信息安全需求分析
随着政府上网和企业信息化的推进,信息安全建设的重要性日益突出。根据我们多年来的研究和与众多网络用户的接触和了解,我们认为各单位信息安全需求主要表现在以下几个方面:
首先,从国家政策法规、单位性质和规章制度,以及考虑安全生产的要求,提出系统总体的安全要求与安全级别。
其次,根据各单位信息与网络系统资产的确认情况,提出不同资产的安全级别需求。
第三,根据信息与网络系统的层次化,分级别提出安全需求,保证信息安全的实施层次化、风险层次化。
安全需求的提出要充分考虑项目单位的经济承受能力,也要充分考虑网络系统的发展可能带来的需求问题。
信息安全方案
总体设计
信息系统安全管理的目标是:保证信息系统在有充分保护的安全环境中运行,由可靠的操作人员按规范使用计算机系统、网络系统、数据库系统和应用系统,系统符合安全标准。
中国软件公司提出了一套性能价格比很高的保护-检测-响应-恢复的安全解决方案,这一方案是以项目单位统一的安全策略为核心的,是基于“安全不是技术,而是策略、技术与管理的综合”这一安全理念,在充分分析安全过程及安全风险层次缓释的科学方法论基础上提出的。
本方案覆盖从系统级安全到桌面系统安全;从静态访问控制到动态入侵检测主要层面,覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为监控响应、事后信息监控取证全过程。根据不同的安全要素,我们从以下的十四个安全实施领域来进行方案的说明。
详细说明
访问控制与安全边界
我们提供具有地址转换、应用代理和过滤功能的防火墙系统(中软华泰防火墙 CSS-SEC-Firewall),能有效地实现网络系统访问控制、代理服务、身份认证,建立信息网络的安全边界,访问控制。我们可以将防火墙布控在Interent出口,拨号接入入口,关键服务器的前端和与合作伙伴的连接出口,实现项目单位网络系统与外界的安全隔离,保护关键信息资产和网络组件,不影响网络系统的工作效率。
弱点漏洞分析和风险审计
我们提供安全扫描产品(中软网络安全巡警系统 CSS-SEC-ISRanger)定期检测分析、修补弱点漏洞,定期检查、纠正网络系统的不当配置,保证系统配置与安全策略的一致,减少攻击者可以用来进行攻击的“机会”。与防火墙、入侵检测系统(安全监控系统)互相配合能够提供很高安全性的网络。
入侵检测与防御
我们提供的入侵检测系统(中软分布式入侵监测预警与响应系统 CSS-SEC-DIDSystem)通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络信息安全检测预警系统能根据系统安全策略做出响应,通过与防火墙的联动,可以主动地发现并防御入侵行为。
信息监控与取证
通过我们提供的信息监控与取证工具(中软网络信息监控分析与取证系统 CSS-SEC-NetMonitor),可以对网络信息流进行实时监控,对访问的路由信息进行记录与反跟踪。根据用户定义的监控和分析策略对网络数据流根据不同的协议、不同的原地址和目标地址,或者根据用户定义的文字内容进行分析,将信息还原,归类。
通信链路安全
我们提供的VPN产品(中软VPN安全网关 CSS-SEC-VPN)能够保护信息的机密性、提供完整性检测、身份验证能力等安全保护,防止信息被窃取、篡改和假冒。还能满足远程移动用户(通过拨号、专线、Internet等方式)安全访问网络系统的需求。
系统安全
我们自主研制开发的操作系统(中软COSIX64和中软Linux B1 操作系统),使得在系统级解决安全问题成为可能。同时,在系统安全方面,中国软件公司还提供其他操作系统平台的安全增强软件(Windows操作系统中文版安全组件就是由我公司开发的),保证这些操作系统平台的安全。
数据与数据库安全
对数据库系统来说,由于它是由专业的厂家提供(Microsoft, Oracle, Informix等),购买高安全级别的数据库系统是非常重要。同时,在使用的过程中,要定期使用安全扫描产品(中软网络安全巡警系统 CSS-SEC-ISRanger)对数据库系统的配置情况、弱点漏洞进行分析,及时发现存在的安全隐患,获取安全补丁程序,纠正不当的配置。对日常工作敏感文件来说,合理的存放、文件访问权限的定义、目录及文件的加密是最有效的解决办法。
应用系统安全
对于通用的应用程序,如Web Server程序等,可以中软网络安全巡警系统 CSS-SEC-ISRanger检查这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞,同时使用中软智能网页自动监控与恢复系统 CSS-SEC-WebWatcher对应用系统进行实时、自动的防护。
对于项目单位专用系统,可以利用我们的CA系统(中软CA系统 CSS-SEC-CA)实现对专用系统用户的统一认证和授权管理。
个人桌面安全
我们提供了桌面系统安全审计产品(中软桌面系统安全审计系统 CSS-SEC-WinAAA),对个人使用的基于Windows系统的PC机,进行实时的信息、行为的分析,对违规行为实施基于策略的响应,保证了个人桌面系统的安全。
身份认证与授权
身份认证技术是实现资源访问控制的重要手段,是落实项目单位网络安全策略的保证。对网络设备结合使用RADIUS、S/KEY(或SecureID)、对主机设备使用本地认证技术可以在“实用有效”的原则下,建立起一套简捷明了、行之有效的身份认证体系。
我们提供了内部安全管理产品(中软高性能防水墙系统 CSS-SEC-WaterWall),对内部信息的处理过程实施保护,使之不被非法访问、外传、破坏、拷贝。
灾难恢复与备份
我们提供了灾难恢复与备份的整体解决方案(中软灾备方案 CSS-SEC-RAB),通过利用国际、国内先进可靠的技术和产品,为用户实现信息系统的灾难备份与恢复。
(1) 建立网络系统备份机制,尤其是数据服务器的备份、关键业务应用的备份或线路的备份。
(2) 建立灾难风险预测机制,及时检测发现灾难征兆与告警。
(3) 建立灾备中心。
病毒防治
本建议方案为项目单位的整个网络信息系统提供全面的计算机病毒防御,其组成和特点如下:
(1) Internet网关级病毒防护:主要针对Internet出口,对电子邮件病毒的实时扫描和清除,以及对邮件的附件进行病毒过滤。
(2) 服务器和群件病毒防护:对NT服务器、UNIX服务器进行病毒扫描和清除,集中报警。
(3) 桌面病毒防护:针对各种桌面操作系统,进行病毒扫描和清除。
(4) 防病毒管理系统:建立高效的防病毒管理系统,对所有客户端防病毒软件进行统一管理,提供集中分发、升级、配置、管理、统计等功能,实现对防病毒主要工作的“集中监控”。
集中安全管理
基于我们推出的全线安全产品,我们提供了集中的安全管理产品(中软集中安全管理系统 CSS-SEC-GSM),通过对不同安全要素的安全实现方法与手段的集成与规范,逐步实现全部安全方法与手段的策略管理、过程监控与审计。
信息平台运行维护
我们提供了运行维护产品(中软信息平台运行维护系统 CSS-SEC-Siteview),定位于对信息系统平台基本运行情况的监测和预警,主要实现以下系统功能:
(1) 一级故障报警:采集系统资源的工作状态,当系统出现故障,以多种形式通知相关人员。
(2) 二级性能监测:采集系统资源的工作状态并进行记录,提供对系统资源的性能分析和总结,同时可以根据设定的指标进行预警。
(3) 统计报告:能够自动组合监测数据,生成针对监测对象实时的或历史的报告和报表,为IT系统管理的长期规划提供数字依据。
CSS-SEC-SiteView的报警形式主要包含:语音电话、手机短信、电子邮件、弹出窗口等,报警内容可以具体到故障设备、故障原因等。
方案特点
本方案是我公司多年来参与各行业信息化建设项目中经验的总结,其主要特点如下:
(1) 完整性:本方案涵盖了系统安全的各个方面,由低向高从物理、网络、主机、数据到应用分别进行了有针对性的安全设计和规划。
(2) 可靠性:系统安全的建设目标就是保证系统安全、可靠地运行,本方案在这两方面进行了充分的分析和设计,保证系统安全、可靠、稳定地运行。
(3) 规范性与开放性:本方案所使用的技术都是遵循国际安全标准规范,选用的产品全部满足国家权威部门的规定和销售许可,所搭建的安全平台具有很强的开放性。
(4) 实用性:本方案是在不同规模的信息安全系统实施经验的基础上提出的,可以适用于不同行业、不同类别的信息系统,应用范围广泛。