一份优秀的方案要对活动的各个环节进行详尽的安排,包括实施细节、步骤等,也许你已经写过不少方案,但你真的懂得方案撰写的精髓吗?今天小编给大家找来了《信息安全技术建设方案》,供大家参考借鉴,希望可以帮助到有需要的朋友。
第一篇:信息安全技术建设方案
信息系统安全建设整改方案要素
6信息系统安全建设整改方案要素
以下整改方案的设计要素主要是针对单个信息系统的,也可参照进行针对整个单位或多个信息系统的整改方案设计。
6.1 项目背景
简述信息系统概况,信息系统在等级保护工作方面的进展情况,例如定级备案情况和安全现状测评情况。
6.2 开展信息系统安全建设整改的法规、政策和技术依据。
列举在建设整改工作中所依据的信息安全等级保护有关法规、政策、文件和信息安全等级保护技术标准。
6.3 信息系统安全建设整改安全需求分析
从技术和管理两方面描述信息系统建设情况、系统应用情况及安全建设情况。结合安全现状评估结果,分析信息系统现有保护状况与等级保护要求的差距,结合信息系统的自身安全 需求形成安全建设整改安全需求。
6.4 信息系统安全等级保护建设整改技术方案设计
根据安全需求,确定整改技术方案的设计原则,建立总体技术框架结构,可以从物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网 络、系统、应用和数据的安全要求的技术路线。
6.5 信息系统安全等级保护建设整改管理体系设计
根据安全需求,确定整改管理体系的建设原则和指导思想,涉及安全管理策略和安全管理制度体系及其他具体管理措施。
6.6 信息系统安全产品选型及技术指标
依据整改技术设计,确定设备选型原则和部署策略,给出各类安全产品的选型指标和部署图,为设备采购提供依据。
6.7 安全建设整改后信息系统残余风险分析
安全整改可能不能解决所有不符合项目的问题,对于没有解决的问题,分析其可能的风险,提出风险规避措施。
6.8 信息系统安全等级保护整改项目实施计划
安全整改项目的实施需要制定相应的实施计划,落实项目管理部门和人员,对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。
6.9 信息系统安全等级保护项目预算
根据本单位信息化的中长期发展规划和近期的建设投资预算,将等级保护安全整改建设工作纳入整体规划,可以分期分批、有计划地实施建设整改,因此需要对建设项目进行费用预算,预算项目不仅包括安全设备投入,还应根据需要考虑集成费用、等级测评 费用、服务费用和运行管理费用等。
第二篇:企业信息化建设安全解决方案
企业信息化建设安全解决方案 第1页 共1页
企业信息化建设 安全解决方案
(天威诚信) (版本:1.0)
北京天威诚信电子商务服务有限公司
2013年3月企业信息化建设安全解决方案 第1页 共2页
目 录
1 前言 ......................................................................................................................................1 1.1 概述...............................................................................................................................1 1.2 安全体系.......................................................................................................................1 1.3 本文研究内容...............................................................................................................2 2 **集团企业信息化现状 ......................................................................................................2 2.1 **集团企业信息化现状...............................................................................................2 2.1.1 **集团现状..........................................................................错误!未定义书签。 2.1.2 **集团信息化现状................................................................................................2 2.1.3 主要系统现状及存在问题....................................................................................3 2.1.4 其他问题................................................................................................................4 2.2 **集团企业信息化系统需求分析...............................................................................4 2.2.1 网络需求分析........................................................................................................4 2.2.2 系统需求分析:.......................................................................................................5 2.2.3 安全需求分析第二章**集团企业信息化现状....................................................7 2.2.4 安全管理策略......................................................................................................10 3 **集团企业信息化及安全整体解决方案 ........................................................................13 3.1 **企业信息规划总体方案.........................................................................................13 3.1.1 系统设计原则及进度安排..................................................................................13 3.1.2 **集团网络拓扑图..............................................................................................13 3.1.3 **集团整体网络概述..........................................................................................13 3.2 网络建设.....................................................................................................................14 3.2.1 中心机房及其配套设施建设..............................................................................14 3.2.2 中国实业集团与**集团公司的连接..................................................................14 3.2.3 各实业分公司网络与**集团公司连接..............................................................14 3.2.4 网络建设方案总结..............................................................................................14 3.3 系统建设.....................................................................................................................16 3.3.1 财务系统..............................................................................................................16 3.3.2 人力资源管理系统..............................................................................................16 3.3.3 门户、OA系统 ...................................................................................................16 企业信息化建设安全解决方案 第2页 共2页
3.3.4 门户系统建设......................................................................................................17 3.3.5 业务管理和运营支撑系统..................................................................................17 3.3.6 企业信息化管理..................................................................................................17 3.4 安全建设.....................................................................................................................17 3.4.1 网络边界安全防护..............................................................................................17 3.4.2 入侵检测与防御..................................................................................................18 3.4.3 安全漏洞扫描和评估..........................................................................................20 3.4.4 防病毒系统..........................................................................................................20 3.4.5 终端监控与管理..................................................................................................21 4 结束语 ................................................................................................................................22 4.1 论文工作总结.............................................................................................................22 4.2 本方案不足之处.........................................................................................................22 企业信息化建设安全解决方案 第1页 共22页
1 前言
1.
1概述
国内企业的信息化建设也经历了几起几落,取得了一些成绩,也积累了一些经验教训。在发展的同时,各企业也不同程度上产生了信息孤岛,信息集成的优势还没有发挥出来,阻碍了企业信息化的发展,并在相当程度上抵消了网络技术带给我们的便利和效率。如果我们把分析信息系统集成问题的着眼点放在基础数据信息流上,通过基础数据信息流将企业各部门的主要功能“穿起来”,而不是根据现有部门的功能来考虑信息系统的集成问题,就可以建立起既具有稳定性,又具有灵活性的全企业集成化的信息系统模型,有效地防止信息孤岛的产生。因此,为了建设一个优秀的1T系统,要以基础数据为根本,以先进的管理思想为指导,以领先的技术为辅助。企业信息化作为一个严密的信息系统,数据处理的准确性、及时性和可靠性是以各业务环节数据的完整和准确为基础的。企业信息化建设中有一句老话:“三分技术,七分管理,十二分数据”,信息系统的实施是建立在完善的基础数据之上的,而信息系统的成功运行则是基于对基础数据的科学管理。因此,理顺企业的数据流是企业信息化建设成功的关键之一。信息化建设是对企业管理水平进行量化的过程,企业的管理水平是信息化的基础。管理是一种思路,这种思路可以用数字来表示,当这些数字形成数据流时,也就表示了这一管理思想的过程,理顺了数据流也等于理顺了管理。IT技术人员通常不了解管理思路,但对数据流却相当熟悉,这就有利于IT技术人员开发符合要求的软件产品。企业信息化就是利用技术的手段将先进的企业管理思想融入企业的经营管理中,在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。因此要明确部门间哪些数据需要共享,哪些数据要上报企业领导,哪些部门需要获取外部的知识或信息,企业的哪些数据需要对外发布和宣传,哪些数据需要保密,子公司要与总公司交换哪些数据等等。当数据流理顺后,相应的业务管理流程也就一目了然,管理流程也就理顺了。 图l一l管理流程图
1.
2安全体系
网络安全是一个综合的系统工程,需要考虑涉及到的所有软硬件产品环节。网络的总体安全取决于所有环节中的最薄弱环节,或者说如果有一个环节出了问题,其总体安全就得不到保障,这也就是所谓的木桶效应,一个由一根根木条钉成的水桶,它的盛水量是由其最短的那根木条决定的,网络安全正是如此,其设计、实施必须要有全面的考虑,否则就会得不到保障。网络安全也是个长期的过程,是个不断完善的过程,不能说买了几个产品就一劳永逸的解决了所有的安全问题,需要不断对现有系企业信息化建设安全解决方案 第2页 共22页
统进行安全评估,发现新的安全问题,另外也要跟踪最新的安全技术,及时调整自己的安全策略。通常安全设计需要参照如下模式:
图安全模式
网络安全不单是单点的安全,而是整个系统的安全,需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。安全需求和风险评估是制定安全策略的依据。我们先要对现有的网络的安全进行风险分析,风险分析的结果作为制定安全策略的重要依据之一。然后根据安全策略的要求,选择相应的安全机制和安全技术,实施安全防御系统、进行监控与检测。安全防御系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。安全防御系统搭建得完善与否,直接决定着整个网络安全程度,无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成业务网络中的后门。响应与恢复系统是保障网络安全性的重要手段。根据检测和响应的结果,可以发现防御系统中的薄弱环节,或者安全策略中的漏洞,进一步进行风险分析,修改安全策略,根据技术的发展和业务的变化,逐步完善安全策略,加强业务网安全措施。
1.
3本文研究内容
本课题源于**集团企业信息化建设这一项目。目前**集团各子公司各自组网,使用各自的以办公系统。为了适应市场的不断发展和激烈竞争,提高福建电信实业公司的服务水平和服务质量,增强对新业务的支撑能力和反应速度,满足客户需求的不断变化和发展,要求建立一个统一的对外平台。现在互联网处于开放的状态,网上充斥着各种信息,病毒、恶意攻击、窃取公司机密等等屡见不鲜,由于**集团与各子公司经过互联网进行以互联,对外提供web服务,同时各公司存在上网的需求,因此保护企业网络,防止信息泄漏更是急切需要解决的问题。本解决方案就是要提供网络互联、网络监测、流量控制、带宽保证、防入侵检测。系统可帮助值班人员随时了解到网络质量以及设备的工作状态;系统对历史信息进行记录并提供查询功能,方便用户对出现的情况原因进行深入分析;系统提供图形化界面管理,方便用户实现人性化管理,同时抗击各种非法攻击和干扰,保证网络安全可靠。
2 **集团企业信息化现状
2.1 **集团企业信息化现状
2.1.1 **集团信息化现状
描述…… 企业信息化建设安全解决方案 第3页 共22页
2.1.2 主要系统现状及存在问题
描述……
2.1.2.1 门户网站、企业邮箱系统
目前**、设计院、邮科公司、工程公司都有公司网站,有公司域名,但是网站内容非常有限,仅用于发布一些企业宣传信息、产品信息、招聘信息等,且信息更新频度较低。除邮科公司网站系统部署在自有服务器上外,其他公司的网站系统都是租用电信的服务器或硬盘空间。各子公司的网站和实业公司的网站系统之间没有进行“超链”。**、设计院、邮科通信公司、工程公司有公司的邮箱系统,采用公司域名作为邮箱系统的域名。除邮科通信公司的邮箱系统是架设在自有服务器上外,其他公司的邮箱系统都是主机托管或租用电信的邮箱服务。
2.1.2.2 人力资源管理系统
目前所有子公司都没有单独完整的人力资源管理系统,部分公司目前使用的人力资管理系统主要是80年代原省邮电管理局统一使用的老系统或相关业务管理部门指定的小软件,目前已经难以满足企业的人力资源管理需求。部分公司正在学习金蝶HR系统,但是目前都没有正式使用该软件。这些软件都是单机版或者C/S架构的网络版,无法满足《指导意见》提出的2级架构要求。调研中,各子公司的人力资源部门都强烈希望集团能够尽快提供一套统一的人力资源管理系统。
2.1.2.3 财务管理系统、报表系统
所有子公司都统一使用金蝶K/3系统作为财务基础核算系统,该系统为C/S架构的网络版,该架构无法满足《指导意见》提出的2级架构要求。目前所有子公司都购买了金蝶公司的支撑服务。**无法通过远程访问方式了解各子公司的财务数据。目前所有子公司都使用北京久其公司的久其报表软件单机版,报表模板由**统一下发,各子公司财务部负责收集数据,汇总后上报给**。各子公司上报的数据中有一部分人力资源、经营的数据需要财务以外的部门提供,目前通过手工方式提供。**的报表上报也是使用久其单机版,由省电信公司财务部下发模板,收集各子公司上报的数据汇总后报送给省电信公司财务部。目前无需向其他单位提供统计报表(如统计局、省管局等)。目前没有购买久其公司的维护支撑服务。
2.1.2.4 经营分析系统
目前包括**在内,都没有专门的IT系统用来支撑经营分析。目前的经营分析主要通过各业务部门手工提取数据进行加工分析后形成经营分析报告。 企业信息化建设安全解决方案 第4页 共22页
2.1.2.5 业务运营支撑系统
设计院的主要业务:设计业务,系统集成(工程业务),使用自己开发的一套系统来支撑其业务。该系统技术架构比较先进,功能基本满足该公司的业务需求,由于为自己开发的系统,维护支撑、软件功能升级都比较便利。邮科通信公司的业务类型比较杂:软件开发、系统集成、电信业务支撑服务、生产销售、工程服务、工程设计,目前没有统一的IT系统来支撑,而是由各个专业部门自行开发或引入一些系统来支撑日常业务,存在种类繁多不统一,信息无法共享的问题。工程公司的业务类型:工程施工,部分施工、维护,也是采用自行开发的一套系统来支撑业务。
2.1.3 其他问题
集团内各子公司网络规模庞大,网络设备种类多,配置复杂,版本参差不齐,对系统资源利用和性能指标缺乏实时的、集中的监控管理机制; 在接入Internet方面,部分子公司保留有Internet出口,部分终端可其它方式访问Internet,存在网络安全隐患; 网络上运行的诸多服务器和网络设备都有设置有多个用户帐号和口令,但缺乏统一的口令管理机制,认证方式不可靠。
网络中连接有为数众多的终端,大多终端安装有防病毒软件。但缺乏病毒防护的统一监控和管理,系统管理员维护工作量较大并且复杂。
2.2 **集团企业信息化系统需求分析
2.2.1 网络需求分析
结合**集团的1T现状及本省的06一09年IT总体规划需求,拟在**集团有限公司集团总部建设一中心点,作为中心机房,通过中心点与全市5个上市子公司之间组建办公网。本期建设的IT系统能够省集中部署的全部采用省集中部署模式。如下图:
图
IT基础设施建设实施关键点
1. 明确应用系统的硬件及网络带宽需求
评估未来5年**的应用系统的IT环境需求,包括妥种主机设备、网络带宽、电源容量、存储容量等需求,在机房设计施工时预留足够的余量。 2. 安全方案设计
充分考虑企业信息化的安全需求,特别与工nternet相连的网络、应用系第二章**集团企业信息化现状统,采取各种安全措施、备份措施,包括物理安全和人为操作安全。内外网隔离方案是安全的一个重要基础,现在采用物理隔离方案的安全性最高,但是会给应用系统的部署和使用带来不便。考虑到现有的网络安全设备以及技术方案企业信息化建设安全解决方案 第5页 共22页
比较成熟,安全强度足够高,并且应用上需要支持远程办公,本次建设将不采用物理隔离方式。异地备份方案采用在子公司机房部署备份服务器的方式。 3. 机房选址
选定**机房作为中心机房,该机房具有较大的扩展空间。异地备份机房选用邮科公司智能网机房。
4. 机房设计施工,包括电源改造、增加UPS、增加空调设备等
现有机房的市电容量不足,没有专用空调,未配备统一的UPS,因此需要在本次建设统一考虑。
5. 网络实施
包括专线线路、 ADSLVPN线路、楼内线路的施工、调测,施工进度依赖线路提供商和综合布线进度,必须做好工程质量监督和进度监督。 6. 设备采购、安装
本次IT建设对多个应用软件的部署环境进行统筹考虑,数据进行集中存储,数据库软件尽量选用同一种,中间件也尽量选用相同厂家的同一版本,这样便于管理和维护,也可以共享主机平台,但是对设备的可靠性和性能要求较高,并且需要考虑系统间的性能干扰。设备的选型将考虑未来5年的性能需求增长,将以当前需求的200%的性能参数配置主机设备,此外主机设备留有等量的扩展空间。
2.2.2 系统需求分析: 2.2.2.1 财务系统
**集团与各子公司财务业务统一,软件统一,这是本次的财务系统的集中部署的最有利条件。第二章**集团企业信息化现状新的财务系统最好能够和现有在用系统的操作习惯比较一致。
2.2.2.2 人力资源管理系统
**目前在人力资源管理系统上基本处于一片空白,在业务上也处于比较原始的人事管理水平。对未来的系统无法提出有深度的需求,因此本次人力资源管理系统应该具备最核心的功能,兼顾性价比,系统一边建设一边培训,通过成熟系统向现有的人力资源管理人员灌输先进的人力资源管理理念,固化并统一全省的人力资源管理制度。当人力资源管理达到相当水平后,结合我省的实际情况,人力资源管理部门人员必然会提出一些新的需求,这些需求通过对系统进行二次开发来满足。
2.2.2.3 门户、0A系统
从现状看,**的以系统建设也是参差不齐的,大部分专业公司对以系统的需求不是非常强烈。但是从管理上看,0A系统覆盖到专业公司的中层干部以及必要的后勤管理部门是必须的。由于大部分专业公司还没有建设以系统,因此考虑本次所有子公司的以系统在选型上和**一致。为了降低系统的推进难度,第一期只在**部署统一的0A系统,在系统中为各专业公司单独配置流程,达到覆盖子公司的目标。当子公司新企业信息化建设安全解决方案 第6页 共22页
产生的本地化需求不能在现有系统上进行配置或二次开发来满足时,才考虑在子公司单独部署以系统。以系统在选型时必须考虑良好的接口开放性和二次开发支撑能力。**集团、设计院、邮科公司、工程公司都拥有自己的公司网站,但是功能简单,且连最简单的互相链接都没有。**需要一个统一的门户来有效整合各子公司的品牌资源,做统一的形象推广。第一期通过统一的门户系统、统一门户域名、统一邮箱域名的方式进行门户建设,同时把以、经营分析、报表软件等通过门户系统进行集成,提供单点登录、统一鉴权功能,把系统建设、维护集中在**,这样可以方便将来的维护、升级,同时最大限度降低对各子公司的IT能力的要求。
2.2.2.4 业务管理和运营支撑系统
**目前基本没有业务管理和业务运营支撑系统,规划中要建立**数据中心,收集业务统计相关数据的建设需求。我**各专业公司层面则第二章**集团企业信息化现状己经建立了部分业务运营支撑系统。业务管理和业务运营支撑上,实业和主业之间存在显着差异:主业的业务同质性相当高,而实业则是一个复杂的、多业务类型的集团企业。我**未建立统
一、独立的业务管理系统,在业务运营支撑系统方面,主要是以专业公司为主进行自行建设。
**层面目前对于业务管理和业务运营支撑没有强烈的系统支撑需求,考虑到实业本身多业务、多行业的特征,并且**对专业公司主要是进行投资管控,我省业务运营支撑系统以专业公司为主来进行建设比较合理,一方面能够尽可能的贴近专业公司自身的需求,不是为建系统而建系统:另一方面**公司对专业公司的管理主要是投资类型的管控,而非运营类型管控,因此**没有必要对专业公司的业务运营做过多的管理和干涉,否则容易造成捆住专业公司手脚的局面。**在组织架构等工作陆续完成后,将逐步加强对业务的管理。本期建设完成后,将在**层面建立合同协调服务系统,主要对专业公司的合同信息、合同状态等做实时了解。
2.2.2.5 企业信息化管理
**没有专门的IT组织,也没有设置企业信息化岗位;部分专业公司如邮科公司等,有专门的IT组织和IT开发团队,既支撑自身的IT建设,又对外提供1T服务,其他子公司没有专门的IT部门和IT岗位,但有专人负责企业信息化工作,人员分散在财务部、信息中心、综合部等部门。各专业公司根据各自需求自行建设IT系统,导致重复投资问题,如很多专业公司自行建设或准备建设的人力资源管理系统。因此,我们本次企业信息化建设能集中的系统就集中,不能集中的才考虑由专业公司自行建设,但是由**进行指导选型。其次,**将尽快设置工IT相关岗位,同时在各子公司中抽调一部分IT人员组成IT虚拟团队,统一协调整个**范围的企业信息化建设。在系统建设过程中,将同步进行IT系统的运行、维护、管理的各项规范、流程的制定。 企业信息化建设安全解决方案 第7页 共22页
2.2.3 安全需求分析第二章**集团企业信息化现状
2.2.3.1 物理安全风险分析
网络物理安全是整个网络系统安全的前提。安全以人为本,如果管理不善或一些不可抗力的因数的存在,**集团网络的物理环境可能存在如下的风险: 地震、水灾、火灾等环境事故造成整个系统毁灭; 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; 设备被盗、被毁造成数据丢失或信息泄漏; 电磁辐射可能造成数据信息被窃取或偷阅; 报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.2.3.2 链路传输风险分析
**集团网络的各个局域网如果采用的是UTP非屏蔽布线方式,则存在网络信息通过电磁辐射泄露的可能。**集团网络的通信链路存在着安装窃听装置,窃取或篡改网上传输的重要数据的可能,从而破坏数据的完整性。以上种种不安全因素都对网络构成严重的安全威胁。
2.2.3.3 网络结构的安全风险分析
1) 来自外部网络的安全威胁
出于业务的需要,**集团网络与Internet及其他业务单位网络相连接。这种物理网络上互联互通给数据的互联互通带来了事实上的可能性。但是如果Internet与外单位网络可以与**集团网络随意进行互访,容易导致本系统内部机密泄漏等安全威胁;其次,各系统的互联互通会使得跨系统的攻击和病毒传播成为可能,带来极大的安全隐患。**集团网络中的服务器及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外部网络的一些不怀好意的入侵者的攻击。如: 入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击; 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息; 恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪; 发送大量包含恶意代码或病毒程序的邮件。 2) 内部局域网的安全威胁 企业信息化建设安全解决方案 第8页 共22页
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括: 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响;如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗; 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;内部人员在上班时间玩游戏,看视频等。
网络设备的安全隐患,网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,第二章**集团企业信息化现状可能由于疏忽或不正确理解而使这些系统可用而安全性不佳。
通讯线路故障可能是由于电信提供的远程线路的中断,也可能发生在局域网中。网络设备故障也是应该考虑的安全风险之一。目前计算机在网络中的身份是以IP地址作为自己的标识的。由于TCP/IP协议在安全方面考虑的较少,IP地址很容易被假冒(特别在局域网中);缺乏判断通讯对象是否是恶意的网络身份假冒者的技术手段,是目前网络中存在的安全风险。
信息在局域网和广域网中传输,都存在被窃听和篡改的危险。当从一个安全区域(子网)访问另一个安全保护要求不同的区域(子网)时,存在对不应访问的数据、交易与系统服务操作的危险。
缺乏对网络入侵行为的探测、报警、取证机制,是网络在安全方面的一个隐患。种种因素都将网络安全构成很大的威胁。
2.2.3.4 系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性;因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的功能模块,开放了很多不必开放的端口,其中可能隐含了安全风险。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。第二章**集团企业信息化现状 企业信息化建设安全解决方案 第9页 共22页
2.2.3.5 应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
资源共享的安全风险
**集团网络内部有自动化办化系统。而办公网络应用通常是共享网络资源,比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
系统的安全风险
**集团网络提供基于Web的信息发布系统,也存在安全的风险,例如Web服务器本身存在漏洞容易受到攻击,网页被篡改,Web服务器容易受到网络病毒的感染。Web是电子业务的发布板,与其他服务器连接在一起,对Web服务器的攻击容易波及其他的网络服务器和设备。
数据库服务器的安全风险
**集团网络内部的很多应用是基于数据库的。数据库服务器的安全风险包括:数据库服务器的管理员口令过于简单,非授权用户的访问,通过口令猜测获得系统管理员权限,数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全问题。 电子邮件系统的安全风险
内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。
病毒侵害的安全风险
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害第二章**集团企业信息化现状的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
2.2.3.6 管理的安全分析
管理方面的安全隐患包括: 1. 内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解; 2. 内部管理人员或员工责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密; 3. 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险; 企业信息化建设安全解决方案 第10页 共22页
4. 机房重地却是任何人都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件; 5. 内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
2.2.3.7 性能需求
由于安全控制的原理和特点,加上了安全的防护手段之后,多多少少会对网络和系统带来性能的影响。因此,我们在进行安全设计和选择安全产品时,必须将对网络和系统的性能的影响的考虑放在重要的位置
2.2.4 安全管理策略
网络安全关键基础之一就是构成企业总体信息安全方案的综合策略。第二章**集团企业信息化现状
2.2.4.1 安全管理策略
安全管理贯穿在安全的各个层次实施。从全局管理角度来看,我们制订了全局的安全管理策略;从技术管理角度来看,实现安全的配置和管理;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理。**集团网络的安全管理策略是保证网络安全的核心。安全管理策略的实施需要工作人员和领导的支持。一个良好的安全管理策略应包括如下内容: 计算机技术购买指南:该指南中应指明哪些安全特征是必须的。该指南可作为企业购买产品的参考之一; 隐私政策:制定监控电子邮件、记录键盘敲击及访问用户文件的可接受的隐私程度; 访问政策:制定用户、操作人员及管理人员的访问权限,用来保护资产不被盗用。该政策应提供外部连接、数据通讯、连接设备到网络、增加新软件到系统等操作指南,同时也应包括通知信息(例如连接后应提示合法使用的说明,而不仅仅显示“欢迎,’); 责任政策:指出用户、操作人员及管理人员的职责。该政策应包括审计功能,以及处理安全事件的程序指南(即检测到可疑事件发生后,应找谁负责等问题的处理步骤); 认证政策:通过有效的口令政策,在计算机之间建立信任关系。该政策应包括远程访问的认证指南及认证设备(如一次性口令及生成这些口令的设备)的使用说明; 企业信息化建设安全解决方案 第11页 共22页
可用性声明:使用户对系统的可用性有所了解。如果系统被入侵,用户根据这个声明所述,就可以知道系统在多长时间内可以恢复。声明应提及冗余及恢复的解决方法,列出操作时间及因维护而造成的停机时间,以及网络发生故障时的负责人是谁; 信息技术系统及网络维护政策:说明内部及外部的维修人员如何处理访问技术。该政策其中一项重要说明是讲述企业是否允许进行远程操作,以及对这类访问的控制方法;
违规报告政策:指明哪类违规行为应该报告(例如个人隐私及安全、内部及外部)以及向谁报告。轻松的气氛或采用匿名报告的方式可以鼓励员工报告违规行为。该政策还应包括企业发生安全事故后应对外界询问的指南,及指明企业信息的保密程度,即哪些信息不应向外界披露。
2.2.4.2 访问控制策略
访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据操作权限的限制,主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问,访问控制策略应包括以下内容: 每个业务应用系统的安全要求; 确认所有与业务应用系统有关的信息; 信息发布及授权的策略,例如:安全级别及原则,以及信息分类的需要; 不同系统及网络之间的访问控制及信息分类策略的一致性; 关于保护访问数据或服务的相关法律或任何合同规定; 一般作业类的标准用户访问配置; 在分布式及互联的环境中,管理所有类别的连接的访问权限。
网络访问控制用于控制内部及外部联网服务的访问,以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。
**集团网络应根据信息密级和信息重要性划分安全域,在安全域与非安全域之间用安全保密设备进行隔离和访问控制;在同一安全域中,根据信息的密级和信息重要性进行分割和访问控制。通常将**集团网络重要服务器所在的子网和重要的工作子网分别 划分为单独的安全域。当局域与远程网络连接时,通常在局域网与远程网络之间的接口处配置安全保密产品。(如防火墙、保密网关等)进行网络边界安全保护,第二章**集团企业信息化现状并采取数据加密设备(如DDN机密机、PSTN加密机等)保证信息远程传输的安全。
2.2.4.3 网络安全监控与入侵检测策略
网络安全监控可以测试企业所实施的安全控制是否有效。同时,安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为,同时,它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦企业系统发生安全事故,管理人员应依据监控系统所提供的警示,企业信息化建设安全解决方案 第12页 共22页
采取必要的步骤,在最短的时间恢复系统,以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。我们通过在**集团网络的关键环节放置入侵检测产品,它监视计算机网络或计算机系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。
2.2.4.4 漏洞扫描与风险评估策略
从信息安全的角度看,漏洞扫描是网络安全防御中的一项重要技术,其原理
是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,从而为提高网络安全整体水平产生重要依据。在网络安全体系的建设中,漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上,安全扫描工具可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。
2.2.4.5 计算机病毒防治策略
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,网络系统中使用的操作系统大多为W工NDOWS系统,比较容易感染病毒。因此计算第二章**集团企业信息化现状机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。我们从预防病毒、检测病毒和杀毒考虑网络的网络安全。
2.2.4.6 安全审计策略
安全审计有助于对入侵进行评估,是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生,以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析,可以为发现可能的破坏性行为提供有力的证据。
2.2.4.7 备份与恢复策略
主要设备、软件、数据、电源等都应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对涉密系统的依赖性特别强,则建立远程的应急处理和灾难恢复中心。我们考虑的备份主要包括数据备份、服务器备份、线路备份等几个方面。
2.2.4.8 实时响应和恢复策略
我国的许多企业单位对防范天灾人祸有一套成型的体系,对于网络安全的灾难事件却通常会手足无措。为此,制定一套完整、可行的事件救援及灾难恢复的计划对企业信息化建设安全解决方案 第13页 共22页
于企业来说是非常重要的。灾难恢复的步骤应包括测试救援程序的有效性(是否对可疑的通讯及事故作出反应)、在事故发生后,企业如何分析事故的发生过程、程序如何迅速恢复、如何减少企业的损失等。第三章**集团企业信息化及安全整体解决方案
3 **集团企业信息化及安全整体解决方案
3.1 **企业信息规划总体方案
3.1.1 系统设计原则及进度安排
**集团的整体网络在设计中遵循以下原则: 良好的扩展能力:包括业务网点的扩展、业务量和业务种类的扩展。
高度的安全性。能防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄露。使数据具有极高的可靠性。
高度的可靠性,网络在连接失败时能有迁回路由,并有效地消除单点失效的隐患。 可升级性:改造后的网络在向更新的技术升级时,能保护现有的投资。根据**信息化IT规划总体架构及**目前IT系统现状,
3.1.2 **集团网络拓扑图
以下为**集团整体网络规划拓扑图:
网络拓扑图
3.1.3 **集团整体网络概述
**集团公司网络整体从安全、稳定、高速和服务质量(QoS)方面考虑,采用CNZ电路与SitetoSiteVPN结合的方式组网。各分公司通过划分VPN来实现与总公司连接。在分公司和省公司都部署相应的PE设备。**集团公司网络采用双线路备份,通过采用 CNZMPLSvPN做为与集团公司和地市实业分公司的首选网络连接,采用
InternetVPN做为备用线路连接集团公司和地市实业分公司。第三章**集团企业信息化及安全整体解决方案服务器端使用两块网卡桥接,对外使用网络桥连接网络设备,首先通过二层交换机接入到主备用ASA555O防火墙,由防火墙控制所有用户的访问权限,关闭非使用端口,开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立D棍区,连接省电信公司收发公文的转接器,建立一高于DMZ区低于内网的管理区,用于管理机的接入。在内网防火墙之外采用两台 cisco3750三层交换机做路由控制,接入本大楼内分公司网络及实业本部网络,由其控制访问服务器、分公司VPN及外网路由。与地市分公司的 InternetVPN采用 C1scoASA552O防火墙,同时提供拨号VPN接入,外网访问通过灿眼rantenF60O防火墙控制后接入公网网企业信息化建设安全解决方案 第14页 共22页
络,同时提供备用拨号VPN接入。外网WEB服务器接在 AmarantenF600防火墙DMZ区,对外开启 tep80http服务。
3.2 网络建设
3.2.1 中心机房及其配套设施建设
因为需要采用两种接入方式,因此我们在**集团中心机房采用以下设备
核心路由器。与各分实业公司的连接方面,因为要使用 CNZMPLSVPN线路,因此我们建议采用一台思科公司的 Cisco28n路由器作为**CE,让各各实业分公司用户可以高速、安全、稳定地访问**集团中心机房的应用服务器及访问集团机房应用服务器。
安全网关。与远程移动办公用户连接方面,因为要采用VPN的连接方式,我们建议采用思科公司的 ASA5520自适应安全设备让远程移动办公用户可以安全访问实业集团中心机房应用服务器。另一方面, AsA5520自适应安全设备还可作为防火墙功能使用,有效阻止来自Internet及各实业分公司的非法访问行为。
3.2.2 中国实业集团与**集团公司的连接
采用CNZ将**集团与集团互连。采用CNZ电路的组网方式,能确保提供稳定的线路质量、较高的带宽、良好的安全保密特性,使用户对集团企业信第三章**集团企业信息化及安全整体解决方案息化的应用访问更快,更安全、稳定。CNZ电路有保密性能好,传输速率高,信道利用率高,网络时延小等特点。
3.2.3 各实业分公司网络与**集团公司连接
1. **集团与各实业分公司办公用户的连接
各实业分公司需要与**集团中心机房建立高速稳定的连接,因此采用一台
CISCO28n路由器加上RJ45扩展卡,实现1条CNZ电路连接需求,另外一条接口作备份 InternetVPN,满足链路备份使用。 2. **与远程移动办公用户的连接
对于互联网用户、远程移动办公人员采用 LZtPoyerIpse。VPN结合的方式组网,建设成本比较低,信息安全也得到有效保障。 3. 网络用户的安全认证
**信息化应用系统涉及多个分公司的应用用户,用户人数较多,为有效管理用户的访问行为,审计用户相关访问信息,在**采用单点登录认证,后期增加以认证。
3.2.4 网络建设方案总结
1. 兼容性和扩展性
该系统具备良好的兼容性和扩展性,具体表现在以下各方面: 企业信息化建设安全解决方案 第15页 共22页
中心机房采用自适应安全设备作广域网的核心安全设备,能够提供良好的安全性和VPN服务。有4个千兆GE接口,和1个100M以太接口。支持高达500个
IPSeeVPN对,可扩展至最大5000个IPSe。vPN对,支持500个 WEBVPN对,可扩展至2500个 WEBVPN对。完全可以保证**集团公司的广域网安全接入的较长时间内的需求。
中心机房采用CNZ电路与中国实业集团总公司和各实业分公司建立连接,满足带宽及时延要求。 各实业分公司采用一台 CISCO28n路由器加上RJ45扩展卡,可提供1条接口,CNZ电路占用一条, InternetVPN使用一条,做好链路备份工作。第三章**集团企业信息化及安全整体解决方案
2. 高可靠性、稳定性
**集团公司信息系统是集团公司的信息传送平台和信息处理枢纽,作为关键的财务系统、人力资源等业务系统及网络平台设备,可靠性是最重要的。网络平台、关键业务的服务器和存储设备必须具备7X24小时的连续运转能力。非计划停机将会对业务运行、对外服务形象等造成巨大的影响,对处于激烈竞争环境下的运营企业造成沉重的打击。
3. 安全性
**集团中心机房网络部分:中心机房采用自适应安全设备作广域网的核心安全设备,能够将最高的安全性和VPN服务与全新的自适应识别和防御(AIM)架构有机地结合在一起。借助融合型防火墙、入侵防御系统(IPS)和网络Anti一X服务,能够提供主动威胁防御功能、,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。从而能确保中心机房能与各地公司建立稳定的VPN连接及保证中心机房的网络安全。
**集团中心机房:采用CNZ电路连接,保证网络连接的安全。使用集成多业务路由器产品,提供网络连接的同时提供防火墙、VPN、工PS多种功能,提高连接的安全性及对**集团内部网络的全面安全的保护。
各实业分公司接入安全性:采用CNZ电路连接,与**集团中心机房连接通讯,保障数据和应用的安全性。
远程移动办公用户的接入安全性:使用**集团中心机房配置的自适应安全设备内置的LZtpoverIpsecVPN功能,为移动用户提供安全的VPN远程接入,有效保障数据和应用在链路层的安全性。
**集团、各实业分公司网络用户访问企业信息化应用系统时,都提供了统一
CIScoACS4.0安全平台作集中的身份认证、授权、行为审计。
4. 易维护性
**集团公司信息平台建设完成后,有多个应用系统在平台上运行,并有多种广域网的接入方式,中心机房的网络和设备数量多,本方案提供统一的网络管理系统CIScoworkSVMS对路由器或VPN接入设备和其它网络安全设第三章**集团企业信息化及安全整体解决方案备等作监控和管理,提供信息平台的综合管理的功能。 选用国际知名品牌的设备和系统,技术和服务有保证。 网络和设备品牌尽量统一,易于维护和管理。 企业信息化建设安全解决方案 第16页 共22页
采用功能强大的网络管理系统,增强对设备和应用的系统。
3.3 系统建设
3.3.1 财务系统
**集团跟各专业子公司统一采用用友ERPNC 5. 0软件,在功能域上实现如下功能:功能域
1、财务基础核算(总帐、应收应付、合并报表等);
2、资产管理;
3、现金流管理;
4、财务状况监控,财务状况分析;
5、预算管理(编制、执行、结果);
6、资金管理,大额支出管理
7、关联交易系统 .部署模式
集中部署,各子公司远程登录本系统使用。
3.3.2 人力资源管理系统
功能域
1、全省员工基本信息管理;
2、人事管理、岗位及工作信息管理;
3、薪酬、考核管理;
4、合同管理;
5、组织管理;
6、统计查询报表,人力资源分析;
7、招聘管理 .部署模式
集中部署,各子公司远程登录本系统使用。
3.3.3 门户、OA系统
功能域 .部署模式
本次以系统的实施将采用**集中部署的模式进行,通过配置各子公司的以流程来实现子公司的以系统覆盖 企业信息化建设安全解决方案 第17页 共22页
3.3.4 门户系统建设
企业门户功能域包括企业信息展现(内部门户)和企业网站(外部门户)两个功能模块。办公及辅助管理功能域主要包括文件公务流转、企业邮箱、知识管理、资产管理四个功能模块。 功能域
5. 对外网站
企业上市信息披露
企业形象宣传
企业产品宣传
人力招聘信息
远程办公支持 6. 对内门户: 单点登陆 整合以系统 整合邮箱系统 整合久其报表系统 实现初步的知识管理
资产管理
3.3.5 业务管理和运营支撑系统
采用其报表系统作为业务统一管理和分析系统。
.功能域 .部署模式
集中部署,各子公司远程登录本系统使用。
3.3.6 企业信息化管理
根据实业集团公司信息化建设的总体设计,需要对公司全网路由器、VPN设备进行及时有效的配置,监控和管理,我们采用思科公司提供的 CiscoworksVMS网络管理系统。 CIScoworksVMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具,防火墙,以及基于网络、主机的入侵检测系统(IPS),保护企业的生产率和降低运营成本。第三章**集团企业信息化及安全整体解决方案
3.4 安全建设
3.4.1 网络边界安全防护
网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(AcL),可企业信息化建设安全解决方案 第18页 共22页
以将其用作一个“预过滤器”,筛分不要的信息流,路由器的ACL只能作为防火墙系统的一个重要补充,对于复杂的安全控制,只能通过防火墙系统来实现。**集团信息网服务器,首先通过二层交换机接入到主备用ASA5550防火墙,由防火墙控制所有用户的访问权限,关闭非使用端口,开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区,连接省电信公司收发公文的转接器,建立一高于DMZ区低于内网的管理区,用于管理机的接入。在内网防火墙之外采用两台。 1sco3750三层交换机做路由控制,接入本大楼内分公司网络及实业本部网络,由其控制访问服务器、分公司VPN及外网路由。与地市分公司的 InternetVPN采用 CiscoASA552O防火墙,同时提供拨号VPN接入,外网访问通过 AmarantenF60O防火墙控制后接入公网网络,同时提供备用拨号VPN接入。外网WEB服务器接在枷
arantenF600防火墙眼Z区,对外开启 tep80http服务。通过制定相应的安全策略,防火墙允许合法访问,拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口,防火墙制定合理的策略保证合法和必要的访问,拒绝非法入侵。我们通过配置 AmarantenF600防火墙实现以下功能: 1. 可以通过IP地址、协议、端口等参数进行控制,使得在内网中的部分 用户可以访问外网,而其他用户不能通过防火墙访问Internet。
2. 对网络流量进行精确的控制,对一个或一组IP地址、端口、应用协议第三章**集团企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽,又可以设置最大带宽防止对网络资源的过度占用,还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配,使网络效率达到最优化。 3. 通过三种方式过滤不良内容,包括: URL地址:只需要将不良网站的URL地址添加到过滤列表中,便可进行阻挡。 不良关键字:所有包含**集团网络用户自定义不良关键字(如“法轮功”)的网页将被屏蔽 网页分类:腼 arantenF600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等),**集团网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。 通过利用IP地址、邮件地址、实时黑名单/匿名中继代理列表(RBL/ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和内容层为**集团网络过滤大量的垃圾邮件,以净化带宽,减轻邮件服务器负担,提高**集团网络的工作效率,并防止病毒和不良信息通过垃圾邮件进入陕西电信DcN网络内网。
AmarantenF600防火墙拥有强大的日志功能,可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。
3.4.2 入侵检测与防御
入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测,从计算机网络系统中收集信息,并分析这些信息,看看企业信息化建设安全解决方案 第19页 共22页
网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术,对内部攻击、外部攻击及时做出响应,包括阻塞网络连接、记录事件和报警等,在网络系统受到危害之前拦截和响应入侵,第三章**集团企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现: 监视、分析用户及系统活动; 系统构造和弱点的审计; 识别反映已知进攻的活动模式并向相关人士报替; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统 的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该 管理、配置简单,从而使非专业人员非常容易地获得网络安全。从而达到对网络 实现立体纵深、多层次保护的目的。实时监控或最近的网络数据监控。实时地显示、监控网络数据流量并记入日志。每小时网络数据流量记入日志,显示并提供详细的信息。本地或远程的服务器服务的用户信息。网络负载容量和系统状态的实时显示。实时检测、拦截并跟踪黑客入侵行为检测、拦截并通过各种方式(手机短信息、e朋i1,etc)发布警告信息给系统管理员。支持各种规则配置保证检测和阻止黑客入侵。支持追踪黑客,定位黑客的攻击位置。信息管理,检测并阻止访问非授权的web站点(色情、娱乐等等)通过关键字的搜寻对e一mail和web一mail信息流出进行拦截和记入日志。第三章**集团企业信息化及安全整体解决方案对于千兆网络的完善支持。并联式被动抓包技术(扫描和抓包)不影响网络流量。简便的安装和方便的操作(集成了S/W和H/W)。独立安装的系统保证更好地防御安全入侵。远程监控和集中控制。支持和(IAP)控制中心的通讯交流。检测/保护/警告根据入侵检测规则阻断非法网络流量,发布警告和报告(通过报警、e一mail、移动电话)给网络管理人员。提供黑客的不同信息(目的、黑客行为、攻击尝试的数量、解决办法、黑客攻击的起止时间等等)。提供针对不同的攻击行为的详细信息和对策。提供详尽的黑客文件来定位黑客位置。
控制信息。对进出的邮件进行有效的信息管理(发送者和接受者)。检测e一11(信息体和附件)并可以通过关键字的匹配进行阻断(保证保密或机密信息不泄漏)。记录Telnet,FtP和远程登录的详细信息。管理访问未授权的网页(包括色情、娱乐和股票信息等)的信息。控制和管理硬盘共享功能(对于PC机)。控制特定的服务器、客户端和服务(协议),如果需要可以定义规则阻断非法连接。提供根据字符串匹配检索日志记录。报告功能,实时或定期的网络使用情况的详细信息报告。黑客攻击信息/检测信息/保护信息/阻止信息报告。第三章**集团企业信息化及安全整体解决方案数据交换详细信息报告,包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和远程登录等等。提供阻断硬盘共享、本地/远程用户不合法信息的报告。提供各种黑客攻击行为的报告。各种不同的打印和输出格式。各种图形和报表报告。基于计算机、服务、时间、单个记录/群体的报告。根据不同时间段(月、天、小时)产生统计报表。设置统一管理权限。设置允许登录IP地址,保证只有合法IP的特定用户才能登录系统。本地客户机管理。根据IP地址管理数据流是否合法。拦截规则设置。根据每台服务器情况企业信息化建设安全解决方案 第20页 共22页
和每个服务(端口)情况设置拦截端口。日志设置,网络数据实时监控设置。入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。
3.4.3 安全漏洞扫描和评估
安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况,找出存在的安全漏洞,按照高中底三种风险级别罗列出来,同时针对每个漏洞给出修补的办法。漏洞扫描器的对象是基于TCP协议的网络设备,包括服务器、路由器交换机、工作站、网络打印机、防火墙等,通过模拟黑客攻击手法,探测网络设备存在的弱点,提醒安全管理员,及时完善安全策略,降低安全风险。只需在**集团公司中心机房配置一台机器上安装上漏洞扫描器即 可对全网所有网络设备及服务器等进行扫描。设置对昵B服务器、邮柞服务器、DNS服务器、数据库服务器、等进行基于网络的扫描。系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险,包括缺少安全补丁、词典中中可猜中的口令,不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描器采用Console/Agent结构,首先需要一台Console,在被扫描的机器上安装Agent代理,由Console集中管理所有的Agent的扫描服务。数据库扫描器是针对数据库管理系统的风险评估检测工具,可以利用它建立数据库的安全规则,通过运用审核程序来提供有关安全风险和位置的简明报告。利用数据库扫描器定期地通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据库扫描器目前支持的数据库类型有 :MSSQLServer、ora。le和Sybase等。只需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。计划配置一台便携式笔记本电脑安装漏洞扫描软件,从不同的网络位置扫描**集团中心机房所有的应用服务器、交换机路由器、防火墙等联网设备,该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。
3.4.4 防病毒系统
通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析,结合当代企业网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理, 以防为主、防治结合”的动态防毒策略。在**集团网络中部署全面的病毒扫描解决方案,从单机、网络到Internet/Intranet网关全方位多平台的防病毒产品,满足不同用户对计算机从清除病毒到网络通讯系统全面防范监控的要求。单机病毒防火墙:适用于未联网的单个windows桌面机,支持win9
8、winNTWorkstation、
Win2000/XPProfessional等个人操作系统。服务器病毒防火墙:文件服务器是企业网中最常见的服务器。以NT服务器为例,它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻击,更为常见的是,由于服务器为网络中所有工作站提供资源共享,因而也成为病毒理想的隐身寄居场所,进而将病毒轻易扩散到网络中的所有工作站上。需要为服务器提了针对性的防病毒解决方案,支持包括Net,are、企业信息化建设安全解决方案 第21页 共22页
NT及AlphaNT为平台的多种服务器的病毒防护。电子邮件服务器病毒防火墙:对邮件服务器进行针对性的病毒扫描服务,使服务器本身不受病毒感染,同时防止病毒通过邮件交叉感染。邮件服务器产品覆盖 MierosoftExehange、 LotusNotesforNT、AIX、Solaris、HPUX、 IBM5390和05400等。网络杀毒服务器:实时的、基于Web的、可集中控管的桌面反病毒解决方案。从管理控制台,管理员可配置、更新、扫描、监控所有的客户端的反病毒防护,降低企业的整体成本。在病毒爆发情况下,管理员可将所有的客户端的病毒码更新至最新状态并进行扫描,进行整个企业的病毒扫描。防毒中央控管系统:使用中央控管系统后,网管人员可以使用浏览器为应用界面,在企业网内部的任意工作站或通过Internet实现对跨地区、跨平台的企业防毒系统实施统一管理和监控。随着近年来尼姆达、冲击波等蠕虫病毒的泛滥,越来越多的病毒通过系统漏洞进行主动的复制和传播,仅仅依靠针对主机的防病毒软件并不能完全阻止蠕虫病毒在网络中的扩散。而据ICSA(国际计算机安全协会)的统计表明,超过90%的病毒是通过网络传播的,因此网关防病毒是**集团网络安全建设的重中之重。我们需要针对**集团网络的安全需求,对 AmarantenF600的第三章**集团企业信息化及安全整体解决方案防病毒功能进行相应设置,便能够对进出**集团网络的数据流进行实时病毒过滤,将病毒阻挡在Internet入口之外。 AmarantenF60O的网关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系统漏洞肆意传播,大量消耗系统资源和网络带宽所造成的DoS/DDoS(拒绝服务/分布式拒绝服务)攻击。
3.4.5 终端监控与管理
内网计算机如果非法接入互联网,就会使得我们采取的内、外网物理隔离、防火墙等多种确保内联网安全的措施彻底失去功效,相当于把整个内部网络完全暴露在恶意攻击者面前,所可能遭受的信息失密、毁损等后果将无法估量。因此我们要在**集团内网中的PC上部署防非法外联软件。监控各类非法外联,包括枷dem、ADSL、GPRs、红外、多网卡(包括无线网卡),基本涵盖目前主流的外联手段。实时发现非法接入的主机(可以穿透个人防火墙),并能有效阻断非法接入主机对局域网络的访问,有效维护局域网的完整性和安全性。能够有效监控/阻断客户端主机的IP、琳C、掩码的非法修改操作,有效控制局域网的IP盗用和滥用,同时也避免了客户端主机修改网卡IP后连入Internet的问题。告警方式包括:屏幕报警、Wind,s消息警告、邮件告警等。系统支持多级管理,适用于大规模分布式部署,总控可以查看全局的主机信息、所有报警信息等,很好的起到资产管理的作用。客户端的运行平台包括Windows9
8、 WindowsMe、 WindowsXP、 Windows2000、Windo, 52003等。客户端采用后台运行方式,不容易被用户察觉;客户端对自己注册的服务进行保护,使服务不能非法停止、服务属性不能非法修改;客户端进程采用双进程相互守护的方式保障进行正常运行;客户端对安装文件进行保护,使其不被非法删除、修改。采用分散扫描方式,将探测活动主机的工作分摊到各个Vlan中的指定引擎,分担了控制中心的扫描工作,同时也使得探测数据包控制在Vlan中,从而使得系统扫描对整个网络的带宽占用有效控制在很小的范围,不对网络正常应用带来任何负面影响。第三章**集团企业信息化及安全整体解决方案第四章结束语 企业信息化建设安全解决方案 第22页 共22页
4 结束语
4.1 论文工作总结
本企业信息安全解决方案实现了企业以互联,提供了安全的Site一to一SiteVPN与移动办公VPN接入,针对移动办公提供了 CISCOeasyVPN和 LZTPVPN的同时安全连接,其中 LZTPVPN为CISCO新增支持功能。由于目前最大的安全隐患都是出在内网上,针对企业外网和内网,特别是内网提供一揽子解决方案。
4.2 本方案不足之处
由于**集团牵头、督促各上市省份要在规定时间内完成每个企业信息网络建设。所以本方案从设计到实施才一年多的时间,主要建设方向在大局:中心机房建设、各子公司VPN接入、各子系统建设。接下来进入网络建设第二阶段,会加强对内网的安全建设上。如桌面安全防护方面:通过技术手段解决ARP欺骗问题、U盘病毒传播、终端电脑随意接入问题、以及传统的防病毒软件无法解决的问题。内网资产管理方面:能够全面了解内网硬件以及软件资产的信息,比如安装什么类型软件、电脑配置等,并且可以及时了解内网资产变化情况;系统能够提供软件分发、补丁管理方面的技术手段,减轻管理人员的工作压力,提供更加方面快捷手段集中管理所有终端系统。行为管理方面:通过技术手段解决外设滥用、明确规定只用注册的U盘设备才允许在企业范围内使用,防止信息泄密;限制不允许随意更改网络配置信息,比如IP、MAC地址等;另外在上网行为审计、非法外联控制等方面也存在较大的需求。
第三篇:电子政务信息安全监控预警平台建设方案
天融信电子政务外网安全监控预警解决方案
电子政务外网建设到今天,基本建成从中央到地方统一的国家政务外网,横向连接各级党委、人大、政府、政协、法院、检察院等各级政务部门,纵向覆盖中央、省、地(市)、县,满足各级政务部门社会管理和公共服务的需要,确保了国家政务外网的统一性和完整性。这对政务外网的监管提出了更高的要求,建设信息安全监控体系,及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护与监控是当务之急。
1. 电子政务外网面临的安全威胁
电子政务外网是一个综合的、复杂的信息网络系统,它的运行情况、每一个环节和部件是否存在安全隐患和故障因素,应用系统的服务器和数据库资源是否存在安全漏洞和数据泄密或丢失等情况,就会对电子政务外网造成严重的威胁,主要威胁如下:
基础网络面临的威胁:纵向到底,横向到边的政务外网基础网络架构,为电子政务提供了最基本的网络平台,而网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性。 互联网出口面临的威胁:电子政务外网的互联网出口处于一个公开的网络环境,信息泄露、病毒攻击、黑客防攻击、僵尸网络等严重威胁到电子政务的互联网出口边界。
网站面临的威胁:“政府网站”的权威性和公信力都是其它网站所不能比拟的,同时政府门户网站促进了政府办事效率的提高,增强政府与企业与民众的亲和力,改善了政府的形象,而政府网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁。
应用系统面临的威胁:业务应用是核心,而应用系统依赖多种基础设施支撑,管理人员很难直接判定问题是出在基础网络、系统服务器、数据库还是应用系统自身,故障难以定位将直接导致业务恢复时间的推迟,影响业务系统的正常运行,大大降低工作效率。
2. 天融信电子政务外网安全解决方案 天融信基于TSM-TopAnalyzer建立的电子政务外网信息安全监控预警平台,实现全面的网络态势感知与监控预警系统,对网络活动行为进行有效的监控与评判,这就意味着基于事件的整合,发现这些问题,并对这些问题采取措施。并从管理的角度体现信息安全系统的动态模型,而不仅仅是一些静态的管理模型,重点提升对网络、互联网出口、核心业务系统、重要网站的主要安全威胁的可知、可控、可管能力。如下图所示:
图1 天融信电子政务外网安全监控预警平台重点业务示意图
电子政务系统信息安全监控预警平台是用户实现对业务系统的全局安全事件监控、安全设备监控、系统的状态监控及安全运作管理的中心枢纽。该平台是一种安全监控管理的形式,它的职能主要为技术和管理层面的监控职能,并有效地将安全监控与分析系统、态势感知系统、流量监控与分析系统、僵尸网络监控系统、蜜罐系统、病毒监控系统、网站安全监控与评估系统、应急工单管理系统和安全策略配置有机的整合在一起,如下图所示: 领导IT主管运维视角维护人员安全事件视角审计人员审计视角业务部门业务视角…………展示层监管视角外网监控预警中心互联网出口监控预警中心信息系统监控预警中心图形化展示、报表化展示、事件实时化展示……网站监控预警中心核心处理层专家知识库安全策略库安全监控模块关联分析模块事件监控模块态势感知模块流量分析模块违规监控模块流量监控模块风险分析模块预警响应模块网站评估模块病毒监控模块……其他外部系统接口应急响应体系数据采集层归一化引擎解析引擎过滤引擎流量清洗系统僵尸网络监测系统病毒监测系统蜜罐监测系统网站监测系统漏洞监测系统BGP路由监测……归并引擎监控对象层被动主动Syslog、SnmpTrap、SchedulorCollector、FileCollector、WMI、导入业务系统应用系统数据库网络设备其他基础设施…… 图2 天融信电子政务外网安全监控预警平台技术架构示意图
3. 方案优势
本方案以用户业务风险管理为核心,充分利用天融信强大的日志采集专利技术、关联分析引擎和安全态势感知技术,实现对电子政务外网进行实时、高效的监控与预警。
以业务风险为核心的全新安全视角
在全面、深入的了解客户业务的基础上,抽取出相应的安全目标,并结合一系列国际、国内以及行业标准和规范,为客户定制专用的业务风险计算模型和计算方法。从技术和管理的双重角度实现风险管理,为用户构建动态的可信安全监控预警平台。
完善的事件采集
TSM-TopAnalyzer通过代理(Agent)收集多类安全事件源产生的日志信息,如安全设备、网络设备、操作系统以及应用系统等,在支持日常的日志格式(包括Syslog、Snmp trap、文件、数据库等)采集的同时,充分利用天融信专利技术(专利号:200710304767.3)可快速对未知设备(系统)的日志进行采集与分析。
强大的关联分析引擎 由于各种攻击行为都会在不同的网络设备及安全设备中留下蛛丝马迹,导致事件的产生,但是单一的设备事件确难以有效的分析攻击行为及网络中实时威胁。天融信TSM-TopAnalyzer基于状态机原理,实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景,状态机间的状态转换的条件由不同安全事件触发,可以有效的帮助我们过滤事件,在大量事件(甚至是误报事件)中提取有用的信息。
安全态势感知技术
天融信TSM-TopAnalyzer充分利用态势感知技术,实现政务网络安全监控,综合分析处理中心的报警信息,依据建立的安全态势评估指标,从不同层次、不同信息源、不同用户需求感知网络系统的安全状态,并对危险安全状态发出警报,为应急响应提供有用情报信息,并提供回溯机制,以便于管理员查看引起系统处于危险状态的详细原因,提供一个整体和全局的概念。态势感知技术有助于用户提高应急响应能力,缓解网络攻击造成的危害。
第四篇:学校加强安全技术防范系统建设方案
郑州市第xx中学
加强安全技术防范系统建设方案
根据郑教明电【2013】511号通知要求,为深入推进学校及周边安全防范工作,切实加强学校及周边治安防控体系建设,着力构建“和谐、平安校园”,特制定学校安全技术防范建设方案。
一、 指导思想
以"三个代表"重要思想和党的十八大精神为指导,按照科学发展观的要求,紧紧围绕“平安校园”建设的工作目标,坚持"打防结合、预防为主、专群结合、依靠群众"的方针,进一步提升学校治安防控能力,以加强科技防范设施建设为核心,全面建设融人防、物防、技防为一体的治安大防控体系,为学校教育事业又好又快发展提供有力保障。
二、 组织领导
成立学校技防设施建设领导小组,具体成员如下: 组 长:xx 负责学校技防建设工作的指导开展。 副组长:xx 配合组长搞好学校的技防建设工作。 成 员:xx 负责学校技防设施建设经费保障工作。 xx 负责学校技防建设的各项监督工作。 领导小组下设办公室:
负责人:xx 主要负责技防建设工作的日常事宜。
三、 建设目标
2013-2014学年期间学校的治安防控体系建设总目标是:建立一支学校专职保安联防队伍,规范学校内部治安保卫工作,努力减少学校内部发案率,加强人防、物防、技防设施建设;对进出入学校人员全面加强以视频监控、联网报警等电子设备为主的技防设施建设,构成一张严密的学校治安防控体系。
四、主要措施
1、加强校园治安管理,组织并落实好24小时值班制度,加强门卫管理,严格出入登记检查制度,加强对校内突发事件的处置力度,严厉打击危害校园治安秩序的各种违法犯罪活动,重点抓好对进入学校的陌生人员的登记、排查防范、查处工作。
2、加强安全防范工作,落实各项安全防范措施,对教学楼、图书馆、实验室、社团中心、微机室、财务室等重点要害部位开展经常性安全大检查,对于排查出来的安全隐患,提出整改意见或发出整改通知书,督促相关责任人明确整改措施和整改时限,并落实责任人进行跟踪监控。
3、加强校园交通安全管理,建设校园车辆出入管理办法,进一步规范机动车辆在校园内的停放。
4、和有关部门积极开展法制和安全防范宣传教育,着重做好"崇尚科学、反对邪教"教育、消防安全教育、防震减灾教育等。
5、协调处理治安设备的有效利用,改善技防设施.尽快完善学校监控系统,将现有的监控系统存在问题即刻解决,马上投入使用,并将技防设施力争覆盖学校全部要害部位,充分发挥技防设施在校园安全防
范体系中的重要作用。
6、制定并落实学校治安综合治理实施方案,完善安全保卫工作方案,认真做好学校大型活动的各项安全保卫工作。
7、继续开展"平安校园"创建工作,努力打造和谐稳定的良好校园环境。
8、抓好政治理论学习,组织学校安全保卫人员认真学习十八届三中全会精神,不断提高政治思想觉悟和爱岗敬业精神,适应形势发展,进而提高安全保卫工作的水平和成效.
9、抓好业务技能学习,结合学校安全稳定工作出现的新情况,新特点,有针对性地组织业务技能学习,使保卫人员的业务素质和使用新型安防设施的技能得到进一步提高.
10、加强纪律作风建设.从小事做起,从细处做起,从值班、巡查、上下班、请销假等制度执行情况抓起,进一步加强和改进作风,最大限度地发挥个人主观能动性和团队分工合作的精神.
五、技防建设要求
1、技防设施的进一步完善经费列入学校2014预算开支,日常维护经费在学校经费中列支。
2、技术防范工作要明确责任人,健全责任机制。技术防范设施要建立使用、维护、更新的制度。
3、对安全技术防范的部位,应建立档案,其内容包括:部位名称、安装原因、防范要求、价值、相关的技术防范措施、责任人和备注等。
六、建立《郑州市第xx中学安全技术防范系统管理办法》
第一条(目的) 为确保校园内技术防范设施的完好运行,维护校园治安秩序的稳定,保证学校正常教学秩序,保障财产安全和人身安全,杜绝安全事故的发生,根据有关法律、法规规定,结合学校实际,制定本管理办法。
第二条(适用范围) 校园内安全技术防范产品的安装、维护、使用;安全技术防范系统的设计、施工、维修、使用及其监督管理;临时监控设施的启用等均适用本办法。
第三条(建设与管理) 校园技防系统的建设与管理,按照统筹规划、合理布局,统一标准、分类建设的要求,根据部门的申请,结合学校的财力逐步建设。
第四条(管理职责) 总务处是学校技术防范工作的行政主管部门,负责本办法的组织实施,并履行下列职责:
1.负责制定落实校园安全技术防范措施;编制学校安全技术防范规划;
2.受理审核新建技防设施建设立项;启用临时监控设施的审批; 3.依照国家有关法律法规和安全防范工程技术规范,以及学校相关规定,对新建项目的设计、招标、施工、验收实行监督管理;
4.负责制定设施、设备、线路维修保养方案、经费预算编制、落实维护保养单位;
5.负责学校技防监控室的管理,并进行指导、检查和监督; 6.处理违反有关安全技术防范规定的行为。
第五条(技防监控室) 技防监控室必须落实人员每天24小时值班监控,并配备一名责任人负责对监控的管理:
1.技防监控室操作人员具备以下素质:(1)政治合格,未受过刑事处罚;(2)工作责任心强,具有较强的识别能力和处置应变能力;(3)熟悉业务、设备性能,上岗前接受业务培训,并取得上岗证书。
2.技防监控室建立交接班制度、操作流程及工作台帐等相应的管理制度。严禁无关人员进入;严禁带入、使用与工作无关的光盘、音像、硬盘等。当班人员不得做与工作无关的事情。
3.技防监控设备必须每天巡检,要定期维修保养,并做好维修保养记录,发现故障及时修复。确保图像显示清晰,回放清楚,设备性能良好,各类监控信息的储存期符合上级要求。
4.工作人员必须密切观察监控图像,关注有无可疑情况。一旦发现,第一时间立即通知有关人员到现场查明情况。对现场查获的可疑人员、可疑物品即刻交保卫处审查。并做好记录备案。
5.严守保密纪律。不得向无关人员、单位泄露安保系统的有关情况及录像资料。确因工作需要查看录像资料的,需填写《查看监控录像申请表》,经总务处同意,方可查看。跟案件相关的资料,应立即予以固定拷贝。
6.任何人员不得私自拆卸仪器设备,不得私自改动程序、或者私接私拉外来接线;发生故障必须通知专业维修人员检修并做好相关维修记录。操作人员不得故意删除、修改技防系统的运行程序和记录;改变技防系统的用途和范围。
7.凡因工作失职导致漏录、漏控、录像资料丢失,或是接警处置不及时造成后果的,应承担相应责任。
第六条(应当设置技防设施的场所) 根据郑州市地方标准《重点单位重要部位安全技术防范系统要求》,按照《郑州市中小学幼儿园技防设施基本配置》逐步达到规范要求。
第七条(维护保养) 安全技术防范系统保修期满后,根据学校相关程序确定专业维护保养单位。负责校园安防系统的维护保养。
第八条(责任追究) 工作人员在安全技术防范管理工作中滥用职权、玩忽职守、徇私舞弊的,将给予行政处分;对破坏技防设施、设备、线路的单位或个人,构成犯罪的,移交公安机关处理。
第九条(实施) 本办法自发布之日起实行;并由总务处负责解释。
七、重点项目
(一)视频监控系统
1、做到监视校园周边范围包括学校出入口、学校出入口外两侧150米范围。监视区域内无盲区。
2、增加录播硬盘容量,达到监控录像时间能够保存一个月。
3、24小时录像回放能清晰显示人员的体貌特征和车辆情况,包括人员面部特征、着装、携带物品及车辆号牌、车辆外观等情况。
4、硬盘录像机经电信宽带与公安局指定服务器联网,学校不无故中断监控系统与公安机关的网络连接。
5、监控视频接入的部位根据监控视频布点原则及要求确定,具体接入监控摄像头数量由大学路派出所与学校现场勘察后确定。
6、保证校园夜间照明亮度,确保监控摄像机所需环境亮度。
7、为确保校园安全,确保公安实战需要,不盲目建设、不浪费投资,以发挥学校监控系统最大功效。
(二)紧急报警装置
1、在校园警务室便于操作的隐蔽部位安装与公安机关110联网的紧急报警按钮;
2、该装置设有防误报措施,确保一旦触发报警后能立即发出紧急报警信号并自锁,复位必须进行人工操作。
(三) 周界报警系统
1、沿学校周界(指校区围墙、栅栏、河岸、消防通道等)封闭设置(校区出入口除外)周界报警系统,做到全面设防,无盲区、无死角,全天候24小时设防;
2、防区划分做到利于报警时准确定位,周界封闭屏障处防区间距应不大于70m;
3、系统报警响应时间不大于2S,报警持续时间不小于5S;
4、系统具备防拆和断电报警功能;
5、系统布防、撤防、报警、故障等信息的存储时间不少于30天;
6、为确保校园安全,不盲目建设、不浪费投资,做到周界报警系统设备选用较高性价比,以发挥系统最大功效。
八、学校安全技术防范系统建设步骤
在市公安局经文保科和市技防办、市教育局安保处的指导下,按招标形式,分阶段实施系统建设和联网工作。
第一阶段:前期勘察。12月30日前,学校与相关协议供货单位沟通、协调,2014年3月15日前完成现场勘察,4月10日前完成系统建设预算。
第二阶段:方案制定和联网实施。在前期勘察基础上,在较短时间内先期完成学校主要出入口视频监控和紧急报警按钮及与公安的联网建设工作。
第三阶段:组织施工。根据项目批复及招标情况,及时与招标单位签订合同。2014年12月10日前完成系统建设任务。
第四阶段:调试、交付使用。2014年12月20日前,全面完成学校安全防范系统安装调试,系统经市公安经文保、技防、大学路派出所和学校验收并交付使用。
九、齐抓共管,三防合力,共同做好学校安全保卫工作 学校将充分发挥人防、技防、物防功能,形成合力,积极配合大学路派出所、教育局安保处等有关职能部门针对学校周边存在的突出问题进行综合治理。积极配合市公安机关加大对学校周边地区治安的整治力度,坚决打击侵害师生人身和财产安全的违法犯罪活动,严防犯罪分子伺机滋扰学校教育教学秩序。积极配合司法、城建、工商、文化等部门整治学校周边非法经营的流动商贩,拆除违章建筑,整顿饮食摊点,坚决取缔学校门口及学校周边200米以内区域开设的电子游戏场所、网吧及台球桌等严重影响学生学习的娱乐场所,为广大师
生营造文明、安全、和谐的校园环境而努力奋斗。
xx中学 2013-11-27
第五篇:高中信息技术信息安全教案
信息安全及系统维护措施
一.教学目标: (一)知识与技能
1. 理解信息的网络化使信息安全成为非常重要的大事。 2.了解维护信息系统安全问题的措施及信息安全产品。 3.了解计算机犯罪及其危害。
4.学会病毒防范、信息保护的基本方法。 (二)过程与方法
1.通过信息技术在自然界和现实生活中的应用,能认识到信息技术与现实世界的密切联系,使学生清晰地认识到人类离不开信息技术的事实,从而进一步认识到信息技术的价值,形成学信息技术、用信息技术的意识,形成爱护计算机、自觉遵守使用计算机的道德规范。 2.尝试运用所学知识,分析、解决身边信息安全方面的事件。
二、教学重点、难点
信息安全及维护措施。
三、教学方法
任务驱动法、基于问题解决的教学方法。
四、教学环境及课时安排 多媒体教室 课时安排 1课时
五、教学观点
引导学生尝试运用所学知识综合分析、解决身边信息安全方面的事件。
六、教学或活动过程
导入:阅读课文5个案例的内容,思考以下问题:
1、通过以上案例,说说信息安全的威胁来自哪些方面。
2、造成那些后果。
通过问题讨论引入信息安全问题。
信息安全不仅影响到人们日常的生产、生活,还关系到整个国家的安全,成为日 益严峻的问题。维护信息安全,可以理解为确保信息内容在获取、存储、处理、检索 和传送中,保持其保密性、完整性、可用性和真实性。总体来说,就是要保障信息安 全的安全有效。人们正在不断研究和采取各种措施进行积极的防御。对于信息系统的 使用者来说,维护信息安全的措施主要包括保障计算机及网络系统的安全、预防计算 机病毒、预防计算机犯罪等方面的内容。
信息系统安全及维护
1、信息安全的防范措施
随着社会经济信息化进程的加快,信息网络在政府、军事、经济、金融、医疗卫生、教育科研、交通通信、能源等各个领域发挥着越来越大的作用。
信息犯罪严重破坏了社会经济秩序,干扰经济建设,危及国家安全和社会稳定,阻碍信息社会的健康发展。
信息安全,特别是网络环境下的信息安全,不仅涉及到加密、防黑客、反病毒等技术问题,而且还涉及了法律政策问题和管理问题。
维护信息系统的安全措施,包括的内容很广。课文通过列表的形式,列出了物理安全、逻辑安全、及网络安全等方面常见的一些问题,并列举了一些维护措施。
2、信息安全产品的介绍。主要有:网络防病毒产品、防火墙产品、信息安全产品、网络入侵检测产品、网络安全产品等。
计算机病毒及预防
问题与方案:
阅读计算机病毒案例、归纳计算机病毒的定义及计算机病毒的特点
1、计算机病毒的定义:
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2、计算机病毒的特点:非授权可执行性、隐蔽性、感染性、潜伏性、破坏性、表现性、可触发性等等,可略作举例。 问题:如何防范计算机病毒呢?
1。目前国内外比较有名的杀毒软件(常用计算机杀毒软件): 金山毒霸, 瑞星杀毒,卡巴斯基
2。近年来传播范围较广,造成危害较大的计算机病毒,以及对该病毒的防治方法 熊猫烧香,特洛伊木马,CIH病毒 3相关资源:
因特网上搜索相关材料,常用的有google、百度、,以及一些门户网站上带的搜索引擎,注意关键词的选取,有时可用多个搜索引擎查下。 提供一些参考网站: 江民杀毒
http:/// 赛门铁克
http:///region/cn 病毒的防治方法:
1、清除病毒
使用常见的杀毒软件有。
2、防患于未然
杀毒软件并不能让你高枕中天在线,预防才是最重要的。因为,杀毒软件做得再好,也只是针对已经出现的病毒,它们对新的病毒是无能为力的。而新的病毒总是层出不穷,并且在Internet高速发展的今天,病毒传播得也极为迅速。
计算机犯罪及预防
1.所谓计算机犯罪,是指使用计算机技术来进行的各种犯罪行为,它既包括针对计算机的犯罪,即把电子数据处理设备作为作案对象的犯罪,如非法侵入和破坏计算机信息系统等,也包括利用计算机的犯罪,即以电子数据处理设备作为作案工具的犯罪,如利用计算机进行盗窃、贪污等。计算机犯罪是今天一个值得注意的重大问题,对计算机犯罪及其防治予以高度重视,已成各国不争事实。
2. 我国于1986年,已发现并破获计算机犯罪130年代,随着我国计算机应用和普及程度的提高,计算机犯罪呈迅猛增长态势,例如,光1993至1994多例。据不完全统计,目前,我国已发现的计算机犯罪案件至少逾数千起,作案领域涉及银行、证券、保险、内外贸易、工业企业以及国防、科研等各个部门。
3.了解当前计算机犯罪的主要行为;预防计算机犯罪的方法。
七.布置课外活动:
1.通过互联网和相关的报刊杂志了解更多的信息安全问题以及相应的处理办法 2.了解更多的病毒知识,并能熟悉杀毒软件的使用方法。
【信息安全技术建设方案】相关文章:
信息安全体系建设方案04-02
信息技术课程建设07-22
信息化技术建设论文04-17
信息技术网络建设论文04-18
信息技术科组建设07-22
初中信息技术课程建设10-26
信息化技术建设论文提纲11-15
信息技术网络建设论文提纲11-15
平台信息安全技术05-22
信息安全技术教案07-21