信息安全是一個系統的工程�,作為工程本身來說�����,我們要防止產品堆砌����,應該以分層的方式來解決安全問題�����,根據木桶原理�����,必須要每層都達到一定標準��,才能建立可信的安全環境��。等級保護的目標是:建立中國的IATF(信息保護技術框架)����。
等級保護中產品鏈的意思是每層產品是可信的���,而且產品與產品之間必須要有可信接口����,這也是要求多產品聯動的初衷��,是符合等級保護思想的�。
下表是國家等級保護的內容:
|
等級化保護的內容
|
|
等級保護體系
|
法律體系
|
組織體系
|
標準體系
|
技術體系
|
管理體系
|
|
信息安全的要素
|
保密性
|
完整性
|
可用性
|
可控性
|
不可否認性
|
|
等級保護中五個級別
|
第一級:用戶自主保護級
|
第二級:系統審計保護級
|
第三級:安全標記保護級
|
第四級:結構化保護級
|
第五級:訪問驗證保護級
|
|
等級保護體系的分層
|
物理層
|
系統層
|
網絡層
|
應用層
|
管理層
|
需求調查
隨著信息網絡的迅速發展����,網絡資源共享的進一步加強����,如何利用信息網絡進行安全通信的同時又要保護網絡信息的安全�,成為網絡建設中迫在眉睫的問題�����。
目前政府機關和企業的各種業務工作對信息網絡的依賴性越來越強�����,對信息網絡安全的要求也越來越高��,如果不能解決���,勢必將影響到政府機關和企業的信息網絡化建設的發展和生存���。目前各單位網絡存在如下幾方面的問題:
? 內部網絡的辦公信息和國家機密的泄漏�����。
? 內部網絡資源的權限訪問控制����。
? 網絡被外部非法入侵���,造成網絡性能下降或服務中斷�����。
? 政府對外網站被篡改����、破壞����,嚴重影響政府形象��。
?
政府網絡被病毒���、木馬所感染����。
安全現狀
信息安全是對信息基礎設施�����、應用系統或信息內容的可靠性��、保密性�、完整性�����、可用性�����、可控性或不可否認性進行保障和保護�����,是一項涉及到人員�、技術���、管理�、運行維護等多方面����、多層次���、多角度�、復雜的系統工程����。信息安全工作在各個行業的信息化進程中�����,得到了各級領導和職能部門的高度重視�����,各位領導同志在每年信息化工作會議上都會特別強調�,在信息化建設過程中���,要始終把安全問題放在首位���,趨利避害���。信息安全主要包括三個方面:一是信息內容的安全��,做到數據和文件安全傳輸和存儲��,不泄密���,不丟失�����,不損壞����。二是信息系統的安全�,既要做到網絡運行暢通�、穩定�、可靠��,又要防止病毒及黑客侵入����,提高保密性��。三是信息管理的安全����,做到安全制度嚴密����,控制措施有效��,無人泄密��。
各單位的系統主要包括辦公系統�����、郵件系統�����、ERP系統��、門戶網站��、人事系統���、財務系統�����、業務系統等����,各類不同的行業客戶在信息系統建設和使用過程中都會遇到諸如物理層�����、網絡架構���、終端和操作系統��、應用系統�、核心業務數據等多方面的安全和優化問題�����,因此我們的方案主要針對以上各個方面�����。
建議網絡架構
需求及解決方案要點
網絡攻擊及入侵(入侵防御系統防護):當客戶遇到互聯網的非法攻擊和入侵的時候���,勢必對用戶上網訪問和遠程接入用戶產生影響���,造成訪問效率下降�、網絡擁堵等狀況���,采用主動式入侵防御系統利用高可靠識別攻擊����,精確判斷入侵及攻擊行為并作出相應的反應來解決客戶遇到的上述問題����。
鏈路負載均衡(多鏈路控制器):客戶為了避免出現鏈路單點故障�����,保證鏈路接入的高可用性�����,都采用不同運營商的多條鏈路接入����,采用鏈路負載均衡產品�,把訪問外網資源的內網用戶按照要求負載均衡到兩條鏈路��,任何一條鏈路出現故障����,都能夠實時發現��,自動把請求轉發至正常的鏈路���;同時把訪問內網資源的用戶自動導向到訪問質量最優的鏈路�����,并實時監控鏈路的狀態��,如果某一鏈路出現故障�,自動切換到其他正常鏈路���。
安全區域劃分和隔離(防火墻):客戶在數據中心根據不同的安全級別劃分出不同的訪問區域�,不同的區域之間互相訪問需要通過安全設備進行隔離�����,根據不同的安全級別設定策略進行訪問控制�,通過多種檢測機制�����,發現攻擊流量����,實時進行阻斷���,提高應用系統的安全性����。
互聯網流量管理和優化(全局流量控制器����、Web加速器):各客戶開展電子商務和網上遠程訪問業務���,需要考慮客戶端采用不同接入方式和終端種類���,因此通過采用全局流量管理設備對處在不同地理位置和運營商接入的終端用戶選擇服務效率最佳的數據中心��,采用Web加速設備利用數據流量優化加速的手段提高訪問速度�����,確??蛻魸M意度的提升��。
網絡訪問行為管理(Web安全網關):針對目前用戶上網訪問行為和內容的復雜性��,建議客戶采用Web安全網關的方式對內部用戶和各分支機構的用戶上網行為進行精細化管理���,在保證正常業務不受到影響的情況下在行為可視化的網絡上進行傳輸���,訪問的行為和內容按照規定保存和審計�。
移動辦公接入(SSLVPN網關):客戶為各分支機構或遠程節點加強遠程辦公終端的安全性和易用性��,采用SSLVPN的接入方式���,利用對客戶端安全檢查�、靈活定制訪問策略和權限的技術手段���,滿足移動辦公用戶接入數據中心簡單方便的需求���。
各類應用安全防護(WAB防火墻����、數據庫安全審計�����、動態口令認證系統):客戶在數據中心的建設過程中最重要的就是核心業務系統����,它包含了至關重要的應用系統服務器和核心數據���,在核心業務系統中一般采用三層部署的標準架構����,Web
服務器-應用服務器-數據庫���,因此各類服務器的安全防護是客戶最關心的重點�����,建議采用Web防火墻對Web服務器進行安全保護���,避免針對服務器應用層和源代碼風險的攻擊���,采用數據庫安全審計平臺對各類數據庫操作�,數據表調用和修改的動作進行審計和告警���,保證在數量繁多的用戶訪問數據庫的情況下行為能夠進行審計���。動態口令認證系統確保網上交易系統用戶帳戶和口令的密碼保護��,形成"雙因素"強身份認證��。
日志收集和分析(統一日志審計平臺):在國家的政策法規文件中���,日志統一收集��、分析和保存是必不可少的一項重點要求�����,系統日志保存期限按照風險等級不同來區分����,至少不得少于一年���,采用統一日志審計平臺能夠滿足各種法規政策的要求��,制定相關策略和流程���,管理所有生產系統的活動日志�����,以支持有效的審核��、安全取證分析和預防欺詐����。
不同平臺和品牌的存儲之間協同優化(虛擬存儲系統):客戶在構建數據存儲系統的時候如果采用了異構的部署方式�,系統中會出現不同平臺和品牌的存儲服務器����,使用起來會造成很大的不便��,采用虛擬存儲系統可以把各種基于NAS協議的存儲服務進行虛擬化管理����,實現無縫數據遷移���、存儲負載均衡和異構部署等多種優化功能�。
