返回
信息系统三级等保【化整为零保信息系统安全】.docx

信息系统三级等保【化整为零保信息系统安全】.docx

ID:52354785

大小:9.79 KB

页数:4页

时间:2020-03-26

信息系统三级等保【化整为零保信息系统安全】.docx_第1页
信息系统三级等保【化整为零保信息系统安全】.docx_第2页
信息系统三级等保【化整为零保信息系统安全】.docx_第3页
信息系统三级等保【化整为零保信息系统安全】.docx_第4页
资源描述:

《信息系统三级等保【化整为零保信息系统安全】.docx》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息系统三级等保【化整为零保信息系统安全】  基于“化整为零,化繁为简,形成多个网络安全区域”的思想,将一个大规模、复杂系统的安全问题化解为小区域的安全保护问题,可以更清晰地认识威胁来源,明晰网络安全区域内防卫重点,在建设上也可以更加有的放矢。    近年来,很多烟草企业已然建成了一个规模庞大的信息系统,这样一个巨大、复杂的信息系统面临着各种安全威胁,如黑客、病毒、非法的合作伙伴等,如何确保信息系统的安全是烟草企业IT人员必须认真考虑的问题。  为了对大型信息系统进行安全保护,笔者认为,可以针对系统内部的不同业务区域进

2、行划分,然后根据需求采用切实的防护措施。基于这个思路,笔者提出“化整为零,化繁为简,形成多个网络安全区域”,目的是把一个大规模复杂系统的安全问题转化为多个小区域的安全保护问题,这是实现大规模复杂信息系统安全保护的有效方法。    01    划分网络安全域    网络安全域是指同一系统内有相同的安全保护需求、相互信任,并具有相同的安全访问控制和边界控制策略的网络,相同的网络安全域共享一样的安全策略。广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。  划分好网络安全域是做好企业信息系统安全防卫工作的基础。通

3、过安全域划分可以明确网络边界,形成清晰、简洁、稳定的组网架构,实现系统之间严格的访问控制的安全互联,解决复杂系统的安全问题,有效地实现网络之间和各支撑系统之间的有效隔离和访问控制,达到化繁为简、尽在掌控的目的。安全域的划分还增强了网络的可控性,可以有效地防止渗透式等攻击。  安全域的划分有多种依据,比如可以根据组织的最明显特征进行划分,安全域还可以是分层次的,一般越大型、管理层次越多的网络,其安全域层次越多,而对于扁平化管理模式的机构,其层次应该少一些。另外,安全域的划分不能单纯从安全角度考虑,而是应该以业务角度为主、

4、辅以安全角度,并充分参照现有网络结构和管理现状,唯其如此,才能以较小的代价完成安全域划分和网络梳理,同时又能保障其安全性。  在初步划分网络安全域后,还可以在网络安全域内划分更细、更小的安全域,如可以划分为核心处理域、访问域、内部用户域、外部用户域、接入域等。  完成网络安全域划分后的下一个工作是进行区域内安全防卫系统的建设。这里有一些基本原则需要把握:一个是对任何网络,绝对安全是难以达到的,也不一定必要,所以需要建立合理的实用安全性,以达到用户需求与成本之间的平衡;另一个是要统筹规划、分步实施,安全防护不可能一步到位

5、,应在一个比较全面的安全规划下,根据网络的实际需要,优先保证基本的、必须的安全性。  有了这些措施并在划分好网络安全域的基础上,才能做好计算机病毒防范、防入侵这两个方面的工作。    02    各个安全域之间的边界保护    网络入侵主要是通过安全网络域的边界进入,因此针对安全网络域的入侵防卫关键是要做好各个安全域之间的边界保护。  每个网络安全域都是一个边界,也就是说安全策略和设置(诸如管理权利、安全策略和访问控制列表)不应从一个域穿过进入另一个域,某特定域的管理员只有在该域中设置策略的权利。  通过将各个安全区域

6、边界的安全最小化,并关闭一切不必要的服务,从而防御和抵抗拒绝服务的攻击。如可采用“柏林墙”来过滤、屏蔽和解决因为TCP/IP协议、操作系统漏洞和软件本身的缺陷而入侵的“间谍”,使得各个区域之间“和平共处”。  网络边界层面的安全措施包括使用ACL(访问控制列表)或防火墙等技术手段来进行安全层面的控制。特别值得一提的是,注意只开放必要的服务,而关闭其余不必要的服务,从网络边界对外部威胁进行安全隔离,保障网络内部安全。  目前,上海烟草(集团)公司的边界设备多数情况下使用的是路由器,一小部分使用的是安全设备防火墙,也达到了

7、很好防范效果。事实上,不管采用何种设备,关键是要制定合理的访问控制策略。    访问控制列表的使用    如果有些非常重要的网络安全域边界不具备部署防火墙的条件,那就需要在路由器或划分VLAN的交换机上做好访问控制列表。路由器是区域与区域之间的边界设备,互通的报文都要经过路由器,对路由器进行合理的设置可以达到实现部分安全防范的目的,这时路由器成为保护每个区域的“前沿阵地”。具体措施是通过设置访问控制列表来实现。  访问控制列表提供了一种机制用来控制通过路由器的信息流。这种机制允许用户使用访问控制列表来管理信息流,以制定

8、网络相关安全策略。下面以一个例子说明在路由器上做好访问控制列表的重要性。  以冲击波(Worm.Blaster)这个蠕虫病毒为例,该病毒利用WindowsDCOMRPC接口远程缓冲区溢出漏洞和Windows2000WebDAV远程缓冲区溢出漏洞发起攻击,该蠕虫通过发送大量ICMP数据包,阻塞正常网络通信。危害很大,但防范并不难。通

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。