信息系统安全建设方案.docVIP

信息系统平安建设方案

摘要从信息系统平安建设规划设计、技术体系以及运行管理等三个方面对信息系统平安建设技术要点进行了分析。

关键词信息系统平安系统建设

1建设目标

当前，随着信息技术的快速开展及本公司信息系统建设的不断深化，公司运行及业务的开展越来越依赖信息网络，公司的信息平安问题日益突出，平安建设任务更加紧迫。

由于本公司的业务特殊性，我们必须设计并建设一个技术先进、平安高效、可靠可控的信息平安系统，在实现网络系统平安的根底上，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。

2设计要点

主要考虑两个要点：一是尽可能满足国家关于信息系统平安方面的有关政策要求，二是切合本公司信息平安系统建设内涵及特点。

国家在信息系统建设方面，比拟强调信息平安等级保护和平安风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展，这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。

信息系统等级划分需按照国家关于计算机信息系统等级划分指南，结合本本公司实际情况进行信息系统定级，实行分级管理。

信息平安风险管理表达在信息平安保障体系的技术、组织和管理等方面。依据等级保护的思想和适度平安的原那么，平衡本钱与效益，合理部署和利用信息平安的信任体系、监控体系和应急处理等重要根底设施，确定适宜的平安技术措施，从而确保信息平安保障能力建设的成效。

3建设内容

信息系统的平安建设包括三方面：一是技术平安体系建设；二是管理平安体系建设；三是运行保障平安体系建设。其中，技术平安体系设计和建设是关键和重点。

按照信息系统的层次划分，信息系统平安建设技术体系包括物理层平安、网络平安、平台平安、应用平安以及用户终端平安等内容。

3.1物理层平安

物理层的平安设计应从三个方面考虑：环境平安、设备平安、线路平安。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境平安和设备平安，国家都有相关标准和实施要求，可以按照相关要求具体开展建设。

3.2网络平安

对于网络层平安，不管是平安域划分还是访问控制，都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容，网络架构的合理性直接关系到网络层平安。〔网络架构设计需要做到：统筹考虑信息系统系统平安等级、网络建设规模、业务平安性需求等；准确划分平安域〔边界〕；网络架构应有利于核心效劳信息资源的保护；网络架构应有利于访问控制和应用分类授权管理；网络架构应有利于终端用户的平安管理。〕

网络层平安主要涉及网络平安域的合理划分问题，其中最重要的是进行访问控制。网络平安域划分包括物理隔离、逻辑隔离等，访问控制技术包括防火墙技术、身份认证技术、入侵检测技术等。

(1)虚拟局域网〔VLAN〕技术及逻辑隔离措施逻辑隔离主要是利用VLAN技术将内部网络分成假设干个平安级别不同的子网，有效防止某一网段的平安问题在整个网络传播［1］。因此，对于一个网络，假设某网段比另一个网段更受信任，或某网段平安性要求更高，就将它们划分在不同的VLAN中，可限制局部网络平安问题对全网造成影响。

(2)身份认证技术及访问控制措施

身份认证技术即公共密钥根底设施〔PKI〕，是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码效劳所必需的密钥和证书管理［2］。构建PKI将围绕认证机关〔CA〕、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等五大系统。

(3)入侵检测技术〔IDS〕及产品

IDS通过从计算机网络系统中假设干关键节点收集信息并加以分析，监控网络中是否有违反平安策略的行为或者是否存在入侵行为。它能提供平安审计、监视、攻击识别和反攻击等多项功能，并采取相应的行动，如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是平安防御体系的一个重要组成局部。

(4)防火墙技术及产品

防火墙是实现网络信息平安的最根本设施，采用包过滤或代理技术使数据有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的平安。从网络平安角度上讲，它们属于不同的网络平安域。根据提供信息查询等效劳的要求，为了控制对关键效劳器的授权访问，应把效劳器集中起来划分为一个专门的效劳器子网〔VLAN〕，设置防火墙策略来保护对它们的访问。

基于上述网络层平安设计思路，采用核心效劳器区和用户终端区的体系结构，将两个区域进行逻辑隔离，严格保护核心效劳器资源。在网络层，将核心效劳器群和终端用户群划分在不同的VLAN中，VLAN之间通过交换机进行访问控制。在核心效劳器