二级等保建设方案
二级等保机房建设方案
二级等保机房建设方案
嘿,朋友们!今天咱就来聊聊二级等保机房建设方案。
你们知道吗,这二级等保机房就像是一个坚固的城堡!(想象一下城堡的坚固给人带来的安全感)
咱先来说说这机房的选址吧,那可得精心挑选啊!不能随随便便找个地儿,必须得是安全、稳定的地方。
就好比你找房子住,总不能挑个容易塌的吧!(这就像找房子得靠谱一样)
然后呢,说到物理防护。
这可太重要啦!那得用上厚厚的防盗门、结实的防火墙,把那些不怀好意的都挡在外面。
这就像是给自己穿上了一层厚厚的铠甲!(就如同骑士的铠甲保护着骑士一般)
还有电力保障,那得时刻保证不断电啊!UPS 就得安排上,不然要是突然没电了,那可不得了!就像人不能没了力气一样。
(停电不就如同人突然没了力气做不了事嘛)
网络安全也不能马虎,各种防火墙、杀毒软件,一个都不能少。
这就像给机房围上了一层保护网!(让那些恶意的网络攻击无从下手)
总之啊,二级等保机房建设真的太重要了,关系到咱们的数据安全、业务稳定啊!一定要重视起来,好好搞!
我的观点结论就是:二级等保机房建设马虎不得,必须认真对待,每个环节都要做好做扎实!。
等保二级方案
等保二级方案一、方案背景介绍等保二级啊,就像是给咱们的信息系统上了一道挺重要的防护锁呢。
现在网络世界这么复杂,各种信息安全威胁到处都是。
咱们这个方案就是为了应对这些风险,保护好咱们相关的信息系统,不管是企业内部的重要数据,还是一些和大众服务相关的系统,都得有个靠谱的保护,这就是等保二级方案诞生的大背景啦。
二、目标与需求说明目标嘛,那就是让咱们的信息系统在安全方面达到等保二级的标准。
具体需求可不少呢。
首先就是要保证系统的物理安全,像机房的位置选择就得慎重,不能在那种容易受灾或者被非法入侵的地方。
然后是网络安全,得防止网络攻击,什么黑客入侵、恶意软件传播都得拦住。
还有数据安全,数据可不能被乱改或者泄露出去。
对于系统的安全管理也得有一套,比如说人员权限的合理分配,不能让不该有权力的人乱操作。
三、解决方案概述1. 物理安全方面,咱们要找个合适的机房位置,最好是那种有安全防护措施的地方,像防火、防水、防雷击之类的。
机房的访问也要严格控制,不是随便谁都能进的,得有门禁系统,还要有监控。
2. 网络安全方面,安装防火墙那是必须的,就像一个大盾牌一样,挡住外来的恶意攻击。
入侵检测系统也不能少,它能及时发现那些偷偷摸摸想入侵的家伙。
定期对网络设备进行漏洞扫描,发现漏洞就赶紧补上。
3. 数据安全这块呢,数据备份是关键。
要定期备份数据,而且备份的数据要存放在安全的地方。
对数据的访问权限也要严格管理,不同级别的人员只能访问他们权限范围内的数据。
4. 系统安全管理方面,要建立一套完善的人员管理制度。
新员工入职要有安全培训,让他们知道哪些能做哪些不能做。
对员工的操作权限要根据他们的岗位来分配,离职员工的权限要及时收回。
四、实施步骤计划1. 先进行全面的系统评估,看看咱们现在的信息系统在各个安全方面都处于什么状态,找出和等保二级标准的差距在哪里。
这就像是给系统做个全身检查一样。
2. 根据评估结果,制定详细的整改计划。
先解决那些最紧急、最严重的安全问题,像有明显的网络漏洞就得先补上。
二级等保建设方案
二级等保建设方案篇一:二级等保机房建设项目 5.1 概述非常感谢x x能够给我们这次机会,使我们有幸为xx安全等保机房改造项目提供设计说明。
我们将通过业界最佳性能的多厂家产品,设计经过实践验证的、高性能的机房解决方案。
经过对据等保机房建设要求的深刻理解,本次机房建设遵从信息安全等级保护二级的要求和规范进行详细设计,本方案采用的新材料、设备、工艺和技术,其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等,能充分满足计算机设备的安全可靠地运行,延长计算机系统使用寿命的要求,同时又要给系统管理员创造一个舒适、典雅的环境。
因此,在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格,体现现代机房的特点和风貌。
5.2 机房设计原则xx安全等保机房改造的设计必须满足当前各项业务需求应用,又面向未来快速增长的发展需求,因此必须是高质量的、灵活的、开放的。
我们在进行xx安全等保机房改造设计时,遵循以下设计原则:实用性和先进性采用先进成熟的技术和设备,满足当前xx安全网站的业务要求,兼顾未来的业务要求,尽可能采用先进技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时间内保持技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术上升的需要。
二级等保方案和清单
二级等保方案和清单一、二级等保方案。
1. 安全管理制度建设。
首先呢,咱得搞一套安全管理制度,就像给咱的系统立个规矩一样。
包括人员安全管理,比如说谁能接触系统里的重要信息,得有个明确的规定,不能随便让人乱翻。
像运维人员要登录系统干活儿,必须得经过严格的授权流程,不能自己想登就登。
然后是系统建设和运维管理的制度。
从系统开始搭建,每一步都得按照安全标准来,比如采购设备、软件的时候,得考虑安全性,不能光图便宜。
运维的时候,定期打补丁,就像给系统穿好防护衣,不能让那些漏洞把咱系统给坑了。
安全审计制度也不能少。
要知道系统里都发生了啥事儿,谁干了啥,啥时候干的,就像家里装个摄像头一样,得时刻盯着系统里的动静,万一有啥不正常的操作,能及时发现。
2. 安全技术措施。
物理安全方面。
机房是咱系统的老巢,得保护好。
机房得选个安全的地方,不能在那种容易发洪水或者地震的危险地带。
机房里的温度、湿度也得合适,就像人得住在舒服的房子里一样,太热或者太湿机器都容易出毛病。
还有啊,机房的门禁要严格,不是谁都能进去溜达的,只有经过授权的人才能进,而且进出都得有记录,像上班打卡似的。
网络安全方面。
网络就像连接各个地方的道路,得把路修好还得保护好。
要划分不同的网络区域,就像把城市分成不同的功能区一样,办公区、服务区啥的,不同区域之间的访问得有控制,不能让坏人随便串门。
防火墙得装上,这可是网络安全的第一道防线,就像小区门口的保安一样,把那些可疑的网络流量都给挡在外面。
入侵检测系统也得安排上,万一有小偷悄悄翻墙进来了,它就能发现并报警。
主机安全方面。
服务器和电脑这些主机就像一个个小房子,每个房子里的东西都得保护好。
操作系统得经常更新,那些系统自带的密码可不能用默认的,得设置得复杂又好记,像“abc123”这种就太简单了,容易被破解。
给主机安装防病毒软件,就像给房子装个防虫网一样,防止那些病毒、恶意软件进来捣乱。
应用安全方面。
各种应用程序就像房子里的各种家具,功能得好用,还得安全。
二级等保建设专项方案
二级等保建设专项方案一、方案目标:实施二级等保建设,提升信息系统的安全性和可靠性,确保关键信息基础设施的稳定运行。
二、方案内容:1. 风险评估和等级划分:- 对关键信息系统进行风险评估,识别系统的安全风险和威胁;- 根据风险评估结果确定系统的安全等级,将系统划分为不同的等保级别。
2. 安全策略和控制措施:- 根据安全等级要求,制定相应的安全策略和控制措施,包括网络安全、系统安全、数据安全等方面;- 对系统进行加固和漏洞修复,确保系统的基本安全性; - 配置安全策略和控制措施,保护系统免受攻击。
3. 安全培训和意识:- 开展安全培训,提高各级员工的安全意识和安全知识; - 定期开展模拟演练,增强员工对安全事件的处理能力;- 强化员工对安全规范和流程的遵守,减少人为因素引起的安全事件。
4. 安全监测和响应:- 部署安全监测系统,实时监测系统的安全状态;- 建立安全事件响应机制,对安全事件进行及时响应和处理;- 收集和分析安全事件数据,及时发现安全隐患并采取相应的预防措施。
5. 安全审计和评估:- 定期进行安全审计,检查系统的安全合规性和防护措施的有效性;- 进行安全评估,评估系统的安全性,发现潜在的安全风险。
6. 灾备和恢复:- 制定灾备和恢复计划,准备各类灾难事件的发生;- 定期进行灾备演练,验证灾备计划的可行性;- 配置备份和恢复方案,保证关键数据的安全和可靠恢复。
7. 安全文档和记录:- 根据等保要求,编制安全文档和记录,包括安全策略、安全操作规程、安全事件记录等;- 定期更新和评审安全文档和记录,确保其与实际安全需求相匹配。
三、方案实施步骤:1. 组织安全评估,识别系统的安全风险和威胁;2. 划分安全等级,确定系统的安全重点和防护要求;3. 制定相应的安全策略和控制措施,对系统进行加固和漏洞修复;4. 开展安全培训,提高员工的安全意识和安全知识;5. 部署安全监测系统,建立安全事件响应机制;6. 定期进行安全审计和评估,对系统的安全性进行验证和改进;7. 制定灾备和恢复计划,保证系统的连续可用性;8. 编制安全文档和记录,确保安全措施的持续可行性和有效性。
二级等保建设方案
二级等保建设方案一、引言随着信息化时代的到来,网络安全问题日益突出,各种病毒、黑客攻击层出不穷,企业的信息安全形势严峻。
为了确保企业信息资产的安全性和可靠性,提高信息系统的可用性,必须进行二级等保建设。
本文就二级等保的背景、目标、主要内容和实施步骤进行了详细论述,以期为企业的网络安全保障提供有效的参考。
二、背景随着网络技术的飞速发展,企业对信息系统的依赖程度越来越高。
然而,信息系统也面临着日益复杂的网络攻击和安全威胁。
为了解决这些问题,国家提出了信息安全等级保护制度,将信息系统按照安全等级划分为不同的等级,并要求企业按照等级要求进行等级保护建设。
三、目标二级等保建设的主要目标是确保企业信息系统的安全性、可用性和完整性。
具体目标包括:1. 构建健全的信息安全管理体系,确保企业信息资产的安全性;2. 提高信息系统的可靠性和可用性,确保企业正常运营;3. 防范和应对各类网络攻击和安全威胁,保障企业信息系统的稳定性;4. 提升员工的信息安全意识和技能水平,培养优秀的信息安全人才。
四、主要内容二级等保建设的内容主要包括以下几个方面:1. 信息安全管理制度建设:建立完善的信息安全管理制度,明确责任和权限,确保信息安全工作的与时俱进;2. 系统安全保障措施:加强网络边界防护,建立防火墙、入侵检测和防病毒系统;加强系统权限管理和访问控制,确保只有授权人员才能访问系统;3. 数据安全保护:对重要数据进行加密存储和传输,确保数据的机密性和完整性;建立数据备份和恢复机制,应对数据丢失和系统故障;4. 人员安全管理:加强员工的信息安全培训,提高员工的信息安全意识和技能水平;建立人员出入管理制度,确保内部人员不泄漏重要信息;5. 应急响应和漏洞修复:建立应急响应机制,及时处理各类安全事件;定期进行漏洞扫描和修复,确保系统的安全性。
五、实施步骤二级等保建设需要经过以下几个步骤:1. 制定二级等保策划:明确建设目标和要求,制定详细的建设方案和计划;2. 系统评估和风险分析:对现有的信息系统进行全面评估,分析系统存在的安全风险;3. 安全措施规划和实施:根据评估结果,确定相应的安全措施,并逐步进行实施;4. 系统测试和验证:对安全措施进行测试和验证,确保其有效性和可行性;5. 运维和持续改进:建立信息安全管理体系,对系统进行持续维护和改进。
二级等保建设方案
二级等保建设方案一、概述二级等保是指在《网络安全法》等安全相关法律法规的指导下,基于网络安全等级保护制度,通过安全防护与管理措施,有效保护信息系统和信息系统资源的机密性、完整性和可用性,防止信息系统被恶意破坏、篡改、泄露、抵赖等各种威胁,提升信息系统的安全保护水平。
二、建设目标1.安全性:保障信息系统和信息系统资源的机密性、完整性和可用性。
2.合规性:遵循法律法规、政策规定和相关行业标准,确保系统建设符合规定要求。
3.高效性:提升信息系统运行效率和响应速度,满足业务需求。
三、建设内容1.安全防护设施建设a.网络设施安全:通过建立防火墙、入侵检测和防御系统等技术手段,实现对外部网络的访问控制与监测,阻挡非法入侵和攻击。
b.主机设施安全:对关键服务器和主机进行严格的安全配置和管理,包括操作系统的安全加固、安全软件的安装和使用、日志审计及监测等。
c.存储设施安全:通过数据备份、冗余存储等技术手段,保护关键数据的可靠性和可用性,防止数据丢失和损坏。
d.应用设施安全:加强对应用系统的开发、测试和维护过程的安全控制,包括代码审计、漏洞修复和输入验证等措施。
2.安全管理机制建设a.安全策略与规范:制定与公司业务风险相关的安全策略与规范,明确安全要求和责任,推动全员参与网络安全工作。
b.安全事件监测与响应:建立安全事件监测与响应机制,实时监测网络安全事件,快速、有效地响应各类安全事件,最大程度减少损失。
c.安全培训与教育:定期组织网络安全培训和教育,提高员工的网络安全意识和技能水平,防范内部人员的安全隐患。
d.安全演练与测试:定期组织网络安全演练与测试,评估安全防护措施的有效性,及时发现并修复安全漏洞和弱点。
3.安全监测与评估a.主动安全监测:通过安全设备的日志监测、入侵检测等技术手段,主动监测网络安全事件,及时发现并采取相应措施。
b.定期安全评估:委托第三方安全专业机构进行定期安全评估,全面排查系统存在的安全隐患和漏洞,并提供改进建议。
XXX信息系统网络安全等级保护建设方案(二级)
XXX信息系统网络安全等级保护建设方案2020年7月1、技术方案1.1建设背景面对我国信息安全的严峻形势,自2006年以来,以公安部、工信部、国家保密局等单位牵头,在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。
2014年2月27日,中央网络安全与信息化领导小组成立,该领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
2017年《中华人民共和国网络安全法》颁布实施,该法案明确规定国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;对网络运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
2019年5月13日,公安部正式发布了网络安全等级保护制度2.0标准,并于2019年12月1日开始按照2.0标准实施,该标准是在网络安全领域又一规范性条例,在操作性、指导性和强制性力度更强。
XXXX目前的主要业务系统是XX系统、XX系统等系统,系统涉及到参保结算人员的各方面信息,按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设,XXXX需要结合实际情况,对照国家及相关监管单位要求,理清安全现状,并对现有的信息系统按照等保2.0标准二级安全要求建设。
1.2建设依据本次方案设计严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求,紧紧围绕国家信息安全发展战略进行规划设计。
国家相关文件及法律政策:《网络安全等级保护条例》《中华人民共和国网络安全法》《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)《国务院关于印发“十三五”国家信息化规划的通知》(国发[2016]73号)《“健康中国2030”规划纲要》《“十三五”深化医药卫生体制改革规划》《“十三五”全国人口健康信息化发展规划》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进”互联网+医疗健康“发展的意见》《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)卫生部《基于健康档案与区域卫生信息平台的妇幼保健信息系统技术解决方案(征求意见稿)》;《卫生部办公厅关于印发2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目管理方案的通知》;《2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目技术方案》等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
乌鲁瓦提水利枢纽管理局机房系统安全建设解决方案深信服科技有限公司2019年目录1背景概述 (3)1.1建设背景 (3)1.2文件要求 (3)1.3参考依据 (3)2阀门监控系统安全防护意义 (4)3安全防护总体要求 (4)3.1系统性 (4)3.2动态性 (4)3.3安全防护的目标及重点 (5)3.4安全防护总体策略 (5)3.5综合安全防护要求 (6)3.5.1安全区划分原则 (6)3.6综合安全防护基本要求 (7)3.6.1主机与网络设备加固 (7)3.6.2入侵检测 (7)3.6.3安全审计 (7)3.6.4恶意代码、病毒防范 (7)4需求分析 (8)4.1安全风险分析 (8)4.2安全威胁的来源 (9)5设计方案 (10)5.1拓扑示意 (11)5.2安全部署方案 (11)5.2.1下一代防火墙 (11)5.2.2终端安全检测响应系统(杀毒) (12)5.2.3日志审计系统 (14)5.2.4运维审计系统 (17)5.2.5安全态势感知系统 (19)6方案优势与总结 (21)6.1安全可视 (21)6.2融合架构 (21)6.3运维简化 (22)1背景概述1.1 建设背景随着我国信息化的大力发展,信息网络已经由几个孤立的网络发展成一个多连接的信息共享的复杂网络,也正是由于网络的接入共享为不法黑客的入侵系统带来机会,严重影响系统的正常稳定运行和输送。
1.2 文件要求根据《中华人民共和国网络安全法》,水利相关单位是国家关键信息基础设施和网络安全重点保护单位。
监控、数据调度系统网络空间大,涉及单位多,安全隐患分布广,一旦被攻破将直接威胁安全生产。
为进一步提高阀门监控系统及调度数据网的安全性,保障阀门监控系统安全,确保安全稳定运行,需满足以下文件要求及原则。
➢满足调度数据网已投运设备接入的要求;➢满足生产调度各种业务安全防护的需要;➢满足责任到人、分组管理、联合防护的原则;➢提高信息安全管理水平,降低重要网络应用系统所面临的的安全风险威胁,保证信息系统安全、稳定的运行,使信息系统在等级保护测评环节基本符合国家信息安全等级保护相应级别系统的安全要求。
1.3 参考依据本次网络安全保障体系的建设,除了要满足系统安全可靠运行的需求,还必须符合国家相关法律要求,同时基于系统业务的特点,按照分区分域进行安全控制《《计算机信息系统安全保护等级划分准则》(GB17859-1999)。
2阀门监控系统安全防护意义目前,随着国际形势的日趋复杂,网络空间已经成为继陆、海、空和太空之后第五作战空间,国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争,为了加大网络安全的落实,国家出台了《网络安全法》进一步明确了业务主体单位或个人的法律责任,并于2017年6月1日开始正式实施。
为加强阀门监控系统安全防护,抵御黑客及恶意代码等对阀门监控系统的恶意破坏和攻击,以及非法操作间接影响到系统的安全稳定运行。
作为系统的重要组成部分,其安全与系统安全运行密切相关,积极做好阀门监控系统系统安全防护既有利于配合阀门监控系统安全防护工作的实施,确保整个系统安全防护体系的完整性,也有利于为公司提供安全生产和管理的保障措施。
3安全防护总体要求系统安全防护具有系统性和动态性的特点。
3.1 系统性其中以不同的通信方式和通信协议承载着安全性要求各异的多种应用。
网络采用分层分区的模式实现信息组织和管理。
这些因素决定了系统的安全防护是一个系统性的工程。
安全防护工作对内应做到细致全面,清晰合理;对外应积极配合上级和调度机构的安全管理要求。
3.2 动态性阀门监控系统安全防护的动态性由两方面决定。
一是通信技术、计算机网络技术的不断发展;二是阀门监控系统系统自身内涵外延的变化。
在新的病毒、恶意代码、网络攻击手段层出不穷的情况下,静止不变的安全防护策略不可能满足阀门监控系统网络信息安全的要求,安全防护体系必须采用实时、动态、主动的防护思想。
同时阀门监控系统内部也在不断更新、扩充、结合,安全要求也相应改变。
所以安全防护是一个长期的、循环的不断完善适应的过程。
如图3-1所示P2DR模型是阀门监控系统安全防护动态性的形象表示。
图3-1 安全防护P2DR动态模型3.3 安全防护的目标及重点阀门监控系统安全防护是系统安全生产的重要组成部分,其目标是:1) 抵御黑客、病毒、恶意代码等通过各种形式对阀门监控系统发起的恶意破坏和攻击,尤其是集团式攻击。
2) 防止内部未授权用户访问系统或非法获取信息以及重大违规操作。
3) 防护重点是通过各种技术和管理措施,对实时闭环监控系统及调度数据网的安全实施保护,防止阀门监控系统瘫痪和失控,并由此导致系统故障。
3.4 安全防护总体策略➢安全分区根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内。
➢网络专用安全区边界清晰明确,区内根据业务的重要性提出不同安全要求,制定强度不同的安全防护措施。
特别强调,为保护生产控制业务应建设调度数据网,实现与其它数据网络物理隔离,并以技术手段在专网上形成多个相互逻辑隔离的子网,保障上下级各安全区的互联仅在相同安全区进行,避免安全区纵向交叉。
➢综合防护综合防护是结合国家信息安全等级保护工作的相关要求对阀门监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施。
3.5 综合安全防护要求3.5.1安全区划分原则阀门监控系统系统划分为不同的安全工作区,反映了各区中业务系统的重要性的差别。
不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。
根据阀门监控系统系统的特点、目前状况和安全要求,整个阀门监控系统分为两个大区:监控大区和办公大区。
阀门监控业务区是指由具有实时监控功能、纵向联接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。
控制区中的业务系统或其功能模块(或子系统)的典型特征为:是生产的重要环节,直接实现对一次系统的实时监控,纵向使用调度数据网络或专用通道,是安全防护的重点与核心。
➢办公业务区办公业务区内部在不影响阀门监控业务区安全的前提下,可以根据各企业不同安全要求划分安全区,安全区划分一般规定。
3.6 综合安全防护基本要求3.6.1主机与网络设备加固厂级信息监控系统等关键应用系统的主服务器,以及网络边界处的通用网关机、Web服务器等,应当使用安全加固的操作系统。
加固方式最好采用专用软件强化操作系统访问控制能力以及配置安全的应用程序,其中加固软件需采用通过国家权威部门检测的自主品牌。
非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。
可以应用调度数字证书,在网络设备和安全设备实现支持HTTPS的纵向安全Web服务,能够对浏览器客户端访问进行身份认证及加密传输。
应当对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。
3.6.2入侵检测阀门监控业务区需统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
3.6.3安全审计阀门监控业务区的监控系统应当具备安全审计功能,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。
同时可以采用安全审计功能,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。
3.6.4恶意代码、病毒防范应当及时更新特征码,查看查杀记录。
恶意代码更新文件的安装应当经过测试。
禁止阀门监控业务区与办公业务区共用一套防恶意代码管理服务器。
4需求分析4.1 安全风险分析阀门监控系统系统面临的主要风险优先级风险说明/举例0 旁路控制(Bypassing Controls)入侵者对发送非法控制命令,导致系统事故,甚至系统瓦解。
1 完整性破坏(IntegrityViolation)非授权修改控制系统配置、程序、控制命令;非授权修改交易中的敏感数据。
2 违反授权(AuthorizationViolation)控制系统工作人员利用授权身份或设备,执行非授权的操作。
3 工作人员的随意行为控制系统工作人员无意识地泄漏口令等敏4.2 安全威胁的来源办公区等网络不是一个孤立的系统,是和互联网连接,提供员工上网的需求和对外信息发布的平台,那么来自外部威胁的可能性非常大。
例如应用系统遭受拒绝服务攻击,信息泄露等。
内部威胁内部人员有意或无意的违规操作给信息系统造成的损害,没有建立健全安全管理机制使得内部人员的违规操作甚至犯罪行为给信息系统造成的损害等。
病毒或恶意代码目前病毒的发展与传播途径之多、速度之快、危害面之广、造成的损失之严重,都已达到了非常惊人的程度。
也是计算机信息系统不可忽略的一个重要安全威胁源。
病毒和恶意代码主要针对操作系统、数据库管理系统、应用系统等软件。
病毒和恶意代码的威胁主要来自内部网络、USB盘、光盘等介质。
自然灾害主要的自然威胁是:●地震、水灾、雷击;●恶劣环境,如不适宜的温度湿度,以及尘埃、静电;●外电不稳定、电源设备故障等。
管理层面的缺陷●管理的脆弱性在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规范、安全事件应急计划,管理制度不完善,安全管理和运行维护组织不健全,对规章、制度落实的检查不够等。
●安全组织建设风险信息系统安全体系的建设对组织保障提出了更高的要求。
●安全管理风险安全管理制度的建设还不全面,如:缺乏统一的用户权限管理和访问控制策略,用户、口令、权限的管理不严密,系统的安全配置一般都是缺省配置,风险很大。
对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合性的评估制度不够完善。
没有根据各类信息的不同安全要求确定相应的安全级别,信息安全管理范围不明确。
缺乏有效的安全监控措施和评估检查制度,不利于在发生安全事件后及时发现,并采取措施。
缺乏完善的灾难应急计划和制度,对突发的安全事件没有制定有效的应对措施,没有有效的机制和手段来发现和监控安全事件,没有有效的对安全事件的处理流程和制度。
●人员管理风险人员对安全的认识相对较高,但在具体执行和落实、安全防范的技能等还有待加强。
5设计方案本方案重点描述监控系统等与业务直接相关部分的安全防护。
方案实现的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,以及其它非法操作,防止阀门监控系统系统瘫痪和失控,并由此导致的一次系统事故。
5.1 拓扑示意操作系统安全是计算机网络系统安全的基础,而服务器上的业务数据又是被攻击的最终目标,因此,加强对关键服务器的安全控制,是增强系统总体安全性的核心一环。