1、某礦業(yè)集團整體安全解決方案概述為了保障某礦業(yè)集團的業(yè)務(wù)系統(tǒng)與數(shù)據(jù)安全，需要一整套信息安全解決方案：從技術(shù)與管理兩個角度全面考慮信息安全保障措施。從不同的層面選擇相應(yīng)的技術(shù)或產(chǎn)品來構(gòu)建信息安全保障體系。1、 網(wǎng)絡(luò)概況某礦業(yè)集團公司網(wǎng)絡(luò)由總部網(wǎng)絡(luò)和25個分支機構(gòu)網(wǎng)絡(luò)組成，總部網(wǎng)絡(luò)承載這集團的核心業(yè)務(wù)系統(tǒng)和OA系統(tǒng)，每個分支機構(gòu)通過SDH網(wǎng)絡(luò)接入到總部網(wǎng)絡(luò)。每個分支機構(gòu)與總部網(wǎng)絡(luò)之間部署防火墻來保證網(wǎng)絡(luò)邊界的安全，集團的郵件服務(wù)器、WEB服務(wù)器等部署在防火墻的DMZ。礦業(yè)集團公司網(wǎng)絡(luò)拓?fù)鋱D如下所示：2、 總體需求某礦業(yè)集團公司希望全面解決網(wǎng)絡(luò)的安全問題，提供整體的解決方案。3、 信息安全保障體系面向

2、業(yè)務(wù)系統(tǒng)與數(shù)據(jù)的信息安全整體保障方案上圖展示了一種層次結(jié)構(gòu)的信息安全整體保障方案，基于信息安全等級保障體系模型而設(shè)計。 業(yè)務(wù)系統(tǒng)與數(shù)據(jù) 礦業(yè)業(yè)務(wù)系統(tǒng)與數(shù)據(jù)是整個IT系統(tǒng)的重中之重，因此需要特別的保障業(yè)務(wù)數(shù)據(jù)的機密性與完整性，業(yè)務(wù)系統(tǒng)可用性。以下各層的安全保障歸根結(jié)底服務(wù)于業(yè)務(wù)系統(tǒng)與數(shù)據(jù)的安全保障。 應(yīng)用系統(tǒng) 礦業(yè)業(yè)務(wù)系統(tǒng)與數(shù)據(jù)通常構(gòu)建在各種標(biāo)準(zhǔn)的應(yīng)用系統(tǒng)之上，因此需要有可靠的基礎(chǔ)檢測漏洞并進行修補，防范針對應(yīng)用系統(tǒng)的攻擊，防范借助于應(yīng)用系統(tǒng)攻擊客戶端等。 操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng) 礦業(yè)業(yè)務(wù)系統(tǒng)借助于操作系統(tǒng)來利用硬件平臺的強大計算能力，而礦業(yè)業(yè)務(wù)數(shù)據(jù)必須存儲在安全可靠的數(shù)據(jù)庫系統(tǒng)中。因此，需要加強

3、對操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全配置與日志審計。 主機與網(wǎng)絡(luò)設(shè)備 礦業(yè)業(yè)務(wù)系統(tǒng)建設(shè)在由主機與網(wǎng)絡(luò)設(shè)備組成的硬件平臺上。確保主機與網(wǎng)絡(luò)設(shè)備的安全運行等同于確保汽車引擎與動力傳輸子系統(tǒng)的安全運行。 通信網(wǎng)絡(luò) 礦業(yè)業(yè)務(wù)系統(tǒng)與通信網(wǎng)絡(luò)已經(jīng)密不可分，因此礦業(yè)業(yè)務(wù)連續(xù)性依賴于通信網(wǎng)絡(luò)的可用性。在不可靠的通信網(wǎng)絡(luò)（如廣域網(wǎng)或者Internet）上傳輸數(shù)據(jù)時，應(yīng)該考慮使用密碼設(shè)備以確保數(shù)據(jù)的機密性與完整性。 物理設(shè)施與環(huán)境 礦業(yè)業(yè)務(wù)系統(tǒng)不可能離開物理設(shè)施和環(huán)境而存在，礦業(yè)業(yè)務(wù)數(shù)據(jù)同樣需要介質(zhì)與載體來存儲與傳輸。因此，物理設(shè)施與環(huán)境的安全是所有上述各層安全的基礎(chǔ)?？梢钥闯鲈诓煌瑢用婷媾R著不同的安全問題，就需要采取不

4、同的技術(shù)手段加以保護和解決。在通信網(wǎng)絡(luò)層面，總部和分支機構(gòu)之間存在網(wǎng)絡(luò)邊界，為了保證二者之間的安全包括通信鏈路的安全和傳輸數(shù)據(jù)的安全，需要部署安全的網(wǎng)關(guān)設(shè)備，如防火墻等，保證數(shù)據(jù)鏈路和所承載的數(shù)據(jù)的安全應(yīng)該部署加密機；為了保護主機本身機器所承載的業(yè)務(wù)數(shù)據(jù)的安全可以通過部署主機入侵檢測系統(tǒng)等來加以保護。網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)是一個不可分割的整體，因此對同一個目標(biāo)的保護可以從不同的層面采取不同的安全措施；網(wǎng)絡(luò)入侵檢測系統(tǒng)、異常流量檢測系統(tǒng)和網(wǎng)絡(luò)審計系統(tǒng)貫穿于通信網(wǎng)絡(luò)、主機與網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)與數(shù)據(jù)系統(tǒng)的各個層面。網(wǎng)站的網(wǎng)頁被篡改的事件時有發(fā)生，嚴(yán)重影響企業(yè)的聲譽，可以在web服務(wù)器上部署網(wǎng)站保護和修復(fù)系統(tǒng)，可以很好的阻斷非法修改網(wǎng)頁的行為和修復(fù)遭到篡改的網(wǎng)頁。在集團的郵件服務(wù)器上部署反垃圾郵件系統(tǒng)能夠防止垃圾郵件進入郵件服務(wù)器，可以給集團一個干凈的郵件環(huán)境。為了安全和便于管理，集團公司統(tǒng)一互聯(lián)網(wǎng)出口，但是如果有人私自撥號（電話撥號、ADSL、GPRS等）就很容易將不安全的因素帶入集團內(nèi)網(wǎng)，如木馬程序，會將集團內(nèi)部的信息傳送到外面的控制者計算機上，危害巨大。因此需要在網(wǎng)絡(luò)中部署非法外聯(lián)檢測系統(tǒng)對上述行為進行檢測來保障集團網(wǎng)絡(luò)的安全。4、 安全產(chǎn)品