精品久久一,欧美国产日韩精品,日本少妇被爽到高潮的动态图

誠信完美共好創新

鎮江市海事局信息化安全升級改造項目

發布時間：2015年2月5日版塊：信息安全

鎮江市海事局信息化安全升級改造簡介

一、項目總體規劃

1.1、項目建設目標

為保證改局業務系統的高可靠性、高安全性和高冗余性。針對目前現有狀況，此次信息化升級改造建設的總體建設目標為：

1）建立對外服務區域，將涉及對外服務的應用系統（網站、微信、郵件及需要對公眾開放的系統等）與專網應用系統隔離；

2）繼續構筑統一規范的安全保障體系；

3）對現有數據中心架構進行改造；

4）建立一個統一的系統運營監控支撐平臺；

5）對現有基礎網絡平臺進行優化；

6）建立災備數據中心，實現關鍵業務和數據的安全穩定運行。

1.2、項目建設的可行性

從網絡建設方面來看，鎮江市該局已經具備了基礎的網絡結構體系，連組成了基于TCP/IP的企業級網絡，為網絡應用系統的高效安全建設奠定了基本的物理基礎。

從網絡技術方面來看， IT信息部門對整個該局網絡進行建設，完全具備提供網絡安全、應用系統安全的完整解決方案的能力。

從組織管理方面來看，該局IT信息部門經過多年的建設，各個業務系統建設已具規模，企業的信息化管理者積累了豐富的組織實施經驗。

從生產方面來看，該局擁有眾多應用系統，且越來越重視信息化建設，在工業信息化方面進行了持續建設，為更好的實現信息化和自動化全面共同融合發展。

綜上所述，該局具備了對其所轄應用系統統一建設的條件，能夠建立起標準的、規范的該局信息化整體框架體系。

1.3、設計思路

進行該局信息化總體設計，首先要進行對象研究和需求調查，明確業務的性質、任務和改革發展的特點及系統建設的需求和條件，對公司的信息化環境進行準確的描述；其次，在應用需求分析的基礎上，確定各個應用系統服務類型，進而確定系統建設的具體目標，包括網絡設施、站點設置、開發應用和管理等方面的目標；第三是確定構網絡拓撲結構和功能，根據應用需求建設目標，進行系統分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配配置等方面的標準和要求；第五，規劃網絡和系統建設的實施步驟。

該總體設計方案的科學性，應該體現在能否滿足以下基本要求方面：

1）整體規劃安排；

2）先進性、開放性和標準化相結合；

3）結構合理，便于維護；

4）加強安全防護，確保數據完整性、可用性；

5）高效實用，保障業務連續性；

二、外網對外服務區建設建議

對外服務區域是指該局有諸多利用互聯網的應用系統，而之前這些應用系統都部署在專網，在于互聯網鏈接時存在安全隱患，不利于專網數據的安全，本方案建議該局在外網互聯網出口處建立對外服務區域，將對外業務與專網核心業務系統分離，保障專網的安全。

在對外服務區域，該局可對外統一發布信息和向社會提供信息服務、業務辦理和管理監督等政務活動，當然也包括郵件、網站、微信等應用的部署。

建立對外服務區域后，可將對外前端應用放置在對外服務區域，對需要與專網進行交互的數據，可通過前置機，利用網閘進行數據安全交換，最大限度保障專網安全。針對WEB安全及郵件的安全設備也可集中部署在此區域前端，再結合互聯網出口區域的安全防護策略，保障對外服務區域的安全。如圖所示：

1111

三、信息安全保障體系建設建議

3.1、現有應用架構和安全建設分析

3.1.1、現有網絡架構

該局根據應用需求，己建成相對獨立的網絡信息系統，信息安全建設已頗具規模，該局現有網絡結構（略）

3.1.2、現有安全建設

該局在網絡信息系統建設過程中，針對系統運行過程中可能面臨的信息安全問題，進行了信息安全系統的初步建設。具體建設內容包括：

1）互聯網邊界安全防護：

己在互聯網出口處部署FORTIGATE防火墻，實現外網互聯區域的訪問控制，防止來自外網的攻擊和非法訪問；
部署了深信服負載均衡設備AD1600，提供互聯網鏈路和服務器負載均衡，實現資源的自由按需調度，提高鏈路和服務器訪問效率；
部署了綠盟NIPS1000，提供對來自互聯網入侵行為的防護，對訪問狀態進行檢測、對通信協議和應用協議進行檢測、對內容進行深度的檢測，識別網絡中發生的入侵行為并實時報警并且進行有效攔截防護，保障該局的整體網絡安全。
己在互聯網出口處部署深信服上網行為管理AC1800，實現寬帶資源的合理利用，限制非法網絡應用，提高互聯網應用性能和效率。

2）對外服務區安全（在建）

采用反垃圾郵件系統，保障郵件訪問和使用安全,抵御來自郵件的攻擊。
采用綠盟WEB應用防火墻WAF P600,提供專業的WEB應用攻擊防護能力，保證WEB應用的連續性和高可用性，對SQL注入攻擊、跨站腳本攻擊、網頁篡改、網頁掛馬等攻擊進行防護，有效防止敏感信息泄漏，能夠提供最佳安全成本，有效降低安全風險。

3）外網終端用戶區安全

采用360防病毒企業版，加強終端主機的病毒防護能力，可以在一定程度上避免蠕蟲病毒爆發時的大流量沖擊。同時，防毒系統提供關于病毒威脅和事件的監控、審計日志，為全網的病毒防護管理提供必要的信息

4）專網專線接入區安全

5）內部核心數據區安全

部署了備份系統，對系統及數據進行全面的備份，防止因系統損壞、數據丟失造成的一系列問題。

盡管目前網絡系統中己采取了部分安全防護措施，但是，由于網絡結構比較復雜，而且涉及多系統之間的協調，仍然存在大量的安全隱患。如果不加控制管理，可能帶來的網絡安全威脅是相當現實。一旦網絡信息系統被病毒、黑客所威脅將是不可忍受的。網絡一旦發生故障，帶來的損失是不可估量的，而在信息系統被破壞后再也無法挽回已經造成的損失。

3.2、安全技術層面需求分析

由于網絡體系越來越復雜，應用系統越來越多，網絡規模不斷擴大，再加上與Internet或非信任網絡的連接，網絡用戶也已經不單單是絕對的內部用戶，對整個網絡安全形成了巨大的威脅，因此整個網絡承受著來自外部、內部、黑客、病毒、應用、管理等各方面威脅。通過以上對該局的風險分析，我們發現仍然存在大量安全威脅需要通過相應措施進行防護和管理。基于以上建設框架，對于該局信息化系統，仍需要重點關注如下可能面臨的安全威脅。

3.2.1 、外網平臺安全需求

外部邊界防護

主要指該局網絡平臺的所有外部網絡邊界，包括：

互聯網邊界：互聯網接入主要用于提供對外基于互聯網的WEB業務及外網用戶辦公，因此在同一個邊界具備兩種屬性。外網邊界直接面臨社會各界用戶，使用環境復雜面臨的安全風險極大。各類復合網絡攻擊手段以及針對網站的流量攻擊均是常見的安全威脅。應予以嚴格的安全防護手段在此邊界進行設防，維護整個網絡不被外部侵入。

專網邊界：該邊界位于該局與糧油專網之間。主要需要考慮防止內部的非法訪問以及病毒、蠕蟲等惡性安全事件的快速蔓延。

內部安全域邊界

在該局網絡中，可以劃分處多個網絡安全域，包括外網互聯區、內網電子交易網絡、數據中心區和安全管理區等等。這些安全域之間存在著內部邊界，為能更加有針對性的對各安全域進行防護，在不同的邊界應采取不同的邊界防護措施。

數據傳輸安全

對于外部用戶訪問的接入存在兩種方式：專線方式、互聯網方式。通過互聯網進行接入傳輸的數據屬于電子商務內部的信息，這些敏感的數據信息在互聯網上十分容易被非法竊取、篡改或刪除。因此必須采用技術手段保證數據的機密性、完整性以及可用性。

3.2.2、計算環境安全需求

保護計算環境關注的是采用信息保障技術確保用戶信息在進入、離開或駐留客戶機與服務器時具有可用性、完整性和秘密性。主要是指主機硬件、OS，應用軟件等的安全需求。包括：

終端行為的管理

終端設備部署較為分散，難于統一管理，操作人員的計算機水平也參差不齊，因此終端設備的安全管理成為網絡管理人員最為棘手的安全問題。終端泄密、非授權訪問、內部攻擊等都都對數據中心安全造成威脅。各類終端和服務器系統的補丁管理同樣是一個重要問題。不及時的給系統打漏洞補丁會造成蠕蟲以及不懷好意者的入侵。

終端防病毒

病毒是對計算環境造成危害最大的隱患，當前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發，會立刻向其他子網迅速蔓延，這樣會大量占據正常業務十分有限的帶寬，造成網絡性能嚴重下降甚至網絡通信中斷，嚴重影響正常業務開展。因此必須采取有效手段進行查殺，阻止病毒的蔓延危害整個數據中心。

主機審計

對于服務器和重要主機需要進行嚴格的行為控制，對用戶的行為、使用的命令等進行必要的記錄審計，同時生成審計報表，便于日后的分析、調查、取證。

數據庫審計

對于關鍵的數據庫系統需要進行審計。異常的數據庫操作將會造成數據的不完整和數據丟失，必須對管理員特別是數據庫管理員的操作行為進行審計，一方面完整記錄數據庫的操作行為，另一方面對高危操作進行及時阻止干預。最大限度的保護審計署核心信息資產的安全。

網絡入侵行為檢測

攻擊行為不僅來自于大家公認的互聯網等外部網絡，在內部也要防止攻擊行為。通過部署安全措施，要實現主動阻斷針對信息系統的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，能防御針對操作系統漏洞的攻擊，能夠實現應用層的安全防護，保護核心信息資產的免受攻擊危害。

安全加固

無論是審計、入侵檢測或是防病毒，某種意義上來說都是被動防御，大都不具備主動防御的能力。如在危險來臨之前就能主動加固系統，增強系統本身的抵御能力，則在實際運行中發揮十分重要的作用。

無線安全和利用

WLAN具有安裝便捷、使用靈活、經濟節約、易于擴展等有線網絡無法比擬的優點，但是由于無線局域網信道開放的特點，使攻擊者能夠很容易的進行竊聽，惡意修改，802.11協議提供的無線安全性能可以很好地抵御一般性網絡攻擊，但是仍有少數黑客能夠入侵無線網絡，從而無法充分保護包含敏感數據的網絡。