XX电信信息安全系统解决方案

知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 的 贵州电信 信息安全系统 解决 方案 北京 绿盟 科技 有限公司 2005 年 7 月 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 目 录 1 贵州电信安全风险与安全需求分析 . 4 1.1 安全风险分析 . 4 1.1.1 系统脆弱性和潜在的危险性分析 . 4 1.1.2 安全风险评估 . 7 1.2 安全需求分析 . 8 1.2.1 信息安全管理体系的建设需求 . 8 1.2.2 物理与链路层安全需求 .11 1.2.3 网络层安全需求 .11 1.2.4 主机与系统层安全需求 . 12 1.2.5 应用层安全需求 . 13 2 贵州电信安全系统总体设计与规划 .15 2.1 安全系统整体框架设计 . 15 2.2 总体安全策略 . 17 2.2.1 技术策略 . 18 2.2.2 管理策略 . 22 2.3 统一安全综合管理平台设计 . 23 2.3.1 需求及现状分析 . 23 2.3.2 主要问题以及建设必要性 . 24 2.3.3 系统总体目标 . 26 2.3.4 安全综合管理平台框架 . 29 2.3.5 系统主要功能及实施 . 31 2.4 通信平台安全体系 . 39 2.4.1 物理安全措施 . 39 2.4.2 链路传输加密系统设计 . 41 2.5 网络平台安全体系 . 42 2.5.1 网络安全优化 . 42 2.5.2 防火墙子系统设计 . 44 2.5.3 入侵检测与安全审计系统设计 . 46 2.6 主机平台安全体系 . 50 2.6.1 系统安全漏洞扫描与加固子系统设计 . 50 2.6.2 操作系统安全子系统 . 54 3 信息安全管理体系 .56 3.1 在 安全管理的主要内容 . 56 3.2 安全管理技术平台 . 57 3.3 安全管理体系 . 58 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 3.3.1 安全体系 . 58 3.3.2 安全 组织机构 . 58 5.3.3 安全管理制度 . 60 3.4 基于策略的安全管理 . 66 4 安全服务 .69 4.1 安全咨询服务 . 69 4.1.1 安全需求分析 . 69 4.1.2 安全顾问 . 70 4.1.3 安全方案设计 . 71 4.1.4 安全研究与产品测评 . 71 4.2 安全技术支持服务 . 72 4.2.1 安全产品实施 . 72 4.2.2 网络安全日常维护 . 72 4.2.3 安全信息通告服务 . 73 4.3 安全评估服务 . 73 4.3.1 安全评估对象 . 73 4.3.2 安全评估内容 . 74 4.4 应急响应服务 . 74 4.4.1 安全应急响应体系 . 74 4.4.2 应急响应服务的内容 . 76 4.5 安全培训服务 . 77 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1 贵州电信 安全风险与安全需求分析 1.1 安全风险分析 在 贵州电信 信息网络系统中，由于在网络技术与协议上的开放性，以及根据我们前面分析的各种在网络使用和管理上、技术上、安全管理等多方面暴露出的问题，使得整个网络存在着各种类型的安全隐患和潜在的危险，黑客及怀有恶意的人员将可能利用这些安全隐患对网络进行攻击，造成严重的后果。因此如何保护重要信息不受黑客和不法分子的入侵，保证 贵州电信 信息网络系统的可用性、保密性和完整性等 安全目标 的问题摆在我们面前 。 1.1.1 系统脆弱性和潜在的危险性分析 我们根据 贵州电信 信息网络系统 的实际情况，结合用户的安全现状以及存在的安全问题，对 贵州电信 网络中潜在的安全威胁与安全隐患进行 综合 分析 与评估，具体分析如下 ： 1、 传输线路信息泄漏： 贵州电信 行业网 是 大型 的 广域 网络系统，网络覆盖的范围广，用户数据量大而且采用的都是通用的协议和平台，因此在网络上的信息和数据容易遭到外部人员的窃听，特别是在通过公共通信网传输 数据 的 通道或平台上 。 2、 来自“外部”的入侵 ： 贵州电信 行业网 是一个有 分布式 的广域网络，整体比较复杂，同时 与 Internet 相连，并向 外提供信息发布的服务，具有一定的开放性； 而目前没有严格的安全防范措施，因此很容易遭到 Internet 上黑客的攻击。此外，省烟草网络还通过广域网与其它单位（卷烟厂、分市公司等）相连，也存在被 下级单位或分支机构 攻击的可能性 。 3、 非授权访问 ：有意避开系统访问控制机制，对系统设备及资源进行非正常使用，擅自扩大权限，越权访问信息。在 贵州电信 信息网络系统 中具体表现在： 破坏信息的完整性； 更改信息的内容、形式； 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 删除某个消息或消息的某些部分； 在消息中插入一些信息，让收方读不懂或接收错误的信息。 4、 冒充合法用户 ：网 上“黑客”非法增加节点，使用假冒主机欺骗合法用户及主机；使用假冒的系统控制程序套取或修改使用权限、口令、密钥等信息，然后，利用这些信息进行登录，从而达到欺骗系统，占用合法用户资源的目的。贵州电信 信息网络系统中存在这方面的安全隐患 ， 具体有 ： 假冒主机欺骗合法主机及合法用户； 假冒网络控制程序套取或修改使用权限等信息，越权使用网络设备和资源； 接管合法用户，欺骗系统，占用合法用户的资源。 5、 破坏数据的完整性 ：以非法手段窃得对数据的使用权，删除、修改或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数 据，以干扰用户的正常使用。 6、 数据篡改与丢失 ：对于像 贵州电信 这样的大型 企事业单位 来说各类业务数据是 其 最重要的 信息 资产，随着信息化的发展，信息平台中的数据也成为信息安全所要考虑的重点。现有的许多安全事件证明入侵者的最终目的往往是企业的核心数据，对重要数据的窃取、篡改、破坏，而这些等将对企业开来巨大的损失，因此如何保护企业的核心业务数据的完整性、可靠性、保密性及不可抵赖性是 贵州电信 信息安全需要考虑的重点。 7、 破坏系统的可用性 ：不断对服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪 ， 严重 影响正常用户的使用。 在 贵州电信中存在 破坏系统可用性的威胁，而且发生的可能比较大，具体表现为 ： 使合法用户不能正常访问网络资源； 使有严格时间要求的服务不能及时得到响应； 更改信息发布系统发布的内容，造成不良的影响。 8、 网络病毒问题 ：在 贵州电信 信息网络系统 中，由于病毒的泛滥，曾对计算机 信息网络系统的正常运行 造成了 很大的影响 ；特别是近来频繁爆发的各种通过电子邮件、文件共享等传播的网络蠕虫病毒对整个网络的威胁日益增加，如前期爆发的冲击波病毒，严重影响了 整个 网络系统的正常运行并造成巨大损失。虽然 贵州电信 信息网 络系统中 已经部署了防病毒产品，但是由于各种客观原因，病毒问题还是存在，因此网络病毒的威胁绝对不容忽视。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 9、 来自内部人员的威胁 ：据 IDC 统计， 2001 年来自于内部人员的安全事件占安全事件总数的 70以上。可能是内部员工的计算机与 Internet 相连，其机器遭到黑客的攻击，黑客再利用它作为跳板，攻击重要的服务器；而且来自于内部员工（或者内外勾结）的破坏行为，往往对整个系统的破坏作用将更大。 贵州电信 信息网络系统中 也同样面临来自内部人员的威胁。 内部安全威胁包括两个方面：一是内部员工的恶意攻击，由于在网络内部较网 络外部更容易直接通过局域网连接到核心服务器等关键设备，尤其是管理员拥有一定的权限可以轻而易举地对内网进行破坏，造成严重后果。另外一方面是由于内部人员的误操作，或者为了贪图方便绕过安全系统等违规的操作从而对网络构成威胁。由此看来，在 贵州电信 信息网络系统 中，网络内部安全更需要引起重视。 10、 安全管理比较薄弱 ：随着网络安全事件的频繁发生，各企业开始纷纷加强投入信息安全方面的建设，越来越多的各项安全技术、产品被广泛的使用，但目前许多用户在安全管理方面比较薄弱 ，而 贵州电信 信息网络系统 中也面临着同样的问题 。 目前，在 贵 州电信 信息网络安全建设中， 在技术上缺乏完善的 安全综合管理平台 ，对所有的安全系统进行统一协调的管理，将它们融合为一个整体；而在管理上缺乏良好的安全管理体制和策略，包括制度的不完善、机构混乱、策略不统一等都需要提高，而这些直接导致了整个安全体系的华而不实，造成网络整体安全防御能力的下降，无法真正达到 贵州电信 的安全 要求和建设目标 。 综上所述， 在 贵州电信 信息网络系统中，存在针对信息系统可用性、保密性以及完整性的许多安全问题，而 造成像 贵州电信 信息网络系统 这样开放系统脆弱性的原因是信息传播的广域性和自身网络协议的开放性 、以及安全管理制度等几方面所致。 因此，需要从整体上进行充分的、综合的评估分析，确认系统中最迫切需要解决的安全问题，从而为安全体系的规划以及建设提供明确的指导性建议， 建设 贵州电信 信息网络安全系统 必须从增强安全意识出发，在系统的设计结构上增强安全功能，同时进行安全技术和安全管理两个层次的建设， 逐步完善信息安全体系的建设，全面保障 贵州电信 信息网络系统的可靠、稳定的运行。 下面我们就在 贵州电信 行业 计算机网络与信息安全系统的安全需求的基础上进行整体设计与规划。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1.1.2 安全风险评估 风险评估就是确认安全风险以及影响 大小的过程，一般采用定量以及定性分析方法，确定保护数据的风险等级以及安全措施实施的优先次序。 在进行 贵州电信 安全风险评估过程中，我们综合考虑了如下因素： 安全 事件 可能造成的业务损失，包含由于信息和其他资产的保密性、完整性或可用性损失可能造成的后果 ； 当前主要的威胁和漏洞带来的现实安全问题，以及目前实施的控制措施 ； 在整个安全风险评估过程中，根据 贵州电信 信息安全系统所保护的范围进行了全方位的分析。根据上述的安全威胁以及安全隐患的分析，在 贵州电信 网络信息系统中，各主要威胁的风险评估如下表所示： 序号 风险与威胁 发生的概率 危害程度 安全目标 已有措施 1 自然灾害和环境事故 低 中 可用性 已经采取物理安全措施 2 信息泄漏 低（专网） /中 低 保密性 3 网络入侵 中 中 可用性、完整 性 Internet 出口处防火墙 4 非授权访问 低 高 完整性 通过系统认证进行控制 5 冒充合法用户 低 中 保密性、可用 性、完整性 6 口令使用与破解 中 中 保密性 7 破坏数据完整性 中 高 完整性 8 数据丢失 低 高 可用性、完整 性 9 网络病毒传播 高 中 可用性 部署了病毒防杀系统 10 恶意代码与后门 低 高 可用性、完整 性、保密性 11 破坏系统可用性 低 高 可用性 12 安全管理缺陷 中 高 可用性、完整 性、保密性 建立了部分管理制度 13 不良的内部人员 低 高 可用性、完整 性 14 人员意识薄弱 高 中 可用性、保密 性、完整性 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 从上述安全评估结果来看，目前 贵州电信 中存在的安全风险影响到 贵州电信可用性、完整性以及保密性 等 的 主要 安全目标。由于信息安全系统的建设是一个动态的、具有生命周期的系统过程，因此在安全系统建设完成之后，随着技术的发展以及业务的扩展，系统 可能会产生新的漏洞、新的安全问题和隐患，因此 需要持续不断对系统进行检测、监控以及评估，及时发现系统中存在的新的弱点，并采取相应的技术和管理手段，弥补漏洞、加固系统，进一步完善安全保障体系，使得 信息网络 安全系统的建设形成一个 动态的、 良性循环的 、系统化的生命周期过程。 1.2 安全需求分析 安全 需求 是通过对安全风险的系统评估确定的 ，我们在进行安全系统建设过程中 将 充分考虑 实施 安全 控制措施的支出与安全故障可能造成的 业务 损失进行权衡考虑 。 安全需求是建立良好的安全体系的前提条件，我们从 贵州电信 行业 网络系统得 实际 情况 出 发，根据对用户网络系统脆弱性 以及安全威胁 的 风险评估 ， 结合 贵州电信 安全系统的总体建设目标 ，我们把整体的安全需求根据不同的侧重点，从信息 安全管理 体系 、物理与链路层安全、网络层安全、系统层安全、应用层安全等各个层次 进行 充分的考虑 。 安全需求 涵盖了整个信息系统的每个层次，具有一定的纵深性和涵盖面， 其中安全管理部分我们认为是非中重要的一项，因为完善的安全防御体系是以各类安全技术的应用加以安全管理贯穿于始终，才能实现安全系统的良好运作发挥其性能。 通过对 贵州电信 行业 网络 信息 系统中各个层次 的安全需求 综合 分析， 才能有的放矢地 设计和规划出满足 贵州电信 安全要求、并贴近 贵州电信 实际情况的、有效的 信息安全 保障 体系。 贵州电信 信息安全保障体系各层次的安全需求具体描述如下： 1.2.1 信息安全管理体系的建设需求 “三分技术，七分管理” 说明了管理在整个信息网络安全系统建设过程中的重要性。确实如此，因为在整个安全过程中，不管是安全事件的产生（黑客攻击、知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 病毒代码等）、安全产品的研发、安全系统的规划与实施、安全系统的维护与监管、安全事件的处理等所有与安全相关的内容都是由人在负责和处理，因此需要有一个规范化、系统化的安全管理体系来维系人和技术这两个 因素之间的关系。另外， 没有 绝对安全 的 信息 系统， 再优秀的安全产品和安全体系如果没有统一的策略与管理无法提供良好安全防护能力。 因此 在 贵州电信 信息网络安全系统建设过程中，明确了 安全管理 的重要性 ， 整个信息安全系统的建设以安全管理为核心 ，通过对 安全防护技术体系、安全服务体系以及安全人员 的统一调控和管理，实现贵州电信 全省 安全体系架构的建设。 贵州电信 信息安全管理体系主要由两个方面组成：一个是安全管理技术平台，另一个是安全管理体系的建设， 这个两个方面相辅相成，缺一不可 ； 安全管理体系从组织上、策略上、制度上明确人员的职责分 工和要求，对安全过程中各工作的内容进行了明确定义和详细的规定；而安全管理技术平台则从技术上实现对全网运行状况监管，实现全网统一管理，同时在技术上监督相关人员在执行安全管理制度方面的情况，因此两者是互为一体的。 1、安全管理技术平台 为 了能够实现对 贵州电信 全省信息网络系统 的安全性 进行统一、集中的监管 ，建立 全省 安全 综合 管理平台是十分必要的，统一 安全综合管理平台 是整个 信息 安全 技术 体系的基础平台和核心。 在 贵州电信 信息安全系统建设中，安全管理技术平台要达到如下目标 ： 建立全网的安全管理与监控中心。 对全网所有系统的运 行状况进行监控，保障系统运行安全，监控和保护信息处理过程的安全。运行安全保障的目标包括：操作系统、各类安全产品、主要网络设备、主要应用系统等。 建立省 公司 、 分公司 、 县（市）公司 等 三级的、 分布式 的 、多层次的安全管理与监控的网络，实现全网的集中管理。 通过各级 的安全监控中心，监控数据能够层层分析和汇总，传输到省局的安全监控中心，从而能够观察和控制全省系统的运行状况，及时发现系统的安全隐患 ，为全省 IT的决策提供科学的依据 。 安全综合管理平台 将把所有其它孤立的安全产品集成到一起，一方面对知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 这些产品提供互相交互的机制，一 方面对管理层提供统一的数据汇总；警报和管理的机制。 建立一个全网的应急响应和反馈机制。对网络外部和内部人员的入侵、越权和误操作等行为进行监控，及时以各种形式，向控制中心发出警报，更重要的是，在紧急情况下，能够依据系统设定的规则，自动的与其它相关产品协同一致，切断非法行为，隔离破坏者，缓解破坏的程度等。 提供详细的审计和事后日志纪录，并通过对相关历史纪录的数据挖掘和分析，获得有价值的统计、分析报告，并为追查可能发生的安全事件提供证据。 2、安全管理体系 企业安全策略不可能在一开始就覆盖了所有的安全隐患，也不 可能随着企业信息化建设的不断发展而不做任何改变，在安全体系建设 完成 后，良好的运行维护管理是保障 企业 信息安全的重要因素。因此， 建立 贵州电信 完善的 安全策略、安全规范和 管理 制度，才能更好的对 贵州电信 整个安全体系进行控制和管理，也将确保整个系统具有更长的生命周期，并持续高效、稳定地运行。 因此，在 贵州电信 安全管理体系建设过程中， 主要包括以下几个部分： 建立一个专门负责安全管理 的组织机构，即 贵州电信 信息安全管理委员会 ，来保障整个安全体系的顺利运行。该 委员会 由来自于技术部门和业务部门的人员构成，并由 负责信息安全的 领导直接 管理。该 委员会 必须制定整个 贵州电信 的安全政策和策略以及一系列体现安全政策的安全的规章制度， 安全系统的建设规划以及实施，人员的培训，安全系统的监控与维护，安全事故的处理等，都统一 由 委员会策划、 监督执行。 建立一套 完善的、贴近实际情况的 贵州电信 信息 安全管理规范及体制。通过对设备、系统、人员、运行、预警、保障等各个环节的规范化和制度化，并 通过技术手段监督、 严格贯彻实行，这样才能真正地达到技术与管理的有机统一，提供全网信息安全保障。 要提高整个企业信息化整体安全水平，安全意识是前提，安全知识与技术是基础，安全队伍建 设是保障，安全管理是根本。 任何系统不是完美知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 无缺的，它也会带来负面影响，如系统性能的降低，操作步骤增加，维护工作复杂等问题。提高 贵州电信 全省各级 员工从上到下对信息的重视程度，提高全员的安全意识和安全知识是非常实效的安全措施；同时，培养具有专业水准的网络安全管理员也是 贵州电信 网络安全系统建设成功长久的有力保障。 1.2.2 物理与链路层 安全需求 1、 物理安全 在现有基础上加强关键 贵州电信 各级单位网络机房 的物理安全保护。 建立关键主干机房的监控系统，对关键机房的日常情况进行监控，并将相关视频信息传输至监控中心。 2、 数据传输链路 大量数据通过行业内广域网进行传输，对数据的传输安全应达到安全保密以及完整的要求，并且传输链路应通过备份链路的方式，保证信息传输不受到人为、物理的其它因素影响。 1.2.3 网络层 安全需求 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面，因此在 贵州电信 信息网络安全系统中，网络平台安全体系的需求主要体现在： 网络安全优化 主要包括根据 贵州电信 各级单位局域网不同网段的不同功能要求和不同的安全等级，对整个网络体系架构进行相关的安全域划分。并根据不同的安全需求，设立 相关访问控制。对现有的网络设备加强安全策略配置如访问控制列表，进行严格的访问控制。 防火墙 防火墙是网络层安全领域最成熟、使用最广泛的技术，用于割断信任网络与不信任网络的有效工具。在 贵州电信 各级网络中部署防火墙隔离内外网，设置各级安全屏蔽，将全网在网络上分割为相对独立的子网，防止来自外部的非法访问知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 和操作。 网络入侵检测与安全审计系统 建立 贵州电信 各级单位的网络入侵检测与安全审计系统，及时监测并报告来自外部和网络其它部分的黑客入侵行为，拒绝服务攻击，违规操作等，并能对相关入侵行为进行主动反馈，报警和阻断。 网 络安全监管与故障处理 通过建立各级单位的网络管理系统，实现对全网关键网络设备的运行状态、链路的情况进行实时监控与管理，及时发现网络故障情况，并采取相应的响应报警机制，马上通知管理人员进行处理，尽量保障网络的可用性。 1.2.4 主机与 系统层 安全需求 主机系统是 贵州电信 整个应用业务的基础平台，其安全性会影响到全省各项应用业务系统能否正常运营。 主机平台安全的主要需求包括，通过相关的技术手段和措施，保障系统内部所有相关主机及操作系统，主流应用软件，客户端系统不受到恶意的攻击和破坏。在 贵州 安全系统中，主机与系统层安 全需求具体包括如下： 主机系统漏洞扫描与加固 采用安全扫描技术，对 贵州电信 各级单位网络中关键的 主机和服务器进行定期 漏洞 扫描 与评估 ，针对相关的系统漏洞，提出修补的措施，并定期进行相关操作系统的 裁剪、修补和加固的工作 。 操作系统安全 通过使用主机访问控制等技术措施及手段， 对 贵州电信 信息网络 系统中的 核心业务 主机与服务器系统 严格划分、管理、控制用户的权限和行为 ，增强操作系统的健壮性以及安全性，使操作系统达到更高层次的安全 等级 。 网络病毒防杀系统 完善 贵州电信 全省的网络病毒检测与防范系统， 及时检测和控制各种文件、宏和 其它网络病毒的传播和 破坏 ，具有集中统一的管理界面，系统具有自动升级，自动数据更新，可管理性等特性。 主机安全监管 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 通过 网络安全综合管理，对关键主机和服务器系统的运行状态、资源的使用情况、安全日志等进行监管，及时发现系统的异常行为和故障，保障主机与业务系统的可用性。 系统冗余和备份 针对 贵州电信 信息网络系统中 关键的主机应用系统，应该建立相应的系统冗余与备份措施，如可通过服务器集群、双机热备等措施，最大程度保障主机系统的可用性，最大程度的保障烟草业务的连续性。 1.2.5 应用层 安全需求 应用平台安全是系统最终 保障的目标，数据的保密性、高可靠性和防篡改等特性，以及应用系统对于系统功能和相关数据的严格控制，将成为整个应用和数据安全体系的主要需求。 在 贵州电信 安全系统建设过程中，应用安全需求 具体包括： 建立 PKI/CA 体系，为应用安全提供认证、加密、数字签名、数据完整性等功能和服务。 要求应用利用授权管理和身份认证的机制，建立安全的应用体系架构。从而能够确保对使用应用系统的用户的辨识和访问控制，例如：领导，机关人员等不同的用户级别和不同级别的验证方式 (口令， IC 卡， USB卡等 )。 有效地建立信息资源的标记、加密存储和保 管机制。考虑应用层对传输数据进行加密。 建立全省数据备份中心， 有效地建立数据的本地在线备份 以及 异地远程备份的机制，确保数据在意外情况下的及时恢复，建立灾难和应急相应机制。 通过网络安全综合管理系统，对关键应用和业务系统的运行状态进行监管，及时发现并排除应用故障问题，保障业务的连续性。 从上述 贵州电信 安全系统的建设需求分析中可以看出，整个系统的建设包含了从安全管理体系、物理与链路安全、网络安全、系统安全以及应用安全等五个知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 方面的要求，结合了从管理到技术的各个层次；针对安全建设的主要目标保密性、完整性、可用性来 看，在 贵州电信 目前的目标主要是可用性、完整性、保密性，也就是说，在现阶段的安全保障的重点是整个 贵州电信 网络系统的可用性，以后随着烟草业务、应用的发展，会逐步增加完整性以及保密性的安全建设目标，从而逐步建立起完善的 贵州电信 信息安全保障体系。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 2 贵州电信安全系统总体设计与规划 在完成 贵州电信 安全威胁分析以及风险评估之后，根据 贵州电信 安全系统的安全需求以及安全建设的总体目标，在此基础设计和规划了 贵州电信 整体安全体系框架 。在此框架中， 以安全策略为基础，融会了技术和管理两个层次的安全体系，形成系统可用性、可控性 、抗攻击性、完整性、保密性以及可扩展性的安全服务和目标。 2.1 安全系统整体框架设计 在进行 贵州电信 信息与网络系统安全体系 总体设计规划 时，需要全面考虑信息网络 系统 的风险分析与评估、信息网络安全需求分析、信息网络整体安全策略、信息网络安全的技术标准与规范、安全体系的设计、安全产品的测试选型、工程实施与监理、信息网络安全教育与技术培训、安全 审 核与检查等 众多 方面。只有这样才能 真正建立起一个符合 贵州电信 需求的信息网络安全体系 。 同时，一个完整的安全体系和安全解决方案，必须根据 用户 网络体系结构和网络风险分析的具体情况 来确定。没有一个 “ 以不变应万变 ” 的通用的安全解决方案，尽管信息安全在于竭尽全力保护信息资产免受威胁，甚至要考虑到所有类型的威胁。但是，从目前安全技术的总体发展水平与诸种因素情况来看，绝对安全 其实 是不可能的， 但必须 通过 相应 措施把风险降低到可接受的程度。 在 贵州电信 安全体系框架中，全面覆盖了通信平台、网络平台、系统平台、应用平台，覆盖网络的各个层次，覆盖各项安全功能，是一个多维度全方位的安全结构模型。安全体系的建立，既涉及安全理论与技术，又涉及安全策略与管理，是一项跨学科的综合性信息系统工程，需要从设施 、技术 到管理整个经营运作体系的 通盘考虑，因此必须以系统工程的方法进行设计。 基于此种认识，我们将首先对安全体系架构从各个方面加以梳理和展现，提出一个以安全策略为核心和指导、技术为基础、管理为根本、安全服务为目标的贵州电信 信息网络安全系统框架，从而帮助用户更好理解信息安全，也对具体的知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 方案设计给出纲领性的指导。参见图 2 所示： 图 2、 贵州电信 信息网络安全系统的框架示意图 从总体安全框架可以看出，在基于以各种安全技术的安全基础设施的保障下、以安全策略为指导，通过统一的 安全综合管理平台 ，提供全面的安全服务内容，形成一 个互为协作的统一体，整个系统覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，从而形成完整的信息安全体系架构。 依据此 安全 框架 ， 结合前面我们对 贵州电信 网络 与信息 安全 系统的需求分析，将整个安全体系划分为以下 几个层次： 通信平台安全、 网络 平台 安全、系统平台 安全、应用 平台 安全、 统一 安全综合管理平台 等五个层次 。 每一个层次具体的安全技术与措施描述如下： 1、通信平台安全体系 通信平台安全体系主要包括系统的物理安全以及链路通信的安全，其中 物理安全主要 是指 防止物理通路的损坏、对物理通路的攻击（干扰） 、 物理环境安全、知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 网络设备及主机的物理安全等；链路通信安全 需要保证通过网络链路传送的数据不被窃听 。 2、网络平台安全体系 网络 平台 安全 体系 主要解决网络互联时在网络通信层的安全问题， 具体采用的安全技术和措施包括 ：网络设备安全、网络 访问 控制、网络和链路层数据加密、防火墙、入侵检测 和安全审计、网络监控与管理等 。 3、系统平台安全体系 系统平台安全体系的主要解决主机操作系统的访问控制以及主机存在的漏洞等。具体的安全技术和措施 包括：病毒防范、操作系统的漏洞检测、 系统安全与保护、 操作系统的安全配置、操作系统 安全加固、系统备 份、主机监控与管理等 。 4、应用层安全体系 应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接 ，对 建立在 操作 系统之上的应用软件服务，如数据库服务、电子邮件服务、Web 服务 以及各种业务系统 等。需要 采取的安全技术与措施包括 ：身份认证、访问控制、数据保密性和完整性（安全通信）、 内容 审计、 数据备份等 。 5、安全管理体系 安全管理贯穿在安全的各个层次实施 ，本身可以从不同的视角加以描述： 从全局管理角度 审视 ，要制订全局的安全管理策略。 从用户管理角度 审视 ，要实现统一的用户角色划分策略。 从资源管理角度 审视， 要实现资源的分布配置和统一的资源目录管理。 从技术管理角度审视，要针对各个层面的要求实现统一的安全监管，为IT 决策提供依据。 2.2 总体安全策略 针对以上对 贵州电信 安全现状、 安全风险、 安全建设目标以及安全需求的 的分析总结，结合安全体系建设的总体架构，从技术上及管理上对安全应对措施进行归纳总结，可制定出安全系统的总体策略。 系统总体安全保密策略的设计必须坚持管理与技术并重的原则，以确保系统知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 信息的安全保密性为主，采用多层次保护、最小授权、综合保护和严格管理等措施，从宏观整体的角度提出的安全策略，它是内部 网络安全建设中总的指导原则。 具体来说，针对 贵州电信 信息 网络安全 系统的总体安全策略 详细阐述如下 ： 2.2.1 技术策略 1、物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 加强 并完善 贵州电信 各级单位网络的 物理安全措施，具体包括：采用符合标准的布线措施，防止电磁泄漏包括对传 导发射的防护和对辐射的防护，机房建设符合一定的防雷、防火、防静电等指标，采用门禁系统、监控系统等，通过各种措施保障环境、设备和存储介质的安全。 2、信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端 -端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。在 贵州电信 信息网络 安全系统中，需要考虑信息加密的问题。 3、 访问控制策略 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。在 贵州电信 信息网络安全系统 中，访问控制策略应包括以下主要内容： （ 1）入网访问控制 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤：用 户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 （ 2）网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。 受托者指派和继承权限屏蔽可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承 哪些权限 。 用户对网络资源的访问权限可以用一个访问控制表来描述。 （ 3）目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。 对目录和文件的访问权限一般有八种 ：系统管