信息安全保障措施

信息安全保障措施一：信息安全保障措施采用浪潮英信服務(wù)器作主機(jī)1、軟件系統(tǒng)：操作系統(tǒng)：WINGDOWS2000SERVER數(shù)據(jù)庫：MSSQLServer2000防火墻：天融信、諾頓防病毒軟件2、硬件系統(tǒng)：主機(jī)位置及帶寬：系統(tǒng)主機(jī)設(shè)在IDC主機(jī)房內(nèi)，通過100M帶寬光纖與CHINGANET骨干網(wǎng)相連接。二：信息安全保密管理制度建立全員安全意識，合理規(guī)劃信息安全安全意識的強(qiáng)弱對于整個信息系統(tǒng)避免或盡量減小損失，乃至整個具備主動防御能力的信息安全體系的搭建，都具有重要的戰(zhàn)略意義。我們首先建立起全員防護(hù)的環(huán)境。在意識上建立牢固的防患意識，并有足夠的資金支持，形成企業(yè)內(nèi)部的信息安全的共識與防御信息風(fēng)險的基本常識，其次是選用安全性強(qiáng)的軟硬件產(chǎn)品，構(gòu)筑軟硬協(xié)防的安全體系，確保安全應(yīng)用。建立信息采集（來源）、審核、發(fā)布管理制度并結(jié)合關(guān)鍵字過濾系統(tǒng)，保障信息安全。采編部按照采編制度和相關(guān)互聯(lián)網(wǎng)規(guī)定，嚴(yán)格把關(guān)。涉密信息，包括在對外交往與合作中經(jīng)審查、批準(zhǔn)與外部交換的秘密信息，不得在連有外網(wǎng)的計算機(jī)信息系統(tǒng)中存儲、處理、傳遞。加強(qiáng)對計算機(jī)介質(zhì)（軟盤、磁帶、光盤、磁卡等）的管理，對儲存有秘密文件、資料的計算機(jī)等設(shè)備要有專人操作，采取必要的防范措施，嚴(yán)格對涉密存儲介質(zhì)的管理，建立規(guī)范的管理制度，存儲有涉密內(nèi)容的介質(zhì)一律不得進(jìn)入互聯(lián)網(wǎng)絡(luò)使用建立系統(tǒng)保密措施，嚴(yán)格實(shí)行安全管理。系統(tǒng)的安全、帳號及權(quán)限的管理，責(zé)任到人；對系統(tǒng)軟件的管理；在系統(tǒng)維護(hù)過程中，產(chǎn)生的記錄：系統(tǒng)維護(hù)日志、系統(tǒng)維護(hù)卡片、詳細(xì)維護(hù)記錄。對涉密信息實(shí)行加密、解密及管理，確保數(shù)據(jù)傳輸?shù)陌踩?。建立?shù)據(jù)庫的信息保密管理制度，保障數(shù)據(jù)庫安全。數(shù)據(jù)庫由專人管理并負(fù)責(zé)。建立日志的跟蹤、記錄及查閱制度，及時發(fā)現(xiàn)和解決安全漏洞。三：技術(shù)保障措施1.加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理、監(jiān)測違規(guī)在強(qiáng)、弱電安全方面，采用雙路交流電供電形成電源冗余并配置UPS的設(shè)計方案保證強(qiáng)電安全，另外，采用避雷防電和放置屏蔽管道的方法來保證弱電線路(交換機(jī)、網(wǎng)線)的安全。在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機(jī)上的端口。通過網(wǎng)管中心的管理軟件，對該交換機(jī)遠(yuǎn)程實(shí)施PortSecurity策略，將客戶端網(wǎng)卡MAC地址固定綁在相應(yīng)端口上。在網(wǎng)絡(luò)流量監(jiān)測方面，使用網(wǎng)絡(luò)監(jiān)測軟件對網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計，查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。在違規(guī)操作監(jiān)控方面，對涉秘信息的處理，嚴(yán)禁“一機(jī)兩用”事件的發(fā)生。即一臺計算機(jī)同時聯(lián)接內(nèi)部網(wǎng)和互聯(lián)網(wǎng)，還包括輪流上內(nèi)部網(wǎng)和國際互聯(lián)網(wǎng)的情形，因此我們對每個客戶端安裝了監(jiān)控系統(tǒng)，實(shí)行電腦在線監(jiān)測、電腦在線登記、一機(jī)兩用監(jiān)測報警、電腦阻斷、物理定位等措施。管理服務(wù)器應(yīng)用服務(wù)器安裝的操作系統(tǒng)為Windows系列,服務(wù)器的管理包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略。服務(wù)器安全審核的范圍包括安全漏洞檢查、日志分析、補(bǔ)丁安裝情況檢查等，審核的對象是DC、ExchangeServer、SQLServer、IIS等。在組策略實(shí)施時，使用軟件限制策略，即哪些內(nèi)部用戶不能使用哪個軟件，對操作用戶實(shí)行分權(quán)限管理。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分，系統(tǒng)軟件備份擬利用現(xiàn)有的ARCServer專用備份程序，制定合理的備份策略，每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份；定期對服務(wù)器備份工作情況進(jìn)行檢查(數(shù)據(jù)庫備份后面有論述)。管理客戶端將客戶端都加入到域中，客戶端納入管理員集中管理的范圍。出于安全上的考慮，安裝win2000系列客戶端。⑵只給用戶以普通域用戶的身份登錄到域，因為普通域用戶不屬于本地Administrators和PowerUsers組，這樣就可以限制他們在本地計算機(jī)上安裝大多數(shù)軟件。當(dāng)然為了便于用戶工作，通過本地安全策略措施，授予基本操作權(quán)利。實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動安裝。實(shí)現(xiàn)客戶端防病毒軟件的自動更新。利用SMS對客戶端進(jìn)行不定期監(jiān)控，發(fā)現(xiàn)不正常情況及時處理。數(shù)據(jù)備份與冗余考慮到綜合因素，采用如下數(shù)據(jù)備份和冗余方案：在網(wǎng)絡(luò)中心的異地機(jī)房建立單機(jī)+磁盤陣列的硬件環(huán)境，作為容災(zāi)異地在線備份點(diǎn)，安裝VERITAS的服務(wù)器端軟件。在網(wǎng)絡(luò)中心的SQLServer服務(wù)器、LotusNoteMail服務(wù)器、Oracle服務(wù)器以及文件服務(wù)器上分別安裝VERITAS的相關(guān)客戶端Agent軟件。在服務(wù)器上設(shè)置在線備份策略，每天凌晨1點(diǎn)自動備份SQL數(shù)據(jù)庫、凌晨2點(diǎn)自動備份Oracle數(shù)據(jù)庫、凌晨3點(diǎn)自動備份郵件，主要用于系統(tǒng)層恢復(fù)后的數(shù)據(jù)加載。采用本地硬件RAID5對硬件級磁盤故障進(jìn)行保護(hù)。數(shù)據(jù)加密考慮到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況，如物理地“取走”數(shù)據(jù)庫，在通信線路上竊聽截獲。對這樣的威脅采取了有效方法：數(shù)據(jù)加密。即以加密格式存儲和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰，通過加密設(shè)備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對信息起到保密作用。病毒防治措施我們對防病毒軟件的要求是：能支持多種平臺，至少是在Windows系列操作系統(tǒng)上都能運(yùn)行；能提供中心管理工具，對各類服務(wù)器和工作站統(tǒng)一管理和控制；在軟件安裝、病毒代碼升級等方面，可通過服務(wù)器直接進(jìn)行分發(fā)，盡可能減少客戶端維護(hù)工作量；病毒代碼的升級要迅速有效。所以，綜合以上各種因素，我們選擇了SYMANTEC公司的NortonAntivirus企業(yè)版。在實(shí)施過程中，本單位以一臺服務(wù)器作為中央控制一級服務(wù)器，實(shí)現(xiàn)對網(wǎng)絡(luò)中所有計算機(jī)的保護(hù)和監(jiān)控，并使用其中有效的管理功能，如：管理員可以向客產(chǎn)端發(fā)送病毒警報、強(qiáng)制對遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下，一級服務(wù)器病毒代碼庫升級后半分鐘內(nèi)，客戶端的病毒代碼庫也進(jìn)行了同步更新。補(bǔ)丁更新與軟件分發(fā)網(wǎng)絡(luò)安全防御不是簡單的防病毒或者防火墻。只有通過提高網(wǎng)絡(luò)整體系統(tǒng)安全，才能讓病毒進(jìn)攻無門。然而提高網(wǎng)絡(luò)整體系統(tǒng)安全不僅僅是一個技術(shù)問題，更重要的是管理問題。自動分發(fā)軟件、升級補(bǔ)丁等工作是確保系統(tǒng)安全的關(guān)鍵步驟。我們使用微軟的SystemsManagementServer（SMS）和SoftwareUpdateService（SUS）軟件來自動實(shí)現(xiàn)這一功能。（1）我們使用微軟的SoftwareUpdateService（SUS）解決運(yùn)行Windows操作系統(tǒng)的計算機(jī)免受病毒和黑客攻擊，將需要升級的軟件從Internet下載到公司Intranet的服務(wù)器上，并為公司內(nèi)的所有客戶端PC提供自動升級，打上所有需要的“補(bǔ)丁”。（2）我們使用微軟SystemsManagementServer（SMS）進(jìn)行軟件分發(fā)、資產(chǎn)管理、遠(yuǎn)程問題解決等。四：信息安全審核制度1）設(shè)立信息安全崗位，實(shí)行信息安全責(zé)任制（1）設(shè)立專職信息安全管理領(lǐng)導(dǎo)崗位和3個信息安全管理崗位；（2）信息安全崗位工作人員不得在其他單位兼任信息安全崗位；（3）信息安全管理崗位人員負(fù)責(zé)本單位制作、復(fù)制、發(fā)布、批量傳播的信息的初審，信息安全管理領(lǐng)導(dǎo)崗位負(fù)責(zé)信息審核和批準(zhǔn)，信息非經(jīng)審核批準(zhǔn)不得予以發(fā)布、傳播。（4）不得制作、復(fù)制、發(fā)布、傳播含有下列內(nèi)容的信息：反對憲法所確定的基本原則的；危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的；損害國家榮譽(yù)和利益的；煽動民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；破壞國家宗教政策，宣揚(yáng)邪教和封建迷信的；散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；侮辱或者誹謗他人，侵害他人合法權(quán)益的；含有法律、行政法規(guī)禁止的其他內(nèi)容的。（5）信息安全部門統(tǒng)一規(guī)劃、組織、協(xié)調(diào)、監(jiān)督、管理和實(shí)施內(nèi)外部網(wǎng)絡(luò)安全，具體職責(zé)如下：負(fù)責(zé)各種資源的安全監(jiān)測、安全運(yùn)行和安全管理；負(fù)責(zé)計算機(jī)病毒防御、黑客入侵防范和不良信息過濾；負(fù)責(zé)各種安全產(chǎn)品的正常運(yùn)行、管理和維護(hù)；普及信息安全常識、建立相關(guān)安全制度、應(yīng)急處理重大安全事件；負(fù)責(zé)安全規(guī)劃和安全項目的研究，全面提高網(wǎng)絡(luò)安全管理的技術(shù)和水平。2）建立并實(shí)行服務(wù)器日常維護(hù)及管理制度（1）服務(wù)器監(jiān)控：管理員經(jīng)常性的監(jiān)控服務(wù)器的運(yùn)行狀況，如發(fā)現(xiàn)異常情況，及時處理，并作詳細(xì)記錄。（2）重要數(shù)據(jù)備份：對于數(shù)據(jù)服務(wù)器中的用戶信息、重要文件和數(shù)據(jù)進(jìn)行及時備份。信息天天更新備份，每周一次完全備份，備份信息應(yīng)保存一個月。（3）定期系統(tǒng)升級：對于windows操作系統(tǒng)的服務(wù)器每周做一次升級，如遇到安全問題立即升級。3）建立并實(shí)行機(jī)房值班安全制度（1）確保線路暢通。上班后與下班前檢查線路，尋找網(wǎng)絡(luò)隱患。對在運(yùn)行期間發(fā)生的主要事件記錄在案。按時定期對設(shè)備進(jìn)行檢修。每月的最后一個工作日對所有設(shè)備進(jìn)行測試，并填寫報告。（2）及時、準(zhǔn)確、無誤地填寫運(yùn)行記錄。出現(xiàn)事故盡快處理，馬上填寫故障記錄。當(dāng)自己不能解決或不能立即解決時，及時與安全主管聯(lián)系，并保持與其他值班人員的聯(lián)系，在己方線路或設(shè)備出現(xiàn)故障時，盡快查明原因，及時處理，并填寫故障記錄。（3）負(fù)擔(dān)整個網(wǎng)絡(luò)的性能管理任務(wù)。對網(wǎng)絡(luò)性能進(jìn)行動態(tài)監(jiān)測，并要有詳細(xì)的記錄及統(tǒng)計分析。必要時把網(wǎng)絡(luò)性能記錄以圖表形式打印出來。（4）注意網(wǎng)絡(luò)運(yùn)行安全，對網(wǎng)絡(luò)異?，F(xiàn)象進(jìn)行反應(yīng)。利用路由器等安全系統(tǒng)控制網(wǎng)絡(luò)非法侵入。（5）保證機(jī)房的供電及室內(nèi)空氣的溫度、濕度正常。注意UPS的工作情況。注意網(wǎng)絡(luò)設(shè)備安全，加強(qiáng)防火，防盜及防止他人破壞的工作。注意臨走時門窗關(guān)好，鎖緊。禁止在機(jī)房內(nèi)吸煙。禁止無關(guān)人員進(jìn)入機(jī)房。值班人員不得隨意離開。（6）完成網(wǎng)絡(luò)設(shè)備的安裝，調(diào)試。并對安裝，測試過程中的主要事件，做到有據(jù)可查。（7）主動監(jiān)測網(wǎng)絡(luò)，隨時發(fā)現(xiàn)問題，及時查清故障點(diǎn)，并主動與相關(guān)主管和部門聯(lián)系。4）建立并實(shí)行防火墻等軟件更新制度（1）防火墻軟件的使用與更新：采用諾頓企業(yè)級防火墻；及時更新防火墻（2）堅持使用正確、安全的軟件及軟件操作流程，從細(xì)節(jié)保障系統(tǒng)安全。5）建立應(yīng)急處理流程（1）清點(diǎn)數(shù)字資產(chǎn)，確定每項資產(chǎn)應(yīng)受多大程度的保護(hù)（2）明確界定資源的合理使用，明確規(guī)定系統(tǒng)的使用規(guī)范，比如誰可以擁有網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)，在訪問之前須采取哪些安全措施。（3）控制系統(tǒng)的訪問權(quán)限，公司在允許一些人訪問系統(tǒng)的同時，必須阻止另外一些人進(jìn)入。網(wǎng)絡(luò)防火墻、驗證和授權(quán)系統(tǒng)、加密技術(shù)都為了保證信息安全。同時采用監(jiān)視工具和入侵探測工具來查詢公司網(wǎng)絡(luò)上的電腦活動，及時發(fā)現(xiàn)可疑行為。（4）使用安全的軟件；（5）找出問題根源；（6）提出解決方案并及時解決問題；（7）加入應(yīng)急知識庫，預(yù)防類似事件再次發(fā)生。6）實(shí)行關(guān)鍵字的設(shè)立、過濾與更新規(guī)則（1）通信平臺具有信息內(nèi)容的過濾功能。信息過濾包括對播放的相關(guān)短信、頁面內(nèi)容進(jìn)行有效過濾。具體包括關(guān)鍵字設(shè)定、修改、查詢功能，提供相應(yīng)的測試端口，并具有嚴(yán)格的權(quán)限管理功能；對發(fā)現(xiàn)的有害短信及時向有關(guān)部門匯報，并從技術(shù)上予以保證，包括有害信息的內(nèi)容、發(fā)現(xiàn)時間、發(fā)現(xiàn)來源；（2）關(guān)鍵字的設(shè)立規(guī)則根據(jù)相關(guān)法律和互聯(lián)網(wǎng)規(guī)定制定（3）過濾引擎的建立：過濾引擎設(shè)定關(guān)鍵字、日志管理、報警的管理。管理控制中心顯示詳細(xì)的有害信息（有害信息的發(fā)送方、接受方、內(nèi)容、時間），并截斷該短消息。（4）對不良信息和事件的發(fā)生進(jìn)行記錄，并儲存，以備后需。7）建立并實(shí)行信息儲存與查閱制度（1）信息采集：信息資料的來源渠道必須正規(guī)，不能侵犯他人版權(quán)，杜絕政治性和常識性的錯誤；信息采集的內(nèi)容要廣泛、真實(shí)、可靠、健康，要有時效性，有使用價值。（2）信息審核：信息采集人員要杜絕信息資源格式不規(guī)范、措辭不嚴(yán)謹(jǐn)?shù)葐栴}出現(xiàn)，減少或避免初審失誤；切實(shí)做到“三密”信息不失密、不上網(wǎng)；重大的信息、來源不清的信息、披露性信息要報經(jīng)信息審核主管終審后才能發(fā)布（3）信息的發(fā)布更新：限時更新的信息要及時采集、整理，經(jīng)審核后盡快發(fā)布。要確保及時、準(zhǔn)確無誤；各自分工的任務(wù)，如不能按規(guī)定時限及時更新的，將追究有關(guān)人員責(zé)任。（4）信息的存儲：對采集的各種信息進(jìn)行科學(xué)分類，以文本格式存放在統(tǒng)一的文件中；建立信息的匯總渠道，開辟專用空間存放歸集信息，方便保存與查找；數(shù)據(jù)的備份參見“數(shù)據(jù)備份與冗余”（5）信息查閱制度：根據(jù)信息的重要性和保密級別的不同，實(shí)行區(qū)別對待，對涉秘信息、重要數(shù)據(jù)的查詢需向相關(guān)主管人員申請并報總負(fù)責(zé)人審批。8）投訴流程與方式，處理結(jié)構(gòu)用戶投訴客服人員填寫用戶投訴報告單，并向投訴人告知受理員的姓名、記錄：投訴事由、聯(lián)系、投訴時間、用戶地區(qū)等立即落實(shí)投訴內(nèi)容的解決辦法客服經(jīng)理負(fù)責(zé)處理投訴相關(guān)事宜記錄投訴處理結(jié)果受理客服人員向用戶反饋處理結(jié)果，滿意后將處理報告單存檔當(dāng)日報主管副總經(jīng)理，做業(yè)績考察五：信息安全責(zé)任落實(shí)信息安全重在管理，而安全管理又貫穿在整個網(wǎng)絡(luò)的運(yùn)行之中。為此，首先抓好組織機(jī)構(gòu)建設(shè)。在原來的基礎(chǔ)上，建立健全了公司計算機(jī)安全監(jiān)察領(lǐng)導(dǎo)小組，并建立了決策層、管理層、執(zhí)行層的三級計算機(jī)安全組織機(jī)構(gòu)。從而將安全工作落實(shí)到各個部門，做到分工明細(xì)，責(zé)任明確。從組織上、技術(shù)上切實(shí)保障了計算機(jī)信息系統(tǒng)的安全運(yùn)行。在此基礎(chǔ)上，公司制定了完善的安全管理方案，涵蓋安全風(fēng)險管理、物理安全管理、邏輯安全管理和日常安全管理等各方面。通過各級安全組織機(jī)構(gòu)，全面抓好制度的落實(shí)，真正做到事事有人管，事事管理有規(guī)章。其中安全風(fēng)險管理是通過對全網(wǎng)、特別是