《网络与信息安全系统保障要求措施》由会员分享,可在线阅读,更多相关《网络与信息安全系统保障要求措施(11页珍藏版)》请在金锄头文库上搜索。
1、信息安全联系I电子I网络与信息安全保障措施一、网络安全保障措施为了全面确保珂尔信息技术IDC机房网络安全,在本公司IDC机房网络平台解决方案设计中,主要将基于以下设计原则:A、安全性在本方案的设计中,我们将从网络、系统、应用、运行管网络理、系统冗余等角度综合分析,采用先进的安全技术,如下一与信代防火 墙、加密技术、VPN、IPS等,为机房业务系统提供系 息安统、完整的安全 体系。确保系统安全运行。全保障措1FB、高性能考虑本公司IDC机房未来业务量的增长,在本方案的设计中,我 们将从网络、服务器、软件、应用等角度综合分析,合 理设计结构与配 置,以确保大量用户并发访问峰值时段,系统仍然具有足够
2、的处理能力,保障服务质量。C可靠性本公司IDC网络平台作为自用和提供企业托管等业务的平台,设计中将充分考虑业务系统运行的稳定、可靠性。从系 统结构、 网络结构、技术措施、设施选型等多方面进行综合考 虑,以尽量减少系 统中的单故障节点,实现7 X24小时的不间 断服务。D、可扩展性优良的体系结构(包括硬件、软件体系结构)设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中,硬件系统(如 服务器、存储设计等)将遵循可扩充的原则,以确保系统随着业务量的 不断增长,在不停止服务的前提下无 缝平滑扩展;同时软件体系结构的 设计也将遵循可扩充的原则,适应新业务增长的需要。E、开放性考虑到本系统
3、中将涉及不同厂商的设备技术,以及不断扩展的系统需求,在本项目的产品技术选型中,全部采用国际标准/工业标准,使本系统具有良好的开放性。F、先进性本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展 趋势,采用相对先 进同时市场相对成熟的产品技术,以满足未来热点的发展需求。G、系统集成性在IDC建设时期对硬件选型主要包括国一线厂商明星产 品(如华 为、华三、深信服、绿盟等)。我们将为客户提供完 整的应用集成服务, 使客户将更多的资源集中在业务的开拓1、硬件设施保障措施:IDC机房服务器及设备符合互联网通信网络的各项技术接口指标和终端通信的技术标准和
4、通信方式等,不会影响公网的安全。本公司IDC机房提供放置信息服务器及基础设备,包括:空调、照明、湿度、不间断电源、发电机、防静电地板等。我公司IDC机房分别接入CHINANET、CHINAUnicom 、CMNET 三条高速光纤。整个系统的 应用模式决定了系统将面 向大量的用户和面对大量的并发访问,系统要 求为高可靠性的 关键性应用系统,要求系统避免任何可能的停机和数据 的破坏与丢失。系统采用最新的应用服务器技术实现负载均衡和避免 单点故障。系统主机硬件技术:服务器具有高可靠性,具有长时间工作能力,系统整机平均无故障时间(MTBF)不低于100000小时,系统提供强大的 诊断软件,对系 统进行
5、诊断。服务器具有镜象容错功能,采用 双盘容错,双机容错。主 机系统具有强大的总线带宽和I/O吞吐能力,并具有灵活强大的可扩 充能力配置原则(1)处理器的负荷峰值为75% ;(2)处理器、存和磁盘需要配置平衡以提供好效果;磁盘(以镜像为佳)应有30-40%冗余量应付高峰。(4)存配置应配合数据库指标。(5) 1/0与处理器同样重要。系统主机软件技术:服务器平台的系统软件符合开放系统互连标准和协议。操作系统选用通用的多用户、多任务 winduws 2003、windows 2008 或者Linux等操作系统,系统应具有高度可靠 性、开 放性,支持对称多重处理(SMP)功能,支持包括TCP/IP在的
6、多种网 络协议。符合C2级安全标准:提供完善的操作系 统监控、报警和故障 处理。应支持当前流行的数据库系统和开发工具。系统主机的存储设备 系统的存储设备的技术RAID0+1或者RAID5的磁盘阵列等措施保证 系统的安全和可 靠。提供足够的扩充槽位。系统的存储能力设计:|系统的存储能力主要考虑用户等数据的存储空间、文件系统、备份空间、测试系统空间、数据库管理空间和系统的扩展空间。服务器系统的扩容能力:|系统主机的扩容能力主要包括三个方面:性能、处理能力的扩充-包括CPU及存的扩充存储容量的扩充-磁盘存储空间的扩展I/O能力的扩充,包括网络适配器的扩充(如FDDI卡和ATM卡)及 外部设备的扩充。
7、2、软件系统保证措施:操作系统: Win dows 2003、2008 SERVER、Linux 网络操作系统防火墙:下一代防火墙(应用层过滤防火墙)中间件平台的性能设计:可伸缩性:允许用户开发系统和应用程序,以简单的方式 满足不 断增长的业务需求。安全性:利用各种加密技术,身份和授权控制及会话安全技术,以及Web安全性技术,避免用户信息免受非法入侵的 损害。完整性:通过中间件实现可靠、高性能的分布式交易功能,确保准确的数据更新。可维护性:能方便地利用新技术升级现有应用程序,满足不断增长的企业发展需要。互操作性和开放性:中间件技术应基于开放标准的体系, 提供开 发分布交易应用程序功能,可跨异构
8、环境实现现有系统的互操作性。能 支持多种硬件和操作系统平台环境。网络安全方面:多层防火墙:根据用户的不同需求,采用多层高性能的硬件防火墙对客户托管的主机进行全面的保护。下一代防火墙:同时采用业界最先进成熟的下一代防火墙进行保护,可对应用层进行防护及过滤。防病毒扫描:专业的防病毒扫描软件,杜绝病毒对客户主机的感染。入侵检测:专业的安全软件,提供基于网络、主机、数据 库、应用程序的入侵检测服务,在防火墙的基础上又增加了几 道安全措施,确 保用户系统的高度安全。漏洞扫描:定期对用户主机及应用系统进行安全漏洞扫描和分析,排除安全隐患,做到安全防患于未然。下一代防火墙运行核心交换机上层提供了监视所有网络
9、上流过的数据包,发现能够正确识别攻击在进行的攻击特征。攻击的识别是实时的,用户可定义报警和一旦攻击被检测到的响应。此处,我们有如下保护措施:全部事件监控策略,监视报告所有安全事件。攻击检测策略,此策略重点防来自网络上的恶意攻击,适合管理员了解网络上的重要的网络事件。协议分析,此策略与攻击检测策略不同,将会对网络的会话进行协议分析,适合安全管理员了解网络的使用情况。保护,此策略用于监视网络上对 HTTP流量的监视,而且只对 HTTP攻击敏感。适合安全管理员了解和监视网络上的访问情况。Win dows 网络保护,此策略重点防护 Win dows网络环境。会话复制,此项策略提供了复制 Tel net
10、, FTP, SMTP 会话 的功 能。此功能用于安全策略的定制。DMZ监控此项策略重点保护在防火墙外的 DMZ区域的网络活 动。这个策略监视网络攻击和典型的互联网协议弱点攻击,例如(HTTP,FTP,SMTP,POP 禾口 DNS ),适合安全管理 员监视企业防 火墙以外的网络事件。防火墙监控,此项策略重点针对穿越防火墙的网络应用的攻击和协议弱点利用,适合防火墙部安全事件的监视。数据库服务器平台数据库平台是应用系统的基础,直接关系到整个应用系统的性能 表现及数据的准确性和安全可靠性以及数据的处理效率等多个方面。本系统对数据库平台的设计包括:数据库系统应具有高度的可靠性,支持分布式数据处理;支
11、持包括TCP/IP协议及IPX/SPX协议在的多种网络协 议;支持UNIX和MS NT等多种操作系统,支持客户机/服务器体系 结构,具备开放式的客户编程接口,支持汉字操作;具有支持并行操作所需的技术(如:多服务器协同技术和事务处理 的完整性控制技术等);支持联机分析处理(OLAP )和联机事务处理(OLTP ),支持数 据仓库的建立;要求能够实现数据的快速装载,以及高效的并发处理和 交互式查询;支持C2级安全标准和多级安全控制,提供 WEB服务接 口模块,对客户端输出协议支持HTTP2.0、SSL3.0等;支持联机备份,具有自动 备份和日 志管理功能。二、信息安全管理制度1、信息监控制度:(1
12、 )、信息必须在网页上标明来源;(即有关信息都必须标明的 地址)(2)、相关责任人定期或不定期检查信息容,实施有效监控,做好安全监督工作;(3)、不得利用国际互联网制作、复制、查阅和传播一系列 以下信息,如有违反规定有关部门将按规定对其进行处理;A、反对宪法所确定的基本原则的;B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;C、损害国家荣誉和利益的;D、煽动民族仇恨、民族歧视、破坏民族团结的;E、破坏国家宗教政策,宣扬邪教和封建迷信的;F、散布谣言,扰乱社会秩序,破坏社会稳定的;G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;H、侮辱或者诽谤他人,侵害他人合法权益的;含
13、有法律、行政法规禁止的其他容的。2、组织结构:设置专门的网络管理团队,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过审查批准。审批实行部门管理,有关单位应当根据国家法规,审核批准后发布、坚持做 到来源不名的不发、为经过上级部门批准的不发、容有问题的 不发、的三不发制度。对管理实行责任制对的管理人员,以及领导明确各级人员的责任,管理的正常运行,严格抓管理工作,实行谁管理谁负责。三、用户信息安全管理制度一、信息安全部人员管理制度:1、相关部人员不得对外泄露需要的信息;2、 部人员不得发布、传播国家法律禁止的容;3、 信息发布之前应该经过相关人员审核;4、 对相关管理人员设定管理权限
14、,不得越权管理信息;5、 一旦发生信息安全事故,应立即报告相关方并及时进行协调处理;6、 对有毒有害的信息进行过滤、用户信息进行。二、登陆用户信息安全管理制度:7、 对登陆用户信息阅读与发布按需要设置权限;8、 对会员进行会员专区形式的信息管理;3、对用户在上的行为进行有效监控,保证部信息安全;4、 固定用户不得传播、发布国家法律禁止的容。关于保证网络与信息安全的承诺书自治区通信管理局:我公司承诺在开展信息服务业务时,将依照工业和信息化部颁布的增值电信业务网络信息安全保障基本要求(YDN126-2009 )完善公司的网络与信息安全保障措施,制定相应的信息安全管理制度,建立络与信息安全应急流程,落实信息安全责任。法定代表人(签字):公司(盖章):年月日
