信息安全技术体系设计-IBM
- 格式:doc
- 大小:181.18 KB
- 文档页数:25
1.1信息安全技术体系设计
根据对塔里木油田信息安全技术需求的总结,参考IBM企业安全技术架构方法,提出塔里木油田安全技术架构框架。
安全技术架构框架覆盖了塔里木油田未来3年所需要的安全技术功能服务组件。
每个定义的安全技术功能服务组件,都能够形成独立安全服务平台,用于实现塔里木油田的安全技术目标。
安全技术功能服务组件框架同时也是塔里木油田的安全技术功能服务组件库,便于塔里木油田的安全技术人员从组件库中选取所需的安全服务组件,以规范一致的方式来进行的安全技术解决方案设计。
图 4-2 信息安全技术体系框架
针对服务模块所实现的安全机制在数据安全、应用安全、主机系统安全、网络安全、物理环境安全方面有不同体现,展示如下:
安全技术体系
1.1.1安全技术功能服务组件目录定义
与安全架构方法模型中的五个安全域相对应,定义了五个安全技术功能服务组件目录,分别是身份与信任管理目录、访问控制目录、信息流控制目录、完整性管理目录和安全审计管理目录。
以下是每个安全服务组件目录的定义。
身份与信任管理目录
该目录定义了身份和信任管理方面的功能服务组件,它们能够对企业范围内的用户身份的识别、验证进行管理控制,提供对用户身份和信任凭证生命周期的管理。
在本目录中包含的安全服务组件有集中用户管理、统一用户目录、数字证书服务、双因素认证、电子签章服务。
访问控制目录
该目录定义了对IT资源(包括网络资源、平台系统资源、应用系统资源、数据资源等)进行访问控制的功能服务组件,它们负责企业范围内的IT资源访问的管理控制。
在本目录中包含的安全服务组件有集中身份认证及单点登录、统一统一授权服务、终端准入控制、远程访问控制、视频监控、物理门禁。
信息流控制目录
该目录定义了对网络信息流进行安全控制的功能服务组件,它们负责对企业范围内的信息流进行把关控制,保证信息流的机密保护、完整准确和合理可达。
在本目录中包含的安全服务组件有数据防泄漏、入侵检测防护、信息流内容检测过滤、防火墙、DDOS防护(拒绝服务防护)。
完整性管理目录
该目录定义了保障IT实体(包括网络、平台系统、应用系统、数据等)完整性的功能服务组件,它们负责对企业范围内IT实体正确、完整、可靠运行提供管理控制。
在本目录中包含的安全服务组件有电子文档加密服务、网页防篡改策略符合性管理、终端桌面管理、防病毒服务、补丁管理、可用性保障服务。
安全审计管理目录
该目录定义了对安全审计管理的功能服务组件,它们负责对企业范围内的IT安全事件进行记录和监控,保证IT安全事件的可追溯和及时响应。
在本目录中包含的安全服务组件有安全事件统一监控管理、日志审计系统、操作行为审计、安全符合性检查和安全弱点管理。
1.2安全技术功能服务组件定义
1.2.1身份与信任管理目录
身份与信任管理目录包含以下的安全技术功能服务组件。
每个安全技术功能服务组件的说明如下。
集中用户管理服务
统一用户目录
数字证书服务
双因素认证服务
电子签章服务
1.2.2访问控制目录
访问控制目录包含以下的安全技术功能服务组件。
每个安全技术功能服务组件的说明如下。
单点登陆
终端安全准入
统一授权服务
1.2.3信息流控制目录
信息流控制目录包含以下的安全技术功能服务组件。
每个安全技术功能服务组件的说明如下。
数据防泄漏
虚拟终端
异常流量过滤
网络防火墙
应用防火墙
防病毒网关
入侵检测防御
1.2.4完整性管理目录
完整性管理目录包含以下的安全技术功能服务组件。
每个安全技术功能服务组件的说明如下。
电子文档加密服务
网页防篡改服务
信策略符合性管理
终端桌面管理
防病毒服务
补丁管理
1.2.5安全审计管理目录
安全审计管理目录包含以下的安全技术功能服务组件。
每个安全技术功能服务组件的说明如下。
统一安全事件管理
日志审计系统
操作行为审计
漏洞扫描系统
上网行为管理系统
互联网审计系统。