信息系统安全等级保护建设培训.ppt

需求：国土内网数据库服务器群的异地备份需求 方案：从数据库服务器群上行交换机以专线的形式级联到异地机房，以建立 异地备份平台，保障数据安全 需求：国土外网WEB服务器群不需要随时通过网闸读取内网数据库服务器数 据，减小干路流量压力，提升网络冗余空间。 方案：在WEB服务器群旁挂专用于发布的数据库服务器，WEB服务器的数据 来源指向发布数据库服务器，同时配置网闸使得发布服务器以一定的触 发条件同步内网数据库服务器数据，减小干路流量压力，提升整体网络 冗余空间 网站三级等保产品部署案例实战 2 异地备份 WEB服务器群数据交换 * 第三十页，共五十六页。 需求：国土外网网上交易平台身份认证机制，建立良好的可控的网上交易安 全接口。 方案：在国土外网旁挂VPN网关以及专用的CA认证服务器，形成完善的PKI认证体系，全面提高用户网络的安全等级，在建立良好与可控的网上 交易安全接口的同时，对交易人所持之KEY也能良好的进行扩容管理 网站三级等保产品部署案例实战 2 网上信息交互身份认证 * 第三十一页，共五十六页。 网站三级等保产品部署案例实战 2 来自交互的风险 3月22日晚，一家名叫“乌云”的网站漏洞报告平台发布公告，称在线票务服务公司携程网存在支付漏洞，在携程网用信用卡支付，顾客姓名、身份证信息 、银行卡卡号、CVV2码等信息都会被保存在携程网本地服务器，且有可能被泄露，给客户信用卡盗刷埋下隐患。3月23日携程网为漏洞信息致歉，称事发后两小时内已经修复漏洞，发现93名顾客信息疑似泄露，并承诺若用户出现损失将全额赔付。 * 第三十二页，共五十六页。 携程将用于处理用户支付的服务接口开启了调试功能，使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，有可能被黑客所读取 网站三级等保产品部署案例实战 2 来自交互的风险 * 第三十三页，共五十六页。 需求：国土外网WEB服务器群的网络攻击防范体系。 方案：在国土外网WEB服务器群上行交换机旁挂WEB防火墙（WAF），以反 向代理模式实现网页防篡改、防SQL注入攻击、防跨站脚本攻击、抗拒 绝服务攻击等网络攻击防范手段，全面提WEB服务器群抗网络攻击行为 的安全等级。 网站三级等保产品部署案例实战 2 网上交易平台WEB防范 * 第三十四页，共五十六页。 需求：国土外网为多ISP运营商接入模式，需要对来自每个运营商的不同路由 访问请求进行流量疏导、链路均衡，同时还需要降低多ISP运营商高并发 访问量出现之时的非设备处理能力造成的互联网访问拥塞。 方案：部署应用交付系统，智能地均衡流量并达到最优的利用率；为不同级 别的应用实现差异化服务，实现有效合理的带宽控制与管理，解决多ISP 运营商高并发访问量出现时的数据丢包、TCP延迟等问题。 网站三级等保产品部署案例实战 2 多ISP运营商链路的流量负载及访问优化 * 第三十五页，共五十六页。 需求：对国土内网、外网所有网络设备进行整体性管理 方案：建立基于安全域的专用运维管理区（逻辑），直接级联至（内网、外 网）核心交换机，以保障对国土（内网、外网）网络设备进行整体性管 理 网站三级等保产品部署案例实战 2 运维管理区（内网、外网） * 第三十六页，共五十六页。 * 第三十七页，共五十六页。 电子政务外网网站三级等保特殊要求 网站三级等保产品部署案例实战 三级等保信任体系的维持与纠错 1 2 3 * 第三十八页，共五十六页。 三级等保信任体系的维持与纠错 3 安全短板 技术进步 管理失位 信息的安全就像一个‘木桶’，整体的安全性取决于最薄弱的一个环节（短板），否则即使其它方面做得再强，但在某一方面留下一个漏洞，也可能被他人利用，导致信息的失窃 攻击技术在不断的发展和进化，而安全产品的更新永远落后于攻击技术的发展，仅仅使用安全产品已经不能提供全面的信息安全，必须与业内的安全专家紧密的沟通，才能对抗新的安全威胁 即便再好的安全设备、系统和技术，若没有有效地贯穿于信息流通与信息活动中的安全管理工作，也是无法真正实现信息安全的 如何维持与纠错？ * 第三十九页，共五十六页。 三级等保信任体系的维持与纠错 3 1 2 通过咨询制定核心安全管理流程，建立有效的信息安全体系、完善信息安全架构 通过培训来增强客户的安全意识，减少和避免人为因素造成的安全事件的发生 通过渗透测试、代码审核等服务帮助客户了解自身（系统）的安全性 3 通过安全评估了解安全现状与所面临的威胁，获得从业务面到技术面的整合需求 4 通过安全加固来持续增强信息系统自身的安全性 通过应急响应及时有效地处理重大的安全事件，最大限度的减少安全事件的影响 6 借助安