中国建材集团信息安全防护体系研究论文.doc

中国建材集团信息安全防护体系研究论文 摘要：中国建材集团内部业务信息系统应用较多、外部站访问量大网络与信息系统的日常管理存在着较大的病毒入侵和恶意网络攻击风险中国建材集团严格按照网络安全保卫工作总体部署以全面达到国家信息安全等级保护工作要求为目标以完善信息安全保障体系为手段从企业战略安全的高度来看待和落实信息和网络安全工作各级机构在运营管理过程中高度重视网络安全的资金和人员投入确保机构组织保障坚决防止发生网络安全事故切实维护了国家和企业利益 关键词：信息安全；技术架构；保障体系 1基本情况 中国建材集团核心机房按照国家信息安全等级保护三级标准部署网络及安全防护设备网络主干为双链路结构采用电信+联通专线入网具备冗余性满足业务高峰期需求2台网络核心交换机构成双机热备用于连接网络边界区域、服务器区域、楼层等各个区域机房内各区域之间部署防火墙进行访问控制网络边界部署防病毒网关、IPS入侵防御系统等安全设备对来自Internet的攻击行为进行防护服务器区域部署入侵检测系统核心交换机上部署网络审计系统以及审计服务器对网络行为进行审计办公网络部署上网行为管理规避网络违法违规风险强化内网安全率站及电子邮箱系统的安全防护体系按照中央企业网络与信息安全防护标准进行设计和部署并依据国资监管网规划方案建设了一套专网专机分散部署的非涉密信息系统主要业务管理信息系统按照国家信息安全等级保护二级进行定级重点信息系统达到国家信息安全等级保护三级管理标准核心机房内独立运行的信息系统全部满足公安部对中央企业信息系统安全等级保护要求同时定期组织内、外部专业技术力量开展信息安全检查、信息系统安全测评、信息系统等级保护备案以及信息安全培训工作确保信息系统和站运行稳定安全监控到位杜绝发生安全责任事故 2技术体系架构 中国建材集团严格按照信息安全技术信息系统等级保护安全设计技术要求和信息安全技术信息系统安全等级保护基本要求设计、采购和部署符合等级保护基本要求的安全产品从安全计算环境、安全通信网络、安全区域边界、安全管理中心等方面构建起有效的安全技术保障体系根据实际业务情况将网络划分Internet接入区、DMZ区、办公区、安全管理区、核心交换区、业务服务区共计6个安全区域并根据业务系统的要求进行安全区域合理性划分各区域到核心交换机之间为独立线路连接数据处理系统以单机模式部署同时按照安全风险和安全策略具体从物理安全、网络安全、主机安全、应用安全、数据安全进行信息安全控制物理安全核心机房依据国家标准GB5017393电子计算机机房设计规范、GB288789计算站场地技术条件、GB936188计算站场地安全要求从环境安全、设备安全和媒体安全三个方面进行详细设计严格按照计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、电源质量、备用电力、振动、防漏、防火、防雷和接地等要求建设以此保证计算机信息系统各种设备的物理环境安全同时采用有效的区域监控、防盗报警系统阻止非法用户的各种临近攻击 网络安全网络主干采用双链路结构考虑业务处理能力的数据流量冗余空间充分满足高峰期需要并根据业务系统服务的重要次序定义带宽分配的优先级合理规划路由业务终端与业务服务器之间建立安全路径保证网络结构安全网络区域边界之间部署防火墙安全设备制定严格的安全策略实现内外网络和内网不同信任域之间的隔离与访问控制服务器区域部署防病毒网关来拦截病毒、检测病毒和杀毒保护操作系统安全稳定应用IPS入侵防御系统实时监控进出网段的所有操作行为从而防止针对网络的恶意攻击行为同时以满足国家等级保护二级标准要求通过人工加固的方式对网络安全设备进行配置加固实现包括身份鉴别、访问控制、安全审计等多个方面的安全技术要求主机安全部署防火墙、入侵检测、防病毒网关和漏洞扫描等安全产品进行被动主机安全防护同时根据国家信息安全等级保护二级标准为系统信息交换的主客体分别加安全标记制约了操作系统原有的自主访问控制策略（DAC）达到了强制访问控制（MAC）对服务器进行安全加固配置进行资源监控、监测报警避免服务器自身的安全漏洞被攻击者利用实现统一管理的主机安全防护应用安全应用网络设备和安全设备自身审计功能对设备管理日志、设备状态日志、用户登录行为等进行审计核心交换机上部署网络审计系统和审计服务器办公网络部署上网行为管理对网络系统中的网络设备运行状况、网络流量等进行日志记录同时应用服务器不开放远程协议端口号系统全部采用正版WindowsServer和LinuxAS5操作系统并进行必要的安全配置、关闭非常用安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如WindowsNT下的LMHOST、SAM等）使用权限进行严格限制加强口令字的使用并定期给系统打补丁、系统内部的相互调用不对外公开同时通过配备漏洞扫描系统并有针对性地对网络设备重新配置和升级数据安全数据库系统全部购买有效授权采取数据库系统强口令、登录失败次数、操作超时等方式实现数据库系统对身份鉴别、访问控制要求采用技术手段防止用户否认其数据发送和接收行为为数据收发双方提供证据应用系统针对数据存储开发加密功能实现系统管理数据、鉴别信息和重要业务数据传输完整性和保密性同时建立热备和冷备结合的数据备份系统保证在安全事件发生后及时有效地进行重要数据恢复 3保障措施 一是统一领导、分级管理、安全运维领导高度重视信息和网络安全工作各级企业在运营管理过程中确保网络安全的资金、人员投入和机构组织保障建立网络信息安全保障工作组织领导机构和相关专项工作组层层强化责任形成多专业协作的网络信息安全风险防控体系对重点专线、重要网络进行重点保障特殊时期专人现场值守全天候密切监控网络运行情况同时建立事件上报与信息共享机制执行724小时值班备勤、安全事件“零报告”制度确保突发重大安全事件及时有效处置二是坚持“三同步”原则在各信息系统开发建设过程中对立项、设计、采购、开发、实施、测试、验收、交付等环节进行了规范化管理严格执行信息系统建设和网络安全“同步规划、同步建设、同步运行”措施机房规划初期即按照国家信息安全等级保护三级的硬件标准进行规划建设坚持以安全保建设、以建设促安全保障网络安全和信息化建设持续健康发展三是坚持专业化运作在信息化建设和网络安全管理方面逐步建立了一支专业化内部技术团队同时聘请专业技术服务团队作为公司常年技术咨询支撑力量开展安全检查协助排查网络安全风险和隐患特别是在节假日及社会重大活动期间加强部署定时巡检、安全监测、应急处置等工作确保网络安全四是坚持国产化、