数据安全解决方案ppt.docx

《数据安全解决方案ppt.docx》由会员分享，可在线阅读，更多相关《数据安全解决方案ppt.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、数据安全解决方案 ppt篇一：数据中心信息安全解决方案数据中心解决方案安全 名目第 一 章 信 息 安全保障系统3系统概述 . 3安全标准 . 3系统架构4系统具体设计5计算环境安全.5区域边界安全.7通信网络安全.8治理中心安全.9安全设备及系统.11VPN 加密系统 .12入侵防范系统.12防火墙系 统.13安全审计系统.14漏洞扫描系统.15网络防病毒系统.17PKI/CA 身份认证平台.18接入认证系统.20安全管理平台21第 一 章 信息安全保障系统系统概述信息安全保障系统是集计算环境安全、安全网络边界、 通信网络安全和安全治理中心于一体的根底支撑系统。它以网络根底设施为依托，为实现

2、各信息系统间的互联互通，整合各类资源，供给信息安全上的有力支撑。系统的体系架构如下图：图 1. 信息安全保障系统体系架构图信息系统安尽是保障整个系统安全运行的一整套策略、 技术、机制和保障制度，它涵盖系统的很多方面，一个安全靠得住的系统需要多方面因素一路作用。安全标准在数据中心建设中，信息系统安全依据信息系统品级保护安全设计技术要求GB/T 24856-XX二级防护要求进展设计。该标准依据国家信息安全品级保护的要求，规 范了信息系统品级保护安全设计技术要求，标准适用于指导 信息系统运营利用单位、信息安全企业、信息安全效劳机构 开展信息系统品级保护安全技术方案的设计和实施，也可作为信息安全 职能

3、部门进展监视、检查和指导的依据。信息安全品级保护是我国信息安全的大体制度、大体政策、大体方式。已出台的一系列信息安全品级保护相关法 规、政策文件、国家标准和公共安全行业标准，为信息安全 品级保护工作的开展供给了法律、政策、标准依据。国家标 准信息安全技术 信息系统品级保护安全设计技术要求是依据中国信息安全品级保护的实际需要，依照信息安全品 级保护对信息系统安全整改的要求制订的，对信息系统品级 保护安全整改阶段技术方案的设计具有指导和参考作用。系统架构才智城市数据中心依据信息系统品级保护安全设计技术要求GB/T 24856-XX，构建 “一个中心支撑下的三重防范”的安全防护体系。信息安全保障系统

4、整体架构如 以下图所示：图 2. 信息安全保障系统整体架构图信息安全保障系统以网络根底设施为依托，为整个数 据中心业务供给计算环境安全、区域边界安全、通信网络安 全、安全治理、安全审计及认证授权等效劳。篇二：系统安全解决方案1 系统安全方案物理级安全解决方案保证计算机信息系统各类设备的物理安尽是保障整个网络系统安全的前提。物理安尽是保护计算机网络设备、设 施和其它媒体免遭地震、水患、火灾等环境事故和人为*作失 误或错误及各类计算机犯法行为致使的破坏进程。它主要包 括三个方面：环境安全对系统所在环境的安全保护，如区域保护和灾难保护；参见国家标准 GB5017393电子计算机机房设计标准、国标 G

5、B288789计算站场地技术条件、GB936188计算站场地安全要求设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、避开线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格治理及提高员工的整体安全意识来实现。 媒体安全包括媒体数据的安全及媒体本身的安全。明显，为保证信息网络系统的物理安全，除在网络打算和场地、环境等 要求之外，还要避开系统信息在空间的集中。计算机系统通 过电磁辐射使信息被截获而失密的案例已经很多，在理论和 技术支持下的验证工作也证明这种截取距离在几百乃至可达千米的恢复显示技术给计算机系统信息的保密工作带来了极大的危害。为了避开系统中的信息在空间上的集中，一 般

6、是在物理上实行必定的防护方法，来削减或干扰集中出去 的空间信号。这对重要的政策、军队、金融机构在兴修信息 中心时都将成为首要设置的条件。正常的防范方法主要在三个方面：对主机房及重要信息存储、收发部门进展屏蔽处置， 即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主 要设备，以避开磁鼓、磁带与高辐射设备等的信号外泄。为 提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均 要实行相应的隔离方法和设计，如信号线、线、空调、消防 掌握线，和通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不行避开性，现均采光缆传输的方式，大 多数均在 Modem 出来的设备用光

7、电转换接口，用光缆接出屏蔽室外进展传输。对终端设备辐射的防范。终端机尤其是 CRT 显示器， 由于上万伏高压电子流的作用，辐射有极强的信号外泄，但 又因终端分散利用不宜集中承受屏蔽室的方法来避开，故此 刻的要求除在订购设备上尽可能选取低辐射产品外，目前主 要实行主动式的干扰设备如干扰机来破坏对应信息的窃取， 个别重要的首领或集中的终端也可考虑承受有窗子的装饰 性屏蔽室，这种方式虽降低了部份屏蔽效能，但可大大改善 工作环境，令人感到在一般机房内一样工作。网络级安全解决方案网络安尽是整个安全解决方案的关键，从访问掌握、通信保密、入侵检测、网络安全扫描系统、防病毒别离描述。隔离与访问掌握严格的治理制

8、度可制定的制度用户授权实施细则、口令字及帐户治理标准、权 限治理制度、安全责任制度等。划分虚拟子网(VLAN)内部网络依据不同用户安全级别或依据不同部门的安全需求，利用三层互换机来划分虚拟子网VLAN，在没有配置路的状况下，不同虚拟子网间是不能够彼此访问。通过虚拟子网的划分,能够实较粗略的访问掌握。防火墙防火墙是实现网络安全最大体、最经济、最有效的安全方法之一。防火墙通过制定严格的安全策略实现内外网络 或内部网络不同信任域之间的隔离与访问掌握。而且防火墙 可以实现单向或双向掌握，对一些高层协议实现较细粒的访 问掌握。FortiGate 产品从网络层到应用层都实现了自由掌握。通信保密数据的机密性

9、与完整性，主假设为了保护在网上传送的涉及企业隐秘的信息，通过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。可以选择以下几种方式。链路层加密对于连接各涉密网节点的广域网线路，依据线路种类不同可以承受相应的链路级加密设备，以保证各节点涉密网 之间互换的数据都是加密传送，以避开非授权用户读懂、窜 改传输的数据。链路加密机由于是在链路级，加密机制是承受点对点的加密、解密。即在有彼此访问需求而且要求加密传输的各 网点的每条外线线路上都得配一台链路加密机。通过两头加 密机的协商协作实现加密、解密进程。网络层加密鉴于网络散布较广，网点较多，而且可能承受 DDN、FR 等多种通信线路。假设是承受多

10、种链路加密设备的设计方案则增加了系统投资费用，同时为系统保护、升级、扩展也带来了相应困难。因此在这种状况下咱们建议承受网络层加密设备VPN，VPN 是网络加密机，是实现端至端的加密，即一个网点只需配备一台 VPN 加密机。依据具体策略，来保护内部敏感信息和企业隐秘的机密性、真实性及完整性。IPsec 是在 TCP/IP 体系中实现网络安全效劳的重要方法。而 VPN 设备正是一种符合 IPsec 标准的 IP 协议加密设备。它通过利用跨越担忧全的公共网络的线路成立 IP 安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。通过对 VPN 的配置，可让网络内的某些主机通过加密隧道，让另一些主

11、机仍以明文方式传输， 以到达安全、传输效率的最正确平衡。一般来讲，VPN 设备可以一对一和一对多地运行，并具有对数据完整性的保证功能， 它安装在被保护网络和路由器之间的位置。设备配置见以下图。目前全世界大部份厂商的网络安全产品都支持 IPsec 标准。由于 VPN 设备不依靠于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是 它可以为上层的各类应用供给统一的网络层安全根底设施 和可选的虚拟专用网效劳平台。对政府行业网络系统这样一 种大型的网络，VPN 设备可使网络在升级提速时具有很好的扩展性。鉴于 VPN 设备的突出特长，应依据企业具体需求， 在各个网络结点与公共

12、网络相连接的进出口处安装配备VPN 设备。入侵检测利用防火墙并通过严格配置，可以阻挡各类担忧全访问通过防火墙，从而降低安全风险。可是，网络安全不行能 完全依托防火墙单一产品来实现，网络安尽是个整体的，必 需配相应的安全产品，作为防火墙的必要补充。入侵检测系 统就是最好的安全产品，入侵检测系统是依据已有的、最 的解决手腕的信息代码对进出网段的全部 *作行为进展实时监控、记录，并按制定的策略实行响应阻断、报警、发送E-mail。从而避开针对网络的解决与犯法行为。入侵检测系统一般包括掌握台和探测器网络引擎。掌握台用作制定及治理全部探测器网络引擎。探测器网络引擎用作监听进出网络的访问行为，依据掌握台的

13、指令执行相应行为。由于探测器实行的是监听不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。 扫描系统网络扫描系统可以对网络中全部部件Web 站点，防火墙，路由器，TCP/IP 及相关协议效劳进展解决性扫描、分析和评估，觉察并报告系统存在的弱点和漏洞，评估安全风险，建议补救方法。系统扫描系统可以对网络系统中的全部 *作系统进展安全性扫描，检测*作系统存在的安全漏洞，并产生报表，以供 分析；还会针对具体安全漏洞提出补救方法。病毒防护由于在网络环境下，计算机病毒有不行估量的挟制性和破坏力。咱们都知道，政府网络系统中利用的*作系统一般 均为 WINDOWS 系统，比较简洁感染病毒

14、。因此计算机病毒的防范也是网络安全建设中应当考滤的重要的环节之一。 反病毒技术包括预防病毒、检测病毒和杀毒三种技术：预防病毒技术预防病毒技术通过自身常驻系统内存，优先取得系统的掌握权，监视和推断系统中是不是有病毒存在，进而阻挡计算机病毒进入计算机系统和对系统进展破坏。这种技术有，加密可执行程序、引导区保护、系统监控与读写掌握如防病毒卡等。检测病毒技术检测病毒技术是通过对计算机病毒的特征来进展推断的技术如自身校验、关键字、文件长度的转变等，来肯 定病毒的类型。杀毒技术杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢恢复文件的软件。反病毒技术的具体实现 方式包括对网络中效劳器及工作站

15、中的文件及电子邮件等进展频繁地扫描和监测。一旦觉察与病毒代码库中相匹配的 病毒代码，反病毒程序会实行相应处置方法去除、更名或 删除，避开病毒进入网络进展传播集中。篇三：企业信息安全解决方案企业信息安全解决方案XX一、企业的现状分析当前，信息科技的进展使得计算机的应用范围已经普及世界各个角落。众多的企业都纷纷依托 IT 技术构建企业自身的信息系统和业务运营平台。IT 网络的利用极大地提升了企业的核心竞争力，使企业能在信息资讯时期脱颖而出。企业利用通信网络把孤立的单机系统连接起来，彼此通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性， 使得企业的信息安全问题日趋严峻。在企业对于信息化系

16、统严峻依靠的状况下，如何有效地增加企业安全防范力量和有效的掌握安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争， 面对竞争压力，他们必需有效地治理本钱和资源，同时保护 业务完整性和网络安全性。二、企业网络可能存在的问题? 外部安全随着互联网的进展，网络安全大事层出不穷。最近几年来，计算机病毒传播、蠕虫解决、垃圾邮件泛滥、敏感信息泄漏等已成为影响最为普遍的安全挟制。对于企业级用户， 每当患病这些挟制时，往往会造成数据破坏、系统异样、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失都很大。? 内部安全网络的不合法利用，一些员工利用网络处置私人事务、擅自下载和安装一些与工作无

17、关的软件或玩耍等，不但消耗了企业网络资源，更有可能因此引入病毒和间谍程序，或使 得非法员工可以通过网络泄漏企业机密，致使企业的损失。 企业业务效劳器不仅需要来自互联网的安全防护，对于内网 频发的内部非正常访问及病毒挟制，一样需要进展网络及应 用层的安全防护。? 内部网络之间、内外网络之间的连接安全随着企业的进展壮大及移动办公的普及，在以后，极可能会形成了公司总部、各地分支机构、移动办公人员这样的型互动运营模式。那么，如何处置总部与分支机构、移动办公人员的信息共享安全，既要保证信息的准时共享，又要避开机密的泄漏就是个不能不考虑的问题了。各地机构与总部之间的网络连接安全性直接会影响企业的高效运作。

18、? 上网行为和带宽的治理需求计算机网络已经成了支撑企业业务的重要环节，同时也成了企业员工日常不行缺少的工作及休闲的一部份。员工 们习惯了早上翻开电脑访问闻网站，到淘宝网上去购置商 品，到快活网去停车、偷菜，通过炒股软件观览大盘走势、 在线交易，乃至下载和在线观看电影视频、玩网络玩耍 企业连接网络的初衷是加速业务效率、提高生产力，而原来 用来收发邮件、查询信息、视频会议等用途的网络变成消遣工具时，这对公司来讲是个很大的损失，如何有效的治理网络，让网络流量安康、提高工作效率、限制或制止上班时间 的非工作行为，已成为各个公司必需直接面对的问题。三、企业泄密的途径目前的企业泄密大致有以下这些途径：一、

19、 内部人员将资料通过软盘、U 盘或移动硬盘从电脑中拷出带走；二、内部人员通过互联网将资料通过电子邮件、QQ、MSN 等发送出去或发送到自己的邮箱内；3、 将电脑上的文件打印后带出公司；4、 将文件复印后带出公司；五、 将办公用便携式电脑直接带回家中；六、 电脑易手后，原来的资料没有处置，致使泄密； 7、 随便将文件设成共享，致使非相关人员猎取资料； 八、 移动存储设备共用，致使非相关人员猎取资料；九、 将自己的笔记本带到公司，连上局域网，窃取资料；10、趁同事不在，开启同事电脑，阅读、复制同事电脑里的资料；1 一、非法进入公司盗走目标机密或机密载体；1 二、网络黑客通过网络进入企业内部网络，窃

20、取机密文件；13、病毒、木马非法窃取文件。四、公司目前的信息治理现状由于公司目前信息化还未到普及的程度，加上对此的重视程度和投入力度都远远不够，所以总的来讲，公司目前 的治理是比较落伍的，很多地方都是靠治理保护人员手动来 掌握，不但效率不高，而且隐患和短处也很多。目前公司网络应用主要有四个区域：佳美购物，利生科技，行政、财务和数码，和各地分支机构，具体治理状况 如下：? XX 购物主要包括下面三个方面：? IT 设备效劳器、网络、存储等? Call Center 资源语音中继线路、可编程智能语音互换机、CTI 等? 业务应用BAS 软件系统目前治理状况：一、 BAS 系统权限设置状况：超级治理

21、员两个 XX 和 XX，治理员各部门领导和特别应用人员，操作员座席。权限说明a) 超级治理员：具有一切权限。b) 部门治理员：可针对本部门的通话、销售等进展查 询和统计，分派早释，听取本部门员工录音，撤销、修改错单等。c) 操作员：接线，查询自己销售状况。d) 数据导出权限开通状况：超级治理员，XX与 XX 物流联系二、 网络方面部门领导、XX负责与 XX 对接可访问外网，座席全数与外网隔间3、 存储方面全部电脑移动存储接口全数屏蔽， U 盘、移动硬盘、存储卡等存储设备均不能用。4、 效劳器方面效劳器由专人保护，需要远程保护时才向软件开发商 指定人员开放对外接口，寻常与外界隔间。? XX 科技

22、由于 XX 科技的客户资源全数是注册于 XX 总部的效劳器，主要针对他们的网络应用进展适当的掌握，以避开员工在上班的时候从事与工作无关的内容，结合他们部门领导的意见，除主管级以上 人员和一些讲师之外，一般员工只有连接 XX 软件和 XX 主页的权限。? 行政、XX 和财务适当屏蔽了一些网站和资源，电脑利用方面则是各人 保管自己利用的电脑密码，专人专用。? 各分支构造由于目前各分支构造都是独立的网络，没有与公司总 部形成直接联系，所以无法对其进展掌握和监控。五、公司将来的信息安全治理方案针对公司目前的现状和当前企业信息安全面临的严峻 形式，我以为，必需从治理和技术两方面入手。? 治理方面信息安全

23、治理所面对的三个重要对象别离是：人员、 数据和技术资源，针对这三个对象的信息安全治理方法需要 与其治理流程相配套。? 针对人员的治理?公司成立一整套标准的安全保密制度并严格执行。 相关员工一概签署保密合同，按期进展，使他们生疏 到保密工作的重要意义。 入职员工一概签署保密合同， 并承受公司IT 信息治理制度的学习。 入职员工需利用电脑者，一概填写电脑领用申请表? 针对数据和技术资源的治理? 数据集中治理，完善效劳器，各部门重要文件全数存放于效劳器的相应名目，工作站电脑仅共日常工作利用，不做任何重要文件的存储? 成立机房治理制度，增加机房安全治理，效劳器指派专人保护，除系统保护员进展日常保护之外

24、，其余人等不得接触效劳器。? 严格掌握上网权限，原则上，私人携带的电脑不允许利用公司内网资源，如有特别需求，报相关部门批准，并做相 (转 载 于: 小 龙文 档 网: 数据安全解决方案 ppt)应技术手腕处置前方可入网。? 制订信息安全责任准则：责任与职位职责相关，而不是与人员相关，职位转变，责任随之转变 ；治理制度与责任相关，责任不同，适用的治理制度不同? 针对公司打印机、复印机等打印资源的治理? 成立相关的外设治理条例和条规，原则上各工作站不允许随便连接打印机，如需打印权限，可先在信息部领取打印权限开通申请表，论述打印需求，经行政部审批通过以后，由信息部记录备案，再 与其连接指定的打印机。

25、? 复印机由专人治理，全部复印的文件或资料须具体记录在案，包括复印内容，时间等等。? 针对 U 盘、移动硬盘、各类内存卡等移动存储设备的利用治理? 成立相关的移动存储设备治理条例和条规，原则上各工作站不允许随便利用 USB 接口，如需利用移动存储设备，可先在信息部领取USB 接口开通申请表，经行政部审批通过以后，由信息部记录备案，再与其开通 USB 接口。? 技术方面改善网络构造，配置特地的技术设备，通过相应技术手腕封锁各类可能泄密的途径。 考虑到一些本钱因素，并结合公司此刻及以后进展的实际状况，整体的网络布局构思 如下：一、外网治理? 在公司内网与 Internet 之内，增加一台企业级防火

26、墙，其主要作用有以下几个方面：? 可防范来自外网的各类解决、病毒木马? 公司信息化普及后，通过 VPN 专用通道，可使各地分支构造安全访问公司内网资源 ? 对内网用户的 QQ、MSN 等谈天工具和邮件内容进展过滤，避开内部人员通过利用Internet 泄密? 合理分派网络带宽，对一些与工作无关的内容进展封锁。? 严格掌握上网权限? 全部需要上网的用户都要填上网权限开通申请表。操作流程：先在信息部领取表格，论述上网理由和上网的具体需求，经行政部审 批通过以后，再报信息部记录备案，然后开通相关的上网权限。? 假设是承受 VPN 方式连接各个子网，需要利用 VPN 的用户都要填写VPN 权限开通申请

27、表，经行政部审批通过以后，再报信息部记录备 案，然后领取 VPN 用户名和密码及利用说明。二、内网治理转变现有的单一工作组模式，添加域效劳器，承受域 治理，其特长如下：一、 权限治理比较集中，治理本钱大大下降。? 域环境，全部网络资源，包括用户，均是在域掌握器上保护，便于集中治理。全部效户只要登入到域，在域内均能进展身份验证，治理人员 可以较好的治理计算机资源，治理网络的本钱大大降低。? 避开公司员工在客户端乱装软件 , 能够增加客户端安全性、削减客户端故障，降低保护本钱。二、 安全性增加。? 有利于企业的一些保密资料的治理 ,比方说某个盘某个人可以进，但另一个人就不行以进；哪个文件只让哪个人

28、看；或让某些人可以看,但不 可以删/改/移等。? 可以封掉客户端的 USB 端口，避开公司机密资料的外泄。3、 利用漫游账户和文件夹重定向技术。? 个人账户的工作文件及数据等可以存储在效劳器上，统一进展备份、治理，用户的数据加倍安全、有保障。当客户机故障时，只需利用其他客户机安装相应软件以用户帐号登录即可，用户会觉察自己 的文件仍旧在“原来的位置”比方，我的文档，没有丧失，从而可以更快地进展故障修复。? 卷影副本技术可让用户自行找回文件以前的版本或误删除的文件限保存过的 32个版本。? 在效劳器离线时故障或其他状况，“脱机文件夹”技术会自动让用户利用文件的本地缓存版本连续工作，并在注销或登录系统时与效劳器 上的文件同步，保证用户的工作不会被打断。4、 便利用户利用各类资源。? 可由治理员指派登录脚本映射散布式文件系统根名目，统一治理。用户登录后就可以够像利用本地盘符一样，利用网络上的资源，且不需再次