信息安全整体架构设计.pdfVIP

信息安全整体架构设计 1. 信息安全目标 信息安全涉及到信息的保密性(Confidentiality）、完整性（Integrity)、可用性谢谢阅读 （Availability ）。 基于以上的需求分析，我们认为网络系统可以实现以下安全目标：感谢阅读 ➢ 保护网络系统的可用性 ➢ 保护网络系统服务的连续性 ➢ 防范网络资源的非法访问及非授权访问 ➢ 防范入侵者的恶意攻击与破坏 ➢ 保护信息通过网上传输过程中的机密性、完整性 ➢ 防范病毒的侵害 ➢ 实现网络的安全管理 2. 信息安全保障体系 2.1 信息安全保障体系基本框架 通过人、管理和技术手段三大要素，构成动态的信息与网络安全保障体系框谢谢阅读 架 WPDRR 模型,实现系统的安全保障.WPDRR 是指：预警（Warning) 、保护 （Protection）、检测（Detection)、反应（Reaction）、恢复（Recovery）,五 个环节具有时间关系和动态闭环反馈关系。感谢阅读 安全保障是综合的、相互关联的，不仅仅是技术问题，而是人、管理和技术 三大要素的结合。精品文档放心下载 支持系统安全的技术也不是单一的技术，它包括多个方面的内容。在整体的 安全策略的控制和指导下，综合运用防护工具（如:防火墙、VPN 加密等手段),精品文 档放心下载 利用检测工具(如:安全评估、入侵检测等系统）了解和评估系统的安全状态,通过适 当的反应将系统调整到 “最高安全”和 “最低风险”的状态，并通过备份容错精品文档 放心下载 手段来保证系统在受到破坏后的迅速恢复，通过监控系统来实现对非法网络使 用的追查。谢谢阅读 信息安全体系基本框架示意图 预警：利用远程安全评估系统提供的模拟攻击技术来检查系统存在的、可 能被利用的脆弱环节，收集和测试网络与信息的安全风险所在，并以直观的方 式进行报告，提供解决方案的建议，在经过分析后，了解网络的风险变化趋势 和严重风险点,从而有效降低网络的总体风险,保护关键业务和数据。谢谢阅读 保护：保护通常是通过采用成熟的信息安全技术及方法来实现网络与信息 的安全,主要有防火墙、授权、加密、认证等.精品文档放心下载 检测：通过检测和监控网络以及系统,来发现新的威胁和弱点,强制执行安 全策略。在这个过程中采用入侵检测、恶意代码过滤等等这样一些技术,形成动 态检测的制度，建立报告协调机制，提高检测的实时性.精品文档放心下载 反应：在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把 系统调整到安全状态.为此需要相应的报警、跟踪、处理系统，其中处理包括封 堵、隔离、报告等子系统。感谢阅读 恢复：灾难恢复系统是当网络、数据、服务受到黑客攻击并遭到破坏或影 响后，通过必要的技术手段（如容错、冗余、备份、替换、修复等），在尽可 能短的时间内使系统恢复正常。感谢阅读 2.2 安全体系结构技术模型 对安全的需求是任何单一安全技术都无法解决的，应当选择适合的安全体系精品文档放心下载 结构模型，信息和网络安全保障体系由安全服务、协议层次和系统单元三个层面谢谢阅读 组成，且每个层面都包含安全管理的内容。 安全体系结构技术模型示意图 2.3 安全区域策略 根据安全区域的划分，主管部门应制定针对性的安全策略.精品文档放心下载 1、定期对关键区域进行审计评估，建立安全风险基线 2、对于关键区域安装分布式入侵检测系统; 3、部署防病毒系统防止恶意脚本、木马和病毒 4、建立备份和灾难恢复的系统； 5、建立单点登录系统，进行统一的授权、认证； 6、配置网络设备防预拒绝服务攻击； 7、定期对关键区域进行安全漏洞扫描和网络审计，并针对扫描结果进行系精品文档放心下载 统加固。 2.4 统一配置和管理防病毒系统 主管部门应当建立整体病毒防御策略，以实现统一的配置和管理。网络防病谢谢阅读 毒的策略应满足全面性、易用性、实时性和可扩充性等方面的要求。精品文档放心下载 主管部门使用的防病毒系统应提供集中的管理机制,建立病毒系统管理中精品文档放心下载 心，监控各个防毒产品的防杀状态，病毒码及杀毒引