《016 安全管理平台建设》由会员分享,可在线阅读,更多相关《016 安全管理平台建设(16页珍藏版)》请在金锄头文库上搜索。
1、安全管理平台整体解决方案 安全管理平台整体解决方案目录一、项目概述21.1建设背景21.2 建设目标2二、系统规划42.1 安全系统要求42.2 安全规则设定52.3应用端建设原则6三、总体设计63.1 DMZ区域建设设计思路63.2 移动应用端设计思路73.3关键技术及架构设计8四、建设内容104.1 组织信息管理104.1.1公司组织机构信息管理104.1.2岗位信息管理104.1.3员工信息管理104.1.4人员证书管理114.1.5体检信息管理114.2 设备管理124.2.1设备类型管理124.2.2 装置设施管理134.3安全管理134.3.1 三级危险点管理134.3.2 重要危
2、险源管理144.3.3 检查整改信息管理144.3.4 应急预案与演练计划管理144.3.5 应急救援模板管理144.3.6 警示牌管理144.4物品管理144.4.1劳防用品管理144.4.2个人劳防使用记录管理154.5培训管理154.5.1教育培训信息管理154.5.2日常培训管理154.5.3 外来人员培训管理164.5.4 考题管理164.6企业资料库164.6.1 法律法规164.6.2 安全制度17五、 预算18一、项目概述1.1建设背景现代企业引入信息化平台用以管理内部生产和运行,已经成为一种普遍趋势。然而随着社会信息化水平不断提高,数据交互规模不断扩大,随之而来的网络安全问题
3、和数据安全问题,也开始受到重视。促进企业不断完善自身的信息化管理机制,提升信息化系统的安全性和服务水平,解决信息化应用过程中出现的新挑战,满足企业的新需求,成为企业和信息化服务供应商在安全管理领域十分关心的问题。维护企业平稳发展,维持企业安全管理系统正常稳定运行,需要持续增强网络安全、数据安全作为重要支撑和保障。为了保证通辽铀业安全生产管理系统内数据的安全性,将移动应用服务器部署在DMZ区,通过建设DMZ区域,为网内所有的公共服务器提供一个安全的防护,从而有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。1.2 建设目标此次方案主要包括:DMZ安全系统建设和安全管理平台移动应用
4、端。DMZ安全系统建设在内部网络和外部网络之间构造一个安全地带。DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。DMZ无疑是网络安全防御体系中重要组成部分,再加上入侵检测和基于主机的其他安全措施,将极大地提高公共服务及整个系统的安全性。1、根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进行整合,以达到用户可以访问不同子网的资源,并通过一定的安全策略确保各个子网之间的数据和业务安全。2、优化现有网络规模,设立网络汇聚节点。3、实现整个网络架构分
5、等级安全管理。4、建立结构化网络安全系统,所有用户通过认证的方式接入网络,访问对应的网络资源。5、建立核心服务器区域的安全防护,提高运行能力。通过安全管理平台移动应用端,实现工作人员通过APP应用访问数据、开展现场巡查工作、接收预警等信息,从而提升工作人员工作效率,增加数据访问的便捷性。二、系统规划2.1 安全系统要求在实际的运用中,某些主机需要对外提供服务,为了更好地提供服务,同时又要有效地保护内部网络的安全,将这些需要对外开放的主机与内部的众多网络设备分隔开来,根据不同的需要,有针对性地采取相应的隔离措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。针对不同资源提供不同安全
6、级别的保护,可以构建一个DMZ区域,DMZ可以为主机环境提供网络级的保护,能减少为不信任客户提供服务而引发的危险,是放置公共信息的最佳位置。在一个非DMZ系统中,内部网络和主机的安全通常并不如人们想象的那样坚固,提供给Internet的服务产生了许多漏洞,使其他主机极易受到攻击。但是,通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。DMZ区服务器与内网区
7、、外网区的通信是经过网络地址转换(NAT)实现的。网络地址转换用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet),以达到隐藏专用网络的目的。2.2 安全规则设定安全规则集是安全策略的技术实现,一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。如果防火墙规则集配置错误,再好的防火墙也只是摆设。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防
8、止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。DMZ安全规则指定了非军事区内的某一主机(IP地址)对应的安全策略。由于DMZ区内放置的服务器主机将提供公共服务,其地址是公开的,可以被外部网的用户访问,所以正确设置DMZ区安全规则对保证网络安全是十分重要的。FireGate可以根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流,通过规则表与连接表共同配合,对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有:源IP地址、目的IP地址、协议类型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP报
9、文类型域和代码域、碎片包和其他标志位(如SYN、ACK位)等。为了让DMZ区的应用服务器能与内网中DB服务器(服务端口4004、使用TCP协议)通信,需增加DMZ区安全规则, 这样一个基于DMZ的安全应用服务便配置好了。其他的应用服务可根据安全策略逐个配置。2.3应用端建设原则易扩展,模块化设计合理,易于扩大规模、应用和业务,使产品具有可伸缩性。易连通,采用服务器集群方式,保证数据访问的效率。另外预留其他第三方对接的接口。兼容性,采用主流的先进技术可以保证技术的兼容性以及用户需求的适应性。易使用,保证软件设计逻辑清晰,操作界面直观简明,用户可直接根据页面的提示信息进行操作,提供良好的用户体验。
10、易维护,设有操作后台,可以轻松地管理与维护整个系统,无需更多复杂操作。三、总体设计3.1 DMZ区域建设设计思路 DMZ网络访问控制策略:当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。 内网可以访问外网:内网的用户需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。内网可以访问DMZ区:此策略是为了方便内网用户使用和管理DMZ中的服务器。外网不能访问内网:内网中存放的是公司内部数据,这些数据不允许外网的用户访问。外网可以访问DMZ区:DMZ中的服务器本身就是要给外网提供服务的,所以外网必须可以访问DMZ同时,外网访问DMZ需要由防火墙
11、完成对外地址到服务器实际地址的转换。DMZ不能访问内网:如果违背此策略,当入侵者攻陷DMZ时,就可以进一步进攻到内网重要数据。本次设计结合应用需求,支持下属单位用户通过内部网络进行应用访问,现场人员通过公网访问总部应用,移动应用服务器部署在DMZ区,内网用户能访问该区域,该区域不能访问内容,从而保证数据的安全性。3.2 移动应用端设计思路 安全管理平台移动应用端建设将主要围绕以下四个方向:数据展现直观化。应用可视化方式展现数据,将各类数据以图形、图表的形式进行多维立体的展现,管理人员可以便捷的管理数据、准确的进行数据统计分析操作。数据统计及时性。该应用支持对接相关业务数据,实现数据的实时接收、
12、统计,支持通过不同字段、条件,实现各专题数据的结果展示。业务处理在线化。采用数据通信、物联网设备对接,支持开展现场巡检,并支持现场巡检结果记录和填报。信息沟通高效化。移动应用终端支持系统内工作人员一对一在线视频通话,打造新的业务沟通渠道,提升工作人员沟通效率。3.3关键技术及架构设计架构设计为DMZ区域网络防火墙,上连外网核心交换机、下连业务服务器及接入交换机。专网区域防火墙,上连专网出口路由、下连专网核心交换机。外网区域防火墙,上连外网出口路由,下连外网核心交换机。从而形成三道独立的防护,保护数据及整个网络的安全。图:拓扑图图:MVC模式移动应用终端系统采用MVC设计模式,通过模型(Mode
13、l)、视图(View)、控制器(Controller)的分离,增强代码的复用性,降低数据描述和应用操作的耦合度。同时也可以使系统的可维护性、可修复性、灵活性和封装性大大提高,从而有利于系统维护和功能扩展。移动应用终端系统采用Java等多种开发语言结合,保障系统更加安全高效运行;采用独立、低耦合的API接口技术,在不同终端,无须借助附加工具即可实现系统的数据交互,为整个系统业务流程的集成提供通用机制,并通过加密传输,保障数据安全性;应用灵活、高效的Microsoft SQLServer2012 R2、mysql数据库,搭配IIS和Apache组成良好的开发环境,满足系统的高并发需求。四、建设内容
14、4.1 组织信息管理4.1.1公司组织机构信息管理平台支持管理员自定义公司组织机构,通过组织机构实现隶属关系,实现公司组织机构信息管理工作。该功能支持编辑、添加、删除等相关操作。4.1.2岗位信息管理规划岗位,明确职责。该功能支持添加岗位、编辑岗位、删除岗位、查询岗位等相关操作。4.1.3员工信息管理该功能可对员工信息进行编辑、添加、删除、查询等相关操作。 图:员工信息图4.1.4人员证书管理该功能可对员工的证书信息进行编辑、添加、删除、查询等相关操作。4.1.5体检信息管理 该功能可对员工的体检信息进行编辑、添加、删除、查询等相关操作。图:体检信息4.2 设备管理4.2.1设备类型管理 设备
15、管理模块实现对不同设备按分类进行管理,该功能支持添加设备、删除设备、修改设备、查询设备等相关操作。图:设备管理4.2.2 装置设施管理 该功能支持查看设备位置信息、设备维护保养记录、设备运行状态等。4.3安全管理4.3.1 三级危险点管理该功能支持管理人员设立三级危险点,做好重点部位的安全控制与管理,及时消除不安全隐患。该功能支持编辑、添加、删除等相关操作。4.3.2 重要危险源管理该功能支持管理人员录入各类重大危险源基本信息,并提供完整的建档备案和审批机制;4.3.3 检查整改信息管理该功能支持工作人员对检查整改情况进行上报,上报后的数据通过权限控制可以分发到相应的管理人员或业务人员进行查看。4.3.4 应急预案与演练计划管理该功能支持查看应急预案与演练计划。4.3.5 应急救援模板管理该功能根据应急救援模板发布应急预案。4.3.6 警示牌管理该功能支持警示牌的编辑、添加、删除、查询等相关操作。4.4物品管理4.4.1劳防用品管理该
