信息网络安全项目技术解决方案建议书模板范文(完整方案)
技术解决方案/项目建设书
实用案例模板
(word,可编辑)
本资料由皮匠网制作整理,更多方案下载请点击:
方案概述
智慧城市是新一代信息技术支撑、知识社会创新2.0环境下的城市形态,智慧城市通过物联网、云计算等新一代信息技术以及微博、社交网络、Fab Lab、Living Lab、综合集成法等工具和方法的应用,实现全面透彻的感知、宽带泛在的互联、智能融合的应用以及以用户创新、开放创新、大众创新、协同创新为特征的可持续创新。伴随网络帝国的崛起、移动技术的融合发展以及创新的民主化进程,知识社会环境下的智慧城市是继数字城市之后信息化城市发展的高级形态。
“数据驱动世界、软件定义世界,自动化正在接管世界,建设智慧城市将是下一波浪潮和拉动IT世界的重要载体。”《大数据》一书作者涂子沛这样描述。大数据遍布智慧城市的各个方面,从政府决策与服务,到人们衣食住行的生活方式,再到城市的产业布局和规划等,都将实现智慧化、智能化,大数据为智慧城市提供智慧引擎。
近年来,相关业界的领先者们也多次预言,大数据将引发新的“智慧革命”:从海量、复杂、实时的大数据中可以发现知识、提升智能、创造价值。“智慧来自大数据”——城市管理利用大数据,才能获得突破性改善,诸多产业利用大数据,才能发现创新升级的机会点,进而获得先发优势。
大数据驱动下的智慧城市,关乎每个人的生活。结合智慧城市对信息的需求,大数据在智慧城市中的落脚点集中在为其各个领域提供强大的决策支持。智慧交通、智慧安防、智慧医疗……未来智慧城市的美好图景已经被勾勒出来。
随着企业信息化水平逐步提高,信息化建设方向出现了重要的变化,突出表现在信息的集成整合和资源的共享利用,涉及到企业的安全防护、生产过程的调度、产品计量、决策及故障排除等方面。
本资料由皮匠网制作整理,更多方案下载请点击:
解决方案Solution---就是针对某些已经体现出的,或者可以预期的问题、不足、缺陷、需求等等,所提出的一个解决整体问题的方案(建议书、计划表),同时能够确保加以快速有效的执行。
目录
.信息安全概述 (5)
什么是信息安全? (5)
为什么需要信息安全 (5)
安全理念 (6)
1.1.1 系统生命周期与安全生命周期 (6)
1.1.2 安全体系-以客户价值为中心 (7)
附图1. 安全体系 (7)
1.1.3 关注资产的安全风险 (7)
1.1.4 安全统一管理 (8)
1.1.5 安全管理技术 (8)
计算机系统安全问题 (9)
1.2.1 从计算机系统的发展看安全问题 (9)
1.2.2 从计算机系统的特点看安全问题 (10)
.物理安全 (11)
设备的安全 (11)
2.1.1设备的放置及保护 (11)
2.1.2电力的供应 (12)
2.1.3电缆线路的安全 (13)
2.1.4设备的维护 (13)
2.1.4设备离开大厦的安全 (14)
2.1.5设备的安全清除或重用 (14)
.访问控制 (14)
访问控制的业务需求 (14)
3.1.1访问控制策略 (15)
3.1.1策略及业务需求 (15)
3.1.1访问控制规定 (15)
用户访问的管理 (15)
3.2.1用户登记 (16)
3.2.2特权管理 (16)
3.2.3用户口令的管理 (17)
3.2.4用户访问权限的检查 (17)
用户责任 (18)
3.3.1口令的使用 (18)
本资料由皮匠网制作整理,更多方案下载请点击:
网络访问控制 (19)
3.4.1网络服务的使用策略 (19)
3.4.2强制式路径 (20)
3.4.3外部连接的用户认证 (20)
网点认证 (21)
3.4.5远程诊断端口的保护 (21)
3.4.6网络的隔离 (22)
3.4.7网络连接控制 (22)
3.4.8网络路由的控制 (23)
网络服务的安全 (23)
操作系统的访问控制 (23)
3.5.1自动认证终端 (23)
3.5.2终端的登录程序 (24)
3.5.3用户标识及认证 (24)
3.5.4口令管理系统 (25)
3.5.5系统工具的使用 (26)
3.5.6为保障安全的人员配备强迫警钟 (26)
3.5.7终端超时 (26)
3.5.8连接时间的限制 (27)
应用系统的访问控制 (27)
3.6.1信息访问的限制 (27)
3.6.2敏感系统的隔离 (28)
系统访问和使用的监控 (28)
3.7.1事件记录 (28)
3.7.2监控系统的使用 (29)
3.7.2风险的程序及区域 (29)
3.7.2风险因素 (30)
3.7.2对事件进行日志记录和审查 (30)
3.7.3时钟的同步 (30)
移动操作及远程办公 (31)
3.8.1移动操作 (31)
3.8.2远程工作 (32)
4.1.1针对网络设备的攻击 (33)
4.1.1 交换机针对攻击 (33)
4.1.1 交换机针对攻击 (33)
4.1.1 路由器发现路由 (34)
4.1.1路由器猜测路由器类型 (34)
4.1.2拒绝服务()攻击 (34)
4.1.2 攻击举例 (34)
4.1.2 基于拒绝服务攻击的漏洞 (37)
4.1.2 的服务的越权访问漏洞: (38)
4.1.2 攻击特性 (38)
本资料由皮匠网制作整理,更多方案下载请点击:
4.1.3 欺骗 (38)
4.1.3 欺骗 (39)
4.1.4网络嗅探 (39)
4.1.5 拒绝服务攻击的防御策略 (39)
4.1.5 解决办法 (39)
4.1.5 检测攻击 (40)
4.1.5 预防方法 (42)
.系统安全设计方案 (43)
系统安全设计原则 (43)
建设目标 (44)
总体方案 (45)
总体设计思想 (45)
5.4.1内网设计原则 (45)
5.4.2有步骤、分阶段实现安全建设 (46)
5.4.3完整的安全生命周期 (47)
5.5 网络区域划分与安全隐患 (47)
网络安全部署 (48)
保护目标 (48)
威胁来源 (48)
安全策略 (48)
1. 网络防病毒技术 (48)
2. 网关过滤技术 (49)
3. 入侵检测技术 (49)
1. 身份认证技术 (49)
2. 第三方主机保护和审计技术 (49)
防火墙系统 (50)
6.1.1 防火墙系统的设计思想 (50)
6.1.2 防火墙的目的 (51)
6.1.3 防火墙的控制能力 (51)
6.1.4 防火墙特征 (52)
6.1.5 第四代防火墙的抗攻击能力 (53)
6.1.6 防火墙产品的选型与推荐 (55)
6.1.6 华为系列防火墙简介 (55)
6.1.6 华为系列防火墙特点 (55)
6.1.6 华为系列防火墙典型部署应用 (57)
6.2 入侵检测系统 (59)
6.2.1 什么是入侵检测系统 (59)
6.2.2 如何选择合适的入侵检测系统 (60)
6.2.3 的实现方式网络 (60)
6.2.4 的实现方式主机 (61)
6.2.5 基于网络的入侵检测系统的主要优点有: (62)
6.2.6 入侵检测系统的设计思想 (63)
本资料由皮匠网制作整理,更多方案下载请点击:
6.2.7 入侵检测产品的选型与推荐 (64)
6.3.7华为 (64)
6.3.7 产品简介 (66)
6.3.7为什么选择? (67)
6.3.7 设备部署概述 (68)
6.3 漏洞扫描系统 (69)
6.3.1 漏洞扫描系统产品选型与推荐 (69)
6.3.2 漏洞扫描系统的部署方案 (71)
部署要点: (71)
配置示意图如下: (71)
漏洞扫描系统部署图 (71)
6.4 网络信息监控与取证系统 (72)
6.4.1 网络信息监控与取证系统产品的选型与推荐 (72)
6.4.2 网络信息监控与取证系统的部署方案 (75)
6.5 内部安全管理系统(防水墙系统) (77)
3. 内部安全管理。 (78)
6.5.1 内部安全管理系统产品选型与推荐 (78)
6.5.2 内部安全管理系统的部署方案 (83)
部署概要: (83)
6.6 其他计算机系统安全产品介绍 (84)
6.6.1 天镜系—漏洞扫描 (84)
系统简介 (84)
典型应用 (84)
系统特点 (84)
权威认证 (87)
6.6.2 数据库审计系统 (87)
功能特点 (88)
产品指标 (89)
典型应用 (90)
6.6.3 网页防篡改系统 (91)
专业的网页防篡改系统 (91)
显著特点 (91)
特性一览 (95)
标准系统部署 (96)
双机冗余部署 (97)
6.6.4 防垃圾邮件网关 (97)
防垃圾邮件技术发展趋势 (98)
第一代技术: (98)
第二代技术: (98)
第三代技术: (98)
产品概述 (99)
产品主要特点 (99)
典型应用 (103)
本资料由皮匠网制作整理,更多方案下载请点击:
6.6.5 集中安全管理平台 (104)
、系统概要 (104)
、系统功能 (104)
、集中安全管理平台系统 (105)
、系统组成 (107)
6.6.6 中软运行管理系统 (108)
、系统概要 (108)
、系统功能 (109)
、系统特点 (112)
、运行环境 (113)
.信息安全概述
什么是信息安全?
信息是一家机构的资产,与其它资产一样,应受到保护。信息安全的作用是保护信息不受大范围威胁所干扰,使机构业务能够畅顺,减少损失及提供最大的投资回报和商机。
信息可以有多种存在方式,可以写在纸上、储存在电子文档里,也可以用邮递或电子手段发送,可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储,都应当适当地保护起来。
因此信息安全的特征是保留信息的如下特性:
保密性():保证信息只让合法用户访问;
完整性():保障信息及其处理方法的准确性()、完全性();
可用性():保证合法用户在需要时可以访问到信息及相关资产。
实现信息安全要有一套合适的控制(),如策略()、惯例()、程序()、组织的机构( )和软件功能( )。这些控制需要被建立以保证机构的安全目标能够最终实现。
为什么需要信息安全
本资料由皮匠网制作整理,更多方案下载请点击:
信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。
但机构及其信息系统和网络也越来越要面对来自四面八方的威胁,如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。
机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。
很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的,因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与,同时也应让供应商、客户或股东参与,如果有必要,可以向外界寻求专家的建议。
对信息安全的控制如果融合到需求分析和系统设计阶段,则效果会更好,成本也更便宜。
安全理念
绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱,并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长,这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素,例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。
1.1.1系统生命周期与安全生命周期
系统生命周期通常由以下阶段组成:概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里,实现系统生命周期支持的途径已经转变,以适应将安全组成部分和安全本资料由皮匠网制作整理,更多方案下载请点击:
过程综合到系统工程过程中的需要。与系统生命周期相对应,安全生命周期由以下几个阶段构成:安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。
涉及到任何功能和系统级别的需求,通过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式,应该在生命周期过程的早期便提出安全问题。近年来发现,在系统开发之后实现系统安全非常困难,而且已经有了不少教训。因此,必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制,设计者与开发者应该调整现有的过程模型,以产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控制和保护机制。
1.1.2安全体系-以客户价值为中心
安全体系由三部分组成:安全解决方案()、安全应用()和安全服务()。这三部分又都以客户价值为中心。
安全解决方案()包括安全解决方案的设计与实施,安全产品选型与系统集成。安全应用()包括根据用户的实际应用环境,为用户定制应用安全系统。安全服务()则贯穿了整个安全建设的始终,从最初的安全风险评估与风险管理,帮助用户制定信息安全管理系统,系统安全加固,紧急安全响应,到安全项目实施后的安全培训教育。
本资料由皮匠网制作整理,更多方案下载请点击:
附图1. 安全体系
1.1.3关注资产的安全风险
安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一个复杂的、高负荷的工作。在若干的安全事件中,我们关注的是那些针对关键资产的安全漏洞发起的攻击,这些攻击才会对资产形成威胁。因此,对于企业资产和资产风险的管理应该是整个安全管理的第一步,即通过对这些资产的安全评估,了解资产安全状况的水准。这些工作是其他安全保护技术的基础,也是有效管理企业安全的基石。
安全弱点管理平台可以智能发现关键业务资产和经营这些资产的技术(操作系统、应用程序、硬件版本等等),将其与确认的弱点进行对比,并提供包含逐步修补指导说明的基于风险的弱点管理任务列表,指导管理员合理及时处理安全弱点,从而显著地降低风险。
安全对抗平台对关键网段进行监视,并且可以随时准备转移到安全事件的突发区,进行事件分析,帮助管理员和专家抵抗、反击攻击者。在安全事件发生后,可以重建安全事件过程、恢复关键数据,能够极大地提高系统的生存能力,并且
起到威慑攻击者的目的。
本资料由皮匠网制作整理,更多方案下载请点击:
1.1.4安全统一管理
安全事件不是独立的、偶然的。一次成功的攻击事件,必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击,还是来自病毒的攻击行为,都可以从防火墙、路由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系统中,如果能够有效地、智能地加以整合,我们就可以清晰地了解到整个安全事件的过程,帮助管理员更好地管理信息系统的安全。
来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度来看,网络设备应该也属于网络安全的一部分。在一个大型的网络中,对于分布在不同网段、不同地理位置的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在异构平台上,对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精力。
安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全产品的事件数据,同时通过其客户端以及有效收集第三方安全检测产品产生的安全事件数据,并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息,系统管理员将可以在出现可能对关键电子商务系统造成负面影响的袭击和问题之前,立即做出反应。
1.1.5安全管理技术
信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和维护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时,没有考虑到安全问题。通过技术手段获得安全保障十分有限,必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划,并对细节问题加以注意。
作为信息安全管理的最基本要求,企业内所有的雇员都应参与信息安全管本资料由皮匠网制作整理,更多方案下载请点击:
理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。
如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施,那么信息安全控制的成本会很低,并更有效率。
计算机系统安全问题
目前,计算机系统和信息安全问题是业最为关心和关注的焦点之一。据统计,有%的安全问题导致网络数据被破坏,%导致数据失密,%的攻击来自系统外部,来自系统内部的安全威胁高达%。由于受到内部心怀不满的职工安放的程序炸弹侵害,公司蒙受了价值万美元的销售收入和合同损失,由于受到来自网络的侵袭,银行被窃了万美元,后来他们虽然追回了万美元损失,但却因此失去了%的重要客户,其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子,实际上,更多的安全入侵事件没有报告。据美国联邦调查局估计,仅有%的入侵事件被报告了,而澳大利亚联邦警察局则认为这个数字只有%。因为许多入侵根本没有被检测到,还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。
那么,为什么当今信息系统中存在如此之多的安全隐患,安全问题如此突出呢?这是与计算机系统的发展、当今流行系统的设计思路、当前系统的使用状况紧密相关的。下面,我们从以下几个方面简要论述。
1.2.1 从计算机系统的发展看安全问题
安全问题如此突出和严重是与技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用,与外界联系较少,能够接触和使用系统的人员也很少,系统安全隐患尚不明显。现在业务系统大多是基于客户服务器模式和网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落,给系统的安全管理造成了很大困难。早期的网络大多限于企业内部,与外界的物理连接很少,对于外部入侵的防范较为容易,现在,网络已发展到全球一体化的,
本资料由皮匠网制作整理,更多方案下载请点击:
每个企业的都会有许多与外部连接的链路,如通过专线连入,提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中,企业的数据库服务器、电子邮件服务器、服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好-忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。随着系统和网络的不断开放,供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现,一个人不必掌握很高深的计算机技术就可以成为黑客,黑客的平均年龄越来越小,现在是-岁。
1.2.2 从计算机系统的特点看安全问题
在现代典型的计算机系统中,大都采用作为主要的网络通讯协议,主要服务器为或操作系统。众所周知,和都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。
的结构与基于专用主机(如、)和网络(如网络)的体系结构相比,灵活性、易用性、开发性都很好,但是,在安全性方面却存在很多隐患。的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可任意改变。服务器很难验证某客户机的真实性。协议是一种无连接的通讯协议,无安全控制机制,存在、、、、、( ) 、、、、、、等各种各样的攻击手段。实际上,从的网络层,人们很难区分合法信息流和入侵数据,( ,拒绝服务)就是其中明显的例子。
操作系统更是以开放性著称的,在安全性方面存在许多缺限。如用户认证和授权管理方面,操作系统对用户登录的管理是靠用户名和口令实现的,存在很多安全上的隐患;在对资源的访问控制管理方面,只有读、写和执行三种权限,无法对文件进行更为细致的控制,且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配置过程,不同系统上配置方法也很不一致,实际上无法全面有效地实
本资料由皮匠网制作整理,更多方案下载请点击:
施。另外中的用户为特权用户,拥有至高无上的特权,它也成为黑客窥视的主要目标,给系统安全造成了极大危害。
.物理安全
设备的安全
目的:防止资产丢失、损失或被破坏,防止业务活动的停顿。
设备应有物理保护不受安全威胁及环境事故的影响。
要保护设备(包括用在离线的地方)以减少非法访问数据的风险,和保护不会丢失或损失,也要考虑设备应放在什么地方及如何处理掉。可能需要特别的控制来保护故障或非法访问,和保障支援设备,例如电力供应和线缆架构。
2.1.1设备的放置及保护
设备应放在安全的地方,保护减少来自环境威胁及事故的风险,减少非法访问的机会。要考虑的有:
设备的位置,应是尽量减少不必要的到工作地方的访问;
处理敏感数据的信息处理及储存设备应该好好放置,以减少使用时被俯瞰的风险;
需要特别保护的东西,应被隔离;
应控制并减少潜在威胁出现的风险:
?偷窃;
?火;
?爆炸物;
?烟;
?水(或供水有问题);
?尘埃;
本资料由皮匠网制作整理,更多方案下载请点击:
?震动;
?化学效应;
?电力供应干扰;
?电磁辐射;
机构应考虑在信息处理设备附近的饮食及吸烟策略;
应监控那些严重影响信息处理设备操作的环境;
考虑在工业环境设备的特殊保护方法,例如采用键盘薄膜;
应考虑在大厦附近发生灾难的后果,例如隔离大厦着火、房顶漏水,地下层渗水、街道发生爆炸。
2.1.2电力的供应
应保证设备电源不会出现故障,或其它电力异常。应有适当的、符合设备生产商规格的电力供应。关于连续性供电的选项有:
多个输电点,避免单点输电导致全部停电;
不间断电源();
备份发电机。
建议为那些支持重要业务操作的设备配备,保持有次序的停电或连续性供电。应急计划应包括发生故障时应采取什么行动。设备应定期检查,保证有足够的容量,并按生产商的建议进行测试。
如果发生长时间电源失败还要继续信息处理的话,请考虑配备后备发电机。发电机安装后,应按生产商的指示定期进行测试。应提供足够的燃料保证发电机可以长时间发电。
此外,紧急电力开关应放置设备房紧急出口的附近,以便一旦发生紧急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯,及在所有外部通讯线路都要装上灯光保护过滤器。
本资料由皮匠网制作整理,更多方案下载请点击: