欧美一区二粉嫩精品国产一线天,国产二区不卡,国产在线播放91

鎮江市海事局信息化安全升級改造項目

沈亭亭 — Thu, 05 Feb 2015 01:37:28 +0000

鎮江市海事局信息化安全升級改造簡介

一、項目總體規劃

1.1、項目建設目標

為保證改局業務系統的高可靠性、高安全性和高冗余性。針對目前現有狀況，此次信息化升級改造建設的總體建設目標為：

1）建立對外服務區域，將涉及對外服務的應用系統（網站、微信、郵件及需要對公眾開放的系統等）與專網應用系統隔離；

2）繼續構筑統一規范的安全保障體系；

3）對現有數據中心架構進行改造；

4）建立一個統一的系統運營監控支撐平臺；

5）對現有基礎網絡平臺進行優化；

6）建立災備數據中心，實現關鍵業務和數據的安全穩定運行。

1.2、項目建設的可行性

從網絡建設方面來看，鎮江市該局已經具備了基礎的網絡結構體系，連組成了基于TCP/IP的企業級網絡，為網絡應用系統的高效安全建設奠定了基本的物理基礎。

從網絡技術方面來看， IT信息部門對整個該局網絡進行建設，完全具備提供網絡安全、應用系統安全的完整解決方案的能力。

從組織管理方面來看，該局IT信息部門經過多年的建設，各個業務系統建設已具規模，企業的信息化管理者積累了豐富的組織實施經驗。

從生產方面來看，該局擁有眾多應用系統，且越來越重視信息化建設，在工業信息化方面進行了持續建設，為更好的實現信息化和自動化全面共同融合發展。

綜上所述，該局具備了對其所轄應用系統統一建設的條件，能夠建立起標準的、規范的該局信息化整體框架體系。

1.3、設計思路

進行該局信息化總體設計，首先要進行對象研究和需求調查，明確業務的性質、任務和改革發展的特點及系統建設的需求和條件，對公司的信息化環境進行準確的描述；其次，在應用需求分析的基礎上，確定各個應用系統服務類型，進而確定系統建設的具體目標，包括網絡設施、站點設置、開發應用和管理等方面的目標；第三是確定構網絡拓撲結構和功能，根據應用需求建設目標，進行系統分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配配置等方面的標準和要求；第五，規劃網絡和系統建設的實施步驟。

該總體設計方案的科學性，應該體現在能否滿足以下基本要求方面：

1）整體規劃安排；

2）先進性、開放性和標準化相結合；

3）結構合理，便于維護；

4）加強安全防護，確保數據完整性、可用性；

5）高效實用，保障業務連續性；

二、外網對外服務區建設建議

對外服務區域是指該局有諸多利用互聯網的應用系統，而之前這些應用系統都部署在專網，在于互聯網鏈接時存在安全隱患，不利于專網數據的安全，本方案建議該局在外網互聯網出口處建立對外服務區域，將對外業務與專網核心業務系統分離，保障專網的安全。

在對外服務區域，該局可對外統一發布信息和向社會提供信息服務、業務辦理和管理監督等政務活動，當然也包括郵件、網站、微信等應用的部署。

建立對外服務區域后，可將對外前端應用放置在對外服務區域，對需要與專網進行交互的數據，可通過前置機，利用網閘進行數據安全交換，最大限度保障專網安全。針對WEB安全及郵件的安全設備也可集中部署在此區域前端，再結合互聯網出口區域的安全防護策略，保障對外服務區域的安全。如圖所示：

三、信息安全保障體系建設建議

3.1、現有應用架構和安全建設分析

3.1.1、現有網絡架構

該局根據應用需求，己建成相對獨立的網絡信息系統，信息安全建設已頗具規模，該局現有網絡結構（略）

3.1.2、現有安全建設

該局在網絡信息系統建設過程中，針對系統運行過程中可能面臨的信息安全問題，進行了信息安全系統的初步建設。具體建設內容包括：

1）互聯網邊界安全防護：

己在互聯網出口處部署FORTIGATE防火墻，實現外網互聯區域的訪問控制，防止來自外網的攻擊和非法訪問；
部署了深信服負載均衡設備AD1600，提供互聯網鏈路和服務器負載均衡，實現資源的自由按需調度，提高鏈路和服務器訪問效率；
部署了綠盟NIPS1000，提供對來自互聯網入侵行為的防護，對訪問狀態進行檢測、對通信協議和應用協議進行檢測、對內容進行深度的檢測，識別網絡中發生的入侵行為并實時報警并且進行有效攔截防護，保障該局的整體網絡安全。
己在互聯網出口處部署深信服上網行為管理AC1800，實現寬帶資源的合理利用，限制非法網絡應用，提高互聯網應用性能和效率。

2）對外服務區安全（在建）

采用反垃圾郵件系統，保障郵件訪問和使用安全,抵御來自郵件的攻擊。
采用綠盟WEB應用防火墻WAF P600,提供專業的WEB應用攻擊防護能力，保證WEB應用的連續性和高可用性，對SQL注入攻擊、跨站腳本攻擊、網頁篡改、網頁掛馬等攻擊進行防護，有效防止敏感信息泄漏，能夠提供最佳安全成本，有效降低安全風險。

3）外網終端用戶區安全

采用360防病毒企業版，加強終端主機的病毒防護能力，可以在一定程度上避免蠕蟲病毒爆發時的大流量沖擊。同時，防毒系統提供關于病毒威脅和事件的監控、審計日志，為全網的病毒防護管理提供必要的信息

4）專網專線接入區安全

5）內部核心數據區安全

部署了備份系統，對系統及數據進行全面的備份，防止因系統損壞、數據丟失造成的一系列問題。

盡管目前網絡系統中己采取了部分安全防護措施，但是，由于網絡結構比較復雜，而且涉及多系統之間的協調，仍然存在大量的安全隱患。如果不加控制管理，可能帶來的網絡安全威脅是相當現實。一旦網絡信息系統被病毒、黑客所威脅將是不可忍受的。網絡一旦發生故障，帶來的損失是不可估量的，而在信息系統被破壞后再也無法挽回已經造成的損失。

3.2、安全技術層面需求分析

由于網絡體系越來越復雜，應用系統越來越多，網絡規模不斷擴大，再加上與Internet或非信任網絡的連接，網絡用戶也已經不單單是絕對的內部用戶，對整個網絡安全形成了巨大的威脅，因此整個網絡承受著來自外部、內部、黑客、病毒、應用、管理等各方面威脅。通過以上對該局的風險分析，我們發現仍然存在大量安全威脅需要通過相應措施進行防護和管理。基于以上建設框架，對于該局信息化系統，仍需要重點關注如下可能面臨的安全威脅。

3.2.1 、外網平臺安全需求

外部邊界防護

主要指該局網絡平臺的所有外部網絡邊界，包括：

互聯網邊界：互聯網接入主要用于提供對外基于互聯網的WEB業務及外網用戶辦公，因此在同一個邊界具備兩種屬性。外網邊界直接面臨社會各界用戶，使用環境復雜面臨的安全風險極大。各類復合網絡攻擊手段以及針對網站的流量攻擊均是常見的安全威脅。應予以嚴格的安全防護手段在此邊界進行設防，維護整個網絡不被外部侵入。

專網邊界：該邊界位于該局與糧油專網之間。主要需要考慮防止內部的非法訪問以及病毒、蠕蟲等惡性安全事件的快速蔓延。

內部安全域邊界

在該局網絡中，可以劃分處多個網絡安全域，包括外網互聯區、內網電子交易網絡、數據中心區和安全管理區等等。這些安全域之間存在著內部邊界，為能更加有針對性的對各安全域進行防護，在不同的邊界應采取不同的邊界防護措施。

數據傳輸安全

對于外部用戶訪問的接入存在兩種方式：專線方式、互聯網方式。通過互聯網進行接入傳輸的數據屬于電子商務內部的信息，這些敏感的數據信息在互聯網上十分容易被非法竊取、篡改或刪除。因此必須采用技術手段保證數據的機密性、完整性以及可用性。

3.2.2、計算環境安全需求

保護計算環境關注的是采用信息保障技術確保用戶信息在進入、離開或駐留客戶機與服務器時具有可用性、完整性和秘密性。主要是指主機硬件、OS，應用軟件等的安全需求。包括：

終端行為的管理

終端設備部署較為分散，難于統一管理，操作人員的計算機水平也參差不齊，因此終端設備的安全管理成為網絡管理人員最為棘手的安全問題。終端泄密、非授權訪問、內部攻擊等都都對數據中心安全造成威脅。各類終端和服務器系統的補丁管理同樣是一個重要問題。不及時的給系統打漏洞補丁會造成蠕蟲以及不懷好意者的入侵。

終端防病毒

病毒是對計算環境造成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發，會立刻向其他子網迅速蔓延，這樣會大量占據正常業務十分有限的帶寬，造成網絡性能嚴重下降甚至網絡通信中斷，嚴重影響正常業務開展。因此必須采取有效手段進行查殺，阻止病毒的蔓延危害整個數據中心。

主機審計

對于服務器和重要主機需要進行嚴格的行為控制，對用戶的行為、使用的命令等進行必要的記錄審計，同時生成審計報表，便于日后的分析、調查、取證。

數據庫審計

對于關鍵的數據庫系統需要進行審計。異常的數據庫操作將會造成數據的不完整和數據丟失，必須對管理員特別是數據庫管理員的操作行為進行審計，一方面完整記錄數據庫的操作行為，另一方面對高危操作進行及時阻止干預。最大限度的保護審計署核心信息資產的安全。

網絡入侵行為檢測

攻擊行為不僅來自于大家公認的互聯網等外部網絡，在內部也要防止攻擊行為。通過部署安全措施，要實現主動阻斷針對信息系統的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，能防御針對操作系統漏洞的攻擊，能夠實現應用層的安全防護，保護核心信息資產的免受攻擊危害。

安全加固

無論是審計、入侵檢測或是防病毒，某種意義上來說都是被動防御，大都不具備主動防御的能力。如在危險來臨之前就能主動加固系統，增強系統本身的抵御能力，則在實際運行中發揮十分重要的作用。

無線安全和利用

WLAN具有安裝便捷、使用靈活、經濟節約、易于擴展等有線網絡無法比擬的優點，但是由于無線局域網信道開放的特點，使攻擊者能夠很容易的進行竊聽，惡意修改，802.11協議提供的無線安全性能可以很好地抵御一般性網絡攻擊，但是仍有少數黑客能夠入侵無線網絡，從而無法充分保護包含敏感數據的網絡。

鎮江市金保工程數據中心信息系統安全建設項目

沈亭亭 — Sun, 23 Mar 2014 03:22:06 +0000

我公司中標鎮江市金保工程數據中心信息系統安全建設項目

“金保工程”是經國務院批準的在全國推行的“十二金”電子政務工程之一，主要任務是利用先進的信息技術，建設覆蓋全國統一規范的人力資源社會保障信息管理系統，包括社會保障和人力資源就業管理兩大業務子系統，建設從中央到省到各省轄市三級業務專網，實現“業務經辦、公共服務、基金監管、決策支持”四大功能，總要求是：“完整、正確、統一、及時、安全”，總原則是：“統一建設、應用為先、體制創新、保障安全”，現階段主要目標是在各省轄市建立“同人同城同庫”人力資源和社會保障數據中心。

一、本項目建設原則

1、整體性原則

本項目建設必需保證整個防御體系的完整性。在安全體系建設中，應采取多種安全防御的技術和措施來保障網絡系統安全運行，要求在發生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網絡信息中心的服務，減少損失。因此，信息安全系統應該完整地包括安全防護機制、安全檢測機制和安全恢復機制。

2、標準化與一致性原則

在安全技術和安全產品的選擇上應遵守國家相關的政策和規定，在不與國家有關計算機信息系統安全標準和規定沖突的前提下建立某市“金保工程”信息安全體系，確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。

3、均衡性原則

應充分、全面、完整地對系統的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統的必要前提條件。對信息均衡、全面地進行保護，防范攻擊者使用“最易滲透原則”，在系統中最薄弱的地方進行攻擊，提高整個系統的"安全最低點"的安全性能。

4、多重保護原則

由于某市“金保工程”系統的重要性，應建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

5、安全性評價與平衡原則

建立合理的實用安全性與用戶需求評價平衡體系，安全體系建設要正確處理需求、風險與代價的關系，做到安全性與可用性相容。實施方應充分了解系統的用戶需求和具體的應用環境，了解系統的規模和范圍，系統的性質和各類信息的重要程度。

6、區域等級性原則

等級性原則是指安全層次和安全級別。應對用戶方信息系統進行恰當的分級，包括對信息保密程度分級，對用戶操作權限分級，對網絡安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網絡層、鏈路層等），針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網絡中不同層次的各種實際需求。

7、易管理操作原則

安全措施的采用不能影響系統的正常運行，應盡量不影響業務處理性能、網絡性能和拓撲結構，隨著信息系統建設規模的不斷擴大，應強調系統的可管理性，需要的是可解決其問題并易于管理的系統。應具備安裝簡便快捷，具有友好界面，操作簡單、直觀、靈活，易于學習和掌握等特點。

8、動態適應性原則

系統框架要能根據網絡安全的變化不斷調整安全措施，適應新的網絡環境，滿足新的網絡安全需求。安全措施必須能隨著網絡性能及安全需求的變化而變化，要容易適應、容易修改，支持未來隨著用戶容量的增加和業務擴容，系統具備靈活的體系架構，支持對新系統接入的快速響應，系統考慮到升級、擴展以及與其它應用系統的接口能力。

9、技術與管理相結合原則

安全系統設計和建設應結合安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設。本項目除應建立較為完備的安全物理體系外，還要結合等級保護服務咨詢建立完善的安全管理軟環境。

10、統籌規劃、分步實施原則

應制定全面的安全統籌規劃，在實施時可遵循先建立基本的安全體系，再根據今后網絡規模及應用的變化，調整或增強安全防護力度的分步實施原則。系統建設應保證各系統穩定，平滑過渡，對已經存在的安全設備進行有效的利用，保護已有投資。

二、本項目總體建設任務需求

1、根據等級保護要求，為“金保工程”一期數據中心網絡和信息系統構建安全保障平臺； 2、根據等級保護要求，集成整合新數據中心和原社保、醫保、

2、就業分數據中心安全需求，構建統一的安全管理平臺（SOC）；

3、購買等級保護咨詢服務，根據專業咨詢建立符合等級保護要求的常態化安全管理體系架構，通過重要系統的等級保護測評；

三、搭建平臺示意圖如下：