信息系统安全建设方案.docxVIP

信息系统安全建设方案 信息系统平安建立方案架构设计是网络层设计主要内容，网络架构的合理性挺直关系到网络层平安。〔网络架构设计需要做到：统筹考虑信息系统系统平安等级、网络建立规模、业务平安性需求等；精确划分平安域〔边界〕；网络架构应有利于核心效劳信息资源的爱护；网络架构应有利于访问掌握和应用分类受权管理；网络架构应有利于终端用户的平安管理。〕网络层平安主要涉及网络平安域的合理划分问题，其中最重要的是进展访问掌握。网络平安域划分包括物理隔离、规律隔离等，访问掌握技术包括防火墙技术、身份认证技术、入侵检测技术等。(1) 虚拟局域网〔VLAN〕技术及规律隔离措施规律隔离主要是利用VLAN技术将内部网络分成假设干个平安级别不同的子网，有效防止某一网段的平安问题在整个网络传播［1］。因此，对于一个网络，假设某网段比另一个网段更受信任，或某网段平安性要求更高，就将它们划分在不同的VLAN中，可限制部分网络平安问题对全网造成影响。(2) 身份认证技术及访问掌握措施身份认证技术即公共密钥根底设施〔PKI〕，是由硬件、软件、各种产品、过程、标准和人构成的一体化的构造。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。PKI是一种遵循标准的密钥管理平台，它可以为全部网络应用透亮地供应采纳加密和数字签名等密码效劳所必需的密钥和证书管理［2］。构建PKI将围绕认证机关〔CA〕、证书库、密钥备份及复原系统、证书作废处理系统、客户端证书处理系统等五大系统。(3) 入侵检测技术〔IDS〕及产品IDS通过从计算机网络系统中假设干关键节点搜集信息并加以分析，监控网络中是否有违背平安策略的行为或者是否存在入侵行为。它能供应平安审计、监视、攻击识别和反攻击等多项功能，并实行相应的行动，如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是平安防备体系的一个重要组成局部。(4) 防火墙技术及产品防火墙是实现网络信息平安的最根本设施，采纳包过滤或代理技术使数据有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的平安。从网络平安角度上讲，它们属于不同的网络平安域。依据供应信息查询等效劳的要求，为了掌握对关键效劳器的受权访问，应把效劳器集中起来划分为一个特地的效劳器子网〔VLAN〕，设置防火墙策略来爱护对它们的访问。基于上述网络层平安设计思路，采纳核心效劳器区和用户终端区的体系构造，将两个区域进展规律隔离，严格爱护核心效劳器资源。在网络层，将核心效劳器群和终端用户群划分在不同的VLAN中，VLAN之间通过交换机进展访问掌握。在核心效劳器区和用户终端区之间放置防火墙，实现不同平安域之间的平安防范。该技术体系对终端用户实行严格的实名制。每位终端用户配置一个用于身份认证的USB KEY〔一个存放密钥证书的加密设备〕，USB KEY里存放用户唯一身份信息。在规划平安技术效劳器时，考虑网络状况及平安需求，将平安技术效劳器放在用户终端区的某一VLAN，便于对终端用户进展平安管理。采纳其他？上述网络技术体系具有如下优点：(1) 平安防范有效。通过将各类数据库效劳器和应用效劳器集中地存放于核心效劳器区，以便于对核心效劳器资源进展集中管理，同时又能有效地将未受权用户拒之门外，确保信息的平安。(2) 技术体系构造可扩展。身份认证效劳器和代理效劳器，在整个信息系统中处于关键地位。随着终端用户数量的增加，在实际用法中会产生访问并发瓶颈问题。基于此体系构造的网络形式，可通过增加认证效劳器或平安代理效劳器数量予以解决。(3) 用户用法敏捷便利。在该体系构造中，终端用户是通过USB KEY去猎取系统认证和代理效劳的。终端用户只要拥有合法有效的USB KEY，在任何联网的终端机器上都能访问核心效劳器资源，这样即不受用户空间位置的限制，又可以用法户便利用法。3.3 平台平安信息系统平台平安包括操作系统平安和数据库平安。效劳器包括数据库效劳器、应用效劳器、Web效劳器、代理效劳器、Email效劳器、防病毒效劳器、域效劳器等，应采纳效劳器版本的操作系统。典型的操作系统有：IBM AIX、SUN Solaris、HP Unix、Windows NT Server、Windows2000 Server、Windows2003 Server。网管终端、办公终端可以采纳通用图形窗口操作系统，如Windows XP等。(1) 操作系统加固Windows操作系统平台加固通过修改平安配置、增加平安机制等方法，合理进展平安性加强，包括打补丁、文件系统、帐号管理、网络及效劳、注册表、共享、应用软件、审计/日志，其他〔包括紧急复原、数字签名等〕。Unix操作系统平台加固包括：补丁、文