信息系统安全方案计算机网络信息安全_计算机-网络信息安全.pdf

《信息系统安全方案计算机网络信息安全_计算机-网络信息安全.pdf》由会员分享，可在线阅读，更多相关《信息系统安全方案计算机网络信息安全_计算机-网络信息安全.pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、系统安全 由于这套系统涉及到企业至关重要的信息，其在保密性、准确性及防篡改等安 全方面都有较高的要求，因此，本系统着重设计了一套严密的安全措施。一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施（含网络、通信设备）以及其他媒体免 地震、水灾、火灾、有害气体和其他环境事故（如电磁污染）破坏的措施、过程。这 是整个管理信息系统安全运行的基本要求。尤其是机房的安全措施，计算机机房建设应遵循国标 GB2887-89计算机场地 技术条例和 GB9361-88计算机场地安全要求，满足防火、防磁、防水、防 盗、防电击、防虫害等要求，配备相应的设备。2、运行安全措施 为保障整个系统功能的安全实

2、现，提供一套安全措施，来保护信息处理过程的 安全，其中包括:风险分析、审计跟踪，备份恢复、应急等。制定必要的、具有良好可操作性的规章制度，去进行制约，是非常必要和重要 的,而且是非常紧迫的。形成一支高长自觉、遵纪守法的技术人员队伍，是计算机网络安全工作的乂一 重要环节。要在思想品质、职业道德、经营、管理、规章制度、教育培训等方面，做大量艰苦细致的丄作，强化讣算机系统的安全管理，加强人员教育,来严格有效地 制约用户对计算机的非法访问，防范法用户的侵入。只有严格的管理,才能把各种危 害遏止最低限度。3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和U的是通过对数据 采集、录入、

3、存储、加工，传递等数据流动的各个环节进行精心组织和严格控制，确 保数据的准确性、完整性、及时性、安全性、适用性和共亨性。制定良好的信息安全规章制度，是最有效的技术手段。而且不仅仅是数据，还 应把技术资料、业务应用数据和应用软件包括进去。二、防病毒措施 计算机病毒泛滥，速度之快，蔓延之广,贻害社会之大，为有史以来任何一种公 害所无可比拟。从 CIH 到红色代码和尼姆达，已充分说明了病毒的难以预知性、潜 藏性和破坏性，另一方面也说明了防毒的重要性。本系统中采用了卡巴斯基网络安全解决方案,运行在 Win2003 服务器上。该软件包含卡巴斯基实验室最新的反恶意软件技术，这些技术结合了基于特征 码的技术

4、，主动防御和 Web 协助的保护，以实现有效和多层的防御。利用基于云安 全技术的卡巴斯基安全网络提供的自动更新，实现了对新兴威胁的快速响应。三、内部网络安全 1、针对局域网采取安全措施 山于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数 据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点 的网卡所截取。因此，只要接入以太网上的任一节点进行侦听，就可以捕获发生在这 个以太网上的所有数据包,对其进行解包分析。从而窃取关键信息。这就是局域网 固有的安全隐患。系统着重设计了一套严密的安全措施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以

5、及其他媒体免地震水灾火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重要环节要在思想品质职业道德经营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业为了解决这个问题，采取了以下措施：1）网络分段 由于局域网采用以交换机为中心、路由器为边界的网络

6、格局，乂基于中心交换 机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现 对局域网的安全控制，其 L1 的就是将非法用户与敬感的网络资源相互隔离，从而防止 可能的非法侦听,这是一重要的措施。2）以交换式集线器代替共拿式集线器 山于部分网络最终用户的接入是通过分支集线器而不是交换机，而使用最广泛 的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器 之间的数据包还是会被同一台集线器上的其他用户所侦听。如一种危险的情况是：用户 TELNET到一台主机上，山于 TELNET 程序本身缺加密功能，用户所键入的每一个 字符（包括用户名、密码、关键配置等重要信

7、息），都将被明文发送，这就是一个很大 的安全隐患。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传 送,从而防止非法侦听。2、强化 Server 端的安全措施 在 B/S 结构中,S 端的重要性是显而易见的。虽然 B/S 系统的安全已比较成熟,然而 这种安全体系统中还有其潜在问题，尤其是在一个复杂系统中，山于存在着大 量的数据库实体及拥用不同操作权限的用户，存在多个用户对数据库实体的操作可 以是增、删、改、查的任意组合。因此，即使用角色或工作组的方式为其授权，也会 显得相当复杂，其至存在着严重的安全漏洞。针对这些状况，本系统采取了如下安全措施：系统着重设计了一套严密的安全措

8、施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以及其他媒体免地震水灾火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重要环节要在思想品质职业道德经营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业1）内核级透明代理 与传

9、统的 BS 安全模式不同，该系统所采取的解决方案是:每个数据库应用只建 立一个真正的数据库帐号,他具有对系统应用所涉及的所有数据实体进行操作的全 部权限。与此同时，为每一位系统操作人员分别创建了一个“应用系统帐号”，实际 上只数据库中创建的的名为 USERS 用户表里的一条记录。这样,每次应用程序在客 户端执行时，首先会以其真正数据库帐号登录数据库，然后执行自行编写的登录程序,与 USERS 表结合，实现就用系统登录。这种安全体系使得应用系统成为数据库的代理用户，而应用系统的所有操作人 员（包括系统管理员）则是数据库的间接用户；换言之，应用系统除了完成其应用逻辑 之外，还将系统用户和数据库彻底

10、隔离开来，成为数据库的一道坚固的“防火墙”III 于在这种安全体系中，真正的数据库帐号泄露及扩散的可能性儿乎为零，所有的用户 必须通过应用系统这一单点”访问数据库，所以可以得出结论只要应用程序是安 全、可靠的，则整个系统是安全可靠的。2）增强的用户授权机制 山于在这种安全体系中,应用系统成为隔离用户和数据库的防火墙，其本身就 必须具务相当的安全特性。尤其是用户授权管理机制,其严密将直接影响整个系统 的安全。基于此，从功能出发将整个系统细分为若干个可分配的最小权限单元，这些权 限具体表现在对数据库中所涉及的表、视图的数据操作（DML:插入修改删除、查询 等）的划分上。然后再运用角色或工作组的概念

11、，结合各种系统使用人员的工作性质,为系统创建了 4 类基本等级:系统管理员，高级操作员，一般操作员及简单操作员，并 相应地为每个等级赋予了不同的权限，以此来简化权限管理工作。此外，为了增加系系统着重设计了一套严密的安全措施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以及其他媒体免地震水灾火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重

12、要环节要在思想品质职业道德经营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业统安全管理的灵活性，授权管理模块还可以对属于某一等能用户的权限作进一步限 制，达到所有权限均可任意组合的效果。同时，为了进一步提高系统管理员的工作效率，系统为系统权限,用户及每种等 级所对应的默认权限组合都建立了数据字典，以便在不同的应用环境下，管理员都能 方便地增加等，或改变某种等难的默认权限，此外，为了能暂时封锁某一帐号的使用,安全系统还提供了帐号冻结及解冻的功能。能过这种方式，在统一管理之下，乂

13、具有相录的灵活性，有助于系统管理员更为 方便,更为严密地控制整个系统的安全。3）智能型日志 日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中，日志将 记录自某用户登录时起，到其退出系统时止，这所执行的所有操作，包括登录失败操 作，对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保 执行操作的机器 IP地址操作类型操作对象及操作执行时间等，以备日后审计核查之 用 在这个系统中，不仅可以分类检索日志内容,系统还能根据已记录的日志内容，通过智能型揄，自动找出可能存在的不安全因素，并实时触发相应的警告，信息以及 时通知系统管理员及用户。以下例举儿个智能性检查。潜在非法攻击

14、检查 对于那些企图登录系统的黑客，在其三次登录指令性后，系统便会自行关闭。山于使用了智能型日志系统，系统管理员便会及时得知有非法用户攻击，尤其是针对 同一帐号的攻击，在若干次尝试指失败以后，系统将会自动冻结该帐号。在与帐号持 有人取得联系后，管理员便可以根据日志文件的具体内容，如攻击点的确切位置、攻 击时间等,系统着重设计了一套严密的安全措施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以及其他媒体免地震水灾火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供

15、一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重要环节要在思想品质职业道德经营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业采取相应措施，如更改帐号口令或封锁工作站,确保系统的安全性。单帐号多用户检查 在同一时刻中，若有以同一帐号登录系统的用户出现，则说明某一帐号可能已 被泄露，这在一定程度上将对系统安全构成威胁。为此系统将自动监视，统讣这种情 况度及时通知系统管理员，以杜绝帐号扩散的可能,防患于未然。

16、非工作时间操作检查 对于 8 小时工作时间之外的任何操作或是被管理定义成非工作时所执行的任 何操作，智能型日志也会视之为可疑现象而警告系统管理员 4）完善的备份及恢复机制 诚然，日志能记录任何非法操作，然而要真正使系统从灾难中恢复出来,还需要 一套完善的备份方案及恢复机制 为了防止存储设备的异常损坏,本系统中采用了可热插拔的 SCSI 硬盘所组成 的磁盘容错阵列，以 RAID5 的方式进行系统的实时热备份。为了防止人为的失误或破坏，本系统中建立了强大的数据库触发器以备份重要 数据的删除操作，其至更新任务。保证在任何情况上，重要数据均能最大程度地有效 恢复。具体而言,对于删除操作，作者将被操作的

17、记录全部存贮在备份库中。而对于 更新操作,考虑到信息量 过于庞大,仅仅备份了所执行的 SQL 语句。这样，既能查看到被的内容，乂能相 当程度地减小备份库存贮容量。系统着重设计了一套严密的安全措施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以及其他媒体免地震水灾火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重要环节要在思想品质职业道德经

18、营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业而在需要跟踪追溯数据丢失或破坏事件的全部信息时，则将系统日志与备份数 据有机地结合在一起真正实现系统安全性。四、广域网络的安全 山于广域网釆用公网来进行数据传输，信息在广域网上传输时被截取和利用就 比局域网要大得多。本系统中涉及到无线网络部分和远程访问部分，因此，必须采取 必要的手段,使得在广域网上的发送和接收信息时能够保证：除了发送方和接收方外,其他人是无法知悉的（隐私性）传输过程中不被篡改（真实性）发送方能确知接收方不是假冒

19、的（非伪装性）发送方不能否认自己的发送行为（不可抵赖性）为达到以上 U 的，我们采用了以下措施：1、加密技术的运用 加密技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的 安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分 为三类，即对称型加密、不对称型加密和不可逆加密。本系统中选用了不可逆加密，因为其不存在密钥保管和分发问题，且山于本系 统中需采取这种措施的数据量有限，所以这种加密方式是适用于系统的网络体系结 构。五、针对外网采取安全措施系统着重设计了一套严密的安全措施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以及其他媒体免地震水灾

20、火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重要环节要在思想品质职业道德经营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业这里所指的外网，是指本系统中与 Internet 的互联与外部一些企业用户部 分。因为采用的是基于 TCP/IP 协

21、议族,Internet 协议族自身的开放性极大地方便 了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是山于在早期 网络协议设计上对安全性的忽视，至使 Internet 在使用和管理上的无政府状态，逐 渐使 Internet 自身的安全受到威胁。外网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系 统正常运行、利用网络传播病毒、线路窃听等。针对上述悄况，本系统采取了防火墙技术、入侵检测技术和网络防病毒技术相 结合的方法。系统着重设计了一套严密的安全措施一一般措施实体安全措施就是要采取一些保护计算机设备设施含网络通信设备以及其他媒体免地震水灾火灾有害气体和其他环境事故如电磁污染破坏的措施过程这是整个管理信息系统安全运行的防磁防水防盗防电击防虫害等要求配备相应的设备运行安全措施为保障整个系统能的安全实现提供一套安全措施来保护信息处理过程的安全其中包括风险分析审计跟踪备份恢复应急等制定必要的具有良好可操作性的规章制度去进行乂一重要环节要在思想品质职业道德经营管理规章制度教育培训等方面做大量艰苦细致的丄作强化讣算机系统的安全管理加强人员教育来严格有效地制约用户对计算机的非法访问防范法用户的信息安全措施数据是信息的基础是企业