IBM信息系统安全设计方案.ppt

中国移动企业信息化系统安全加固方案设计软课题报告 2004 12IBM安全项目组 BankofChina2004 2 日程安排 课题背景介绍企业信息化系统信息安全体系安全加固方案及实施计划防病毒安全规范数据库安全规范防火墙安全规范企业信息化系统安全域规范问答 课题背景介绍 BankofChina2004 4 研究内容 中国移动集团公司信息系统安全加固方案及实施计划安全加固方案是整个软课题的入口 是总部信息办和各省公司信息办对其所负责的平台 统一信息平台 OA等 的安全指南 安全规范与具体平台无关的指导性的安全要求 作为各个平台安全操作手册制定时的安全依据 安全域划分防病毒系统管理与配置网络设备安全数据库安全规范防火墙安全规范中国移动安全操作过程手册 安全配置手册 根据信息系统安全操作规范 结合中国移动具体网络及应用环境和设备 在现有安全策略和规范中的相关部分上进行深化和细化 详细制定每个具体设备具体流程的操作规范 形成具有很强操作性的安全操作过程手册 操作系统安全配置手册 SUNSOLARIS IBMAIX HPUX WIN2000 数据库安全配置手册 Oracle DB2 SqlServer Domino Exchange 门户系统安全配置手册 WebSpherePortal BEAWebLogic SunOnePortal OracleASPortal MSSharePoint 网络安全配置手册 DNS FTP 防病毒 VPN 防火墙 交换机 路由器 BankofChina2004 5 研究成果 1 本软课题 共有31个提交件 中国移动企业信息化系统安全加固方案及实施计划 规范 与具体产品平台无关 中国移动企业信息化系统安全域规范 中国移动防病毒安全规范 中国移动网络设备安全规范 中国移动防火墙安全规范 中国移动数据库安全规范 产品操作手册 见下页 BankofChina2004 6 研究成果 2 通用应用系统 中国移动WEB服务器安全配置手册 包括通用 IIS Apache 中国移动DNS服务器安全配置手册 包括通用 windowsDNS UnixBind 中国移动FTP服务器安全配置手册 包括通用 IIS WU ftp 中国移动电子邮件安全配置手册 包括通用 Domino Exchange 操作系统 中国移动操作系统安全配置手册 包括通用 Solaris win2000 HPUX AIX 数据库 中国移动Oracle安全配置手册 中国移动DB2安全配置手册 中国移动Domino安全配置手册 中国移动SQLServer安全配置手册 门户 中国移动WebspherePortal安全配置手册 中国移动BEAWeblogic安全配置手册 中国移动SUNOnePortal安全配置手册 中国移动OracleASPortal安全配置手册 中国移动MSSharepoint安全配置手册 VPN 中国移动CheckPointVPN安全配置手册 中国移动NortelVPN安全配置手册 中国移动IBMVPN安全配置手册 路由器 交换机 中国移动华为路由器交换机安全配置手册 中国移动CISCO路由器交换机安全配置手册 防火墙 中国移动CISCOPIX防火墙安全配置手册 中国移动Netscreen防火墙安全配置手册 中国移动CheckPoint防火墙安全配置手册 防病毒 中国移动Symantec防病毒安全配置手册 中国移动趋势防病毒安全配置手册 中国移动瑞星防病毒安全配置手册 BankofChina2004 7 研究方式 本课题的研究方式分为两类 安全加固方案和实施计划 以及与平台无关的5个安全规范IBM负责编写中国移动提供相关信息 并负责审查和提供修改建议25个与平台相关的安全操作手册 中国移动负责编写IBM提供模板 并负责审核和提供修改建议IBM负责手册中通用部分的撰写IBM负责文档的整合感谢相关各省移动对本课题的大力支持 企业信息化系统信息安全体系 BankofChina2004 9 中国移动企业信息化系统安全体系 BankofChina2004 10 企业信息化系统安全体系的三层结构 BankofChina2004 11 第一层 安全策略第二层 安全规范和标准 安全策略 安全规范和标准 BankofChina2004 12 安全操作手册 流程 细则 第三层 安全操作手册 流程 细则 信息化系统安全加固方案及实施计划 BankofChina2004 14 加固方案和实施计划分为三个部分 安全管理层面 第一部分安全体系完善计划针对信息化安全体系的整体架构 分析目前在策略 规范 标准方面缺失的部分 制定标准体系规范完善计划第二部分安全体系部署 实施计划给出各省市部署和实施该安全体系的建议 该部分是指导性的 概括性的 各省公司应该根据此加固方案和实施计划制定自己的详细的 切实可行的实施计划 安全技术层面 第三部分总部安全技术体系加固方案和建设计划根据集团总部信息化系统目前所采用的安全技术现状 结合安全体系的具体要求 制定安全技术体系建设计划 BankofChina2004 15 安全体系完善计划 1 通过分析中国移动企业信息化系统安全体系结构 发现目前在第二层规范 标准这一层的第二个子层具体规范这一层的建设还比较缺乏 下图所列的规范 除了红色部分外 其它规范还不存在 虽然在规范总则中对这些规范进行了简单的说明 但是还不够全面和深入 对于实际操作还是缺乏明确的依据 针对以上分析 建议信息化办公室在下一阶段将体系建设的重点放在安全规范建设上 逐步完善体系中所提到的安全规范 BankofChina2004 16 安全体系完善计划 2 在待建设规范中 有些规范之间是存在一定的关联的 我们建议在建设时能够同时予以考虑和建设 风险管理规范和信息资产管理规范数据备份和恢复和介质安全管理规范和业务连续性计划规范系统安全自测规范和安全许可证制度和内部安全审计规范人力资源安全管理和个人安全守则和用户管理规范和远程访问安全规范安全事件检测和响应规范和系统日志规范其它的规范可以酌情和以上规范整合在一起考虑 系统生命周期安全管理安全加密文档管理规范补丁管理规范物理安全规范 BankofChina2004 17 安全体系完善计划 3 针对待建的19个安全规范 针对每个具体的规范定义了该规范建设的目标以及该规范中应该包含的内容概要例如 信息资产管理规范目标对于企业信息化系统安全管理来说 如果没有一份完整的能够说明我们所拥有的信息资产情况的清单 就没有办法评估资产的价值 应该采取的保护措施 应该投入的资源情况等 也就无法开展有意义的企业信息化系统安全工作 所以 中国移动要求所有部门 分公司必须维护一份完整 详细的企业信息化系统资产清单 以便于跟踪企业信息化系统安全状态 内容定义信息资产分类标准定义信息分级保护标准设计信息资产识别方法定义识别和登记信息资产的流程定义信息资产登记表模版定义信息资产清单维护方法 BankofChina2004 18 安全体系部署 实施计划 1 信息安全体系建设的生命周期 BankofChina2004 19 安全体系部署 实施计划 2 企业信息化系统安全建设步骤 如下图所示 建议企业信息化系统安全建设分为以下三个步骤 首先是在集团公司一级进行总体体系部署的规划 然后进行试点 试点成功后进行推广 而在每一个步骤中的建设都应遵守安全体系建设的PDCA模型 确保中国移动的安全体系能够不断地自我发展 循环上升 BankofChina2004 20 总部安全技术体系加固方案和建设计划主要安全产品和技术分类 BankofChina2004 21 总部安全技术体系加固方案和建设计划总部信息化系统安全体系改进建议 BankofChina2004 22 安全总控中心 集中地检测 分析 关连 报告 处理安全入侵和违规事件集中存储安全事件数据和风险信息增加整个组织信息安全管理的效率及经济性支持企业信息安全决策机制及风险评估为企业信息安全管理量化提供必要基础设施 BankofChina2004 23 网络安全审计系统 网络安全审计系统主要用于监视并记录网络中的各类操作 实时地综合分析网络和系统中发生的安全事件 包括各种外部事件 如外部入侵行为 和内部事件 如内部人员的文件拷贝 信息获取 信息发布 资源变迁等 并根据设置的安全规则 智能地判断出违规行为 并对违规行为进行记录 报警和阻断 主要功能对网络中典型的应用如TELNET HTTP FTP SMTP POP3等进行全面审计 提供详细信息 按照需要 跟踪并记录指定客户的网络操作 真实地再现用户操作的过程 还原该操作 也可以还原电子邮件 网页访问操作等 网络数据流量监测功能 包括实时流量监测和历史流量记录 用户可以使用该功能发现一些网络异常现象 尤其是当网络中有拒绝服务攻击 DoS 行为时可以及时发现并采取措施 流量监测功能可以自动定时记录用户所指定的主机和端口的流量 通过查询所记录的主机和端口的历史流量 系统可以绘制流量曲线图 生成统计报表 BankofChina2004 24 主机入侵检测系统 在目前的中国移动网络结构中使用了实时监视系统 在InternalZone AdminZone 和InterconnectionZone部署了ISS入侵检测软件 由于内部网采用的各种操作系统可能会带来安全问题 如运行各种UNIX的操作系统 包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁 因此 可建立主机IDS以进一步防止黑客的威胁 BankofChina2004 25 安全扫描 安全政策检查 安全是需要随时注意及改善的 故系统管理人员需随时了解网络和系统安全状况 因此中国移动需要一套系统弱点扫描的工具 能够协助系统管理人员找出重要服务器上可能具有的安全漏洞 以便及早修补 网络漏洞扫描系统数据库风险评估和安全政策审计系统系统风险评估和安全政策审计系统 BankofChina2004 26 业务连续性计划 灾难恢复计划 现在社会中 业务的连续性对一个企业越来越重要 在企业中已不是IT一个部门的问题 而是整个企业生死相关的问题 通过对实际情况 包括核心业务 业务中断的损失 可容忍任务中断的时间 进行分析 建设一套切合实际的 投资合理的 内容可靠的业务连续性及容灾备份方案 如右图所示 容灾备援方案包括一个相互关连的流程 具体包括风险管理 业务冲击分析 恢复能力分析 容灾策略制定 容灾技术方案的制定和实施 企业业务连续性计划的制定和企业容灾方案的管理 BankofChina2004 27 网络安全体系建设 根据业务上或管理上以及 企业信息化安全域规范 的各种安全相关需求 对现有的网络系统通过各种网络安全防范的技术手段和管理规范进行一系列的安全改造 从而将网络上存在的安全风险和安全隐患降至最低 本项目的范围包括了所有与网络系统相关的运作安全考虑 包括了内部局域网安全建设和改造和第三方合作伙伴的网络连接安全建设和改造Internet连接安全规范用户远程网络接入连接相关的安全方面的考虑 BankofChina2004 28 各信息系统的统一单点登录 统一认证和授权系统由以下四个部分组成 目录服务 存储多种不同来源的用户 资源信息 包括 存储子模块 即目录服务模块同步子模块 即元目录 或动态用户管理 UserProvisioning 模块身份管理 管理用户身份信息 并提供自动工作流程和自服务 分权管理功能 认证管理 认证方式可以分为以下四类 所知 Somethingyouknow 所持 Somethingyouhave 所具有 Somethingyouare 和所为 Somethingyoudo 访问管理 进行访问规则定义 并进行访问规则的中心控制 实现SSO BankofChina2004 29 个人及桌面安全管理 通过对用户桌面电脑使用的操作系统和其他相关安全系统平台进行安全定制 对员工使用的桌面系统进行统一 并对用户日常使用过程中应当注意的安全问题加以明确的规定 从而确保了对桌面系统的安全管理 该项目的范围包括统一主流的桌面操作系统平台和其他相关安全系统平台 定制其安全策略统一制定用户桌面系统使用安全操作手册建立桌面电脑补丁的自动分发机制 BankofChina2004 30 员工安全意识普及教育 安全意识培养机制目的Why 确保所有员工都理解企业所面临的风险 What 确保所有员工都了解企业的安全要求How 确保所有员工都具有相应的技能遵守安全要求在通常情况下 绝大多数员工当他们知道了什么是正确的 以及为什么是正确的之后 都会自觉地遵守 通过提升员工安全意识 可以及时发现 避免安全事件的发生 降低安全事件的影响 从而节约了信息安全成本 中国移动需要一套系统的 有针对性的 层次分明的教育计划来实现我们的目标 通过教育 让所有的人了解自己在企业信息化系统安全中的角色 role 责任 responsibility 和义务 liability 以及如何正确 安全地使用企业信息化系统 BankofChina2004 31 信息安全风险评估 信息安全风险评估项目的目标了解支撑中国移动关键业务运作的信息系统的安全状况评估核心信息资产所面临的风险发现信息安全实践中的薄弱环节和改进机会明确信息系统的安全需求提出信息安全控制措施改进方案 信息安全风险评估项目的主要收益包括明确核心信息资产面临的主要风险平衡信息安全风险和投入培养信息安全风险评估队伍 防病毒安全规范 BankofChina2004 33 病毒发展趋势与企业的病毒威胁分析 病毒发展趋势病毒技术与系统攻击技术的结合 蠕虫病毒 木马 黑客病毒 混合型病毒传播方式多变 蠕虫病毒 电子邮件病毒感染 脚本病毒 蠕虫病毒 木马病毒 新病毒爆发时间短危害大 蠕虫病毒 木马病毒 脚本病毒等 企业的病毒威胁分析恶意破坏桌面终端 服务器系统 网络系统性能降低 功能失效 破坏系统和数据 造成系统崩溃 网络阻塞盗窃桌面终端和服务器系统中的机密信息帐户密码 信用卡资料 机密文件文档服务器 邮件服务器成为病毒跳板网络接口成为重要的病毒入侵途径Web FTP SMTP防病毒管理面临压力职责不明确 管理规范不完善 用户防病毒意识不高 BankofChina2004 34 企业防病毒安全对策 企业防病毒架构体系建设覆盖全面 多层次 涵盖集团公司 各省 直辖市 各地市覆盖桌面终端 服务器 邮件系统 网关防毒及时及时更新病毒码 病毒引擎统一管理以集团公司 各省或直辖市为单位 由信息化责任部门设立集团公司 省或直辖市内统一的防病毒管理中心统一防病毒策略制定 统一防病毒工作监控企业防病毒管理机制加强防病毒管理策略防病毒管理职责定义防病毒管理方法和机制 BankofChina2004 35 集团公司防病毒架构 第一层 集中管理层 集团总部的统一防病毒管理中心统一管理集团总部的防病毒事务 负责集团总部防病毒架构的工作策略配置的制定和分发 部署防病毒服务器 负责对各个部门的桌面工作站或文档服务器的防病毒控制 第二层 各部门的终端层 分布于集团总部内网的各个节点 数量众多 通过防病毒软件进行病毒监视和防护 边界层 网关防病毒 这个层次分布于集团网络出入接口 在这些外部网络接入点部署邮件防病毒过滤服务器 Web防病毒过滤服务器 FTP防病毒过滤服务器 这些边界防病毒过滤服务器接受集团总部防病毒管理中心的统一管理 BankofChina2004 36 省 直辖市防病毒架构 第一层 集中管理层 成立统一防病毒管理中心 这个层次通过中央控制台统一管理企业的防病毒事务 负责省防病毒架构的工作策略配置的制定和分发 第二层 分布层 部署二层防病毒服务器 这个层次具有多个分布在不同地市部门的防病毒服务器 负责局域网内桌面工作站或者文档服务器的防病毒控制 防病毒服务器接受第一层的防病毒管理中心的统一管理控制 第三层 终端层 这个层次分布于网络的各个节点 数量众多 通过防病毒软件进行病毒监视和防护 桌面工作站和文档服务器接受二层防病毒服务器的直接管理 边界层 网关防病毒 这个层次分布于网络出入接口 在这些外部网络接入点部署邮件防病毒过滤服务器 Web防病毒过滤服务器 FTP防病毒过滤服务器 这些边界防病毒过滤服务器接受省 直辖市中心的统一管理 BankofChina2004 37 防病毒工具功能要求 BankofChina2004 38 防病毒运维组织架构 省 直辖市公司建立防病毒管理中心主要负责防病毒系统的整体规划 落实防病毒系统的具体制度 落实防病毒管理员的工作职责等工作 省 直辖市公司 各地市公司可以参照运维组织架构设立相应的防病毒机构 省 直辖市公司 各地市公司要设立防病毒日常维护小组负责防病毒系统的日常维护 省 直辖市公司日常维护小组的成员必须是专职的 地市公司原则上也要有专职的防病毒日常维护人员 也可以根据网络及防病毒系统实际状况由系统管理员兼职 系统管理员也作为网络防病毒日常维护的一部分 与防病毒日常维护小组相互协调工作 防病毒应急响应小组由省 直辖市公司防病毒日常维护人员和安全服务提供商以及防病毒厂商技术人员组成 组成人员可以兼职 省 直辖市公司应急响应系统主要负责解决由于病毒造成网络阻塞等重大问题和事件 BankofChina2004 39 防病毒管理策略要点 这些防病毒策略要求用于指导建立可靠有效的防病毒机制 指引安全管理组织和病毒处理小组才能够有效地减轻病毒的对公司的潜在威胁 信息资产分类与控制信息资产负责人的防病毒责任信息资产分类防病毒控制人员安全防病毒安全培训安全时间和故障响应系统维护管理落实防病毒管理流程 文档维护 工具变更 紧急时间响应等防止恶意软件 病毒扫描和文件数据交换控制远程办公移动电脑遵守防病毒法律规定 BankofChina2004 40 防病毒管理职责定义 集团公司防病毒管理职能集团公司在防病毒架构体系建设中起到规范标准化 建设指导和监督者的作用 制定中移动统一的防病毒架构体系建设规范 为各省 直辖市的防病毒架构建设和改进提供了规范性的指导建议 制定中移动防病毒的管理制度和管理机制规范 指导和规范各省 直辖市的防病毒管理工作 监督各省 直辖市的防病毒工作 定期以安全审计检查的方式监督下属公司工作是否到位 省 直辖市公司防病毒管理职能制定防病毒有关具体管理制度和操作规程细则 部署病毒防护策略和病毒解决方案 协调和分配各地分公司防病毒任务和职责权限 发布计算机病毒疫情 以及突发病毒解决方案 根据计算机病毒疫情调整防病毒管理策略 贯彻落实省 直辖市公司病毒防护策略和病毒解决方案 定时统计 分析 汇总和上报本公司防病毒检测情况报告 地市公司防病毒管理职能根据省 直辖市公司下发的最新病毒信息和解决办法处理各种病毒问题 负责管理辖内病毒防治的管理和日常维护 定时统计 分析 汇总和上报本公司防病毒检测情况报告 日常运维管理职能由集团公司 省 直辖市公司和地方公司防病毒相关部门执行和运作 BankofChina2004 41 防病毒管理机制建设要点 防病毒管理机制建设的主要目标是 有效地管理公司内部病毒事件带来的风险提高公司所有人员对在防病毒管理过程中相关法规制度的理解与遵守预防病毒潜在的危险 并能够处理突发病毒事件 保证业务运营连续性防病毒文档管理管理文档运行维护文档防病毒软件管理安装软件管理软件升级更新管理 BankofChina2004 42 防病毒管理机制建设要点 终端计算机用户防病毒条例建立全网用户应该遵循以下用户使用条例 未经许可不能卸载防病毒软件 不能更改配置 如认为防病毒软件影响正常使用 应及时联系管理员进行判断处理 定时检查更新状态 定时执行扫描 注意不要使用未经扫描的软盘启动 不允许访问含有色情 暴力等不健康内容的网站不随意从互联网上下载软件 游戏 电影等 不运行任何可疑文件 对于主题名新奇的电子邮件不要随便打开 病毒突发事件应急响应机制成员组成管理部门 技术部门的相关人员处理步骤和流程确认方案隔离清楚恢复后续检查 BankofChina2004 43 防病毒管理机制建设要点 防病毒预警机制新病毒讯息公告与处理疑似病毒信息发布防病毒意识培训防病毒知识普及防病毒知识全员普及内容病毒疫情预警安全漏洞公告特定病毒处理通告病毒防治论坛用于计算机用户在线防病毒技术交流 讨论 求助和建议等提供相关预防病毒知识 数据库安全规范 BankofChina2004 45 数据库安全威胁与对策 数据库主要安全威胁数据被篡改 窃取用户身份被伪造 密码被盗用未经授权对表 列 行的存取缺乏有效的跟踪 监控机制数据库安全管理关键要点管理细分和委派原则数据库管理员与安全管理员最小权限原则本着 最小权限 原则 从需求和工作职能两方面严格限制对数据库的访问权帐号安全原则密码规则 用户帐号管理有效的审计用户行为和数据库活动加强关键数据库安全保护数据库备份恢复 数据加密 BankofChina2004 46 数据库基本安全技术 BankofChina2004 47 数据库系统的安全防护架构 数据库系统的安全除依赖自身内部的安全机制外 还与外部网络环境 运行主机环境等因素息息相关 从广义上讲 数据库系统的安全框架可以划分为三个层次 1 网络系统层次 2 操作系统层次 3 数据库管理系统层次 BankofChina2004 48 网络系统层次安全防护 数据库的安全首先倚赖于网络系统网络系统的安全是数据库安全的第一道屏障 外部入侵首先就是从入侵网络系统开始的针对数据库系统的安全风险 可以采用以下的网络系统层次安全加固方法 采用防火墙系统对数据库服务器与外部不受信任网络进行隔离 屏蔽外界对数据库系统的攻击 如SQL注入 未授权访问 密码攻击等 采用入侵检测系统对数据库系统的攻击进行监测 发现并切断外部点恶意攻击 如SQL注入 未授权访问 密码攻击等 采用VPN技术对网络传输进行安全加密 保护数据库访问的安全 能够有效抵御网络窃听的攻击 BankofChina2004 49 操作系统层次安全加固 数据库系统安装在主机系统之上 为了有效的保障数据库系统安全 必须对主机系统平台进行规范的安全加固 操作系统用户安全设置用户组权限设置数据库使用程序的安全性操作系统安全日志设置记录数据库服务的启动 关闭等操作 以及主机管理员 数据库服务管理员 和应用开发人员的行为等关闭非必要的服务和程序禁止不使用的数据库服务 应用服务 协议修补操作系统和更新包 BankofChina2004 50 数据库管理系统层次安全加固 一 数据库安全策略要点系统安全性策略要点用户帐户管理用户身份确认方式管理操作系统安全要求数据库安全性策略要点根据具体的业务应用要求设计数据对象访问 数据加密用户安全性策略要点密码安全 用户角色分组 权限管理数据库管理者安全性策略要点特权用户密码保护特权用户使用限制应用程序开发者安全策略要点应用程序开发者的权限限制应用程序开发者角色的使用限制 BankofChina2004 51 数据库管理系统层次安全加固 二 数据库帐户安全设置要点定义数据库系统访问帐户负责人员和业务用途 删除无关的或者不再使用的数据库系统访问人员帐户 修改数据库管理系统内建帐户的初始密码 对数据库帐户所使用的资源 如CPU等 进行限制 密码安全设置要点多次注册失败帐户锁定过旧帐户锁定防止密码重用密码复杂性设置密码的传输和存储安全访问权限安全设置要点检查帐户的权限是否与业务使用的要求相符 避免帐户获得超出其业务工作必须的权限 给予帐户需要的最少权限 包括系统权限和对象权限 采用存储过程 和数据表视图的方式来限制用户进行数据存取操作 BankofChina2004 52 数据库管理系统层次安全加固 三 数据库加密对数据库中存储的重要数据进行加密处理 以实现数据存储的安全保护数据库系统的加密工具包数据库加密系统数据库备份与恢复备份方法导出 脱机备份和联机备份备份策略建议恢复方法数据文件损坏 控制文件损坏 文件系统损坏 介质恢复日志与审计日志记录数据库服务 数据库管理员和用户帐户的访问和操作行为审计跟踪用户的活动 发现安全设置的漏洞 分析安全事件语句审计 特权审计 模式对象审计管理员客户端安全数据库安全补丁 BankofChina2004 53 进一步数据库安全考虑 细粒度访问控制应用程序安全检查数据库系统与基于标准的公共密钥体系PKI集成关键数据库系统灾难备份 防火墙安全规范 BankofChina2004 55 防火墙分类 包过滤 PacketFilter 应用层代理 Proxy 电路层代理 CircuitProxy 动态包过滤 DynamicPacketFilter 全状态检测 StatefulInspection 自适应代理 AdaptiveProxy 深度包检测 DeepPacketInspection BankofChina2004 56 防火墙常用技术 NAT双机热备桥接 路由内容过滤带宽管理附加功能 攻击保护 联动功能 入侵检测 BankofChina2004 57 防火墙体系结构 屏蔽路由器 ScreeningRouter 双穴主机网关 DualHomedGateway 屏蔽主机网关 ScreenedHostGateway 屏蔽子网 ScreenedSubnet BankofChina2004 58 包过滤防火墙的基本功能安全要求 未鉴别的端到端策略 一个内部或外部网络上的主体通过防火墙发送数据流到一个外部或内部网络上的客体 用户数据保护功能识别与鉴别功能保密功能可信安全功能保护安全审计功能 BankofChina2004 59 应用网关防火墙的基本功能安全要求 有鉴别的端到端策略 一个内部或外部网络上的主体在发送数据流前 必须通过防火墙的鉴别 才能将数据流传送给一个外部或内部网络上的客体 用户数据保护功能识别与鉴别功能保密功能可信安全功能保护安全审计功能 BankofChina2004 60 防火墙的特殊功能安全要求 模块化多端口多级过滤内容过滤多种形式审计告警VPN IPsec和SSL 入侵检测带宽管理集中的安全网管支持802 1Q封装 BankofChina2004 61 防火墙安全策略 防火墙安全策略配置 通信策略访问策略应用策略安全策略管理流程 增添安全策略更改安全策略删除安全策略 BankofChina2004 62 防火墙管理人员角色分类 超级管理员负责本公司IP网络安全管理员和安全审计员的选用和监督 负责生成安全管理员和安全审计员的账号及相应权限安全管理员负责职权范围内IP网络安全防范工作的具体实施 安全配置操作和维护工作 以及相关网络安全问题的处理 安全审计员负责所管理主机系统及网络设备的安全定期审查和维护工作 安全审计员仅可以对日志进行审计分析 BankofChina2004 63 防火墙用户参数管理 认证模式有效时间连续认证失败时间连续认证失败次数恢复时间口令管理闲置时间并发用户管理 BankofChina2004 64 防火墙日志审计与监控 日志收集日志分析建立安全基线界定可疑活动日志存储安全审计建议建立安全审计报告安全问题应对流程审计与整体监控系统配合 BankofChina2004 65 防火墙日常维护管理 防火墙系统资源监控系统日志监控数据包捕获分析定期备份同步备份 手动备份 自动备份远程异地方式 本地存储方式 BankofChina2004 66 防火墙适用环境 单级防火墙结构 BankofChina2004 67 防火墙适用环境 多级防火墙结构 BankofChina2004 68 防火墙部署原则 骨干层汇聚层接入层 企业信息化系统安全域规范 BankofChina2004 70 安全域规范的主要内容 企业信息化系统的现状企业信息化系统的安全域划分安全域的管理 技术 设备需求定义安全域的威胁等级和保护等级企业信息化系统安全域的网络保护 BankofChina2004 71 企业信息化系统的应用系统现状 统一信息平台应用 统一信息平台包括了OA系统 主要提供企业各种公文处理 电子邮件和信息发布等功能 同时还包括统计查询 电子报销 资源预定 办公用品申领 电子期刊 档案管理 知识管理 考核管理 研发项目管理 搜索引擎 远程办公应用等 MIS应用 MIS包括财务系统 人力资源系统 综合统计系统等应用系统 还包括电子采购系统 全面预算管理系统等 对外通过合作伙伴门户与外部的合作伙伴连接 对内与BOSS系统和网管系统存在接口 BankofChina2004 72 企业信息化系统的应用系统现状 图 BankofChina2004 73 企业信息化系统的网络架构 图 BankofChina2004 74 企业信息化系统的应用架构 紧密耦合结构的应用 例如终端标准化 有一个全集团的终端标准化系统 还有各个业务单位终端标准化子系统 松散耦合结构的应用 例如OA系统 各个业务单位都有自身的OA系统 其服务器在各个业务单位的服务器区域 而OA互连主要通过公文网关 全部集中在集团总部的应用 例如电子采购系统 各个业务单位没有单独的电子采购系统 只有集中的系统 BankofChina2004 75 企业信息化系统的应用架构 图 集团总部信息化 广域专网 CMNETVPN PSTN 省公司信息化 全集团信息化系统服务器 集团总部 BankofChina2004 76 集团总部企业信息化的网络拓扑 图 BankofChina2004 77 省公司企业信息化的网络拓扑 图 集团公司 省计费中心 外部接入 办公自动化 DCN 省信息化 集团总部信息化 内部办公局域网 CMNet 网管 网管 地市 1 地市信息化 银证邮 ISP 县级信息化 省网管中心 SOC MIS服务器 地市 分公司 MIS OA OA服务器 因特网 网管 BOSS 统一信息平台 统一信息平台服务器 集团公司 全集团公司信息化 CMNet 专线 集团总部 BankofChina2004 78 企业信息化的一级安全域划分 公共区 不在中国移动直接控制范围内的区域 包括外界的各种访问设备和用户资源 从外部对中国移动信息化系统进行访问并要求服务 半安全区 安全区 核心安全区 位于中国移动信息化系统控制范围内 是公共区与安全区之间的 过渡 区域 包括所有能被非信任来源直接访问并提供服务的系统和设备 位于中国移动信息化系统控制范围内 是安全控制和保护级别较高的区域 包括中国移动信息化系统内部用户终端和一些重要程度不高且经常使用的服务器 位于中国移动信息化系统控制范围内 是安全控制和保护级别最高的区域 包括中国移动信息化系统重要的应用服务器 数据库服务器 管理控制台和服务器 BankofChina2004 79 企业信息化一级安全域的安全措施 公共区 半安全区 安全区 核心安全区 外部防火墙