中國建材集團(tuán)信息安全防護(hù)體系研究論文

中國建材集團(tuán)信息平安防護(hù)體系研究論文中國建材集團(tuán)核心機(jī)房按照國家信息平安等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及平安防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路構(gòu)造，采用電信+聯(lián)通專線入網(wǎng)，具備冗余性，滿足業(yè)務(wù)頂峰期需求，2臺(tái)網(wǎng)絡(luò)核心交換機(jī)構(gòu)成雙機(jī)熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、效勞器區(qū)域、樓層等各個(gè)區(qū)域。機(jī)房內(nèi)，各區(qū)域之間部署防火墻進(jìn)展訪問控制，網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等平安設(shè)備對(duì)Inter的攻擊行為進(jìn)展防護(hù)，效勞器區(qū)域部署入侵檢測(cè)系統(tǒng)，核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)以及審計(jì)效勞器，對(duì)網(wǎng)絡(luò)行為進(jìn)展審計(jì)，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，躲避網(wǎng)絡(luò)違法違規(guī)風(fēng)險(xiǎn)，強(qiáng)化內(nèi)網(wǎng)平安率。站及電子郵箱系統(tǒng)的平安防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息平安防護(hù)標(biāo)準(zhǔn)進(jìn)展設(shè)計(jì)和部署，并根據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建立了一套專網(wǎng)專機(jī)分散部署的非涉密信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國家信息平安等級(jí)保護(hù)二級(jí)進(jìn)展定級(jí)，重點(diǎn)信息系統(tǒng)到達(dá)國家信息平安等級(jí)保護(hù)三級(jí)管理標(biāo)準(zhǔn)，核心機(jī)房內(nèi)獨(dú)立運(yùn)行的信息系統(tǒng)全部滿足公安部對(duì)中央企業(yè)信息系統(tǒng)平安等級(jí)保護(hù)要求。同時(shí)定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息平安檢查、信息系統(tǒng)平安測(cè)評(píng)、信息系統(tǒng)等級(jí)保護(hù)備案以及信息平安培訓(xùn)工作，確保信息系統(tǒng)和站運(yùn)行穩(wěn)定，平安監(jiān)控到位，杜絕發(fā)生平安責(zé)任事故。中國建材集團(tuán)嚴(yán)格按照《信息平安技術(shù)信息系統(tǒng)等級(jí)保護(hù)平安設(shè)計(jì)技術(shù)要求》和《信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求》設(shè)計(jì)、采購和部署符合等級(jí)保護(hù)根本要求的平安產(chǎn)品，從平安計(jì)算環(huán)境、平安通信網(wǎng)絡(luò)、平安區(qū)域邊界、平安管理中心等方面構(gòu)建起有效的平安技術(shù)保障體系。根據(jù)實(shí)際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Inter接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、平安管理區(qū)、核心交換區(qū)、業(yè)務(wù)效勞區(qū)共計(jì)6個(gè)平安區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)展平安區(qū)域合理性劃分，各區(qū)域到核心交換機(jī)之間為獨(dú)立線路連接，數(shù)據(jù)處理系統(tǒng)以單機(jī)形式部署，同時(shí)按照平安風(fēng)險(xiǎn)和平安策略，詳細(xì)從物理平安、網(wǎng)絡(luò)平安、主機(jī)平安、應(yīng)用平安、數(shù)據(jù)平安進(jìn)展信息平安控制。物理平安。核心機(jī)房根據(jù)國家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)》、GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地平安要求》，從環(huán)境平安、設(shè)備平安和媒體平安三個(gè)方面進(jìn)展詳細(xì)設(shè)計(jì)，嚴(yán)格按照計(jì)算機(jī)等各種微機(jī)電子設(shè)備和工作人員對(duì)溫度、濕度、干凈度、電磁場(chǎng)強(qiáng)度、噪音干擾、平安保安、電源質(zhì)量、備用電力、振動(dòng)、防漏、防火、防雷和接地等要求建立，以此保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理環(huán)境平安，同時(shí)采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。網(wǎng)絡(luò)平安。網(wǎng)絡(luò)主干采用雙鏈路構(gòu)造，考慮業(yè)務(wù)處理才能的數(shù)據(jù)流量，冗余空間充分滿足頂峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)效勞的重要次序定義帶寬分配的優(yōu)先級(jí)。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)效勞器之間建立平安途徑保證網(wǎng)絡(luò)構(gòu)造平安。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻平安設(shè)備，制定嚴(yán)格的平安策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，效勞器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測(cè)病毒和殺毒，保護(hù)操作系統(tǒng)平安穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實(shí)時(shí)監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對(duì)網(wǎng)絡(luò)的惡意攻擊行為，同時(shí)以滿足國家等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)要求，通過人工加固的方式對(duì)網(wǎng)絡(luò)平安設(shè)備進(jìn)展配置加固，實(shí)現(xiàn)包括身份鑒別、訪問控制、平安審計(jì)等多個(gè)方面的平安技術(shù)要求。主機(jī)平安。部署防火墻、入侵檢測(cè)、防病毒網(wǎng)關(guān)和破綻掃描等平安產(chǎn)品進(jìn)展被動(dòng)主機(jī)平安防護(hù)，同時(shí)根據(jù)國家信息平安等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加平安標(biāo)記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），到達(dá)了強(qiáng)迫訪問控制（MAC），對(duì)效勞器進(jìn)展平安加固配置，進(jìn)展資源監(jiān)控、監(jiān)測(cè)報(bào)警，防止效勞器自身的平安破綻被攻擊者利用，實(shí)現(xiàn)統(tǒng)一管理的主機(jī)平安防護(hù)。應(yīng)用平安。應(yīng)用網(wǎng)絡(luò)設(shè)備和平安設(shè)備自身審計(jì)功能，對(duì)設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶行為等進(jìn)展審計(jì)。核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)和審計(jì)效勞器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)展日志記錄，同時(shí)應(yīng)用效勞器不開放遠(yuǎn)程協(xié)議端口號(hào)。系統(tǒng)全部采用正版WindowsServerxx和LinuxAS5操作系統(tǒng)并進(jìn)展必要的平安配置、關(guān)閉非常用平安隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)展嚴(yán)格限制。加強(qiáng)口令字的使用，并定期給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的互相調(diào)用不對(duì)外公開，同時(shí)通過裝備破綻掃描系統(tǒng)，并有針對(duì)性地對(duì)網(wǎng)絡(luò)設(shè)備重新配置和晉級(jí)。數(shù)據(jù)平安。數(shù)據(jù)庫系統(tǒng)全部購置有效受權(quán)，采取數(shù)據(jù)庫系統(tǒng)強(qiáng)口令、失敗次數(shù)、操作超時(shí)等方式實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)對(duì)身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對(duì)數(shù)據(jù)存儲(chǔ)開發(fā)加密功能實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完好性和保密性。同時(shí)建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在平安事件發(fā)生后及時(shí)有效地進(jìn)展重要數(shù)據(jù)恢復(fù)。一是統(tǒng)一指導(dǎo)、分級(jí)管理、平安運(yùn)維。指導(dǎo)高度重視信息和網(wǎng)絡(luò)平安工作，各級(jí)企業(yè)在運(yùn)營管理過程中確保網(wǎng)絡(luò)平安的資金、人員投入和機(jī)構(gòu)組織保障。建立網(wǎng)絡(luò)信息平安保障工作組織指導(dǎo)機(jī)構(gòu)和相關(guān)專項(xiàng)工作組，層層強(qiáng)化責(zé)任，形成多專業(yè)協(xié)作的網(wǎng)絡(luò)信息平安風(fēng)險(xiǎn)防控體系，對(duì)重點(diǎn)專線、重要網(wǎng)絡(luò)進(jìn)展重點(diǎn)保障，特殊時(shí)期專人現(xiàn)場(chǎng)值守，全天候親密監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，同時(shí)建立事件上報(bào)與信息共享機(jī)制，執(zhí)行7×24小時(shí)值班備勤、平安事件“零報(bào)告”，確保突發(fā)重大平安事件及時(shí)有效處置。二是堅(jiān)持“三同步”原那么。在各信息系統(tǒng)開發(fā)建立過程中，對(duì)立項(xiàng)、設(shè)計(jì)、采購、開發(fā)、施行、測(cè)試、驗(yàn)收、交付等環(huán)節(jié)進(jìn)展了標(biāo)準(zhǔn)化管理，嚴(yán)格執(zhí)行信息系統(tǒng)建立和網(wǎng)絡(luò)平安“同步規(guī)劃、同步建立、同步運(yùn)行”措施，機(jī)房規(guī)劃初期即按照國家信息平安等級(jí)保護(hù)三級(jí)的硬件標(biāo)準(zhǔn)進(jìn)展規(guī)劃建立，堅(jiān)持以平安保建立、以建立促平安，保障網(wǎng)絡(luò)平安和信息化建立持續(xù)安康開展。三是堅(jiān)持專業(yè)化運(yùn)作。在信息化建立和網(wǎng)絡(luò)平安管理方面逐步建立了一支專業(yè)化內(nèi)部技術(shù)團(tuán)隊(duì)，同時(shí)聘請(qǐng)專業(yè)技術(shù)效勞團(tuán)隊(duì)作為公司常年技術(shù)咨詢支撐力量，開展平安檢查，協(xié)助排查網(wǎng)絡(luò)平安風(fēng)險(xiǎn)和隱患。特別是在節(jié)假日及社會(huì)重大活動(dòng)期間，加強(qiáng)部署定時(shí)巡檢、平安監(jiān)測(cè)、應(yīng)急處置等工作，確保網(wǎng)絡(luò)平安。四是堅(jiān)持國產(chǎn)化、正版化。在信息化建立過程中，高度