信息系统安全建设方案.pdfVIP

信息系统安全建设方案

信息系统安全建设方案

摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面

对信息系统安全建设技术要点进行了分析。

关键词信息系统安全系统建设

1建设目标

当前，随着信息技术的快速发展及本公司信息系统建设的不断深化，公司运行及业务的

开展越来越依赖信息网络，公司的信息安全问题日益突出，安全建设任务更加紧迫。

由于本公司的业务特殊性，我们必须设计并建设一个技术先进、安全高效、可靠可控的

信息安全系统，在实现网络系统安全的基础上，保护信息在传输、交换和存储过程中的机密

性、完整性和真实性。

2设计要点

主要考虑两个要点：一是尽可能满足国家关于信息系统安全方面的有关政策要求，二是

切合本公司信息安全系统建设内涵及特点。

国家在信息系统建设方面，比较强调信息安全等级保护和安全风险管理。针对本公司的

涉密系统集成资质要求和软件开发、软件外包业务的开展，这个方面的硬性规定会越来越重

要。目前正在与有关主管单位咨询。

信息系统等级划分需按照国家关于计算机信息系统等级划分指南，结合本本公司实际情

况进行信息系统定级，实行分级管理。

信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护

的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体

系和应急处理等重要基础设施，确定合适的安全技术措施，从而确保信息安全保障能力建设

的成效。

3建设内容

信息系统的安全建设包括三方面：一是技术安全体系建设；二是管理安全体系建设；三

是运行保障安全体系建设。其中，技术安全体系设计和建设是关键和重点。

按照信息系统的层次划分，信息系统安全建设技术体系包括物理层安全、网络安全、平

台安全、应用安全以及用户终端安全等内容。

3.1物理层安全

物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包

括：机房屏蔽，电源接地，布线隐蔽，传输加密。对于环境安全和设备安全，国家都有相关

标准和实施要求，可以按照相关要求具体开展建设。

3.2网络安全

2

对于网络层安全，不论是安全域划分还是访问控制，都与网络架构设计紧密相关。网络

架构设计是网络层设计主要内容，网络架构的合理性直接关系到网络层安全。（网络架构设计

需要做到：统筹考虑信息系统系统安全等级、网络建设规模、业务安全性需求等；准确划分

安全域（边界）；网络架构应有利于核心服务信息资源的保护；网络架构应有利于访问控制和

应用分类授权管理；网络架构应有利于终端用户的安全管理。）

网络层安全主要涉及网络安全域的合理划分问题，其中最重要的是进行访问控制。网络

安全域划分包括物理隔离、逻辑隔离等，访问控制技术包括防火墙技术、身份认证技术、入

侵检测技术等。

(1)虚拟局域网（VLAN）技术及逻辑隔离措施逻辑隔离主要是利用VLAN技术将内部网

［1］

络分成若干个安全级别不同的子网，有效防止某一网段的安全问题在整个网络传播。因此，

对于一个网络，若某网段比另一个网段更受信任，或某网段安全性要求更高，就将它们划分

在不同的VLAN中，可限制局部网络安全问题对全网造成影响。

(2)身份认证技术及访问控制措施

身份认证技术即公共密钥基础设施（PKI），是由硬件、软件、各种产品、过程、标准和

人构成的一体化的结构。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；

保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。PKI是一种遵循标准的

密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的

［2］

密钥和证书管理。构建PKI将围绕认证机关（CA）、证书库、密钥备份及恢复系统、证书

作废处理系统、客户端证书处理系统等五大系统。

(3)入侵检测技术（IDS）及产品

IDS通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违

反安全策略的行为或者是否存在入侵行为。它能提供安全审计、监视、攻击识别和反攻击等

多项功能，并采取相应的行动，如断开网络连接、记