芜湖市社保局信息安全解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

目录第一章项目背景··························41.1信息安全严峻形势·····················41.2单位职能简介·······················5第二章安全风险分析························62.1风险分析方法·······················62.2网络安全弱点分析·····················72.2.1网络结构脆弱性···················72.2.2系统和应用脆弱性··················82.2.3网络访问脆弱性···················92.2.4硬件平台脆弱性···················102.2.5管理脆弱性·····················102.3网络安全威胁分析·····················112.3.1威胁来源······················112.3.2非人为的安全威胁··················122.3.3人为的安全威胁···················122.4网络安全风险分析·····················142.4.1物理安全风险····················152.4.2终端安全风险····················152.4.3网络安全风险····················162.4.4系统安全风险····················162.4.5管理安全风险····················17第三章建设需求分析························183.1自身安全防护的需求····················183.1.1互联网出口单点故障·················183.1.2对基础防护平台的需求················193.1.3对统一运维审计平台的需求··············203.1.4对集中安全管理的需求················203.1.5管理安全的需求···················21芜湖社保局的符合政策层面的需求··············21第四章整体方案设计························234.1方案设计原则·······················234.2信息安全规划图······················254.3规划内容简介·······················25第五章方案详细设计························265.1详细设计概述·······················265.2计算环境防护·······················265.2.1终端安全管理····················265.3安全边界防护·······················295.3.1防火墙部署·····················295.3.2网闸部署······················315.4保护通信网络·······················335.4.1负载均衡系统····················335.4.2安全运维审计····················365.5安全管理平台·······················385.5.1安全措施选择····················385.5.2安全措施整合····················395.5.3技术部署选择····················395.5.4安全策略设计····················395.5.5安全功能要求····················40第六章天融信公司简介·······················42信息安全严峻形势近几年以来全球网络威胁持续增长,网络罪犯在恶意代码和服务的开发、传播和使用上愈发趋于专业化,目的愈发商业化,行为愈发组织化,手段愈发多样化。网络犯罪背后的黑色产业链获利能力大幅提高,互联网的无国界性使得全球各国用户都避之不及,造成的损失也随着范围的扩散而快速增多。二十年前,黑客攻击网络、窃取信息主要是为了好奇或者想炫耀自己的能力。而今,网络攻击更多的是获取经济利益的目的,已经形成了黑色产业链。这意味着,网络安全形势已日趋严峻。此外,近年来随着全球网络通讯技术高度发展,带宽的不断增加,互联网兼容人数迅速增长。与此同时,公民的隐私及安全问题很突出,特别是涉及公众个人的隐私泄露,如银行卡及手机支付等个人账号密码信息的窃取,给公众带来很多损害,引起群众的强烈反响。新兴IT技术的应用,物联网、云计算、移动互联、社交网络以及三网融合等等技术正成为IT领域发展的新动向,引起了企业的关注、用户的关注。但是它们的发展正在成为病毒泛滥和黑客攻击的新的温床。而且一旦出现问题,其破坏力将会越来越大。近年来,利用信息网络的安全漏洞或后门窃取、倒卖涉密信息获取利益,或在互联网上恶意公开个人私密信息的事件频繁发生;而传统网络IP化、设备实现软件化、3G业务等新技术、新形式的出现,电信网、互联网和重要信息系统面临的安全形势越来越严峻。尤其是公共电话网络,已逐渐变成继互联网、短信网络之后一个新的骚扰平台,仅在2008年有记录可查的骚扰电话数量就超过9000万次,而未被投诉和发现的骚扰电话数量则至少超过2亿次。信息安全问题随着国家信息化战略的推广凸显其重要地位。信息安全不仅给国家信息化进程带来现实的挑战,而且基于信息网络的渗透、攻防、电子战等概念,也影响到国防安全,给国家与国家之间带来新的竞争关系,直接影响到国家安全和社会稳定。芜湖市人力资源与社会保障局各层领导对安全工作非常重视,从逐年加大在安全建设方面的投资,进行了一系列的安全组织、制度、管理和技术方面的安全建设工作,在近期要求的安全工作包括加强基础安全管理,包括落实组织保障和安全责任;逐步开展安全建设。要从网络、主机、应用系统不同层面建设多层次、立体化安全防护体系;要集中统一建设必备的网络安全防护手段;在划分安全区域,统一边界的基础上,实现重点防护和隔离。1.2单位职能简介芜湖市人力资源和社会保障局主要职责贯彻执行国家、省人力资源和社会保障工作方针政策和法律法规;起草有关地方性法规规章草案;拟订人力资源和社会保障事业发展规划、政策并组织实施和监督检查。拟订并组织实施全市人力资源发展规划、需求目录工作,拟定人才流动政策法规,负责全市人才开发、人才引进工作,建立全市统一规范的人力资源市场,促进人力资源合理、有效配置。负责促进就业工作,拟订统筹城乡就业发展的规划和政策,完善公共就业服务体系;建立就业援助制度,完善职业资格制度;统筹建立面向城乡劳动者的职业培训制度。风险分析方法分析安全风险的方法,主要参考ISO13335,从信息资产、漏洞(弱点)、威胁等多个因素进行全面的评估,具体分析模型如下图所表示:图3.3.1ISO13335以风险为核心的安全模型示意图说明:芜湖社保局所面临的安全风险的大小,是与芜湖社保局所拥有的信息资产对应的,因为信息资产拥有价值,这种价值则增加了安全风险的等级;芜湖社保局信息资产总是存在一些弱点(即漏洞),这些弱点被安全威胁利用后,造成安全风险的增加;针对芜湖社保局的信息资产,总是存在一些人为的或者非人为的威胁因素,而威胁只有利用了信息资产的弱点之后,才会转换为对信息资产的风险;因为芜湖社保局存在安全风险,为降低安全风险,芜湖社保局必须采取必要的安全措施;同时安全风险的存在使芜湖社保局产生了对安全的需求,安全需求只有在采取了相当的安全措施以后,才能够被满足。下面,我们将根据所描述的信息资产分析的结果,进一步从安全威胁、安全弱点进行全面的分析,从而归纳出芜湖社保局信息网所存在的安全风险,并引导出芜湖社保局信息网对安全防护体系的需求。2.2网络安全弱点分析弱点是资产本身存在的,可以被威胁利用、引起组织信息资产或业务目标的损害,一般的,安全风险总是针对系统的安全弱点,所谓安全弱点就是系统在某个方面存在缺陷,而有可能被系统的攻击者利用,对系统发起攻击。所以安全弱点是分析安全风险的首要因素,针对芜湖社保局信息网络,我们分析其存在以下的安全弱点:2.2.1网络结构脆弱性针对芜湖社保局信息网络的基础协议-TCP/IP,由于其自身的缺陷,也使芜湖社保局信息网络存在先天的一些弱点。TCP/IP协议在产生之处,还没有全面考虑安全方面的因素,因而在安全方面存在先天的不足,典型利用TCP/IP协议的弱点,发起攻击行为的就是“拒绝服务攻击”,比如“SYNFLOOD”攻击,它就是利用了TCP协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”表示的数据包,导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。利用TCP/IP协议弱点例子还有就是IP欺骗攻击,IP欺骗由若干步骤组成,首先,目标主机已经选定。其次,信任模式已被发现,并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗,进行以下工作:使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。使被信任主机丧失工作能力,攻击者将要代替真正的被信任主机。系统和应用脆弱性芜湖社保局信息网络运行有大量的重要服务器,众所周知,每一种操作系统都包含有漏洞(如下表所示),开发厂商也会定期发布不订包。如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。芜湖社保局信息网络网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。ID名称说明举例1Backdoor各种后门和远程控制软件,例如BO、Netbus等2BruteForce各种浏览器相关的弱点,例如自动执行移动代码等3CGI-BIN各种CGI-BIN相关的弱点,例如PHF、服务器中各种监守程序产生弱点,例如amd,nntp等5DCOM微软公司DCOM控件产生的相关弱点6DNSDNS服务相关弱点,例如BIND8.2远程溢出弱点7E-mail各种邮件服务器、客户端相关的安全弱点,例如Qpopper的远程溢出弱点8Firewalls各种防火墙及其代理产生的安全弱点,例如GauntletFirewallCyberPatrol内容检查弱点9FTP各种FTP服务器和客户端相关程序或配置弱点,例如WuFTPDsiteexec弱点10InformationGathering各种由于协议或配置不当造成信息泄露弱点,例如finger或rstat的输出11InstantMessaging当前各种即时消息传递工具相关弱点,例如OICQ、IRC、Yahoomessager等相关弱点12LDAPLDAP服务相关的安全弱点,网络层协议处理不当引发的安全弱点,例如LAND攻击弱点14NetworkSniffers各种窃听器相关的安全弱点,例如NetXRay访问控制弱点15NFSNFS服务相关的安全弱点,例如NFS信任关系弱点16NI

1 / 42
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功