《《精编》电子政务外网信息安全建设培训》由会员分享,可在线阅读,更多相关《《精编》电子政务外网信息安全建设培训(44页珍藏版)》请在金锄头文库上搜索。
1、电子政务外网信息安全建设培训 主题 一 信息安全整体设计思路及方案二 一期工程建设及工作进展情况三 对各接入单位的要求及注意事项 一 信息安全整体设计思路及方案 定位依据总体思路及方案 1 定位 非涉密的政务外网 与Internet逻辑隔离 与涉密网物理隔离 联接范围 省内县级以上党政机关 满足政务部门行政管理 公共服务 电子办公需要的统一网络基础平台 是国家电子政务外网的组成部分 2 依据 关于加强信息安全保障工作的意见 中办发 2003 27号文件 电子政务信息安全等级保护实施指南 试用 国信办 计算机信息系统保密管理暂行规定 国家保密局 湖北省电子政务建设规划纲要 湖北省电子政务建设总体
2、设计与实施方案 3 总体安全建设思路 物理与线路传输安全网络安全主机与系统安全数据与应用安全管理安全 物理与线路传输安全 物理位置的选择 物理访问控制 门禁 监控 防盗窃和防破坏 铁门 铁窗 铁柜 防雷击 防雷系统 防火 防水和防潮 防静电 温湿度控制 电力供应 UPS 电磁防护 通信线路备份 通信的完整性 保密性 网络安全 结构安全与网段划分 网络规划 域的划分 网络隔离与访问控制 防火墙 网闸 接入路由器 网络安全审计 网络行为监控 边界完整性检查 防非法外联监控 网络入侵防范 IDS 恶意攻击防范 防DOS 网络设备管护 网络资源控制 主机与系统安全 身份鉴别 CA 访问控制 口令 IC
3、卡 安全审计 日志 系统保护 内核加固 入侵防范 HIDS 恶意代码防范及防病毒 身份鉴别 访问授权及控制 安全审计 抗抵赖 软件容错 资源控制 应用流量管理 代码安全 数据与应用安全 应用安全 数据与应用安全 数据安全 数据完整性 防篡改 数据保密性 数据库加密 数据备份和恢复 存储备份 异地容灾 管理安全 管理机构 安全人员及责任 管理制度 管理技术手段 综合安全管理平台 审计管理 安全服务 二 一期工程建设及工作进展情况 一期已部署的主要技术措施 防火墙 隔离网闸 入侵检测 防病毒 垃圾邮件过滤 抗攻击 漏洞扫描 数据库加密 安全认证网关 主机管理与审计系统 网络设备管理 数字证书系统
4、CA 实现直接目标 安全域的划分与隔离 检测入侵行为 查杀各种病毒 过滤垃圾邮件 抵抗各类攻击 扫描弱点漏洞 进行日志审计 身份能够认证 能够防抵赖 数据加密传输 网络设备能够有效管理 从而达到网络 设备 软件及应用系统能够安全稳定快速可靠地不间断地运行和提供服务 分区防护 接入部分安全域部署边界防火墙 网闸 防病毒汇聚部分安全域外网防火墙 认证网关 抗DOS 垃圾邮件过滤MPLSVPN IPSec核心部分安全域核心防火墙 入侵检测 漏洞扫描 防病毒 数据库加密 主机管理与审计 相关安全策略 路由器安全配置策略交换机安全配置策略边界防火墙安全策略核心防火墙安全策略物理隔离网闸数据交换摆渡策略病
5、毒检查与病毒库更新策略漏洞扫描策略抗DOS攻击策略 省电子政务网 防火墙 禁止访问 前置服务器 FE1 FE2 FE3 通过在防火墙上设置相应的访问控制策略来实现防护功能 如 数据包过滤 禁止常见的病毒端口 根据时间 源IP 服务内容 协议进行访问控制等 对于已建设内部局域网的厅局委办采用NAT方式接入 对于未建设内部局域网的厅局委办采用路由方式接入 厅局委办边界接入示意图 允许访问 允许访问 接入单位内部局域网交换机 百兆防火墙物理连接示意图 千兆防火墙物理连接示意图 省电子政务网 接入单位内部局域网交换机 禁止访问和摆渡 前置服务器 中网网闸 网闸接入 方式1 直接隔离方式 将本次新建内部
6、网络与省政务网进行隔离 隔离两个不同安全级别的网络 在两个网络之间设置数据摆渡交换通道 允许访问 允许摆渡 网闸接入方式一物理连接示意图 省电子政务网 网闸 服务器 网闸接入 方式2 隔离内部服务器方式 网闸用于保护接入单位的内部服务器 前置服务器 禁止访问 允许单向数据摆渡 接入单位内部局域网交换机 网闸接入方式二物理连接示意图 网络防病毒系统 分布式体系结构 多级管理中心规划 Cisco7609 网神G7 网神G7 Cisco7609 漏洞扫描系统 配备了机架式和手持式漏洞扫描设备 对网络设备 路由器 交换机等 安全设备 防火墙 网闸等 主机系统 Windows Unix等 应用系统 SQ
7、LServer Oracle等 的漏洞进行扫描评估 已设定每周自动扫描 手持式漏扫 目前存在的主要问题 管理机构及制度不完善没有明确安全管理责任人机房环境较差部分单位网络基础条件较为落后安全防护技术手段欠缺 三 对接入单位的要求 1 明确信息安全管理机构 明确管理机构及人员人员组成 明确信息安全责任人 职能及责任定位 2 人员安全管理 信息安全人员基本要求 信息安全人员管理 信息安全人员职责范围 要害岗位人员管理 要害岗位安全责任 第三方人员管理 培训与教育等方面内容 组织机构和人员职责管理办法 主要内容 信息安全管理机构设置和职责 关于网络安全 应急处理 安全保卫等工作组的要求 网络安全人员
8、基本要求 网络安全人员管理 网络安全人员职责范围 要害岗位安全责任 培训与教育等 3 主要安全管理规章制度要点 机房管理制度 一 出入管理1 机房工作人员进出机房应佩戴工作牌 2 严禁非机房工作人员进入机房 特殊情况需经机房值班负责人批准 并认真填写登记表后方可进入 3 进入机房人员应遵守机房管理制度 更换专用工作鞋 机房工作人员必须穿着工作服 4 进入机房人员不得携带任何易燃 易爆 腐蚀性 强电磁 辐射性 流体物质等对设备正常运行构成威胁的物品 二 值班操作管理1 中心机房的数据实行双人作业制度 操作人员遵守值班制度 不得擅自脱岗 2 值班人员必须认真 如实 详细填写 机房日志 等各种登记簿
9、 以备后查 3 严格按照每日预制操作流程进行操作 对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行 所有操作变更必须有存档记录 4 每日对机房环境进行清洁 以保持机房整洁 每周进行一次大清扫 对机器设备吸尘清洁 5 值班人员必须密切监视中心设备运行状况以及各网点运行情况 确保安全 高效运行 6 严格按规章制度要求做好各种数据 文件的备份工作 中心服务器数据库要定期进行双备份 并严格实行异地存放 专人保管 所有重要文档定期整理装订 专人保管 以备后查 设备及系统管理制度 软硬件设备管理制度 主要内容包括 设备购置 设备管理 设备及介质领用 设备维修 设备及介质
10、报废办法等 网络及系统运行安全管理制度 主要内容包括 网管人员职责 网络运行管理 网络设备管理等 还应建立网络访问控制授权审批表 网络运行维护记录 应用系统帐户授权 外单位人员应用系统帐户授权审批表 应用系统维护处理记录等 4 上网信息内容界定 涉密不上网 上网不涉密 谁上网 谁负责 按照保密局要求把好上网信息审查关 5 信息安全应急管理 为保证在发生各种信息安全事件情况下 能够从容处理事件 缩小影响 减少停运时间 降低损失 针对信息系统的设备 环境等运行情况 充分做好应急事件预想 要求制定各个系统的应急预案 主要内容包括 应急预案的原则和要求 应急预案的内容和结构 全事件定义 报告程序 还应
11、建立安全事件报告内容要求 应急措施等 存在将桌面终端设备自行接入Internet的可能 如ADSL拨号 无线上网 可移动的笔记本电脑连接到其它网络上 存在着在网络系统内 隔离设备 防火墙 入侵检测等安全手段往往被一些违反安全策略的行为所绕过 带来一定的安全隐患 6 非法外联检查 政府或民政网络有可能联接到社区街道 社保网络联接到医院 税务网络联接到纳税人单位 工商网络联接到工商所 农业网联接到乡村等 在目前的条件下 如不加以控制 存在较明显的安全隐患 对于可访问省电子政务外网的单位 针对各接入单位有纵向联网及横向协作单位联网的情况 在一期工程建设期间 对于省直厅局委办 只联通到省直厅局委办的办
12、公局域网 暂时不向下联 不与其横向联网单位相联 对于各地市 只联通到相应地市政务网的主管单位 为达到上述范围界定目标 希望各接入单位在内部路由器 交换机 防火墙等设备上设置访问策略 7 控制纵向可访问的范围 8 不随意更改相关设备策略配置 路由器安全配置策略交换机安全配置策略防火墙安全策略隔离网闸数据交换策略病毒库定时更新与及时查杀策略 以上策略均由省电子政务中心统一设置和管理 前置服务器病毒库定时更新与及时查杀策略 每天1点升级 各单位前置服务器一旦开机 进行自动升级 各单位内部局域网上的防病毒系统由各单位自行建设 建议尽快完善 内部局域网的防病毒系统 应每天进行病毒库的升级 每天查杀病毒
13、关注微软等软件提供商或安全厂商的网站 及时对服务器 桌面机安装补丁软件 修补漏洞 确保所有服务器及PC机运行的操作系统安装了最新补丁或者修正程序 9 完善病毒防护及补丁管理措施 各接入单位的内部局域网如果与Internet相连 要有边界防护措施 如防火墙等 防火墙 内网 专网 办公网 省电子政务网 前置服务器 接入单位 路由器 Internet 防火墙 10 完善边界安全防护措施 定期查看安全设备外观状况 指示灯 电源 连接线 对应接口指示灯不亮 表示异常 检查应用能否访问 否则检查隔离设备及路由设备 检查供电情况 电压是否正常 11 定期检查维护 12 机房环境及运行管理注意事项 配备相应功
14、率的不间断电源 是保证业务正常运营的必要条件 机房有独立的空调设备 是保证硬件设备正常运转的必要条件 防火 防水 抗震 防磁 防静电 防尘 防雷击 防鼠害等措施 这些是为机房的正常运营创造的最基本的环境条件 安全设备均不能强行断电 否则容易丢失配置信息 不能随意关机 保持7X24小时运行 移动存储设备及介质不得随意接入网络 不得随意安装外来不明软件 使用最新版的正版软件 这是保证系统软件和应用软件出错最少的最低要求 桌面机的安全保护 如密码屏幕保护 超时键盘锁定等 是防止偷窃数据和内部人员进行破坏的一般要求 应建立安全事件记录制度 以便在出现安全问题后追根溯源 及时进行事件处理和恢复 留下犯罪的佐证 机房物理环境检查 检查人员落实情况 检查制度落实情况 检查口令 口令是否过于简单 检查设备运行日志信息 检查机房进出管理及登记情况 检查补丁情况 安全工具检查 扫描设备及系统的漏洞 安全设备的规则检查 发生安全事件是否及时报告 设备的使用 销毁是否登记和按规定处理 是否有绕过防火墙的非法外联 13 定期进行综合安全评估 如有相关问题 请联系 湖北中网科技有限公司张威 13517277447 邓新星 13907144633Email nova TEL 027 87278405 06 87810505 ThankYou
