信息系统安全设计方案课件.ppt

《信息系统安全设计方案课件.ppt》由会员分享，可在线阅读，更多相关《信息系统安全设计方案课件.ppt（93页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT17 一月 2023信息系统安全设计方案信息系统安全设计方案PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT日程安排日程安排课题背景介绍 企业信息化系统信息安全体系安全加固方案及实施计划防病毒安全规范数据库安全规范防火墙安全规范企业信息化系统安全域规范问答2PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Of

2、fice Office PPTPPTPPTPPT课题背景介绍课题背景介绍PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT研究内容研究内容中国移动集团公司信息系统安全加固方案及实施计划安全加固方案是整个软课题的入口，是总部信息办和各省公司信息办对其所负责的平台（统一信息平台、OA等）的安全指南。安全规范与具体平台无关的指导性的安全要求，作为各个平台安全操作手册制定时的安全依据。-安全域划分-防病毒系统管理与配置-网络设备安全-数据库安全规范-防火墙安全规范中国移动安全操作过程手册（安全配置手册）根据

3、信息系统安全操作规范，结合中国移动具体网络及应用环境和设备，在现有安全策略和规范中的相关部分上进行深化和细化，详细制定每个具体设备具体流程的操作规范，形成具有很强操作性的安全操作过程手册。-操作系统安全配置手册(SUN SOLARIS/IBM AIX/HP UX/WIN 2000)-数据库安全配置手册（Oracle/DB2/Sql Server/Domino/Exchange）-门户系统安全配置手册(WebSphere Portal/BEA WebLogic/Sun One Portal/Oracle AS Portal/MS SharePoint)-网络安全配置手册（DNS,FTP,防病毒，

4、VPN，防火墙，交换机，路由器）4PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT研究成果（研究成果（1 1）本软课题，共有31个提交件中国移动企业信息化系统 安全加固方案及实施计划规范（与具体产品平台无关）中国移动企业信息化系统 安全域规范中国移动防病毒安全规范中国移动网络设备安全规范中国移动防火墙安全规范中国移动数据库安全规范产品操作手册（见下页）5PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT

5、研究成果（研究成果（2 2）通用应用系统-中国移动WEB服务器安全配置手册（包括通用，IIS,Apache)-中国移动DNS服务器安全配置手册（包括通用，windows DNS,Unix Bind)-中国移动FTP服务器安全配置手册（包括通用，IIS,WU-ftp)-中国移动电子邮件安全配置手册（包括通用，Domino,Exchange)操作系统-中国移动操作系统安全配置手册（包括通用，Solaris,win2000,HP UX,AIX)数据库-中国移动Oracle安全配置手册-中国移动DB2安全配置手册-中国移动Domino安全配置手册-中国移动SQL Server安全配置手册门户-中国移动

6、Websphere Portal安全配置手册-中国移动BEA Weblogic安全配置手册-中国移动SUN One Portal安全配置手册-中国移动Oracle AS Portal安全配置手册-中国移动MS Sharepoint安全配置手册VPN-中国移动CheckPoint VPN安全配置手册-中国移动Nortel VPN安全配置手册-中国移动IBM VPN安全配置手册路由器，交换机-中国移动华为路由器交换机安全配置手册-中国移动CISCO路由器交换机安全配置手册防火墙-中国移动CISCO PIX防火墙安全配置手册-中国移动Netscreen防火墙安全配置手册-中国移动CheckPoint

7、防火墙安全配置手册防病毒-中国移动Symantec防病毒安全配置手册-中国移动趋势防病毒安全配置手册-中国移动瑞星防病毒安全配置手册6PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT研究方式研究方式本课题的研究方式分为两类-安全加固方案和实施计划以及与平台无关的5个安全规范IBM负责编写中国移动提供相关信息，并负责审查和提供修改建议-25个与平台相关的安全操作手册中国移动负责编写IBM提供模板，并负责审核和提供修改建议IBM负责手册中通用部分的撰写IBM负责文档的整合感谢相关各省移动对本课题的大力

8、支持。7PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT企业信息化系统信息安全体系企业信息化系统信息安全体系PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT中国移动企业信息化系统安全体系中国移动企业信息化系统安全体系 9PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT企业信息化系统安全体系的三层结构企业信

9、息化系统安全体系的三层结构 10PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT第一层：安全策略第一层：安全策略第二层：安全规范和标准第二层：安全规范和标准安全策略安全策略安全规范和标准安全规范和标准11PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全操作手册、安全操作手册、流程、细则流程、细则第三层：安全操作手册、流程、细则第三层：安全操作手册、流程、细则12PPTPPTPPTPPT文档演模板文

10、档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT信息化系统信息化系统安全加固方案及实施计划安全加固方案及实施计划PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT加固方案和实施计划分为三个部分加固方案和实施计划分为三个部分安全管理层面：第一部分 安全体系完善计划针对信息化安全体系的整体架构，分析目前在策略、规范、标准方面缺失的部分，制定标准体系规范完善计划第二部分 安全体系部署/实施计划给出各省市部署和实施该安全体系的建议，该部分是指导性

11、的，概括性的，各省公司应该根据此加固方案和实施计划制定自己的详细的、切实可行的实施计划。安全技术层面：第三部分 总部安全技术体系加固方案和建设计划根据集团总部信息化系统目前所采用的安全技术现状，结合安全体系的具体要求，制定安全技术体系建设计划。14PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全体系完善计划安全体系完善计划(1)(1)通过分析中国移动企业信息化系统安全体系结构，发现目前在第二层规范/标准这一层的第二个子层具体规范这一层的建设还比较缺乏。下图所列的规范，除了红色部分外，其它规范还

12、不存在。虽然在规范总则中对这些规范进行了简单的说明，但是还不够全面和深入，对于实际操作还是缺乏明确的依据。针对以上分析，建议信息化办公室在下一阶段将体系建设的重点放在安全规范建设上，逐步完善体系中所提到的安全规范。15PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全体系完善计划（安全体系完善计划（2 2）在待建设规范中，有些规范之间是存在一定的关联的，我们建议在建设时能够同时予以考虑和建设。-风险管理规范 和 信息资产管理规范-数据备份和恢复 和 介质安全管理规范 和 业务连续性计划规范-系统

13、安全自测规范 和 安全许可证制度 和 内部安全审计规范-人力资源安全管理 和 个人安全守则 和 用户管理规范 和 远程访问安全规范-安全事件检测和响应规范 和 系统日志规范其它的规范可以酌情和以上规范整合在一起考虑。-系统生命周期安全管理-安全加密-文档管理规范-补丁管理规范-物理安全规范16PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全体系完善计划（安全体系完善计划（3 3）针对待建的19个安全规范，针对每个具体的规范定义了该规范建设的目标以及该规范中应该包含的内容概要例如：信息资产管理规

14、范-目标目标对于企业信息化系统安全管理来说，如果没有一份完整的能够说明我们所拥有的信息资产情况的清单，就没有办法评估资产的价值、应该采取的保护措施、应该投入的资源情况等，也就无法开展有意义的企业信息化系统安全工作。所以，中国移动要求所有部门/分公司必须维护一份完整、详细的企业信息化系统资产清单，以便于跟踪企业信息化系统安全状态。-内容内容定义信息资产分类标准定义信息分级保护标准设计信息资产识别方法定义识别和登记信息资产的流程定义信息资产登记表模版定义信息资产清单维护方法17PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office

15、PPTPPTPPTPPT安全体系部署安全体系部署/实施计划（实施计划（1 1）信息安全体系建设的生命周期信息安全体系建设的生命周期18PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全体系部署安全体系部署/实施计划（实施计划（2 2）企业信息化系统安全建设步骤企业信息化系统安全建设步骤如下图所示，建议企业信息化系统安全建设分为以下三个步骤，首先是在集团公司一级进行总体体系部署的规划，然后进行试点，试点成功后进行推广。而在每一个步骤中的建设都应遵守安全体系建设的PDCA模型，确保中国移动的安全体系

16、能够不断地自我发展，循环上升。总部信息化办公室总部信息化办公室试点试点省公司 3省公司 4省公司 1其它省公司推广推广省公司 2项目 2项目 1项目 3项目 319PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT总部安全技术体系加固方案和建设计划总部安全技术体系加固方案和建设计划主要安全产品和技术分类主要安全产品和技术分类20PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT总部安全技术体系加固方案和建

17、设计划总部安全技术体系加固方案和建设计划总部信息化系统安全体系改进建议总部信息化系统安全体系改进建议21PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全总控中心安全总控中心集中地检测、分析、关连、报告、处理安全入侵和违规事件集中存储安全事件数据和风险信息增加整个组织信息安全管理的效率及经济性支持企业信息安全决策机制及风险评估为企业信息安全管理量化提供必要基础设施入侵检测机制安全事件管理安全指导中心安全风险评估安全弱点扫描病毒防护处理安全总控安全总控中心中心(SOC)(SOC)病毒入侵病毒入侵拒

18、绝服务攻击拒绝服务攻击 非法系统访问非法系统访问非法系统访问非法系统访问应用安全弱点应用安全弱点22PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT网络安全审计系统网络安全审计系统网络安全审计系统主要用于监视并记录网络中的各类操作，实时地综合分析网络和系统中发生的安全事件，包括各种外部事件(如外部入侵行为)和内部事件(如内部人员的文件拷贝、信息获取、信息发布、资源变迁等)，并根据设置的安全规则，智能地判断出违规行为，并对违规行为进行记录、报警和阻断。主要功能-对网络中典型的应用如TELNET、HT

19、TP、FTP、SMTP、POP3等进行全面审计，提供详细信息。按照需要，跟踪并记录指定客户的网络操作，真实地再现用户操作的过程，还原该操作。也可以还原电子邮件、网页访问操作等。-网络数据流量监测功能，包括实时流量监测和历史流量记录，用户可以使用该功能发现一些网络异常现象，尤其是当网络中有拒绝服务攻击（DoS）行为时可以及时发现并采取措施。流量监测功能可以自动定时记录用户所指定的主机和端口的流量。通过查询所记录的主机和端口的历史流量，系统可以绘制流量曲线图，生成统计报表。-23PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office

20、 PPTPPTPPTPPT主机入侵检测系统主机入侵检测系统在目前的中国移动网络结构中使用了实时监视系统，在Internal Zone,Admin Zone,和Interconnection Zone部署了ISS入侵检测软件。由于内部网采用的各种操作系统可能会带来安全问题，如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁。因此，可建立主机IDS以进一步防止黑客的威胁。24PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT安全扫描、安全政策检查安全

21、扫描、安全政策检查安全是需要随时注意及改善的，故系统管理人员需随时了解网络和系统安全状况，因此中国移动需要一套系统弱点扫描的工具，能够协助系统管理人员找出重要服务器上可能具有的安全漏洞，以便及早修补。-网络漏洞扫描系统-数据库风险评估和安全政策审计系统-系统风险评估和安全政策审计系统25PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT业务连续性计划业务连续性计划/灾难恢复计划灾难恢复计划现在社会中，业务的连续性对一个企业越来越重要，在企业中已不是IT一个部门的问题，而是整个企业生死相关的问题。通过

22、对实际情况(包括核心业务，业务中断的损失，可容忍任务中断的时间)进行分析，建设一套切合实际的，投资合理的，内容可靠的业务连续性及容灾备份方案。如右图所示，容灾备援方案包括一个相互关连的流程，具体包括风险管理、业务冲击分析、恢复能力分析、容灾策略制定、容灾技术方案的制定和实施、企业业务连续性计划的制定和企业容灾方案的管理。26PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT网络安全体系建设网络安全体系建设根据业务上或管理上以及企业信息化安全域规范的各种安全相关需求，对现有的网络系统通过各种网络安全防

23、范的技术手段和管理规范进行一系列的安全改造，从而将网络上存在的安全风险和安全隐患降至最低。本项目的范围包括了所有与网络系统相关的运作安全考虑。包括了-内部局域网安全建设和改造-和第三方合作伙伴的网络连接安全建设和改造-Internet连接安全规范-用户远程网络接入连接相关的安全方面的考虑27PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT各信息系统的统一单点登录各信息系统的统一单点登录统一认证和授权系统由以下四个部分组成：-目录服务：存储多种不同来源的用户/资源信息。包括：存储子模块：即目录服务模

24、块同步子模块：即元目录，或动态用户管理（User Provisioning）模块-身份管理：管理用户身份信息，并提供自动工作流程和自服务、分权管理功能。-认证管理：认证方式可以分为以下四类：所知（Something you know）所持（Something you have）所具有（Something you are）和所为（Something you do）-访问管理：进行访问规则定义，并进行访问规则的中心控制，实现SSO。28PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT个人及桌面安全管理

25、个人及桌面安全管理通过对用户桌面电脑使用的操作系统和其他相关安全系统平台进行安全定制，对员工使用的桌面系统进行统一，并对用户日常使用过程中应当注意的安全问题加以明确的规定，从而确保了对桌面系统的安全管理。该项目的范围包括-统一主流的桌面操作系统平台和其他相关安全系统平台、定制其安全策略-统一制定用户桌面系统使用安全操作手册-建立桌面电脑补丁的自动分发机制29PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT员工安全意识普及教育员工安全意识普及教育安全意识培养机制目的-Why?确保所有员工都理解企业所

26、面临的风险，-What?确保所有员工都了解企业的安全要求-How?确保所有员工都具有相应的技能遵守安全要求在通常情况下，绝大多数员工当他们知道了什么是正确的，以及为什么是正确的之后，都会自觉地遵守。通过提升员工安全意识，可以及时发现，避免安全事件的发生，降低安全事件的影响，从而节约了信息安全成本。中国移动需要一套系统的、有针对性的、层次分明的教育计划来实现我们的目标。通过教育，让所有的人了解自己在企业信息化系统安全中的角色(role)、责任(responsibility)和义务(liability)，以及如何正确、安全地使用企业信息化系统。30PPTPPTPPTPPT文档演模板文档演模板文档演

27、模板文档演模板 Office Office Office Office PPTPPTPPTPPT信息安全风险评估信息安全风险评估信息安全风险评估项目的目标-了解支撑中国移动关键业务运作的信息系统的安全状况-评估核心信息资产所面临的风险-发现信息安全实践中的薄弱环节和改进机会-明确信息系统的安全需求-提出信息安全控制措施改进方案。信息安全风险评估项目的主要收益包括-明确核心信息资产面临的主要风险-平衡信息安全风险和投入-培养信息安全风险评估队伍31PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防病

28、毒安全规范防病毒安全规范PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT病毒发展趋势与企业的病毒威胁分析病毒发展趋势与企业的病毒威胁分析病毒发展趋势-病毒技术与系统攻击技术的结合（蠕虫病毒、木马/黑客病毒）-混合型病毒传播方式多变（蠕虫病毒）-电子邮件病毒感染（脚本病毒、蠕虫病毒、木马病毒）-新病毒爆发时间短危害大（蠕虫病毒、木马病毒、脚本病毒等）企业的病毒威胁分析-恶意破坏桌面终端、服务器系统、网络系统性能降低、功能失效；破坏系统和数据，造成系统崩溃，网络阻塞-盗窃桌面终端和服务器系统中的机密信

29、息帐户密码、信用卡资料、机密文件-文档服务器、邮件服务器成为病毒跳板-网络接口成为重要的病毒入侵途径Web,FTP,SMTP-防病毒管理面临压力职责不明确、管理规范不完善、用户防病毒意识不高33PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT企业防病毒安全对策企业防病毒安全对策企业防病毒架构体系建设-覆盖全面、多层次。涵盖集团公司、各省/直辖市、各地市覆盖桌面终端、服务器、邮件系统、网关-防毒及时及时更新病毒码、病毒引擎-统一管理以集团公司、各省或直辖市为单位，由信息化责任部门设立集团公司、省或直

30、辖市内统一的防病毒管理中心统一防病毒策略制定、统一防病毒工作监控企业防病毒管理机制加强-防病毒管理策略-防病毒管理职责定义-防病毒管理方法和机制34PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT集团公司防病毒架构集团公司防病毒架构第一层：集中管理层。-集团总部的统一防病毒管理中心统一管理集团总部的防病毒事务，负责集团总部防病毒架构的工作策略配置的制定和分发。部署防病毒服务器，负责对各个部门的桌面工作站或文档服务器的防病毒控制。第二层：各部门的终端层。-分布于集团总部内网的各个节点，数量众多，通过

31、防病毒软件进行病毒监视和防护。边界层：网关防病毒。-这个层次分布于集团网络出入接口，在这些外部网络接入点部署邮件防病毒过滤服务器、Web防病毒过滤服务器、FTP防病毒过滤服务器。这些边界防病毒过滤服务器接受集团总部防病毒管理中心的统一管理。35PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT省省/直辖市防病毒架构直辖市防病毒架构第一层：集中管理层。-成立统一防病毒管理中心。这个层次通过中央控制台统一管理企业的防病毒事务，负责省防病毒架构的工作策略配置的制定和分发。第二层：分布层。-部署二层防病毒服

32、务器。这个层次具有多个分布在不同地市部门的防病毒服务器，负责局域网内桌面工作站或者文档服务器的防病毒控制。防病毒服务器接受第一层的防病毒管理中心的统一管理控制。第三层：终端层。-这个层次分布于网络的各个节点，数量众多，通过防病毒软件进行病毒监视和防护。桌面工作站和文档服务器接受二层防病毒服务器的直接管理。边界层：-网关防病毒。这个层次分布于网络出入接口，在这些外部网络接入点部署邮件防病毒过滤服务器、Web防病毒过滤服务器、FTP防病毒过滤服务器。这些边界防病毒过滤服务器接受省/直辖市中心的统一管理。36PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office

33、 Office Office PPTPPTPPTPPT防病毒工具功能要求防病毒工具功能要求中心防病毒控制台与管理服务器实现统一集中的管理，如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。支持跨越广域网管理、分级管理、和分组管理。防病毒客户端防病毒客户端提供集成化的安全功能，将客户端病毒防护、防火墙、入侵检测集成于一体。防病毒功能方面支持文件系统实时防护、病毒扫描、软件更新、集中管理控制。邮件防病毒（集成于邮件服务器的防病毒工具，邮件防病毒网关）病毒扫描与过滤，对邮件中的病毒文件扫描和过滤，保持病毒码和扫描引擎的更

34、新，支持对多种压缩格式的文件进行解压扫描。内容过滤，采用预定义的字词列表，检查主题、内容和附件等方法内容过滤阻挡垃圾邮件；使用黑名单、白名单等工具管理邮件的收发。Web与FTP防病毒网关防病毒网关支持HTTP，HTTPS，FTP等协议，对所有通过防火墙的HTTP通信和FTP通信进行病毒检测扫描从而保护您的网络免受病毒攻击；也能够使用内容过滤方法（类别列表和数据字典）提供有效的Web内容过滤。37PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防病毒运维组织架构防病毒运维组织架构省/直辖市公司建立防

35、病毒管理中心-主要负责防病毒系统的整体规划、落实防病毒系统的具体制度、落实防病毒管理员的工作职责等工作。省/直辖市公司、各地市公司可以参照运维组织架构设立相应的防病毒机构。省/直辖市公司、各地市公司要设立防病毒日常维护小组-负责防病毒系统的日常维护。省/直辖市公司日常维护小组的成员必须是专职的，地市公司原则上也要有专职的防病毒日常维护人员，也可以根据网络及防病毒系统实际状况由系统管理员兼职。系统管理员也作为网络防病毒日常维护的一部分，与防病毒日常维护小组相互协调工作。防病毒应急响应小组-由省/直辖市公司防病毒日常维护人员和安全服务提供商以及防病毒厂商技术人员组成，组成人员可以兼职。省/直辖市公

36、司应急响应系统主要负责解决由于病毒造成网络阻塞等重大问题和事件。38PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防病毒管理策略要点防病毒管理策略要点这些防病毒策略要求用于指导建立可靠有效的防病毒机制，指引安全管理组织和病毒处理小组才能够有效地减轻病毒的对公司的潜在威胁。信息资产分类与控制-信息资产负责人的防病毒责任-信息资产分类防病毒控制人员安全-防病毒安全培训-安全时间和故障响应系统维护管理-落实防病毒管理流程：文档维护、工具变更、紧急时间响应等-防止恶意软件：病毒扫描和文件数据交换控制远程

37、办公-移动电脑遵守防病毒法律规定39PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防病毒管理职责定义防病毒管理职责定义集团公司防病毒管理职能-集团公司在防病毒架构体系建设中起到规范标准化、建设指导和监督者的作用。-制定中移动统一的防病毒架构体系建设规范，为各省/直辖市的防病毒架构建设和改进提供了规范性的指导建议；-制定中移动防病毒的管理制度和管理机制规范，指导和规范各省/直辖市的防病毒管理工作；-监督各省/直辖市的防病毒工作，定期以安全审计检查的方式监督下属公司工作是否到位。省/直辖市公司防病毒

38、管理职能-制定防病毒有关具体管理制度和操作规程细则；-部署病毒防护策略和病毒解决方案；-协调和分配各地分公司防病毒任务和职责权限；-发布计算机病毒疫情，以及突发病毒解决方案；-根据计算机病毒疫情调整防病毒管理策略；-贯彻落实省/直辖市公司病毒防护策略和病毒解决方案；-定时统计、分析、汇总和上报本公司防病毒检测情况报告。地市公司防病毒管理职能-根据省/直辖市公司下发的最新病毒信息和解决办法处理各种病毒问题；-负责管理辖内病毒防治的管理和日常维护；-定时统计、分析、汇总和上报本公司防病毒检测情况报告。日常运维管理职能由集团公司、省/直辖市公司和地方公司防病毒相关部门执行和运作。40PPTPPTPP

39、TPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防病毒管理机制建设要点防病毒管理机制建设要点防病毒管理机制建设的主要目标是：-有效地管理公司内部病毒事件带来的风险-提高公司所有人员对在防病毒管理过程中相关法规制度的理解与遵守-预防病毒潜在的危险，并能够处理突发病毒事件，保证业务运营连续性防病毒文档管理-管理文档-运行维护文档防病毒软件管理-安装软件管理-软件升级更新管理41PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTP

40、PT防病毒管理机制建设要点防病毒管理机制建设要点终端计算机用户防病毒条例-建立全网用户应该遵循以下用户使用条例：未经许可不能卸载防病毒软件，不能更改配置。如认为防病毒软件影响正常使用，应及时联系管理员进行判断处理。定时检查更新状态，定时执行扫描。注意不要使用未经扫描的软盘启动。不允许访问含有色情、暴力等不健康内容的网站不随意从互联网上下载软件、游戏、电影等。不运行任何可疑文件。对于主题名新奇的电子邮件不要随便打开。病毒突发事件应急响应机制-成员组成管理部门、技术部门的相关人员-处理步骤和流程确认方案隔离清楚恢复后续检查42PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Off

41、ice Office Office Office PPTPPTPPTPPT防病毒管理机制建设要点防病毒管理机制建设要点防病毒预警机制-新病毒讯息公告与处理-疑似病毒信息发布防病毒意识培训-防病毒知识普及防病毒知识全员普及内容病毒疫情预警安全漏洞公告特定病毒处理通告-病毒防治论坛用于计算机用户在线防病毒技术交流、讨论、求助和建议等提供相关预防病毒知识43PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT数据库安全规范数据库安全规范PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Off

42、ice Office Office Office PPTPPTPPTPPT数据库安全威胁与对策数据库安全威胁与对策数据库主要安全威胁-数据被篡改、窃取-用户身份被伪造、密码被盗用-未经授权对表、列、行的存取-缺乏有效的跟踪、监控机制数据库安全管理关键要点-管理细分和委派原则数据库管理员与安全管理员-最小权限原则本着最小权限原则，从需求和工作职能两方面严格限制对数据库的访问权-帐号安全原则密码规则、用户帐号管理-有效的审计用户行为和数据库活动-加强关键数据库安全保护数据库备份恢复、数据加密45PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Offic

43、e Office PPTPPTPPTPPT数据库基本安全技术数据库基本安全技术安全风险安全风险解决方法解决方法安全技术安全技术未验证用户确认用户身份帐户认证未授权的数据存取限制数据存取访问控制加密存储数据存储数据加密限制权限权限管理网络数据侦听、窃取保护网络网络加密数据破坏备份恢复数据库备份账号密码脆弱强制密码安全密码规则缺乏跟踪监控用户的行为安全审计系统入侵加密敏感数据存储数据加密技术及时修补安全漏洞安全补丁46PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT数据库系统的安全防护架构数据库系统的

44、安全防护架构 数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、运行主机环境等因素息息相关。从广义上讲，数据库系统的安全框架可以划分为三个层次：1.网络系统层次；2.操作系统层次；3.数据库管理系统层次。47PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT网络系统层次安全防护网络系统层次安全防护 数据库的安全首先倚赖于网络系统网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的针对数据库系统的安全风险，可以采用以下的网络系统层次安全加固方法：-采用防火墙系统对数

45、据库服务器与外部不受信任网络进行隔离，屏蔽外界对数据库系统的攻击，如SQL注入、未授权访问、密码攻击等；-采用入侵检测系统对数据库系统的攻击进行监测，发现并切断外部点恶意攻击，如SQL注入、未授权访问、密码攻击等；-采用VPN技术对网络传输进行安全加密，保护数据库访问的安全，能够有效抵御网络窃听的攻击。48PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT操作系统层次安全加固操作系统层次安全加固数据库系统安装在主机系统之上，为了有效的保障数据库系统安全，必须对主机系统平台进行规范的安全加固。操作系统

46、用户安全设置-用户组权限设置-数据库使用程序的安全性操作系统安全日志设置-记录数据库服务的启动、关闭等操作，以及主机管理员、数据库服务管理员、和应用开发人员的行为等 关闭非必要的服务和程序-禁止不使用的数据库服务、应用服务、协议修补操作系统和更新包 49PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT数据库管理系统层次安全加固（一）数据库管理系统层次安全加固（一）数据库安全策略要点-系统安全性策略要点用户帐户管理用户身份确认方式管理操作系统安全要求-数据库安全性策略要点根据具体的业务应用要求设计数

47、据对象访问、数据加密-用户安全性策略要点密码安全、用户角色分组、权限管理-数据库管理者安全性策略要点特权用户密码保护特权用户使用限制-应用程序开发者安全策略要点应用程序开发者的权限限制应用程序开发者角色的使用限制50PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT数据库管理系统层次安全加固（二）数据库管理系统层次安全加固（二）数据库帐户安全设置要点-定义数据库系统访问帐户负责人员和业务用途，删除无关的或者不再使用的数据库系统访问人员帐户；-修改数据库管理系统内建帐户的初始密码；-对数据库帐户所使用

48、的资源（如CPU等）进行限制。密码安全设置要点-多次注册失败帐户锁定-过旧帐户锁定-防止密码重用-密码复杂性设置-密码的传输和存储安全访问权限安全设置要点-检查帐户的权限是否与业务使用的要求相符，避免帐户获得超出其业务工作必须的权限；-给予帐户需要的最少权限，包括系统权限和对象权限；-采用存储过程、和数据表视图的方式来限制用户进行数据存取操作。51PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT数据库管理系统层次安全加固（三）数据库管理系统层次安全加固（三）数据库加密-对数据库中存储的重要数据进行

49、加密处理，以实现数据存储的安全保护数据库系统的加密工具包数据库加密系统数据库备份与恢复-备份方法导出、脱机备份和联机备份备份策略建议-恢复方法数据文件损坏、控制文件损坏、文件系统损坏、介质恢复日志与审计-日志记录数据库服务、数据库管理员和用户帐户的访问和操作行为-审计跟踪用户的活动，发现安全设置的漏洞，分析安全事件语句审计、特权审计、模式对象审计管理员客户端安全 数据库安全补丁52PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT进一步数据库安全考虑进一步数据库安全考虑细粒度访问控制应用程序安全检查

50、数据库系统与基于标准的公共密钥体系PKI集成关键数据库系统灾难备份53PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防火墙安全规范防火墙安全规范PPTPPTPPTPPT文档演模板文档演模板文档演模板文档演模板 Office Office Office Office PPTPPTPPTPPT防火墙分类防火墙分类 包过滤（Packet Filter）应用层代理（Proxy）电路层代理（Circuit Proxy）动态包过滤（Dynamic Packet Filter）全状态检测（Stateful I