数据安全解决方案ppt
篇一:数据中心信息安全解决方案
数据中心解决方案
(安全)
目录
第一章信息安全保障系统 ................................................ (3)
系统概述 ................................................ ..................................... 3 安全标准 ................................................ ..................................... 3 系统架构 ................................................ ..................................... 4 系统详细设计 ................................................ ............................. 5 计算环境安全 ................................................ ...................... 5 区域边界安全 ................................................ ...................... 7 通信网络安全 ................................................
...................... 8 管理中心安全 ................................................ ...................... 9 安全设备及系统 ................................................ ....................... 11 VPN加密系统 ................................................ .................... 12 入侵防御系统 ................................................ .................... 12 防火墙系统 ................................................ ........................ 13 安全审计系统 ................................................ .................... 14 漏洞扫描系统 ................................................ .................... 15 网络防病毒系统 ................................................ ................ 17 PKI/CA身份认证平台 ................................................ ...... 18 接入认证系统 ................................................ .. (20)
安全管理平
台 ................................................ .. (21)
第一章信息安全保障系统
系统概述
信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑。系统的体系架构如图所示:
图1. 信息安全保障系统体系架构图
信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。
安全标准
在数据中心建设中,信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T 24856-XX)二级防护要求进行设计。该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级
保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。
信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。
系统架构
智慧城市数据中心依据《信息系统等级保护安全设计技术要求》(GB/T 24856-XX),构建“一个中心支撑下的三重防御”的安全防护体系。信息安全保障系统总体架构如下图所示:
图2. 信息安全保障系统总体架构图
信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。
篇二:系统安全解决方案
1 系统安全方案
物理级安全解决方案
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设
施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为*作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全
对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全
设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份;通过严格管理及提高员工的整体安全意识来实现。
媒体安全
包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息
中心时都将成为首要设置的条件。
正常的防范措施主要在三个方面:
对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。
对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
网络级安全解决方案
网络安全是整个安全解决方案的关键,从访问控制、
通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。
隔离与访问控制
严格的管理制度可制定的制度
《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。
划分虚拟子网(VLAN)
内部网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制。
防火墙
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。FortiGate产品从网络层到应用层都实现了自由控制。
通信保密
数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以选择以下几种方式。
链路层加密
对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。
链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。
网络层加密
鉴于网络分布较广,网点较多,而且可能采用DDN、FR 等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备(VPN),VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性。
IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络
的线路建立IP安全隧道,能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置,可以让网络内的某些主机通过加密隧道,让另一些主机仍以明文方式传
输,以达到安全、传输效率的最佳平衡。一般来说,VPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec 标准。
由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN 设备。
入侵检测
利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有*作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测
系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
扫描系统
网络扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。
系统扫描系统可以对网络系统中的所有*作系统进行安全性扫描,检测*作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。
病毒防护
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,政府网络系统中使用的*作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术:预防病毒技术
预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计
算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。
检测病毒技术
检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。
杀毒技术
杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。
篇三:企业信息安全解决方案
企业信息安全解决方案
XX
一、企业的现状分析
当前,信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力,使企业能在信息资讯时代脱颖而出。
企业利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性,使得企业的信息安全问题日益严重。
在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争,面对竞争压力,他们必须有效地管理成本和资源,同时维护业务完整性和网络安全性。
二、企业网络可能存在的问题
? 外部安全
随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失都很大。
? 内部安全
网络的不正当使用,一些员工利用网络处理私人事务、私自下载和安装一些与工作无关的软件或游戏等,不但消耗了企业网络资源,更有可能因此引入病毒和间谍程序,或者使得不法员工可以通过网络泄漏企业机密,导致企业的损失。企业业务服务器不仅需要来自互联网的安全防护,对于内网
频发的内部非正常访问及病毒威胁,同样需要进行网络及应用层的安全防护。
? 内部网络之间、内外网络之间的连接安全
随着企业的发展壮大及移动办公的普及,在以后,很可能会形成了公司总部、各地分支机构、移动办公人员这样的新型互动运营模式。那么,怎样处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏就是个不得不考虑的问题了。各地机构与总部之间的网络连接安全性直接会影响企业的高效运作。 ? 上网行为和带宽的管理需求
计算机网络已经成了支撑企业业务的重要环节,同时也成为了企业员工日常不可缺少的工作及休闲的一部分。员工们习惯了早上打开电脑访问新闻网站,到淘宝网上去购买商品,到开心网去停车、偷菜,通过炒股软件观览大盘走势、在线交易,甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力,而原本用来收发邮件、查询信息、视频会议等用途的网络变为娱乐工具时,这对公司来说是个很大的损失,如何有效的管理网络,让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为,已成为各个公司必须直接面对的问题。
三、企业泄密的途径
目前的企业泄密大致有以下这些途径:
1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;
2、内部人员通过互联网将资料通过电子邮件、QQ、MSN等发送出去或发送到自己的邮箱内;
3、将电脑上的文件打印后带出公司;
4、将文件复印后带出公司;
5、将办公用便携式电脑直接带回家中;
6、电脑易手后,原来的资料没有处理,导致泄密;
7、随意将文件设成共享,导致非相关人员获取资料;
8、移动存储设备共用,导致非相关人员获取资料;
9、将自己的笔记本带到公司,连上局域网,窃取资料;
10、趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;
11、非法进入公司盗走目标机密或机密载体;
12、网络黑客通过网络进入企业内部网络,窃取机密文件;
13、病毒、木马非法窃取文件。
四、公司目前的信息管理现状
由于公司目前信息化还未到普及的程度,加上对此的重视程度和投入力度都远远不够,所以总的来说,公司目前的管理是比较落后的,很多地方都是靠管理维护人员手动来
控制,不但效率不高,而且隐患和弊端也不少。
目前公司网络应用主要有四个区域:佳美购物,利生科技,行政、财务和数码,以及各地分支机构,具体管理情况如下:
? XX购物
主要包括下面三个方面:
? IT设备(服务器、网络、存储等)
? Call Center资源(语音中继线路、可编程智能语音交换机、CTI等)
? 业务应用(BAS软件系统)
目前管理情况:
1、 BAS系统权限设置情况:超级管理员两个(XX和XX),管理员(各部门经理和特殊应用
人员),操作员(座席)。
权限说明
a) 超级管理员:具有一切权限。
b) 部门管理员:可针对本部门的通话、销售等进行查询和统计,分配早释,听取本部
门员工录音,撤销、修改错单等。
c) 操作员:接线,查询自己销售情况。
d) 数据导出权限开通情况:超级管理员,XX(与XX 物流接洽)
2、网络方面
部门经理、XX(负责与XX对接)可访问外网,座席全部与外网隔绝
3、存储方面
所有电脑移动存储接口全部屏蔽,U盘、移动硬盘、存储卡等存储设备均不能用。
4、服务器方面
服务器由专人维护,需要远程维护时才向软件开发商指定人员开放对外接口,平常与外界隔绝。
? XX科技
由于XX科技的客户资源全部是注册于XX总部的服务器,主要针对他们的网络应
用进行适当的控制,以避免员工在上班的时候从事与工作无关的内容,结合他们部门经理的意见,除主管级以上人员和一些讲师以外,普通员工只有连接XX软件和XX主页的权限。
? 行政、XX和财务
适当屏蔽了一些网站和资源,电脑使用方面则是各人保管自己使用的电脑密码,专
人专用。
? 各分支结构
由于目前各分支结构都是独立的网络,没有与公司总
部形成直接联系,所以无法对
其进行控制和监控。
五、公司未来的信息安全管理方案
针对公司目前的现状和当前企业信息安全面临的严峻形式,我认为,必须从管理和技术两方面入手。
? 管理方面
信息安全管理所面对的三个重要对象分别是:人员、数据和技术资源,针对这三个对象的信息安全管理措施需要与其管理流程相配套。
? 针对人员的管理
?
?
?
?
公司建立一整套规范的安全保密制度并严格执行。相关员工一律签署保密合同,定期进行保密教育,使他们认识到保密工作的重要意义。新入职员工一律签署保密合同,并接受公司《IT信息管理制度》的学习。新入职员工需使用电脑者,一律填写《电脑领用申请表》
? 针对数据和技术资源的管理
? 数据集中管理,完善服务器,各部门重要文件全部存放于服务器的相应目录,工作站电
脑仅共日常工作使用,不做任何重要文件的存储
? 建立机房管理制度,加强机房安全管理,服务器指派专人维护,除系统维护员进行日常
维护之外,其余人等不得接触服务器。
? 严格控制上网权限,原则上,私人携带的电脑不允许使用公司内网资源,如有特殊需求,
报相关部门批准,并做相(转载于: 小龙文档网:数据安全解决方案ppt)应技术手段处理后方可入网。
? 制订信息安全责任准则:责任与岗位职责相关,而不是与人员相关,岗位变化,责任随
之变化;管理制度与责任相关,责任不同,适用的管理制度不同
? 针对公司打印机、复印机等打印资源的管理
? 建立相关的外设管理条例和条规,原则上各工作站不允许随意连接打印机,如需打印权
限,可先在信息部领取《打印权限开通申请表》,阐述打印需求,经行政部审批通过之后,由信息部记录备案,再与其连接指定的打印机。
? 复印机由专人管理,所有复印的文件或资料须详细记录在案,包括复印内容,时间等等。
? 针对U盘、移动硬盘、各种内存卡等移动存储设备的使用管理
? 建立相关的移动存储设备管理条例和条规,原则上各工作站不允许随意使用USB接口,
如需使用移动存储设备,可先在信息部领取《USB接口开通申请表》,经行政部审批通
过之后,由信息部记录备案,再与其开通USB接口。
? 技术方面
改善网络结构,配置专门的技术设备,通过相应技术手段封锁各种可能泄密的途径。考虑到一些成本因素,并结合公司现在及以后发展的实际情况,总体的网络布局构思如下:
一、外网管理
? 在公司内网与Internet之内,增加一台企业级防火墙,其主要作用有以下几个方面: ? 可防范来自外网的各种攻击、病毒木马
? 公司信息化普及后,通过VPN专用通道,可使各地分支结构安全访问公司内网资源 ? 对内网用户的QQ、MSN 等聊天工具和邮件内容进行过滤,避免内部人员通过利用Internet泄密
? 合理分配网络带宽,对一些与工作无关的内容进行封锁。
? 严格控制上网权限
? 所有需要上网的用户都要填《上网权限开通申请表》。
操作流程:先在信息部领取
表格,阐述上网理由和上网的具体需求,经行政部审批通过之后,再报信息部记录
备案,然后开通相关的上网权限。
? 如果采用VPN方式连接各个子网,需要使用VPN的用户都要填写《VPN权限开通
申请表》,经行政部审批通过之后,再报信息部记录备案,然后领取VPN用户名和
密码及使用说明。
二、内网管理
改变现有的单一工作组模式,添加域服务器,采用域管理,其优点如下:
1、权限管理比较集中,管理成本大大下降。
? 域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户
只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。
? 防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障,降低维护
成本。
2、安全性加强。
? 有利于企业的一些保密资料的管理,比如说某个盘