和基于网络的入侵检测系统的结合，为前两者提供了互补，还提供了人侵检测的集中管理，采用这种技术能实现对人侵行为的全方位监测。 二、服务器安全防护 1、在服务器上安装防病毒软件，对计算机病毒进行有效查杀，并对杀毒软件进行定期更新； 2、服务器系统软件建立双击热备机制，一旦主服务器系统遇到故障或受到攻击导致不能正常运行，保证备用服务器系统能及时替代主服务器系统提供服务； 3、服务器提供集中式权限管理，针对不同的应用系统、终端、操作人员，由服务器系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，并且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由服务器系统管理定期检查操作人员权限； 4、服务器平时要处于锁定状态，并保管好登陆密码；远程连接设置超级用户及密码，并绑定IP及MAC地址，以防他人登陆； ?三、网络与数据安全保障措施 1、服务器网络防护措施 （1）服务器安装专业的安全软件，提供基于网络、数据库、客户端、应用程序的入侵检测服务，确保服务器系统的高度安全； （2）定期对服务器系统进行安全扫描和分析，排查安全隐患，做到防患于未然。 2、软件数据安全防护措施 （1）对软件系统用户设置明细权限，不能随意导出系统中的数据，确保数据不被随意拷出； （2）对于不同公司操作人员若没有工作上的重叠，设置此类用户不可见其他公司数据信息，只查看及参与自己公司账套的操作； （3）主服务器必须每天做一次数据全备份，并热备到备用服务器上，保证确保每天的备份数据可以追溯； （4）对客户端用户设置权限，禁止引出系统中数据，并对操作使用人员电脑修改注册表，禁止电脑文件拷到U盘中； （5）对于操作日志信息，要保存至少一周记录，定期导出存档，保证IP地址及计算机名称完整，若出现差错便于追究责任。 四、从管理层面进行规范 1. 设立专门的信息技术管理机构、落实信息管理人员的责任 （1）成立专门负责计算机、服务器及网络等设备的管理机构，明确各信息管理人员岗位分工和岗位职责，制定相应规章制度。 （2）加强对机房的监管，严格按照机房巡检要求，认真做好机房巡查工作，及时处理出现的故障，保障机房安全稳定运行。 （3）严格执行计算机房人员进出登记制度，进人机房人员登记具体时间、姓名及具体事由。 （4）各类信息管理人员根