信息安全保障方法.docx

信息安全保障方法.docx

《信息安全保障方法.docx》由会员分享，可在线阅读，更多相关《信息安全保障方法.docx（15页珍藏版）》请在冰点文库上搜索。

信息安全保障方法

信息安全保障措施

一、信息安全保障措施

采用IBM服务器作主机

1、软件系统：

操作系统：

WINGDOWS2000SERVER

数据库：

Oralce

防火墙：

诺顿防病毒软件

2、硬件系统：

主机位置及带宽:

系统主机设在IDC主机房内，通过100M带宽光纤与CHINGANET骨干网相连接。

二、信息安全保密管理制度

1.建立全员安全意识,合理规划信息安全

安全意识的强弱对于整个信息系统避免或尽量减小损失，乃至整个具备主动防御能力的信息安全体系的搭建,都具有重要的战略意义。

我们首先建立起全员防护的环境。

在意识上建立牢固的防患意识,并有足够的资金支持，形成企业内部的信息安全的共识与防御信息风险的基本常识，其次是选用安全性强的软硬件产品,构筑软硬协防的安全体系，确保安全应用。

2.建立信息采集（来源）、审核、发布管理制度并结合关键字过滤系统，保障信息安全。

采编部按照采编制度和相关互联网规定，严格把关。

3.涉密信息，包括在对外交往与合作中经审查、批准与外部交换的秘密信息,不得在连有外网的计算机信息系统中存储、处理、传递。

加强对计算机介质（软盘、磁带、光盘、磁卡等）的管理，对储存有秘密文件、资料的计算机等设备要有专人操作,采取必要的防范措施，严格对涉密存储介质的管理，建立规范的管理制度，存储有涉密内容的介质一律不得进入互联网络使用

4.建立系统保密措施，严格实行安全管理。

系统的安全、帐号及权限的管理，责任到人；对系统软件的管理；在系统维护过程中，产生的记录:

系统维护日志、系统维护卡片、详细维护记录。

5.对涉密信息实行加密、解密及管理，确保数据传输的安全。

6.建立数据库的信息保密管理制度，保障数据库安全。

数据库由专人管理并负责。

7.建立日志的跟踪、记录及查阅制度，及时发现和解决安全漏洞。

三、技术保障措施

1.加强内部网络管理、监测违规

（1）在强、弱电安全方面,采用双路交流电供电形成电源冗余并配置UPS的设计方案保证强电安全，另外，采用避雷防电和放置屏蔽管道的方法来保证弱电线路（交换机、网线）的安全. 

（2）在IP资源管理方面,采用IP+MAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。

通过网管中心的管理软件，对该交换机远程实施Port Security策略，将客户端网卡MAC地址固定绑在相应端口上。

（3）在网络流量监测方面，使用网络监测软件对网络传输数据协议类型进行分类统计，查看数据、视频、语音等各种应用的利用带宽，防止频繁进行大文件的传输，甚至发现病毒的转移及传播方向. 

（4）在违规操作监控方面，对涉秘信息的处理，严禁“一机两用”事件的发生。

即一台计算机同时联接内部网和互联网，还包括轮流上内部网和国际互联网的情形，因此我们对每个客户端安装了监控系统，实行电脑在线监测、电脑在线登记、一机两用监测报警、电脑阻断、物理定位等措施. 

2.管理服务器

应用服务器安装的操作系统为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。

服务器安全审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等，审核的对象是DC、Exchange Server、SQL Server、IIS等。

在组策略实施时，使用软件限制策略，即哪些内部用户不能使用哪个软件，对操作用户实行分权限管理。

服务器的备份策略包括系统软件备份和数据库备份两部分，系统软件备份拟利用现有的ARC Server 专用备份程序，制定合理的备份策略,每周日晚上做一次完全备份，然后周一到周五晚上做增量备份或差额备份；定期对服务器备份工作情况进行检查（数据库备份后面有论述）.

3.管理客户端

（1）将客户端都加入到域中，客户端纳入管理员集中管理的范围。

出于安全上的考虑，安装win2000系列客户端。

（2）只给用户以普通域用户的身份登录到域，因为普通域用户不属于本地Administrators和Power Users组，这样就可以限制他们在本地计算机上安装大多数软件。

当然为了便于用户工作,通过本地安全策略措施，授予基本操作权利. 

（3）实现客户端操作系统补丁程序的自动安装。

（4）实现客户端防病毒软件的自动更新。

（5）利用SMS对客户端进行不定期监控，发现不正常情况及时处理。

4.数据备份与冗余

考虑到综合因素，采用如下数据备份和冗余方案：

（1）在网络中心的Oracle服务器以及文件服务器上分别安装VERITAS的相关客户端Agent软件。

（2）在服务器上设置在线备份策略，每天凌晨1点自动备份SQL数据库、凌晨2点自动备份Oracle数据库、凌晨3点自动备份邮件，主要用于系统层恢复后的数据加载。

（3）采用本地硬件RAID 5对硬件级磁盘故障进行保护。

5.数据加密

考虑到网络上非认证用户可能试图旁路系统的情况，如物理地“取走”数据库，在通信线路上窃听截获。

对这样的威胁采取了有效方法：

数据加密.即以加密格式存储和传输敏感数据。

发送方用加密密钥，通过加密设备或算法，将信息加密后发送出去。

接收方在收到密文后，用解密密钥将密文解密，恢复为明文.如果传输中有人窃取，他只能得到无法理解的密文,从而对信息起到保密作用。

6.病毒防治措施

我们对防病毒软件的要求是:

能支持多种平台，至少是在Windows系列操作系统上都能运行;能提供中心管理工具，对各类服务器和工作站统一管理和控制；在软件安装、病毒代码升级等方面，可通过服务器直接进行分发，尽可能减少客户端维护工作量；病毒代码的升级要迅速有效.所以,综合以上各种因素，我们选择了SYMANTEC公司的Norton Antivirus企业版。

在实施过程中，本单位以一台服务器作为中央控制一级服务器，实现对网络中所有计算机的保护和监控，并使用其中有效的管理功能,如：

 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。

正常情况下，一级服务器病毒代码库升级后半分钟内，客户端的病毒代码库也进行了同步更新。

7.补丁更新与软件分发

网络安全防御不是简单的防病毒或者防火墙。

只有通过提高网络整体系统安全,才能让病毒进攻无门。

然而提高网络整体系统安全不仅仅是一个技术问题,更重要的是管理问题。

自动分发软件、升级补丁等工作是确保系统安全的关键步骤。

我们使用微软的Systems Management Server（SMS）和Software Update Service（SUS）软件来自动实现这一功能。

（1）我们使用微软的Software Update Service（SUS）解决运行Windows操作系统的计算机免受病毒和黑客攻击，将需要升级的软件从Internet下载到公司Intranet的服务器上,并为公司内的所有客户端PC提供自动升级，打上所有需要的“补丁"。

（2）我们使用微软Systems Management Server（SMS）进行软件分发、资产管理、远程问题解决等。

四、信息安全审核制度

1）设立信息安全岗位，实行信息安全责任制

（1）设立专职信息安全管理领导岗位和3个信息安全管理岗位；

（2）信息安全岗位工作人员不得在其他单位兼任信息安全岗位；

（3）信息安全管理岗位人员负责本单位制作、复制、发布、批量传播的信息的初审，信息安全管理领导岗位负责信息审核和批准，信息非经审核批准不得予以发布、传播。

（4）不得制作、复制、发布、传播含有下列内容的信息：

反对宪法所确定的基本原则的；

危害国家安全，泄露国家秘密,颠覆国家政权，破坏国家统一的；

损害国家荣誉和利益的；

煽动民族仇恨、民族歧视,破坏民族团结的；

破坏国家宗教政策，宣扬邪教和封建迷信的；

散布谣言,扰乱社会秩序,破坏社会稳定的;

散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

侮辱或者诽谤他人，侵害他人合法权益的；

含有法律、行政法规禁止的其他内容的。

（5）信息安全部门统一规划、组织、协调、监督、管理和实施内外部网络安全，具体职责如下：

负责各种资源的安全监测、安全运行和安全管理；

负责计算机病毒防御、黑客入侵防范和不良信息过滤；

负责各种安全产品的正常运行、管理和维护;

普及信息安全常识、建立相关安全制度、应急处理重大安全事件;

负责安全规划和安全项目的研究，全面提高网络安全管理的技术和水平。

2）建立并实行服务器日常维护及管理制度

（1）服务器监控:

管理员经常性的监控服务器的运行状况,如发现异常情况，及时处理，并作详细记录。

（2）重要数据备份：

对于数据服务器中的用户信息、重要文件和数据进行及时备份。

信息天天更新备份，每周一次完全备份，备份信息应保存一个月。

（3）定期系统升级：

对于windows操作系统的服务器每周做一次升级，如遇到安全问题立即升级。

3）建立并实行机房值班安全制度

（1）确保线路畅通。

上班后与下班前检查线路,寻找网络隐患。

对在运行期间发生的主要事件记录在案.按时定期对设备进行检修。

每月的最后一个工作日对所有设备进行测试，并填写报告.

（2）及时、准确、无误地填写运行记录.出现事故尽快处理，马上填写故障记录。

当自己不能解决或不能立即解决时,及时与安全主管联系，并保持与其他值班人员的联系，在己方线路或设备出现故障时，尽快查明原因,及时处理，并填写故障记录。

（3）负担整个网络的性能管理任务。

对网络性能进行动态监测，并要有详细的记录及统计分析.必要时把网络性能记录以图表形式打印出来。

（4）注意网络运行安全，对网络异常现象进行反应.利用路由器等安全系统控制网络非法侵入。

（5）保证机房的供电及室内空气的温度、湿度正常.注意UPS的工作情况。

注意网络设备安全，加强防火,防盗及防止他人破坏的工作.注意临走时门窗关好，锁紧。

禁止在机房内吸烟。

禁止无关人员进入机房。

值班人员不得随意离开。

（6）完成网络设备的安装，调试。

并对安装，测试过程中的主要事件，做到有据可查。

（7）主动监测网络，随时发现问题，及时查清故障点，并主动与相关主管和部门联系.

4）建立并实行防火墙等软件更新制度

（1）防火墙软件的使用与更新:

采用诺顿企业级防火墙；

及时更新防火墙

（2）坚持使用正确、安全的软件及软件操作流程，从细节保障系统安全。

5）建立应急处理流程

（1）清点数字资产，确定每项资产应受多大程度的保护

（2）明确界定资源的合理使用，明确规定系统的使用规范，比如谁可以拥有网络的远程访问权,在访问之前须采取哪些安全措施.

（3）控制系统的访问权限，公司在允许一些人访问系统的同时，必须阻止另外一些人进入。

网络防火墙、验证和授权系统、加密技术都为了保证信息安全。

同时采用监视工具和入侵探测工具来查询公司网络上的电脑活动，及时发现可疑行为。

（4）使用安全的软件；

（5）找出问题根源；

（6）提出解决方案并及时解决问题;

（7）加入应急知识库，预防类似事件再次发生。

6）实行关键字的设立、过滤与更新规则

（1）通信平台具有信息内容的过滤功能.信息过滤包括对播放的相关短信、页面内容进行有效过滤.具体包括关键字设定、修改、查询功能，提供相应的测试端口，并具有严格的权限管理功能；对发现的有害短信及时向有关部门汇报，并从技术上予以保证,包括有害信息的内容、发现时间、发现来源；

（2）关键字的设立规则根据相关法律和互联网规定制定

（3）过滤引擎的建立：

过滤引擎设定关键字、日志管理、报警的管理。

管理控制中心显示详细的有害信息（有害信息的发送方、接受方、内容、时间），并截断该短消息。

（4）对不良信息和事件的发生进行记录，并储存，以备后需.

7）建立并实行信息储存与查阅制度

（1）信息采集：

信息资料的来源渠道必须正规,不能侵犯他人版权，杜绝政治性和常识性的错误；信息采集的内容要广泛、真实、可靠、健康，要有时效性，有使用价值。

（2）信息审核：

信息采集人员要杜绝信息资源格式不规范、措辞不严谨等问题出现，减少或避免初审失误;切实做到“三密"信息不失密、不上网;重大的信息、来源不清的信息、披露性信息要报经信息审核主管终审后才能发布

（3）信息的发布更新：

限时更新的信息要及时采集、整理，经审核后尽快发布。

要确保及时、准确无误；各自分工的任务,如不能按规定时限及时更新的,将追究有关人员责任.

（4）信息的存储：

对采集的各种信息进行科学分类，以文本格式存放在统一的文件中；建立信息的汇总渠道，开辟专用空间存放归集信息，方便保存与查找；数据的备份参见“数据备份与冗余”

（5）信息查阅制度:

根据信息的重要性和保密级别的不同，实行区别对待，对涉秘信息、重要数据的查询需向相关主管人员申请并报总负责人审批。

8）投诉流程与方式，处理结构

五、信息安全责任落实

信息安全重在管理，而安全管理又贯穿在整个网络的运行之中.为此，首先抓好组织机构建设.在原来的基础上，建立健全了公司计算机安全监察领导小组，并建立了决策层、管理层、执行层的三级计算机安全组织机构。

从而将安全工作落实到各个部门，做到分工明细，责任明确.从组织上、技术上切实保障了计算机信息系统的安全运行。

在此基础上,公司制定了完善的安全管理方案，涵盖安全风险管理、物理安全管理、逻辑安全管理和日常安全管理等各方面.通过各级安全组织机构,全面抓好制度的落实，真正做到事事有人管,事事管理有规章。

其中安全风险管理是通过对全网、特别是关键资产的周期性风险计算，合理分配资源，为安全控制的范围、类型和力度等提供决策参考；物理安全管理主要体现在针对物理基础设施、物理设备和物理访问的控制中，主要通过机房物理安全来体现; 逻辑安全管理则是从技术层面建立诸如用户管理、口令管理、网络设备安全管理和主机系统安全管理的制度,进一步保障网络的安全性；日常安全管理则偏重于日常安全审计以及安全事件响应的内容。

定期对高层管理人员进行信息安全意识和技术培训，及时组织信息安全员参加信息安全知识技术讲座；并通过多种宣传手段增强各级部门的安全意识.为跟踪最新的安全技术和了解更多的安全产品，

1）信息安全专员负责本网络的安全保护管理工作,建立健全安全保护管理制度

2）落实安全保护技术措施，保障本网络的运行安全和信息安全

3）负责对本网络用户的安全教育和培训

4）对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照信息发布审核制度进行审核

5）社区、ＢＢＳ等实现２４小时值班,并将信息安全责任落实到人，各分公司和各网站均有专人负责信息安全工作

6）完善信息安全事件快速处理机制,缩短信息安全事件处理时间和环节，将不良影响降到最低

7）明确信息安全工作重点,日常信息安全工作重点为容易发生信息安全事件的栏目，如社区、ＢＢＳ、留言簿和邮件等

8）采用技术手段检测和保障信息安全。

通过采用如关键字过滤、防垃圾邮件等技术手段来杜绝有害信息

9）通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台

防火墙（Firewall）是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。

Linux操作系统内核具有包过滤能力，系统管理员通过管理工具设置一组规则即可建立一个基于Linux的防火墙,用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包,无须花费额外资金购买专门的防火墙产品，比较适用于某些中小企业或部门级用户。

六、防火墙的类型和设计策略

在构造防火墙时,常采用2种方式，包过滤和应用代理服务.包过滤是指建立包过滤规则，根据这些规则及IP包头的信息，在网络层判定允许或拒绝包的通过。

如允许或禁止FTP的使用，但不能禁止FTP特定的功能（例如Get和Put的使用）。

应用代理服务是由位于内部网和外部网之间的代理服务器完成的，它工作在应用层,代理用户进、出网的各种服务请求，如FTP和Telenet等.

目前，防火墙一般采用双宿主机（Dual—homedFirewall）、屏蔽主机（ScreenedHostFirewall）和屏蔽子网（ScreenedSubnetFirewall）等结构.双宿主机结构是指承担代理服务任务的计算机至少有2个网络接口连接到内部网和外部网之间.屏蔽主机结构是指承担代理服务任务的计算机仅仅与内部网的主机相连.屏蔽子网结构是把额外的安全层添加到屏蔽主机的结构中,即添加了周边网络，进一步把内部网和外部网隔开。

防火墙规则用来定义哪些数据包或服务允许/拒绝通过，主要有2种策略.一种是先允许任何接入，然后指明拒绝的项；另一种是先拒绝任何接入，然后指明允许的项.一般地,我们会采用第2种策略.因为从逻辑的观点看，在防火墙中指定一个较小的规则列表允许通过防火墙，比指定一个较大的列表不允许通过防火墙更容易实现。

从Internet的发展来看，新的协议和服务不断出现，在允许这些协议和服务通过防火墙之前，有时间审查安全漏洞.

二、基于Linux操作系统防火墙的实现

基于Linux操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。

下面,让我们来看看怎样配置一个双宿主机的基于Linux的防火墙。

由于Linux的内核各有不同，提供的包过滤的设置办法也不一样。

IpFwadm是基于Unix中的ipfw，它只适用于Linux2.0.36以前的内核；对于Linux2.2以后的版本，使用的是Ipchains.IpFwadm和Ipchains的工作方式很相似。

用它们配置的4个链中，有3个在Linux内核启动时进行定义，分别是：

进入链（InputChains）、外出链（OutputChains）和转发链（ForwardChains）,另外还有一个用户自定义的链（UserDefinedChains）。

进入链定义了流入包的过滤规则，外出链定义了流出包的过滤规则，转发链定义了转发包的过滤规则。

这些链决定怎样处理进入和外出的IP包,即当一个包从网卡上进来的时候，内核用进入链的规则决定了这个包的流向;如果允许通过,内核决定这个包下一步发往何处，如果是发往另一台机器，内核用转发链的规则决定了这个包的流向；当一个包发送出去之前，内核用外出链的规则决定了这个包的流向。

某个特定的链中的每条规则都是用来判定IP包的,如果这个包与第一条规则不匹配，则接着检查下一条规则，当找到一条匹配的规则后，规则指定包的目标,目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。

其中，Accept指允许通过;Deny指拒绝;Reject指把收到的包丢弃，但给发送者产生一个ICMP回复；Return指停止规则处理，跳到链尾；Masq指对用户定义链和外出链起作用,使内核伪装此包;Redirect只对进入链和用户定义链起作用，使内核把此包改送到本地端口。

为了让Masq和Redirect起作用，在编译内核时，我们可以分别选择Config_IP_Masquerading和Config_IP_Transparent_Proxy。

网络结构如附图所示。

附图配置基于Linux防火墙

假设有一个局域网要连接到Internet上，公共网络地址为202。

101.2.25。

内部网的私有地址根据RFC1597中的规定,采用C类地址192.168。

0.0～192。

168.255.0。

为了说明方便,我们以3台计算机为例。

实际上，最多可扩充到254台计算机。

具体操作步骤如下：

1.在一台Linux主机上安装2块网卡ech0和ech1，给ech0网卡分配一个内部网的私有地址191。

168.100。

0，用来与Intranet相连；给ech1网卡分配一个公共网络地址202.101。

2。

25，用来与Internet相连。

2.Linux主机上设置进入、转发、外出和用户自定义链。

本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包,如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。

具体设置如下：

（1）刷新所有规则

/sbin/ipchains—Fforward

/sbin/ipchains-Finput

/sbin/ipchains—Foutput

（2）设置初始规则

/sbin/ipchains—Ainput-jACCEPT

/sbin/ipchains—Aoutput—jACCEPT

/sbin/ipchains—Aforward-jACCEPT

（3）设置本地环路规则

/sbin/ipchains-Ainput-jACCEPT-ilo

/sbin/ipchains—Aoutput—jACCEPT-ilo

本地进程之间的包允许通过.

（4）禁止IP欺骗

/sbin/ipchains—Ainput—jDENY

-iech1—s192。

168.100。

0/24

/sbin/ipchains—Ainput—jDENY

-iech1—d192.168。

100。

0/24

/sbin/ipchains-Aoutput—jDENY

-iech1—s192。

168。

100。

0/24

/sbin/ipchains-Aoutput-jDENY

—iech1-d192。

168。

100。

0/24

/sbin/ipchains-Ainput-jDENY

—iech1—s202。

101.2.25/32

/sbin/ipchains—Aoutput-jDENY

-iech1—d202。

101.2.25/32

（5）禁止广播包

/sbin/ipchains-Ainput—jDENY

—iech0-s255。

255。

255。

255

/sbin/ipchains—Ainput-jDENY

-iech0—d0.0.。

0。

0

/sbin/ipchains—Aoutput—jDENY

—iech0—s240。

0。

0.0/3

（6）设置ech0转发规则

/sbin/ipchains—Aforword-jMASQ

-iech0-s192.168。

100。

0/24

（7）设置ech1转发规则

/sbin/ipchains-Aforword—jACCEPT

-iech1—s192.168.100。

0/24

/sbin/ipchains-Aforword-jACCEPT

—iech1-d192。

168.100。

0/24

将规则保存到/etc/rc。

firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc。

firewallrules，这样当系统启动时,这些规则就生效了.

通过以上各步骤的配置,我们可以建立一个基于Linux操作系统的包过滤防火墙。

它具有配置简单、安全性高和抵御能力强等优点，特别是可利用闲置的计算机和免费的Linux操作系统实现投入最小化、产出最大化的防火墙的构建。

另外，如果在包过滤的基础上再加上代理服务器，如TISFirewallToolkit免费软件包（http：

//www.fwtk.org/），还可构建更加安全的复合型防火墙。

再次采用安全服务商中联绿盟信息技术有限公司（简称中联绿盟）为我们提供量身定制的安全