IT系统整体安全解决方案总结

IT2023-8目 录\l“_TOC_250031“一、信息系统安全的含义 3\l“_TOC_250030“二、信息系统涉及的内容 4\l“_TOC_250029“三、现有信息系统存在的突出问题 6\l“_TOC_250028“1、信息系统安全治理问题突出 6\l“_TOC_250027“2、缺乏信息化安全意识与对策 7\l“_TOC_250026“3、重安全技术，轻安全治理 7\l“_TOC_250025“4、系统治理意识淡薄 7\l“_TOC_250024“四、信息系统安全技术及规划 8\l“_TOC_250023“1、网络安全技术及规划 8\l“_TOC_250022“网络加密技术 8\l“_TOC_250021“防火墙技术、内外网隔离、网络安全域的隔离 9\l“_TOC_250020“网络地址转换技术 10\l“_TOC_250019“操作系统安全内核技术 11\l“_TOC_250018“身份验证技术 11\l“_TOC_250017“网络防病毒技术 11\l“_TOC_250016“网络安全检测技术 13\l“_TOC_250015“安全审计与监控技术 13\l“_TOC_250014“网络备份技术 14\l“_TOC_250013“2、信息安全技术及规划 14\l“_TOC_250012“鉴别技术 14\l“_TOC_250011“数据信息加密技术 15\l“_TOC_250010“数据完整性鉴别技术 15\l“_TOC_250009“防抵赖技术 15\l“_TOC_250008“数据存储安全技术 16\l“_TOC_250007“数据库安全技术 16\l“_TOC_250006“信息内容审计技术 17\l“_TOC_250005“五、信息系统安全治理 17\l“_TOC_250004“1、信息系统安全治理原则 18\l“_TOC_250003“、多人负责原则 18\l“_TOC_250002“、任期有限原则 18\l“_TOC_250001“、职责分别原则 19\l“_TOC_250000“2、信息系统安全治理的工作内容 19一、信息系统安全的含义体系性安全的综合。具体来说，信息安全指的是信息的保密性、完整得到有效的防范和遏制。的缘由而患病到破坏、更改、泄漏，系统连续牢靠正常的运行，网络安全风险的评估、掌握、治理、策略指定、制度落实、监视审计、持续改进等方面的工作。态，所谓的安全是相比照较而言的。其次，信息化安全是一个过程，断的应用于网络和其支撑体系，才可能提高系统的安全性。第三，在信息系统安全中，人始终是一个重要的角色，由于人的动机、素养、品德、责任、心情等因素，在治理、操作、攻击等方面有不同表现，险都是不断变化的。记录、诊断、审计、分析、追溯各种攻击，治理方面侧重于相应于技术实现实行的人员、流程治理和规章制度。因此，从某种意义上讲，信息系统安全不仅是技术难题，而且也是治理问题。二、信息系统涉及的内容信息系统安全所涉及到的主要内容包括：·系统运行的安全：扰。·访问权限和系统信息资源保护：对网络中的各种软硬件资源〔主机、硬盘、文件、数据库、子网等〕进展访问掌握，防止未授权的用户进展非法访问，访问权限掌握技术包括口令设置、身份识别、路由设置、端口掌握等。系统信息资源保护包括身份认证、用户口令鉴别、用户存取权限掌握、数据库存取权限掌握、安全审计、计算机病毒防治、数据保密、数据备份、灾难恢复等。·信息内容安全：全还包括信息传播产生后果的安全、信息过滤等，防止和掌握非法、有害的信息进展传播后的后果。·作业和交易的安全：网络中的两个实体之间的信息沟通不被非法窃取、篡改和冒充，保证信息在通信过程中的真实性、完整性、保密性和不行否认性。作业和交易安全的技术包括数据加密、身份认证。数字签名等，其核心是加密技术的应用。·人员和安全的规章制度保障：息系统安全不行缺少的一个局部。在人员角色、流程、职责、考察、审计、聘任、解聘、辞职、培训、责任分散等方面，建立可操作的治理安全防范体系。·安全体系整体的防范和应急反响功能：的恢复。三、现有信息系统存在的突出问题1、信息系统安全治理问题突出全的治理包括安全规划、风险治理、应急反响打算、安全教育培训、制度可落实性差，甚至没有规章制度。对人的治理，还需要解决多人负责、责任到人、任期有限的问题。领导对信息化还不够重视，没有形成群防群治的意识。信息安全的教育和培训还不够。2、缺乏信息化安全意识与对策导和组织信息化安全治理工作，表现为缺乏完整的信息安全治理制度，缺乏对员工进展必要的安全法律法规和安全风险防范教育和培训，现有的安全规章制度组织机构未能严格发挥作用。3、重安全技术，轻安全治理应的治理措施不到位，如系统运行、维护、开发等岗位不清，职责局部，存在一人身兼数职现象。信息化安全大约70％以上的问题是由术方面入手，同时更应当加强安全治理的工作。4、系统治理意识淡薄的方法，头疼医头，脚疼医脚，是一种就事论事，静态的治理方法，不是建立唉安全风险评估根底之上的动态的持续改进治理方法。四、信息系统安全技术及规划1、网络安全技术及规划技术、操作系统安全内核技术、身份验证技术、网络防病毒技术、检测审计技术、备份技术等。网络加密技术节点加密三种。对源节点到目的节点之间的传输链路供给加密保护。〔都加密，因此数据在传输中是密文的，但在中心节点必需解密得到路由信息。TCP/IP为不行阅读和不行识别的数据穿过网络，当这些信息一旦到达目的地，将自动解密、重组，成为可读数据。端点加密是面对网络高层主体的，它不对下层协议进展信息加密，协议信息以明文的形式传输，用户数据在中心节点不需解密。更牢靠，更简洁设计、实现和维护。端点加密还避开了其他加密系统所固有的同步问题，此外，从用户的角度动身，端点加密更自然些，在对数据信息进展加密的同时，不影响网络上其他的用户。防火墙技术、内外网隔离、网络安全域的隔离在内外部网络之间，设置防火墙〔包括分组过滤和应用代理〕实＝控进出网络的数据信息，从而完成仅让安全、核准的数据信息进入，户、限定访问的特别站点等等。防火墙的主要技术类型包括网络级数据包过滤器和应用级代理火墙系统各有优缺点，因此在实际中，应将二者结合起来使用。分组俗称“网关“，作用在应用层，特点是完全隔绝了网络通信流，通过对作用。实际中的应用网关通常有专用工作站实现。段的问题穿过整个网络传播。针对某些网络，在某些状况下，它的一对全局网络造成的影响。网络地址转换技术IP地址缺乏的问题，现在多用于网络安全。内部主IP地址，相反的，外部主机要向不到内部网络，从而隐蔽内部网络，到达保密的目的，使系统的安全ISPIP地址。操作系统安全内核技术系统的漏洞等。身份验证技术身份的两个重要环节。在拨号上网、主机登录、远程访问等都涉及到USBKey、IC卡等介质上，还可以配备生物活体的身份验证。对整个明文进展某种变换，得到一个值，作为核实签名。承受者使用某种运算结果全都，则签名有效，证明双方的身份是真实的。固然，签名也可以承受多种方式。网络防病毒技术计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术包括预防病毒、检测病毒和消退病毒三种技术。算机系统和对系统进展破坏。技术手段包括：加密可执行程序、引导保护、系统监控与读写掌握〔如防病毒卡〕等。自身检验、关键字、文件长度变化等。病毒检测始终是病毒防护的支柱，然而，随着病毒的数目和可能的切入点的大量增加，识别奇异代码串的进程变得越来越简单，而且简洁产生错误和疏忽。因此，因此功能集成起来，形成多层次防范体系，既有稳健的病毒检测功能，又有客户机/效劳器数据保护力量，也就是掩盖全网的多层次方法。攻击，这样的病毒存在于信息共享的网络中，因而要在网关上设防，在最小的范围内。更病毒库。网络安全检测技术络系统进展安全性分析，准时觉察并修正存在的漏洞和弱点。漏洞，建议补救措施和安全策略，到达增加网络安全性的目的。安全审计与监控技术并且加以分析，有选择性的对其中的某些站点或用户进展审计跟踪，以便对觉察或可能产生的破坏性行为供给有力的证据。心或审计小组，对全部各层次的审计数据进展统一处理和治理。网络备份技术地内高速度、大容量自动的数据存储、备份与恢复；场地外的数据存破坏数据完整性时起到保护作用，同时也是系统灾难恢复的前提之一。2、信息安全技术及规划对网络传输信息内容的审计三方面。鉴别技术体身份。一是只有该主体了解的隐秘，如口令、密钥；而是主体携带或力量，如指纹、声音、视网膜或签字等。口令机制：口令是相互商定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统安排。智能卡：访问不但需要口令，也需要使用物理智能卡，在允许其进入系统之前检查是否允许其接触系统。主体特征识别：利用个人特征进展鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜鉴别仪、声音验证设备、手型识别器和指纹识别器等。数据信息加密技术信线路上的窃听、泄漏、篡改和破坏。信息加密过程是由加密算法来实现的，以很小的代价供给很牢靠的安全保护。在多数状况下，信息加密是保证信息保密性的唯一方法。数据完整性鉴别技术所以应实行有效的措施来保证信息的完整性。防抵赖技术三方数字证书；使用时间戳；承受一个在线的第三方、数字签名与时间戳相结合等方法。使用便利，有必要选取集成的安全保密技术措施及设备。数据存储安全技术最为典型，而对各种功能文件的保护，终端安全很重要。数据库安全技术几点：于影响其他字段；元素完整性，包括在每个元素中的数据是准确的；数据的加密；用户鉴别，确保每隔用户被正确识别，避开非法用户的入侵；可获得性，指用户一般可访问数据库和全部授权访问的数据；可审计性，能够追踪到谁访问过数据库。策略；二是以现有的数据库系统所供给的功能为根底构建安全模块，旨在加强现有数据库系统的安全性。信息内容审计技术泄密行为。五、信息系统安全治理面对信息化安全的脆弱性，除了在网络设计上增加安全效劳功个计算机网络应用部门的重视。在建立治理体系、制度的同时，建议1、信息系统安全治理原则对于信息系统的安全治理，需要确定其安全治理原则，一般的，信息系统的安全治理原则有以下三个：、多人负责原则每一项与安全有关的操作和治理活动，都必需有两人或多人在场。所进展的活动应当是与安全治理相关的各项活动：访问掌握使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等。、任期有限原则轮番培训，以使任期有限制度切实可行。、职责分别原则作建议分开：计算机操作与计算机编程；机密资料的接