|
政府信息化網(wǎng)絡規(guī)劃及網(wǎng)絡安全管理方案
資源天下 2019/8/21 17:34:27
(接上頁)TM將來自分支機構(gòu)及外聯(lián)單位的安全風險盡量控制在總部網(wǎng)絡之外(如病毒、木馬等);
外部攻擊 對網(wǎng)絡設備����、服務器主機進行加固,加強其抵抗風險的能力����;
針對病毒的攻擊�����,構(gòu)建縱深防御系統(tǒng)�,采用防病毒網(wǎng)關+客戶端防病毒的方式,抵御病毒的攻擊���,并借助網(wǎng)絡入侵檢測系統(tǒng)及時發(fā)現(xiàn)信達公司內(nèi)網(wǎng)中的蠕蟲��、木馬��;
針對入侵攻擊行為��,部署網(wǎng)絡入侵檢測系統(tǒng)��,并啟用異常流量檢測功能�,及時發(fā)現(xiàn)已知和未知的攻擊行為;
針對來自互聯(lián)網(wǎng)的DDOS攻擊�����,由Internet接口處的邊界安全設備開啟防DDOS功能進行防御�����;
對于在互聯(lián)網(wǎng)上傳輸內(nèi)部數(shù)據(jù)的需求�����,采用SSL VPN構(gòu)建加密隧道�����,防止數(shù)據(jù)的完整性�����、保密性遭到破壞��;
2.2.2 主要風險類型分析
分類 風險描述 技術(shù)措施
無作為或操作失誤 應該執(zhí)行而沒有執(zhí)行相應的操作��,或無意執(zhí)行了錯誤的操作��,從而影響應用系統(tǒng)的正常運行�����。 部署運維審計系統(tǒng)����,對運行維護人員的操作進行監(jiān)控和審計。
惡意代碼和病毒 主機感染病毒���,并有擴散的風險�,對信息系統(tǒng)將造成破壞�。 防毒墻模塊,抵御來自外部的病毒����;
采用防病毒系統(tǒng),對主機上的病毒進行查殺�;
通過網(wǎng)絡入侵檢測系統(tǒng)及時發(fā)現(xiàn)木馬、蠕蟲�����;
采用漏洞掃描系統(tǒng)定期檢查主機的脆弱性狀況���,并及時修補�����;
通過桌面管理系統(tǒng)�,自動打補丁,并及時定為處理染毒終端���;
主機系統(tǒng)加固����,減小感染病毒和惡意代碼的機率���。
越權(quán)或濫用 對服務器的非法越權(quán)訪問。 利用防火墻���、交換機的ACL進行細粒度的訪問控制����;
對于業(yè)務人員的訪問���,進行認證授權(quán)�����;
對于運維人員的訪問�����,設置命令級權(quán)限的訪問控制策略����。
黑客攻擊 利用黑客工具和技術(shù),例如偵察����、密碼猜測攻擊、緩沖區(qū)溢出攻擊��、安裝后門�����、嗅探���、偽造和欺騙�、拒絕服務攻擊等手段對信息系統(tǒng)進行攻擊和入侵。 在安全域邊界的防火墻上設置嚴格的訪問控制策略�����,并屏蔽非正常應用端口�;
部署網(wǎng)絡入侵檢測系統(tǒng),實時檢測安全服務域中的網(wǎng)絡攻擊行為�����;
定期掃描系統(tǒng)中存在的漏洞���,并及時修補�,減少系統(tǒng)自身脆弱性被黑客利用的可能�����;
主機系統(tǒng)加固�,加強系統(tǒng)的抗攻擊能力��。
泄密 在進行數(shù)據(jù)傳輸時�,數(shù)據(jù)被有意或者無意地泄露。 建立隧道(如IPSEC VPN����、SSL VPN等)并對數(shù)據(jù)進行加密����。
抵賴 不承認對服務器進行過非法操作 部署運維審計系統(tǒng)對操作人的登錄信息及對服務器的操作行為進行記錄����、關聯(lián)分析和審計
2.3. 設計依據(jù)
《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)
《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)
《信息安全等級保護管理辦法》(公通字[2007]43號)
《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號)
《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)
《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)
GB17859-1999是等級保護相關技術(shù)標準的基礎。該標準采取了宜粗不宜細的制定方法��,目的是為安全產(chǎn)品的開發(fā)�、具體標準的制定、安全系統(tǒng)的建設與管理�、相關法律法規(guī)及其執(zhí)法的提供技術(shù)指導和基礎。
《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)
《基本要求》是針對每個等級的信息系統(tǒng)提出相應安全保護要求�,“基本”意味著這些要求是針對該等級的信息系統(tǒng)達到基本保護能力而提出的,也就是說�����,這些要求的實現(xiàn)能夠保證系統(tǒng)達到相應等級的基本保護能力�。
《信息系統(tǒng)等級保護安全設計技術(shù)要求》
《設計技術(shù)要求》是針對GB17859-1999的技術(shù)部分進行的進一步細化形成的等級保護各級系統(tǒng)的設計實現(xiàn)技術(shù)框架,是對《基本要求》的進一步補充和擴充����。
三.網(wǎng)絡整體架構(gòu)規(guī)劃
3.1. 網(wǎng)絡整體架構(gòu)介紹
此次網(wǎng)絡建設涉及內(nèi)網(wǎng)、外網(wǎng)兩套網(wǎng)絡。內(nèi)網(wǎng)�、外網(wǎng)之間物理隔離。外網(wǎng)和互聯(lián)網(wǎng)邏輯隔離����。
外網(wǎng)承載著慶豐面向公眾開放的重要業(yè)務。外網(wǎng)全網(wǎng)覆蓋南北兩棟樓的相關信息點�。外網(wǎng)采用三層架構(gòu),核心-匯聚-接入�。核心架構(gòu)采用雙核心雙鏈路架構(gòu);核心和匯聚之間��、匯聚和接入之間采用全萬兆設計���。
內(nèi)網(wǎng)的主要是運行內(nèi)部(未完��,下一頁)
|