知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 的 貴州電信 信息安全系統(tǒng) 解決 方案 北京 綠盟 科技 有限公司 2005 年 7 月 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 目 錄 1 貴州電信安全風(fēng)險與安全需求分析 . 4 1.1 安全風(fēng)險分析 . 4 1.1.1 系統(tǒng)脆弱性和潛在的危險性分析 . 4 1.1.2 安全風(fēng)險評估 . 7 1.2 安全需求分析 . 8 1.2.1 信息安全管理體系的建設(shè)需求 . 8 1.2.2 物理與鏈路層安全需求 .11 1.2.3 網(wǎng)絡(luò)層安全需求 .11 1.2.4 主機與系統(tǒng)層安全需求 . 12 1.2.5 應(yīng)用層安全需求 . 13 2 貴州電信安全系統(tǒng)總體設(shè)計與規(guī)劃 .15 2.1 安全系統(tǒng)整體框架設(shè)計 . 15 2.2 總體安全策略 . 17 2.2.1 技術(shù)策略 . 18 2.2.2 管理策略 . 22 2.3 統(tǒng)一安全綜合管理平臺設(shè)計 . 23 2.3.1 需求及現(xiàn)狀分析 . 23 2.3.2 主要問題以及建設(shè)必要性 . 24 2.3.3 系統(tǒng)總體目標 . 26 2.3.4 安全綜合管理平臺框架 . 29 2.3.5 系統(tǒng)主要功能及實施 . 31 2.4 通信平臺安全體系 . 39 2.4.1 物理安全措施 . 39 2.4.2 鏈路傳輸加密系統(tǒng)設(shè)計 . 41 2.5 網(wǎng)絡(luò)平臺安全體系 . 42 2.5.1 網(wǎng)絡(luò)安全優(yōu)化 . 42 2.5.2 防火墻子系統(tǒng)設(shè)計 . 44 2.5.3 入侵檢測與安全審計系統(tǒng)設(shè)計 . 46 2.6 主機平臺安全體系 . 50 2.6.1 系統(tǒng)安全漏洞掃描與加固子系統(tǒng)設(shè)計 . 50 2.6.2 操作系統(tǒng)安全子系統(tǒng) . 54 3 信息安全管理體系 .56 3.1 在 安全管理的主要內(nèi)容 . 56 3.2 安全管理技術(shù)平臺 . 57 3.3 安全管理體系 . 58 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 3.3.1 安全體系 . 58 3.3.2 安全 組織機構(gòu) . 58 5.3.3 安全管理制度 . 60 3.4 基于策略的安全管理 . 66 4 安全服務(wù) .69 4.1 安全咨詢服務(wù) . 69 4.1.1 安全需求分析 . 69 4.1.2 安全顧問 . 70 4.1.3 安全方案設(shè)計 . 71 4.1.4 安全研究與產(chǎn)品測評 . 71 4.2 安全技術(shù)支持服務(wù) . 72 4.2.1 安全產(chǎn)品實施 . 72 4.2.2 網(wǎng)絡(luò)安全日常維護 . 72 4.2.3 安全信息通告服務(wù) . 73 4.3 安全評估服務(wù) . 73 4.3.1 安全評估對象 . 73 4.3.2 安全評估內(nèi)容 . 74 4.4 應(yīng)急響應(yīng)服務(wù) . 74 4.4.1 安全應(yīng)急響應(yīng)體系 . 74 4.4.2 應(yīng)急響應(yīng)服務(wù)的內(nèi)容 . 76 4.5 安全培訓(xùn)服務(wù) . 77 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1 貴州電信 安全風(fēng)險與安全需求分析 1.1 安全風(fēng)險分析 在 貴州電信 信息網(wǎng)絡(luò)系統(tǒng)中，由于在網(wǎng)絡(luò)技術(shù)與協(xié)議上的開放性，以及根據(jù)我們前面分析的各種在網(wǎng)絡(luò)使用和管理上、技術(shù)上、安全管理等多方面暴露出的問題，使得整個網(wǎng)絡(luò)存在著各種類型的安全隱患和潛在的危險，黑客及懷有惡意的人員將可能利用這些安全隱患對網(wǎng)絡(luò)進行攻擊，造成嚴重的后果。因此如何保護重要信息不受黑客和不法分子的入侵，保證 貴州電信 信息網(wǎng)絡(luò)系統(tǒng)的可用性、保密性和完整性等 安全目標 的問題擺在我們面前 。 1.1.1 系統(tǒng)脆弱性和潛在的危險性分析 我們根據(jù) 貴州電信 信息網(wǎng)絡(luò)系統(tǒng) 的實際情況，結(jié)合用戶的安全現(xiàn)狀以及存在的安全問題，對 貴州電信 網(wǎng)絡(luò)中潛在的安全威脅與安全隱患進行 綜合 分析 與評估，具體分析如下 ： 1、 傳輸線路信息泄漏： 貴州電信 行業(yè)網(wǎng) 是 大型 的 廣域 網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)覆蓋的范圍廣，用戶數(shù)據(jù)量大而且采用的都是通用的協(xié)議和平臺，因此在網(wǎng)絡(luò)上的信息和數(shù)據(jù)容易遭到外部人員的竊聽，特別是在通過公共通信網(wǎng)傳輸 數(shù)據(jù) 的 通道或平臺上 。 2、 來自“外部”的入侵 ： 貴州電信 行業(yè)網(wǎng) 是一個有 分布式 的廣域網(wǎng)絡(luò)，整體比較復(fù)雜，同時 與 Internet 相連，并向 外提供信息發(fā)布的服務(wù)，具有一定的開放性； 而目前沒有嚴格的安全防范措施，因此很容易遭到 Internet 上黑客的攻擊。此外，省煙草網(wǎng)絡(luò)還通過廣域網(wǎng)與其它單位（卷煙廠、分市公司等）相連，也存在被 下級單位或分支機構(gòu) 攻擊的可能性 。 3、 非授權(quán)訪問 ：有意避開系統(tǒng)訪問控制機制，對系統(tǒng)設(shè)備及資源進行非正常使用，擅自擴大權(quán)限，越權(quán)訪問信息。在 貴州電信 信息網(wǎng)絡(luò)系統(tǒng) 中具體表現(xiàn)在： 破壞信息的完整性； 更改信息的內(nèi)容、形式； 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 刪除某個消息或消息的某些部分； 在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。 4、 冒充合法用戶 ：網(wǎng) 上“黑客”非法增加節(jié)點，使用假冒主機欺騙合法用戶及主機；使用假冒的系統(tǒng)控制程序套取或修改使用權(quán)限、口令、密鑰等信息，然后，利用這些信息進行登錄，從而達到欺騙系統(tǒng)，占用合法用戶資源的目的。貴州電信 信息網(wǎng)絡(luò)系統(tǒng)中存在這方面的安全隱患 ， 具體有 ： 假冒主機欺騙合法主機及合法用戶； 假冒網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源； 接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源。 5、 破壞數(shù)據(jù)的完整性 ：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù) 據(jù)，以干擾用戶的正常使用。 6、 數(shù)據(jù)篡改與丟失 ：對于像 貴州電信 這樣的大型 企事業(yè)單位 來說各類業(yè)務(wù)數(shù)據(jù)是 其 最重要的 信息 資產(chǎn)，隨著信息化的發(fā)展，信息平臺中的數(shù)據(jù)也成為信息安全所要考慮的重點。現(xiàn)有的許多安全事件證明入侵者的最終目的往往是企業(yè)的核心數(shù)據(jù)，對重要數(shù)據(jù)的竊取、篡改、破壞，而這些等將對企業(yè)開來巨大的損失，因此如何保護企業(yè)的核心業(yè)務(wù)數(shù)據(jù)的完整性、可靠性、保密性及不可抵賴性是 貴州電信 信息安全需要考慮的重點。 7、 破壞系統(tǒng)的可用性 ：不斷對服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓 ， 嚴重 影響正常用戶的使用。 在 貴州電信中存在 破壞系統(tǒng)可用性的威脅，而且發(fā)生的可能比較大，具體表現(xiàn)為 ： 使合法用戶不能正常訪問網(wǎng)絡(luò)資源； 使有嚴格時間要求的服務(wù)不能及時得到響應(yīng)； 更改信息發(fā)布系統(tǒng)發(fā)布的內(nèi)容，造成不良的影響。 8、 網(wǎng)絡(luò)病毒問題 ：在 貴州電信 信息網(wǎng)絡(luò)系統(tǒng) 中，由于病毒的泛濫，曾對計算機 信息網(wǎng)絡(luò)系統(tǒng)的正常運行 造成了 很大的影響 ；特別是近來頻繁爆發(fā)的各種通過電子郵件、文件共享等傳播的網(wǎng)絡(luò)蠕蟲病毒對整個網(wǎng)絡(luò)的威脅日益增加，如前期爆發(fā)的沖擊波病毒，嚴重影響了 整個 網(wǎng)絡(luò)系統(tǒng)的正常運行并造成巨大損失。雖然 貴州電信 信息網(wǎng) 絡(luò)系統(tǒng)中 已經(jīng)部署了防病毒產(chǎn)品，但是由于各種客觀原因，病毒問題還是存在，因此網(wǎng)絡(luò)病毒的威脅絕對不容忽視。 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 9、 來自內(nèi)部人員的威脅 ：據(jù) IDC 統(tǒng)計， 2001 年來自于內(nèi)部人員的安全事件占安全事件總數(shù)的 70以上?？赡苁莾?nèi)部員工的計算機與 Internet 相連，其機器遭到黑客的攻擊，黑客再利用它作為跳板，攻擊重要的服務(wù)器；而且來自于內(nèi)部員工（或者內(nèi)外勾結(jié)）的破壞行為，往往對整個系統(tǒng)的破壞作用將更大。 貴州電信 信息網(wǎng)絡(luò)系統(tǒng)中 也同樣面臨來自內(nèi)部人員的威脅。 內(nèi)部安全威脅包括兩個方面：一是內(nèi)部員工的惡意攻擊，由于在網(wǎng)絡(luò)內(nèi)部較網(wǎng) 絡(luò)外部更容易直接通過局域網(wǎng)連接到核心服務(wù)器等關(guān)鍵設(shè)備，尤其是管理員擁有一定的權(quán)限可以輕而易舉地對內(nèi)網(wǎng)進行破壞，造成嚴重后果。另外一方面是由于內(nèi)部人員的誤操作，或者為了貪圖方便繞過安全系統(tǒng)等違規(guī)的操作從而對網(wǎng)絡(luò)構(gòu)成威脅。由此看來，在 貴州電信 信息網(wǎng)絡(luò)系統(tǒng) 中，網(wǎng)絡(luò)內(nèi)部安全更需要引起重視。 10、 安全管理比較薄弱 ：隨著網(wǎng)絡(luò)安全事件的頻繁發(fā)生，各企業(yè)開始紛紛加強投入信息安全方面的建設(shè)，越來越多的各項安全技術(shù)、產(chǎn)品被廣泛的使用，但目前許多用戶在安全管理方面比較薄弱 ，而 貴州電信 信息網(wǎng)絡(luò)系統(tǒng) 中也面臨著同樣的問題 。 目前，在 貴 州電信 信息網(wǎng)絡(luò)安全建設(shè)中， 在技術(shù)上缺乏完善的 安全綜合管理平臺 ，對所有的安全系統(tǒng)進行統(tǒng)一協(xié)調(diào)的管理，將它們?nèi)诤蠟橐粋€整體；而在管理上缺乏良好的安全管理體制和策略，包括制度的不完善、機構(gòu)混亂、策略不統(tǒng)一等都需要提高，而這些直接導(dǎo)致了整個安全體系的華而不實，造成網(wǎng)絡(luò)整體安全防御能力的下降，無法真正達到 貴州電信 的安全 要求和建設(shè)目標 。 綜上所述， 在 貴州電信 信息網(wǎng)絡(luò)系統(tǒng)中，存在針對信息系統(tǒng)可用性、保密性以及完整性的許多安全問題，而 造成像 貴州電信 信息網(wǎng)絡(luò)系統(tǒng) 這樣開放系統(tǒng)脆弱性的原因是信息傳播的廣域性和自身網(wǎng)絡(luò)協(xié)議的開放性 、以及安全管理制度等幾方面所致。 因此，需要從整體上進行充分的、綜合的評估分析，確認系統(tǒng)中最迫切需要解決的安全問題，從而為安全體系的規(guī)劃以及建設(shè)提供明確的指導(dǎo)性建議， 建設(shè) 貴州電信 信息網(wǎng)絡(luò)安全系統(tǒng) 必須從增強安全意識出發(fā)，在系統(tǒng)的設(shè)計結(jié)構(gòu)上增強安全功能，同時進行安全技術(shù)和安全管理兩個層次的建設(shè)， 逐步完善信息安全體系的建設(shè)，全面保障 貴州電信 信息網(wǎng)絡(luò)系統(tǒng)的可靠、穩(wěn)定的運行。 下面我們就在 貴州電信 行業(yè) 計算機網(wǎng)絡(luò)與信息安全系統(tǒng)的安全需求的基礎(chǔ)上進行整體設(shè)計與規(guī)劃。 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1.1.2 安全風(fēng)險評估 風(fēng)險評估就是確認安全風(fēng)險以及影響 大小的過程，一般采用定量以及定性分析方法，確定保護數(shù)據(jù)的風(fēng)險等級以及安全措施實施的優(yōu)先次序。 在進行 貴州電信 安全風(fēng)險評估過程中，我們綜合考慮了如下因素： 安全 事件 可能造成的業(yè)務(wù)損失，包含由于信息和其他資產(chǎn)的保密性、完整性或可用性損失可能造成的后果 ； 當前主要的威脅和漏洞帶來的現(xiàn)實安全問題，以及目前實施的控制措施 ； 在整個安全風(fēng)險評估過程中，根據(jù) 貴州電信 信息安全系統(tǒng)所保護的范圍進行了全方位的分析。根據(jù)上述的安全威脅以及安全隱患的分析，在 貴州電信 網(wǎng)絡(luò)信息系統(tǒng)中，各主要威脅的風(fēng)險評估如下表所示： 序號 風(fēng)險與威脅 發(fā)生的概率 危害程度 安全目標 已有措施 1 自然災(zāi)害和環(huán)境事故 低 中 可用性 已經(jīng)采取物理安全措施 2 信息泄漏 低（專網(wǎng)） /中 低 保密性 3 網(wǎng)絡(luò)入侵 中 中 可用性、完整 性 Internet 出口處防火墻 4 非授權(quán)訪問 低 高 完整性 通過系統(tǒng)認證進行控制 5 冒充合法用戶 低 中 保密性、可用 性、完整性 6 口令使用與破解 中 中 保密性 7 破壞數(shù)據(jù)完整性 中 高 完整性 8 數(shù)據(jù)丟失 低 高 可用性、完整 性 9 網(wǎng)絡(luò)病毒傳播 高 中 可用性 部署了病毒防殺系統(tǒng) 10 惡意代碼與后門 低 高 可用性、完整 性、保密性 11 破壞系統(tǒng)可用性 低 高 可用性 12 安全管理缺陷 中 高 可用性、完整 性、保密性 建立了部分管理制度 13 不良的內(nèi)部人員 低 高 可用性、完整 性 14 人員意識薄弱 高 中 可用性、保密 性、完整性 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 從上述安全評估結(jié)果來看，目前 貴州電信 中存在的安全風(fēng)險影響到 貴州電信可用性、完整性以及保密性 等 的 主要 安全目標。由于信息安全系統(tǒng)的建設(shè)是一個動態(tài)的、具有生命周期的系統(tǒng)過程，因此在安全系統(tǒng)建設(shè)完成之后，隨著技術(shù)的發(fā)展以及業(yè)務(wù)的擴展，系統(tǒng) 可能會產(chǎn)生新的漏洞、新的安全問題和隱患，因此 需要持續(xù)不斷對系統(tǒng)進行檢測、監(jiān)控以及評估，及時發(fā)現(xiàn)系統(tǒng)中存在的新的弱點，并采取相應(yīng)的技術(shù)和管理手段，彌補漏洞、加固系統(tǒng)，進一步完善安全保障體系，使得 信息網(wǎng)絡(luò) 安全系統(tǒng)的建設(shè)形成一個 動態(tài)的、 良性循環(huán)的 、系統(tǒng)化的生命周期過程。 1.2 安全需求分析 安全 需求 是通過對安全風(fēng)險的系統(tǒng)評估確定的 ，我們在進行安全系統(tǒng)建設(shè)過程中 將 充分考慮 實施 安全 控制措施的支出與安全故障可能造成的 業(yè)務(wù) 損失進行權(quán)衡考慮 。 安全需求是建立良好的安全體系的前提條件，我們從 貴州電信 行業(yè) 網(wǎng)絡(luò)系統(tǒng)得 實際 情況 出 發(fā)，根據(jù)對用戶網(wǎng)絡(luò)系統(tǒng)脆弱性 以及安全威脅 的 風(fēng)險評估 ， 結(jié)合 貴州電信 安全系統(tǒng)的總體建設(shè)目標 ，我們把整體的安全需求根據(jù)不同的側(cè)重點，從信息 安全管理 體系 、物理與鏈路層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全等各個層次 進行 充分的考慮 。 安全需求 涵蓋了整個信息系統(tǒng)的每個層次，具有一定的縱深性和涵蓋面， 其中安全管理部分我們認為是非中重要的一項，因為完善的安全防御體系是以各類安全技術(shù)的應(yīng)用加以安全管理貫穿于始終，才能實現(xiàn)安全系統(tǒng)的良好運作發(fā)揮其性能。 通過對 貴州電信 行業(yè) 網(wǎng)絡(luò) 信息 系統(tǒng)中各個層次 的安全需求 綜合 分析， 才能有的放矢地 設(shè)計和規(guī)劃出滿足 貴州電信 安全要求、并貼近 貴州電信 實際情況的、有效的 信息安全 保障 體系。 貴州電信 信息安全保障體系各層次的安全需求具體描述如下： 1.2.1 信息安全管理體系的建設(shè)需求 “三分技術(shù)，七分管理” 說明了管理在整個信息網(wǎng)絡(luò)安全系統(tǒng)建設(shè)過程中的重要性。確實如此，因為在整個安全過程中，不管是安全事件的產(chǎn)生（黑客攻擊、知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 病毒代碼等）、安全產(chǎn)品的研發(fā)、安全系統(tǒng)的規(guī)劃與實施、安全系統(tǒng)的維護與監(jiān)管、安全事件的處理等所有與安全相關(guān)的內(nèi)容都是由人在負責(zé)和處理，因此需要有一個規(guī)范化、系統(tǒng)化的安全管理體系來維系人和技術(shù)這兩個 因素之間的關(guān)系。另外， 沒有 絕對安全 的 信息 系統(tǒng)， 再優(yōu)秀的安全產(chǎn)品和安全體系如果沒有統(tǒng)一的策略與管理無法提供良好安全防護能力。 因此 在 貴州電信 信息網(wǎng)絡(luò)安全系統(tǒng)建設(shè)過程中，明確了 安全管理 的重要性 ， 整個信息安全系統(tǒng)的建設(shè)以安全管理為核心 ，通過對 安全防護技術(shù)體系、安全服務(wù)體系以及安全人員 的統(tǒng)一調(diào)控和管理，實現(xiàn)貴州電信 全省 安全體系架構(gòu)的建設(shè)。 貴州電信 信息安全管理體系主要由兩個方面組成：一個是安全管理技術(shù)平臺，另一個是安全管理體系的建設(shè)， 這個兩個方面相輔相成，缺一不可 ； 安全管理體系從組織上、策略上、制度上明確人員的職責(zé)分 工和要求，對安全過程中各工作的內(nèi)容進行了明確定義和詳細的規(guī)定；而安全管理技術(shù)平臺則從技術(shù)上實現(xiàn)對全網(wǎng)運行狀況監(jiān)管，實現(xiàn)全網(wǎng)統(tǒng)一管理，同時在技術(shù)上監(jiān)督相關(guān)人員在執(zhí)行安全管理制度方面的情況，因此兩者是互為一體的。 1、安全管理技術(shù)平臺 為 了能夠?qū)崿F(xiàn)對 貴州電信 全省信息網(wǎng)絡(luò)系統(tǒng) 的安全性 進行統(tǒng)一、集中的監(jiān)管 ，建立 全省 安全 綜合 管理平臺是十分必要的，統(tǒng)一 安全綜合管理平臺 是整個 信息 安全 技術(shù) 體系的基礎(chǔ)平臺和核心。 在 貴州電信 信息安全系統(tǒng)建設(shè)中，安全管理技術(shù)平臺要達到如下目標 ： 建立全網(wǎng)的安全管理與監(jiān)控中心。 對全網(wǎng)所有系統(tǒng)的運 行狀況進行監(jiān)控，保障系統(tǒng)運行安全，監(jiān)控和保護信息處理過程的安全。運行安全保障的目標包括：操作系統(tǒng)、各類安全產(chǎn)品、主要網(wǎng)絡(luò)設(shè)備、主要應(yīng)用系統(tǒng)等。 建立省 公司 、 分公司 、 縣（市）公司 等 三級的、 分布式 的 、多層次的安全管理與監(jiān)控的網(wǎng)絡(luò)，實現(xiàn)全網(wǎng)的集中管理。 通過各級 的安全監(jiān)控中心，監(jiān)控數(shù)據(jù)能夠?qū)訉臃治龊蛥R總，傳輸?shù)绞【值陌踩O(jiān)控中心，從而能夠觀察和控制全省系統(tǒng)的運行狀況，及時發(fā)現(xiàn)系統(tǒng)的安全隱患 ，為全省 IT的決策提供科學(xué)的依據(jù) 。 安全綜合管理平臺 將把所有其它孤立的安全產(chǎn)品集成到一起，一方面對知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 這些產(chǎn)品提供互相交互的機制，一 方面對管理層提供統(tǒng)一的數(shù)據(jù)匯總；警報和管理的機制。 建立一個全網(wǎng)的應(yīng)急響應(yīng)和反饋機制。對網(wǎng)絡(luò)外部和內(nèi)部人員的入侵、越權(quán)和誤操作等行為進行監(jiān)控，及時以各種形式，向控制中心發(fā)出警報，更重要的是，在緊急情況下，能夠依據(jù)系統(tǒng)設(shè)定的規(guī)則，自動的與其它相關(guān)產(chǎn)品協(xié)同一致，切斷非法行為，隔離破壞者，緩解破壞的程度等。 提供詳細的審計和事后日志紀錄，并通過對相關(guān)歷史紀錄的數(shù)據(jù)挖掘和分析，獲得有價值的統(tǒng)計、分析報告，并為追查可能發(fā)生的安全事件提供證據(jù)。 2、安全管理體系 企業(yè)安全策略不可能在一開始就覆蓋了所有的安全隱患，也不 可能隨著企業(yè)信息化建設(shè)的不斷發(fā)展而不做任何改變，在安全體系建設(shè) 完成 后，良好的運行維護管理是保障 企業(yè) 信息安全的重要因素。因此， 建立 貴州電信 完善的 安全策略、安全規(guī)范和 管理 制度，才能更好的對 貴州電信 整個安全體系進行控制和管理，也將確保整個系統(tǒng)具有更長的生命周期，并持續(xù)高效、穩(wěn)定地運行。 因此，在 貴州電信 安全管理體系建設(shè)過程中， 主要包括以下幾個部分： 建立一個專門負責(zé)安全管理 的組織機構(gòu)，即 貴州電信 信息安全管理委員會 ，來保障整個安全體系的順利運行。該 委員會 由來自于技術(shù)部門和業(yè)務(wù)部門的人員構(gòu)成，并由 負責(zé)信息安全的 領(lǐng)導(dǎo)直接 管理。該 委員會 必須制定整個 貴州電信 的安全政策和策略以及一系列體現(xiàn)安全政策的安全的規(guī)章制度， 安全系統(tǒng)的建設(shè)規(guī)劃以及實施，人員的培訓(xùn)，安全系統(tǒng)的監(jiān)控與維護，安全事故的處理等，都統(tǒng)一 由 委員會策劃、 監(jiān)督執(zhí)行。 建立一套 完善的、貼近實際情況的 貴州電信 信息 安全管理規(guī)范及體制。通過對設(shè)備、系統(tǒng)、人員、運行、預(yù)警、保障等各個環(huán)節(jié)的規(guī)范化和制度化，并 通過技術(shù)手段監(jiān)督、 嚴格貫徹實行，這樣才能真正地達到技術(shù)與管理的有機統(tǒng)一，提供全網(wǎng)信息安全保障。 要提高整個企業(yè)信息化整體安全水平，安全意識是前提，安全知識與技術(shù)是基礎(chǔ)，安全隊伍建 設(shè)是保障，安全管理是根本。 任何系統(tǒng)不是完美知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 無缺的，它也會帶來負面影響，如系統(tǒng)性能的降低，操作步驟增加，維護工作復(fù)雜等問題。提高 貴州電信 全省各級 員工從上到下對信息的重視程度，提高全員的安全意識和安全知識是非常實效的安全措施；同時，培養(yǎng)具有專業(yè)水準的網(wǎng)絡(luò)安全管理員也是 貴州電信 網(wǎng)絡(luò)安全系統(tǒng)建設(shè)成功長久的有力保障。 1.2.2 物理與鏈路層 安全需求 1、 物理安全 在現(xiàn)有基礎(chǔ)上加強關(guān)鍵 貴州電信 各級單位網(wǎng)絡(luò)機房 的物理安全保護。 建立關(guān)鍵主干機房的監(jiān)控系統(tǒng)，對關(guān)鍵機房的日常情況進行監(jiān)控，并將相關(guān)視頻信息傳輸至監(jiān)控中心。 2、 數(shù)據(jù)傳輸鏈路 大量數(shù)據(jù)通過行業(yè)內(nèi)廣域網(wǎng)進行傳輸，對數(shù)據(jù)的傳輸安全應(yīng)達到安全保密以及完整的要求，并且傳輸鏈路應(yīng)通過備份鏈路的方式，保證信息傳輸不受到人為、物理的其它因素影響。 1.2.3 網(wǎng)絡(luò)層 安全需求 網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進攻信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面，因此在 貴州電信 信息網(wǎng)絡(luò)安全系統(tǒng)中，網(wǎng)絡(luò)平臺安全體系的需求主要體現(xiàn)在： 網(wǎng)絡(luò)安全優(yōu)化 主要包括根據(jù) 貴州電信 各級單位局域網(wǎng)不同網(wǎng)段的不同功能要求和不同的安全等級，對整個網(wǎng)絡(luò)體系架構(gòu)進行相關(guān)的安全域劃分。并根據(jù)不同的安全需求，設(shè)立 相關(guān)訪問控制。對現(xiàn)有的網(wǎng)絡(luò)設(shè)備加強安全策略配置如訪問控制列表，進行嚴格的訪問控制。 防火墻 防火墻是網(wǎng)絡(luò)層安全領(lǐng)域最成熟、使用最廣泛的技術(shù)，用于割斷信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具。在 貴州電信 各級網(wǎng)絡(luò)中部署防火墻隔離內(nèi)外網(wǎng)，設(shè)置各級安全屏蔽，將全網(wǎng)在網(wǎng)絡(luò)上分割為相對獨立的子網(wǎng)，防止來自外部的非法訪問知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 和操作。 網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng) 建立 貴州電信 各級單位的網(wǎng)絡(luò)入侵檢測與安全審計系統(tǒng)，及時監(jiān)測并報告來自外部和網(wǎng)絡(luò)其它部分的黑客入侵行為，拒絕服務(wù)攻擊，違規(guī)操作等，并能對相關(guān)入侵行為進行主動反饋，報警和阻斷。 網(wǎng) 絡(luò)安全監(jiān)管與故障處理 通過建立各級單位的網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)對全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、鏈路的情況進行實時監(jiān)控與管理，及時發(fā)現(xiàn)網(wǎng)絡(luò)故障情況，并采取相應(yīng)的響應(yīng)報警機制，馬上通知管理人員進行處理，盡量保障網(wǎng)絡(luò)的可用性。 1.2.4 主機與 系統(tǒng)層 安全需求 主機系統(tǒng)是 貴州電信 整個應(yīng)用業(yè)務(wù)的基礎(chǔ)平臺，其安全性會影響到全省各項應(yīng)用業(yè)務(wù)系統(tǒng)能否正常運營。 主機平臺安全的主要需求包括，通過相關(guān)的技術(shù)手段和措施，保障系統(tǒng)內(nèi)部所有相關(guān)主機及操作系統(tǒng)，主流應(yīng)用軟件，客戶端系統(tǒng)不受到惡意的攻擊和破壞。在 貴州 安全系統(tǒng)中，主機與系統(tǒng)層安 全需求具體包括如下： 主機系統(tǒng)漏洞掃描與加固 采用安全掃描技術(shù)，對 貴州電信 各級單位網(wǎng)絡(luò)中關(guān)鍵的 主機和服務(wù)器進行定期 漏洞 掃描 與評估 ，針對相關(guān)的系統(tǒng)漏洞，提出修補的措施，并定期進行相關(guān)操作系統(tǒng)的 裁剪、修補和加固的工作 。 操作系統(tǒng)安全 通過使用主機訪問控制等技術(shù)措施及手段， 對 貴州電信 信息網(wǎng)絡(luò) 系統(tǒng)中的 核心業(yè)務(wù) 主機與服務(wù)器系統(tǒng) 嚴格劃分、管理、控制用戶的權(quán)限和行為 ，增強操作系統(tǒng)的健壯性以及安全性，使操作系統(tǒng)達到更高層次的安全 等級 。 網(wǎng)絡(luò)病毒防殺系統(tǒng) 完善 貴州電信 全省的網(wǎng)絡(luò)病毒檢測與防范系統(tǒng)， 及時檢測和控制各種文件、宏和 其它網(wǎng)絡(luò)病毒的傳播和 破壞 ，具有集中統(tǒng)一的管理界面，系統(tǒng)具有自動升級，自動數(shù)據(jù)更新，可管理性等特性。 主機安全監(jiān)管 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 通過 網(wǎng)絡(luò)安全綜合管理，對關(guān)鍵主機和服務(wù)器系統(tǒng)的運行狀態(tài)、資源的使用情況、安全日志等進行監(jiān)管，及時發(fā)現(xiàn)系統(tǒng)的異常行為和故障，保障主機與業(yè)務(wù)系統(tǒng)的可用性。 系統(tǒng)冗余和備份 針對 貴州電信 信息網(wǎng)絡(luò)系統(tǒng)中 關(guān)鍵的主機應(yīng)用系統(tǒng)，應(yīng)該建立相應(yīng)的系統(tǒng)冗余與備份措施，如可通過服務(wù)器集群、雙機熱備等措施，最大程度保障主機系統(tǒng)的可用性，最大程度的保障煙草業(yè)務(wù)的連續(xù)性。 1.2.5 應(yīng)用層 安全需求 應(yīng)用平臺安全是系統(tǒng)最終 保障的目標，數(shù)據(jù)的保密性、高可靠性和防篡改等特性，以及應(yīng)用系統(tǒng)對于系統(tǒng)功能和相關(guān)數(shù)據(jù)的嚴格控制，將成為整個應(yīng)用和數(shù)據(jù)安全體系的主要需求。 在 貴州電信 安全系統(tǒng)建設(shè)過程中，應(yīng)用安全需求 具體包括： 建立 PKI/CA 體系，為應(yīng)用安全提供認證、加密、數(shù)字簽名、數(shù)據(jù)完整性等功能和服務(wù)。 要求應(yīng)用利用授權(quán)管理和身份認證的機制，建立安全的應(yīng)用體系架構(gòu)。從而能夠確保對使用應(yīng)用系統(tǒng)的用戶的辨識和訪問控制，例如：領(lǐng)導(dǎo)，機關(guān)人員等不同的用戶級別和不同級別的驗證方式 (口令， IC 卡， USB卡等 )。 有效地建立信息資源的標記、加密存儲和保 管機制?？紤]應(yīng)用層對傳輸數(shù)據(jù)進行加密。 建立全省數(shù)據(jù)備份中心， 有效地建立數(shù)據(jù)的本地在線備份 以及 異地遠程備份的機制，確保數(shù)據(jù)在意外情況下的及時恢復(fù)，建立災(zāi)難和應(yīng)急相應(yīng)機制。 通過網(wǎng)絡(luò)安全綜合管理系統(tǒng)，對關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運行狀態(tài)進行監(jiān)管，及時發(fā)現(xiàn)并排除應(yīng)用故障問題，保障業(yè)務(wù)的連續(xù)性。 從上述 貴州電信 安全系統(tǒng)的建設(shè)需求分析中可以看出，整個系統(tǒng)的建設(shè)包含了從安全管理體系、物理與鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及應(yīng)用安全等五個知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 方面的要求，結(jié)合了從管理到技術(shù)的各個層次；針對安全建設(shè)的主要目標保密性、完整性、可用性來 看，在 貴州電信 目前的目標主要是可用性、完整性、保密性，也就是說，在現(xiàn)階段的安全保障的重點是整個 貴州電信 網(wǎng)絡(luò)系統(tǒng)的可用性，以后隨著煙草業(yè)務(wù)、應(yīng)用的發(fā)展，會逐步增加完整性以及保密性的安全建設(shè)目標，從而逐步建立起完善的 貴州電信 信息安全保障體系。 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 2 貴州電信安全系統(tǒng)總體設(shè)計與規(guī)劃 在完成 貴州電信 安全威脅分析以及風(fēng)險評估之后，根據(jù) 貴州電信 安全系統(tǒng)的安全需求以及安全建設(shè)的總體目標，在此基礎(chǔ)設(shè)計和規(guī)劃了 貴州電信 整體安全體系框架 。在此框架中， 以安全策略為基礎(chǔ)，融會了技術(shù)和管理兩個層次的安全體系，形成系統(tǒng)可用性、可控性 、抗攻擊性、完整性、保密性以及可擴展性的安全服務(wù)和目標。 2.1 安全系統(tǒng)整體框架設(shè)計 在進行 貴州電信 信息與網(wǎng)絡(luò)系統(tǒng)安全體系 總體設(shè)計規(guī)劃 時，需要全面考慮信息網(wǎng)絡(luò) 系統(tǒng) 的風(fēng)險分析與評估、信息網(wǎng)絡(luò)安全需求分析、信息網(wǎng)絡(luò)整體安全策略、信息網(wǎng)絡(luò)安全的技術(shù)標準與規(guī)范、安全體系的設(shè)計、安全產(chǎn)品的測試選型、工程實施與監(jiān)理、信息網(wǎng)絡(luò)安全教育與技術(shù)培訓(xùn)、安全 審 核與檢查等 眾多 方面。只有這樣才能 真正建立起一個符合 貴州電信 需求的信息網(wǎng)絡(luò)安全體系 。 同時，一個完整的安全體系和安全解決方案，必須根據(jù) 用戶 網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)風(fēng)險分析的具體情況 來確定。沒有一個 “ 以不變應(yīng)萬變 ” 的通用的安全解決方案，盡管信息安全在于竭盡全力保護信息資產(chǎn)免受威脅，甚至要考慮到所有類型的威脅。但是，從目前安全技術(shù)的總體發(fā)展水平與諸種因素情況來看，絕對安全 其實 是不可能的， 但必須 通過 相應(yīng) 措施把風(fēng)險降低到可接受的程度。 在 貴州電信 安全體系框架中，全面覆蓋了通信平臺、網(wǎng)絡(luò)平臺、系統(tǒng)平臺、應(yīng)用平臺，覆蓋網(wǎng)絡(luò)的各個層次，覆蓋各項安全功能，是一個多維度全方位的安全結(jié)構(gòu)模型。安全體系的建立，既涉及安全理論與技術(shù)，又涉及安全策略與管理，是一項跨學(xué)科的綜合性信息系統(tǒng)工程，需要從設(shè)施 、技術(shù) 到管理整個經(jīng)營運作體系的 通盤考慮，因此必須以系統(tǒng)工程的方法進行設(shè)計。 基于此種認識，我們將首先對安全體系架構(gòu)從各個方面加以梳理和展現(xiàn)，提出一個以安全策略為核心和指導(dǎo)、技術(shù)為基礎(chǔ)、管理為根本、安全服務(wù)為目標的貴州電信 信息網(wǎng)絡(luò)安全系統(tǒng)框架，從而幫助用戶更好理解信息安全，也對具體的知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 方案設(shè)計給出綱領(lǐng)性的指導(dǎo)。參見圖 2 所示： 圖 2、 貴州電信 信息網(wǎng)絡(luò)安全系統(tǒng)的框架示意圖 從總體安全框架可以看出，在基于以各種安全技術(shù)的安全基礎(chǔ)設(shè)施的保障下、以安全策略為指導(dǎo)，通過統(tǒng)一的 安全綜合管理平臺 ，提供全面的安全服務(wù)內(nèi)容，形成一 個互為協(xié)作的統(tǒng)一體，整個系統(tǒng)覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺直至數(shù)據(jù)和應(yīng)用平臺的各個層面的安全需求，從而形成完整的信息安全體系架構(gòu)。 依據(jù)此 安全 框架 ， 結(jié)合前面我們對 貴州電信 網(wǎng)絡(luò) 與信息 安全 系統(tǒng)的需求分析，將整個安全體系劃分為以下 幾個層次： 通信平臺安全、 網(wǎng)絡(luò) 平臺 安全、系統(tǒng)平臺 安全、應(yīng)用 平臺 安全、 統(tǒng)一 安全綜合管理平臺 等五個層次 。 每一個層次具體的安全技術(shù)與措施描述如下： 1、通信平臺安全體系 通信平臺安全體系主要包括系統(tǒng)的物理安全以及鏈路通信的安全，其中 物理安全主要 是指 防止物理通路的損壞、對物理通路的攻擊（干擾） 、 物理環(huán)境安全、知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 網(wǎng)絡(luò)設(shè)備及主機的物理安全等；鏈路通信安全 需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽 。 2、網(wǎng)絡(luò)平臺安全體系 網(wǎng)絡(luò) 平臺 安全 體系 主要解決網(wǎng)絡(luò)互聯(lián)時在網(wǎng)絡(luò)通信層的安全問題， 具體采用的安全技術(shù)和措施包括 ：網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò) 訪問 控制、網(wǎng)絡(luò)和鏈路層數(shù)據(jù)加密、防火墻、入侵檢測 和安全審計、網(wǎng)絡(luò)監(jiān)控與管理等 。 3、系統(tǒng)平臺安全體系 系統(tǒng)平臺安全體系的主要解決主機操作系統(tǒng)的訪問控制以及主機存在的漏洞等。具體的安全技術(shù)和措施 包括：病毒防范、操作系統(tǒng)的漏洞檢測、 系統(tǒng)安全與保護、 操作系統(tǒng)的安全配置、操作系統(tǒng) 安全加固、系統(tǒng)備 份、主機監(jiān)控與管理等 。 4、應(yīng)用層安全體系 應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)能與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接 ，對 建立在 操作 系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)、電子郵件服務(wù)、Web 服務(wù) 以及各種業(yè)務(wù)系統(tǒng) 等。需要 采取的安全技術(shù)與措施包括 ：身份認證、訪問控制、數(shù)據(jù)保密性和完整性（安全通信）、 內(nèi)容 審計、 數(shù)據(jù)備份等 。 5、安全管理體系 安全管理貫穿在安全的各個層次實施 ，本身可以從不同的視角加以描述： 從全局管理角度 審視 ，要制訂全局的安全管理策略。 從用戶管理角度 審視 ，要實現(xiàn)統(tǒng)一的用戶角色劃分策略。 從資源管理角度 審視， 要實現(xiàn)資源的分布配置和統(tǒng)一的資源目錄管理。 從技術(shù)管理角度審視，要針對各個層面的要求實現(xiàn)統(tǒng)一的安全監(jiān)管，為IT 決策提供依據(jù)。 2.2 總體安全策略 針對以上對 貴州電信 安全現(xiàn)狀、 安全風(fēng)險、 安全建設(shè)目標以及安全需求的 的分析總結(jié)，結(jié)合安全體系建設(shè)的總體架構(gòu)，從技術(shù)上及管理上對安全應(yīng)對措施進行歸納總結(jié)，可制定出安全系統(tǒng)的總體策略。 系統(tǒng)總體安全保密策略的設(shè)計必須堅持管理與技術(shù)并重的原則，以確保系統(tǒng)知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 信息的安全保密性為主，采用多層次保護、最小授權(quán)、綜合保護和嚴格管理等措施，從宏觀整體的角度提出的安全策略，它是內(nèi)部 網(wǎng)絡(luò)安全建設(shè)中總的指導(dǎo)原則。 具體來說，針對 貴州電信 信息 網(wǎng)絡(luò)安全 系統(tǒng)的總體安全策略 詳細闡述如下 ： 2.2.1 技術(shù)策略 1、物理安全策略 物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 加強 并完善 貴州電信 各級單位網(wǎng)絡(luò)的 物理安全措施，具體包括：采用符合標準的布線措施，防止電磁泄漏包括對傳 導(dǎo)發(fā)射的防護和對輻射的防護，機房建設(shè)符合一定的防雷、防火、防靜電等指標，采用門禁系統(tǒng)、監(jiān)控系統(tǒng)等，通過各種措施保障環(huán)境、設(shè)備和存儲介質(zhì)的安全。 2、信息加密策略 信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端 -端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。在 貴州電信 信息網(wǎng)絡(luò) 安全系統(tǒng)中，需要考慮信息加密的問題。 3、 訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。在 貴州電信 信息網(wǎng)絡(luò)安全系統(tǒng) 中，訪問控制策略應(yīng)包括以下主要內(nèi)容： （ 1）入網(wǎng)訪問控制 知識水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個步驟：用 戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。 （ 2）網(wǎng)絡(luò)的權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。 受托者指派和繼承權(quán)限屏蔽可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承 哪些權(quán)限 。 用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。 （ 3）目錄級安全控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。 對目錄和文件的訪問權(quán)限一般有八種 ：系統(tǒng)管