企业信息安全保障解决方案.docxVIP

PAGE 9 目录 TOC \o 1-3 \h \z \u 1 信息安全解决方案 2 1.1 应用APP安全 2 1.2 网络通讯安全 3 1.3 建立用户认证 3 1.4 信息数据安全 3 1.5 系统边界防护 4 1.6 防病毒系统设计 4 1.7 整体备份机制 4 1.8 应用和管理安全 5 1.9 程序代码安全 6  信息安全解决方案 网络通讯安全 系统服务器统一安置在电信云平台上，已具备一定的非正常使用的防范能力（DoS阻塞、操作系统漏洞、病毒隔离），局域网的服务器（数据库服务器和备份服务器）与互联网实现单向物理隔离，外部无法访问。 安全准入 通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。 对系统进行安全审计 审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。 审计包括事件的日期、事件、类型、主体标识、客体标识和结果等。 保护审计记录，避免受到未预期的删除、修改或覆盖等。 漏洞扫描。定期对服务器进行漏洞扫描，服务器操作系统及数据库操作系统根据系统安全策略，采取适当方式进行安全补丁升级。 建立用户认证 对登录用户进行身份鉴别和标识，对口令长度和复杂性设置要求，密码强度要求至少六位，必须是数字与字母组合；用户连续3次登录失败，则限制24小时之内，不能登录，防止暴力破解。或者联系管理员解锁； 建立登录日志：记录用户登录系统的用户、时间、IP地址、登录结果； 建立操作日志：记录主要业务模块的操作日志，包括增加、修改、删除等关键性操作。 信息数据安全 信息数据是系统的核心，信息的安全很重要，需要采取必要的管理和技术措施加以保护，建立完整的信息字段更新日志，注册和登录常用较强密码和验证级别。 采用加密或其他保护措施实现鉴别信息存储必威体育官网网址性，对用户口令采用MDF加密；对通信过程中的敏感信息字段，采用HTTPS等加密传输方式进行加密。 检测鉴别信息或重要业务数据在传输过程中的完整性是否受到破坏，并采取完整性保护措施。 对数据库进行定时备份，可以将员工误操作，机器掉电，病毒攻击，系统崩溃等人为或其它意外情况造成的损失减少到最低;将两台服务器通过批处理文件将系统备份做双机冷盘，避免因一台服务器故障导致数据丢失;服务器采用Raid5磁盘阵列，防止因一块硬盘物理损坏导致数据丢失。对应用程序也采取相应的定期备份措施。 系统边界防护 系统通过防火墙接入互联网，因此在作边界防护时不仅需要考虑系统与互联网的边界防护，还要充分考虑各部门之间的边界防护。在方案中将采用防火墙技术做系统与互联网的边界防护，系统内部的业务部门将采用VLAN技术做边界防护。 防病毒系统设计 在一个网络计算环境中，病毒一般是通过磁盘、网络、电子邮件或Internet下载进行传播。与Internet连通后，病毒的防范应更加重视。病毒防范策略主要包括： 1、管理方面：建立防病毒体制和规章制度，实行严格的用机机制，严格控制软件介质的来源和去向，实行安全的备份制度，实施网络防病毒策略。 2、在技术上加强预防措施：使用可靠度高的、通过国家安全处室和机要处室认可的防病毒软件产品，并建立相应的及时更新杀毒引擎和病毒特征库的制度。 因此，网络防病毒解决方案主要从以下几个方面考虑： 杜绝通过磁盘、可移动磁盘、光盘等物理介质对服务器的病毒感染； 对电子邮件的病毒防护，对有可能随电子邮件传播的病毒进行拦截； 严格控制使用调制解调器等通讯连接设备进行收发文件，从内部网外部将病毒引入； 对内部网站进行控制，防止HTTP和FTP等流量的病毒防护。 整体备份机制 本项目各应用子系统每天将产生大量数据，这些数据也必须进行备份。更为重要的是，万一其中的某一应用系统因突发故障导致数据丢失或失效时，需要能够用事先生成的备份数据将系统恢复到故障前的状态，从而在尽可能短的时间内恢复系统应用，保证业务继续运行，使损失和风险降低到最低。为了保证应用系统的数据资源不因发生意外情况而受到损失，可以采用以下几种防范和恢复措施。 1．手工备份：系统管理员定期对数据进行手工备份。 2．周期性自动备份：可利用数据库自动备份功能（如SQL Server 2000具有自动备份功能），配置数据的周期性自动备份，备份介质可以是备份数据库、备份文件和磁带等。 3．服务器备份：在应用服务器和数据库服务器分离的条件下，两台服务器可以相互进行备份。 4．在发生硬件故障的情况下，能够迅速而可靠的恢复数据库结构及其内容，数据至少保留最近7天的完整数据；