版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
安全方案設(shè)計(jì)新一代公安信息網(wǎng)安全方案設(shè)計(jì)1新一代公安信息網(wǎng)安全建設(shè)目標(biāo) 42新一代公安信息網(wǎng)安全建設(shè)原則 43新一代公安信息網(wǎng)安全建設(shè)依據(jù) 54新一代公安信息網(wǎng)安全方案設(shè)計(jì) 54.1安全整體架構(gòu) 54.2安全建設(shè)拓?fù)?64.3安全建設(shè)內(nèi)容與目標(biāo) 65用戶側(cè)安全方案 75.1用戶側(cè)安全建設(shè)思路 7.1.1PKI升級(jí)改造 75.1.2用戶安全準(zhǔn)入 75.1.3終端安全準(zhǔn)入 84PKI與終端安全準(zhǔn)入對(duì)接 115.2用戶側(cè)安全建設(shè)拓?fù)?125.3用戶側(cè)安全建設(shè)內(nèi)容 13.1PKI升級(jí)改造 135.3.2安全防護(hù) 135.3.3安全檢測(cè) 145.3.4安全管理 156跨網(wǎng)安全訪問與交換平臺(tái)安全方案 166.1跨網(wǎng)安全訪問與交換平臺(tái)安全建設(shè)思路 166.2跨網(wǎng)安全訪問與交換平臺(tái)安全建設(shè)拓?fù)?176.3跨網(wǎng)安全訪問與交換平臺(tái)安全建設(shè)內(nèi)容 176.3.1用戶訪問業(yè)務(wù)安全防護(hù) 176.3.2數(shù)據(jù)交換業(yè)務(wù)安全防護(hù) 216.3.3安全管理區(qū)安全防護(hù) 267數(shù)據(jù)中心安全方案 287.1數(shù)據(jù)中心安全建設(shè)思路 287.2數(shù)據(jù)中心安全建設(shè)拓?fù)?287.3數(shù)據(jù)中心安全建設(shè)內(nèi)容 28防火墻 28日志審計(jì) 297.3.3運(yùn)維審計(jì) 297.3.4數(shù)據(jù)庫審計(jì) 30蜜罐系統(tǒng) 307.3.6漏洞掃描 308應(yīng)用安全 318.1應(yīng)用訪問安全 318.2應(yīng)用開發(fā)安全 328.3應(yīng)用攻擊防護(hù) 348.3.1應(yīng)用入侵防御 348.3.2應(yīng)用脆弱性防護(hù) 358.4應(yīng)用安全審計(jì) 359數(shù)據(jù)安全 359.1數(shù)據(jù)安全體系 369.2數(shù)據(jù)分級(jí)分類 369.3數(shù)據(jù)訪問控制 379.4數(shù)據(jù)采集安全 389.5數(shù)據(jù)傳輸安全 399.6數(shù)據(jù)存儲(chǔ)安全 399.7數(shù)據(jù)銷毀安全 399.8數(shù)據(jù)安全審計(jì) 4010云平臺(tái)安全 4210.1平臺(tái)服務(wù)安全 42云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)安全 4210.2.1安全域劃分 4210.2.2安全云設(shè)計(jì) 4310.2.3核心能力 4411安全運(yùn)行與管理 48安全架構(gòu) 48建設(shè)目標(biāo) 48安全態(tài)勢(shì)分析能力 4911.3.1資產(chǎn)態(tài)勢(shì) 4911.3.2運(yùn)行態(tài)勢(shì) 5011.3.3預(yù)警態(tài)勢(shì) 5011.3.4脆弱性態(tài)勢(shì) 5111.3.5數(shù)據(jù)安全態(tài)勢(shì) 5211.3.6安全事件態(tài)勢(shì) 53安全方案設(shè)計(jì)41新一代公安信息網(wǎng)安全建設(shè)目標(biāo)2新一代公安信息網(wǎng)安全建設(shè)原則(1)整體統(tǒng)籌原則(2)實(shí)用易用原則(3)平穩(wěn)過渡原則自身實(shí)際情況,分步建設(shè)實(shí)施。(4)安全可控原則和數(shù)據(jù)安全在可控范圍之內(nèi)等。(5)智能先進(jìn)原則安全方案設(shè)計(jì)53新一代公安信息網(wǎng)安全建設(shè)依據(jù)(1)《“一網(wǎng)雙域”公安信息網(wǎng)網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)(征求意見稿)》(2)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》(GB/T17859-1999)(3)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)(4)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分:云計(jì)算安全擴(kuò)展要求》(GA/T1390.2-2017)(5)《信息安全技術(shù)云計(jì)算服務(wù)安全指南》(GBT31167-2014)(6)《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》(GBT31168-2014)(7)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)(8)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T24856-2009)術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》(11)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》(GA/T387-2002)(12)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》(GA/T388-2002)(13)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》(GA/T389-2002)(14)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》(GA/T390-2002)(15)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》(GA/T391-2002)4新一代公安信息網(wǎng)安全方案設(shè)計(jì)4.1安全整體架構(gòu)可安全方案設(shè)計(jì)64.2安全建設(shè)拓?fù)?.3安全建設(shè)內(nèi)容與目標(biāo)防護(hù)、跨網(wǎng)安全訪問與交換平臺(tái)邊界防護(hù)、數(shù)據(jù)側(cè)安全防護(hù)及安全運(yùn)行與管理建設(shè)。安全方案設(shè)計(jì)75用戶側(cè)安全方案5.1用戶側(cè)安全建設(shè)思路5.1.1PKI升級(jí)改造全國公安身份認(rèn)證與訪問控制管理系統(tǒng)(PKI/PMI系統(tǒng))作為公安信息化中重要的安全按照《全國公安身份認(rèn)證與訪問控制管理系統(tǒng)國產(chǎn)密碼算法替換建設(shè)任務(wù)書》(公科信5.1.2用戶安全準(zhǔn)入安全方案設(shè)計(jì)8Y5.1.3終端安全準(zhǔn)入類型設(shè)備:?jiǎn)〗K端設(shè)備需要通過白名單+流量基線的方式進(jìn)行入網(wǎng)管理,傳統(tǒng)的夠及時(shí)告警和處置。力。端安全方案設(shè)計(jì)9證兩種方式。根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)、《公安信存共享資源檢查安全方案設(shè)計(jì)終端安全準(zhǔn)入系統(tǒng)遵循終端注冊(cè)->身份認(rèn)證->安全檢查->安全隔離/允許入網(wǎng)的控制流不安全的終端接入網(wǎng)絡(luò)而造成的未知風(fēng)險(xiǎn)。根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)、《公安信頁面。P況。安全方案設(shè)計(jì)異常情況發(fā)現(xiàn)、分析和報(bào)警。1.3.10終端非法外聯(lián)的事件;5.1.4PKI與終端安全準(zhǔn)入對(duì)接賴性。。安全方案設(shè)計(jì)特性。。使用摘要(HASH)算法,實(shí)現(xiàn)終端與設(shè)備之間傳輸數(shù)據(jù)的完整性保障。與服務(wù)端實(shí)現(xiàn)通信加密傳輸,并實(shí)現(xiàn)強(qiáng)身份認(rèn)證。5.2用戶側(cè)安全建設(shè)拓?fù)浒踩桨冈O(shè)計(jì)5.3用戶側(cè)安全建設(shè)內(nèi)容5.3.1PKI升級(jí)改造公安國密算法數(shù)字證書的分階段應(yīng)用。。5.3.2安全防護(hù)明。安全方案設(shè)計(jì)全準(zhǔn)入能力。5.3.3安全檢測(cè)通過配置一臺(tái)高性能的TAP復(fù)制分流器對(duì)重要的網(wǎng)絡(luò)節(jié)點(diǎn)鏡像的流量進(jìn)行采集和復(fù)制,把通過五元組過濾規(guī)則以及特征碼過濾規(guī)則對(duì)某項(xiàng)業(yè)務(wù)流量或協(xié)議進(jìn)行數(shù)據(jù)包的過濾和行檢測(cè)、對(duì)內(nèi)容進(jìn)行深度的檢測(cè)。安全方案設(shè)計(jì)的具體內(nèi)容。通過部署沙箱檢測(cè)系統(tǒng)為警務(wù)應(yīng)用提供降低未知威脅和針對(duì)性攻擊風(fēng)險(xiǎn)所需的全網(wǎng)范云圍環(huán)境中,沙箱檢測(cè)系統(tǒng)可為警務(wù)應(yīng)用提供檢測(cè)高未知威脅和針對(duì)性攻擊所需的可見性和情提供開放且可擴(kuò)展的自定義動(dòng)態(tài)沙盒分析,在第一時(shí)間保護(hù)公安網(wǎng)免于APT與針對(duì)性攻擊需求。5.3.4安全管理安全方案設(shè)計(jì)漏洞掃描設(shè)備能夠通過綜合運(yùn)用多種手段(主機(jī)存活探測(cè)、智能端口檢測(cè)等)全面、快端為進(jìn)一步脆弱性掃描做好準(zhǔn)備。行為,及時(shí)發(fā)現(xiàn)并阻斷該行為。6跨網(wǎng)安全訪問與交換平臺(tái)安全方案6.1跨網(wǎng)安全訪問與交換平臺(tái)安全建設(shè)思路安全方案設(shè)計(jì)6.2跨網(wǎng)安全訪問與交換平臺(tái)安全建設(shè)拓?fù)?.3跨網(wǎng)安全訪問與交換平臺(tái)安全建設(shè)內(nèi)容6.3.1用戶訪問業(yè)務(wù)安全防護(hù)。安全方案設(shè)計(jì)地;.1安全防護(hù)訪問通道防火墻用于保證業(yè)務(wù)訪問網(wǎng)絡(luò)通道僅允許用戶訪問流量的進(jìn)入和業(yè)務(wù)系統(tǒng)的防火墻采用冗余部署,保證網(wǎng)絡(luò)可靠性。包進(jìn)行訪問控制,可實(shí)現(xiàn)基于策略的HTTP、FTP、P部終端獲得。安全方案設(shè)計(jì).2安全檢測(cè)TAP通過五元組過濾規(guī)則以及特征碼過濾規(guī)則對(duì)某項(xiàng)業(yè)務(wù)流量或協(xié)議進(jìn)行數(shù)據(jù)包的過濾和將IPS旁路部署在跨網(wǎng)安全訪問與交換平臺(tái)核心交換機(jī),可以有效的對(duì)節(jié)點(diǎn)流量進(jìn)行頁篡改、網(wǎng)頁掛馬等安全事件的發(fā)生。在公安信息網(wǎng)跨網(wǎng)安全訪問與交換平臺(tái)核心交換機(jī)旁路部署流量分析系統(tǒng)進(jìn)行流量的夠準(zhǔn)確快速地檢測(cè)各種攻擊行為。的具體內(nèi)容。通過部署沙箱檢測(cè)系統(tǒng)為警務(wù)應(yīng)用提供降低未知威脅和針對(duì)性攻擊風(fēng)險(xiǎn)所需的全網(wǎng)范這安全方案設(shè)計(jì)圍環(huán)境中,沙箱檢測(cè)系統(tǒng)可為警務(wù)應(yīng)用提供檢測(cè)高未知威脅和針對(duì)性攻擊所需的可見性和情提供開放且可擴(kuò)展的自定義動(dòng)態(tài)沙盒分析,在第一時(shí)間保護(hù)公安網(wǎng)免于APT與針對(duì)性攻擊需求。.3用戶服務(wù)云終端通過桌面接入網(wǎng)關(guān)代理訪問對(duì)應(yīng)的桌面,同桌面接入網(wǎng)關(guān)之間采用SSL加密的虛擬的重新定向;用戶通過在終端上輸入域用戶名和密碼訪問對(duì)應(yīng)桌面。PU安全方案設(shè)計(jì)和.4API訪問控制網(wǎng)的應(yīng)用和數(shù)據(jù)對(duì)終端不可見。問6.3.2數(shù)據(jù)交換業(yè)務(wù)安全防護(hù)點(diǎn)內(nèi)部實(shí)現(xiàn)快速高效的交換。安全方案設(shè)計(jì)公安網(wǎng)內(nèi)數(shù)據(jù)交換通暢,此類數(shù)據(jù)交換經(jīng)過安全平臺(tái)。聚節(jié)點(diǎn)。.1安全防護(hù)訪問通道防火墻用于保證業(yè)務(wù)訪問網(wǎng)絡(luò)通道僅允許用戶訪問流量的進(jìn)入和業(yè)務(wù)系統(tǒng)的防火墻采用冗余部署,保證網(wǎng)絡(luò)可靠性。包進(jìn)行訪問控制,可實(shí)現(xiàn)基于策略的HTTP、FTP、P安全方案設(shè)計(jì).2安全檢測(cè)安全檢測(cè)需求,可通過配置一臺(tái)高性能的TAP復(fù)制分流器對(duì)重要的網(wǎng)絡(luò)節(jié)點(diǎn)鏡像的流量進(jìn)證和會(huì)話的完整性。通過五元組過濾規(guī)則以及特征碼過濾規(guī)則對(duì)某項(xiàng)業(yè)務(wù)流量或協(xié)議進(jìn)行數(shù)據(jù)包的過濾和將IPS旁路部署在跨網(wǎng)安全訪問與交換平臺(tái)核心交換機(jī),可以有效的對(duì)節(jié)點(diǎn)流量進(jìn)行頁篡改、網(wǎng)頁掛馬等安全事件的發(fā)生。在公安信息網(wǎng)跨網(wǎng)安全訪問與交換平臺(tái)核心交換機(jī)旁路部署流量分析系統(tǒng)進(jìn)行流量的夠準(zhǔn)確快速地檢測(cè)各種攻擊行為。的具體內(nèi)容。安全方案設(shè)計(jì)通過部署沙箱檢測(cè)系統(tǒng)為警務(wù)應(yīng)用提供降低未知威脅和針對(duì)性攻擊風(fēng)險(xiǎn)所需的全網(wǎng)范云圍環(huán)境中,沙箱檢測(cè)系統(tǒng)可為警務(wù)應(yīng)用提供檢測(cè)高未知威脅和針對(duì)性攻擊所需的可見性和情提供開放且可擴(kuò)展的自定義動(dòng)態(tài)沙盒分析,在第一時(shí)間保護(hù)公安網(wǎng)免于APT與針對(duì)性攻擊需求。障處式息系統(tǒng)安全狀況的全面管理。安全方案設(shè)計(jì).3安全交換對(duì)象包括社會(huì)企事業(yè)單位,黨/政/軍機(jī)關(guān),公安機(jī)關(guān)駐地外和視頻專網(wǎng)和互聯(lián)網(wǎng)等。(1)社會(huì)企事業(yè)單位接入業(yè)務(wù)允許的業(yè)務(wù)操作方式為數(shù)據(jù)交換。(2)黨/政/軍機(jī)關(guān)接入業(yè)務(wù)允許的業(yè)務(wù)操作方式為數(shù)據(jù)交換。(3)公安機(jī)關(guān)駐地外接入業(yè)務(wù)允許的業(yè)務(wù)操作方式為數(shù)據(jù)交換。(4)視頻專網(wǎng)視頻接入業(yè)務(wù)允許的業(yè)務(wù)操作方式為:視頻單向傳入,只能由公安信息。(5)互聯(lián)網(wǎng)數(shù)據(jù)單向采集業(yè)務(wù)允許的業(yè)務(wù)操作為:由數(shù)據(jù)報(bào)送終端通過互聯(lián)網(wǎng)采集鏈安信息通信網(wǎng)的單向數(shù)據(jù)傳輸。(1)數(shù)據(jù)交換系統(tǒng)提供多種主流數(shù)據(jù)庫(SQL、ORACLE、DB2、MYSQL等)的單、雙向數(shù)據(jù)交換;提供安全(2)視頻交換系統(tǒng)頻端口默認(rèn)關(guān)閉;(3)單向傳輸系統(tǒng)(4)前后置服務(wù)器集群應(yīng)用代理。安全方案設(shè)計(jì)6.3.3安全管理區(qū)安全防護(hù)訪問通道防火墻用于保證業(yè)務(wù)訪問網(wǎng)絡(luò)通道僅允許用戶訪問流量的進(jìn)入和業(yè)務(wù)系統(tǒng)的防火墻采用冗余部署,保證網(wǎng)絡(luò)可靠性。包進(jìn)行訪問控制,可實(shí)現(xiàn)基于策略的HTTP、FTP、P部終端獲得。理體系。存性。戶,提高系統(tǒng)的安全性。證安全方案設(shè)計(jì)通過堡壘機(jī)可以定期自動(dòng)修改目標(biāo)設(shè)備密碼功能。支持Windows、Linux/Unix、網(wǎng)絡(luò)設(shè)安網(wǎng)中各類非法權(quán)限獲取行為。維操作行為的審計(jì)分析,對(duì)違規(guī)和異常行為進(jìn)行告警。通過部署沙箱檢測(cè)系統(tǒng)為警務(wù)應(yīng)用提供降低未知威脅和針對(duì)性攻擊風(fēng)險(xiǎn)所需的全網(wǎng)范云圍環(huán)境中,沙箱檢測(cè)系統(tǒng)可為警務(wù)應(yīng)用提供檢測(cè)高未知威脅和針對(duì)性攻擊所需的可見性和情提供開放且可擴(kuò)展的自定義動(dòng)態(tài)沙盒分析,在第一時(shí)間保護(hù)公安網(wǎng)免于APT與針對(duì)性攻擊漏洞掃描設(shè)備能夠通過綜合運(yùn)用多種手段(主機(jī)存活探測(cè)、智能端口檢測(cè)等)全面、快端為進(jìn)一步脆弱性掃描做好準(zhǔn)備。安全方案設(shè)計(jì)7數(shù)據(jù)中心安全方案7.1數(shù)據(jù)中心安全建設(shè)思路冗余部署防火墻設(shè)備,重點(diǎn)根據(jù)IP、協(xié)議、端口號(hào)、服務(wù)、用戶等信息判斷信息的敏感程與防護(hù)。7.2數(shù)據(jù)中心安全建設(shè)拓?fù)?.3數(shù)據(jù)中心安全建設(shè)內(nèi)容7.3.1防火墻訪問通道防火墻用于保證業(yè)務(wù)訪問網(wǎng)絡(luò)通道僅允許用戶訪問流量的進(jìn)入和業(yè)務(wù)系統(tǒng)的防火墻采用冗余部署,保證網(wǎng)絡(luò)可靠性。安全方案設(shè)計(jì)控制,可實(shí)現(xiàn)基于策略的HTTP、FTP、獲得。7.3.2日志審計(jì)作行為的審計(jì)分析,對(duì)違規(guī)和異常行為進(jìn)行告警。7.3.3運(yùn)維審計(jì)理體系。存性。戶,提高系統(tǒng)的安全性。證安全方案設(shè)計(jì)安網(wǎng)中各類非法權(quán)限獲取行為。7.3.4數(shù)據(jù)庫審計(jì)障處式息系統(tǒng)安全狀況的全面管理。7.3.5蜜罐系統(tǒng)網(wǎng)7.3.6漏洞掃描漏洞掃描設(shè)備能夠通過綜合運(yùn)用多種手段(主機(jī)存活探測(cè)、智能端口檢測(cè)等)全面、快端為進(jìn)一步脆弱性掃描做好準(zhǔn)備。安全方案設(shè)計(jì)行為,及時(shí)發(fā)現(xiàn)并阻斷該行為。8應(yīng)用安全8.1應(yīng)用訪問安全(一)統(tǒng)一身份認(rèn)證建設(shè)以及基于各種生物特征的認(rèn)證方式。訪問。行審計(jì),而且能夠?qū)⒍鄠€(gè)主機(jī)、(二)統(tǒng)一身份認(rèn)證管理關(guān)聯(lián)和授權(quán)策略管理。(1)單點(diǎn)登錄:首先,將用戶重定向到訪問服務(wù)提供商的網(wǎng)站,服務(wù)提供商向用戶發(fā)(2)單點(diǎn)登出:用戶向身份認(rèn)證服務(wù)器提出單點(diǎn)登出,認(rèn)證服務(wù)器向用戶訪問的服務(wù)發(fā)出注銷請(qǐng)求,使用戶登出使用的各種服務(wù)。(3)新用戶注冊(cè):如果用戶沒有在服務(wù)提供商或認(rèn)證服務(wù)器進(jìn)行過注冊(cè),則此二者都戶名注冊(cè)過程對(duì)用戶進(jìn)行注冊(cè)。認(rèn)證服務(wù)器賬戶之間的關(guān)聯(lián)。安全方案設(shè)計(jì)(5)用戶名取消關(guān)聯(lián):用戶可以在服務(wù)提供商或身份認(rèn)證服務(wù)器處要求取消賬號(hào)關(guān)聯(lián)。(三)統(tǒng)一授權(quán)管理角色分配相應(yīng)的權(quán)限。業(yè)務(wù)系統(tǒng)時(shí),在業(yè)務(wù)系統(tǒng)完成用戶的權(quán)限檢測(cè)(包括系統(tǒng)級(jí)權(quán)限檢測(cè)以及系。(1)單點(diǎn)登錄:首先,將用戶重定向到訪問服務(wù)提供商的網(wǎng)站,服務(wù)提供商向用戶發(fā)(2)單點(diǎn)登出:用戶向身份認(rèn)證服務(wù)器提出單點(diǎn)登出,認(rèn)證服務(wù)器向用戶訪問的服務(wù)發(fā)出注銷請(qǐng)求,使用戶登出使用的各種服務(wù)。(3)二次身份驗(yàn)證:在應(yīng)用內(nèi)針對(duì)特定功能進(jìn)行應(yīng)用內(nèi)二次身份認(rèn)證。下,需進(jìn)行動(dòng)態(tài)授權(quán)驗(yàn)證。過審批,如有不良記錄,需進(jìn)行人員審批。8.2應(yīng)用開發(fā)安全安全方案設(shè)計(jì)點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。試中有關(guān)安全經(jīng)驗(yàn)的總結(jié),可以用于指導(dǎo)安全開發(fā)人員(特別是軟件架構(gòu)師和設(shè)計(jì)師)開發(fā)系統(tǒng)。容來源于具體的安全設(shè)計(jì)內(nèi)容。b安全方案設(shè)計(jì)?源代碼審計(jì)內(nèi)容;從安全性方面檢查其脆弱性和缺陷。作機(jī)制。8.3應(yīng)用攻擊防護(hù)8.3.1應(yīng)用入侵防御協(xié)議攻擊、手機(jī)病毒、僵木蠕威脅、隱蔽通道、。安全方案設(shè)計(jì)8.3.2應(yīng)用脆弱性防護(hù)等進(jìn)行檢測(cè)的能力。證應(yīng)用弱口令防護(hù)。8.4應(yīng)用安全審計(jì)權(quán)訪問等安全風(fēng)險(xiǎn)。包括:業(yè)務(wù)操作審計(jì)、業(yè)務(wù)系統(tǒng)威脅發(fā)現(xiàn)與審計(jì)。9數(shù)據(jù)安全安全方案設(shè)計(jì)9.1數(shù)據(jù)安全體系標(biāo)準(zhǔn)。9.2數(shù)據(jù)分級(jí)分類(一)總體原則制,,也支持單獨(dú)權(quán)限控制。(二)數(shù)據(jù)分級(jí)別低于該級(jí)別(含)的數(shù)據(jù)記錄。(三)數(shù)據(jù)校驗(yàn)安全方案設(shè)計(jì)9.3數(shù)據(jù)訪問控制(1)用戶分權(quán)(2)用戶分類(3)鑒別機(jī)制專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;份鑒別;應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;(4)行為審計(jì)括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等;、分析及生成審計(jì)報(bào)表的功能。(5)賬號(hào)管理安全方案設(shè)計(jì)級(jí)用戶賬號(hào)需通過保密形式由信息中心負(fù)責(zé)人留存一份;(6)權(quán)限管理,確保各信息系統(tǒng)安全、有序、(7)網(wǎng)絡(luò)資源授權(quán)(8)計(jì)算資源授權(quán)(9)應(yīng)用資源授權(quán)(10)數(shù)據(jù)資源授權(quán)(11)合規(guī)接入9.4數(shù)據(jù)采集安全集和傳輸。。統(tǒng)可直接通過防火墻實(shí)現(xiàn)。點(diǎn)對(duì)點(diǎn)連接,避免不明來源的設(shè)備訪問前置交換系統(tǒng)。安全方案設(shè)計(jì)9.5數(shù)據(jù)傳輸安全,各個(gè)平臺(tái)和業(yè)務(wù)系統(tǒng)內(nèi)部實(shí)現(xiàn)和綜合安全網(wǎng)關(guān)VPN子系統(tǒng)對(duì)接實(shí)現(xiàn)數(shù)據(jù)傳輸安全,對(duì)接安平臺(tái)實(shí)現(xiàn)身份認(rèn)證、訪問控制。9.6數(shù)據(jù)存儲(chǔ)安全于文件數(shù)據(jù)則通過文件加密的方式存儲(chǔ),防止信息泄露。時(shí)數(shù)據(jù)等經(jīng)常更新的動(dòng)態(tài)數(shù)據(jù),據(jù)則可以取更長(zhǎng)的時(shí)間間隔(如1個(gè)季度或半年)。庫進(jìn)行關(guān)鍵數(shù)據(jù)的備份。9.7數(shù)據(jù)銷毀安全盤消磁作業(yè)視頻監(jiān)控策略,聚焦監(jiān)控操作的防抵賴性和視頻監(jiān)控記錄保存的完整性。安全方案設(shè)計(jì),折彎之后,才能運(yùn)出數(shù)據(jù)中心。9.8數(shù)據(jù)安全審計(jì)中間處理層),對(duì)數(shù)據(jù)服務(wù)層進(jìn)行非授權(quán)的直接的問題。管理員無法主動(dòng)發(fā)現(xiàn)數(shù)據(jù)庫里的機(jī)密信息是否已被泄露。數(shù)據(jù)庫數(shù)據(jù)如發(fā)生繞過應(yīng)用系統(tǒng),直接對(duì)數(shù)據(jù)庫應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行非法修改和刪除,破壞關(guān)鍵應(yīng)配置據(jù)庫權(quán)限管理跟蹤務(wù)內(nèi)部文件等數(shù)據(jù)訪問。密性、完整性、可用性、真實(shí)性、授權(quán)、認(rèn)證和不可抵賴性。主要實(shí)現(xiàn)以下目標(biāo)。置。安全方案設(shè)計(jì)的挑戰(zhàn)。失、意外的數(shù)據(jù)覆蓋和破壞。區(qū),可較好的解決數(shù)據(jù)存儲(chǔ)安全問題。保密要求的資源存在于同一個(gè)物理存儲(chǔ)介質(zhì)上,安全保密需求低的應(yīng)用/主機(jī)有可能越權(quán)訪問敏感資源或者高安全保密應(yīng)用/主機(jī)的信息,為了避免這種情況的發(fā)生,虛擬化管理軟件采用多種訪問控制管理手段對(duì)存儲(chǔ)資源進(jìn)行隔離和訪問控制,保證只有授權(quán)的主機(jī)/應(yīng)用能應(yīng)用不能訪問,甚至不能看到其他存儲(chǔ)資源的存在。號(hào))與交換機(jī)物理端口綁定、交換機(jī)分區(qū)和邏輯單元屏蔽(LUNMasking)等方式實(shí)現(xiàn)。根全協(xié)議(FC-SP)實(shí)現(xiàn)主機(jī)認(rèn)證;采用光纖交換機(jī)分區(qū)將連接在SAN網(wǎng)絡(luò)中的設(shè)備(主機(jī)和PKM安全方案設(shè)計(jì)備和主機(jī)服務(wù)器的操作系統(tǒng)(Windows或Linux)都提供針對(duì)不同用戶對(duì)不同文件和目錄授。在應(yīng)用存儲(chǔ)虛擬化后,虛擬化管理軟件應(yīng)能全面管理不同虛擬對(duì)象,如IPSAN和FC異性。10云平臺(tái)安全10.1平臺(tái)服務(wù)安全基線和漏洞掃描等功能。10.2云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)安全10.2.1安全域劃分安全方案設(shè)計(jì),離。,。對(duì)虛擬機(jī)遷移、資源彈性擴(kuò)展、業(yè)務(wù)使用情況及運(yùn)維操作人員進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)。。10.2.2安全云設(shè)計(jì)將安全設(shè)備軟件化建立簡(jiǎn)單的虛擬化安全資源池。但此種方式存在較大的缺陷,安全方案設(shè)計(jì)力的配置抽象為必要的邏輯實(shí)現(xiàn)?;贠penStack架構(gòu),定義各類標(biāo)準(zhǔn)安全服務(wù),并關(guān)聯(lián)10.2.3核心能力對(duì)于租戶/業(yè)務(wù)管理員而言,業(yè)務(wù)上線過程中所面臨的繁瑣安全配置往往是掣肘業(yè)務(wù)上云環(huán)境中的無界網(wǎng)絡(luò),對(duì)租戶的配置對(duì)象無法進(jìn)行統(tǒng)一的引用。在安全云架構(gòu)中,所定義的對(duì)象(資產(chǎn))可以被所有安全服務(wù)進(jìn)行調(diào)用??啥x的對(duì)象 能夠動(dòng)態(tài)的對(duì)虛擬機(jī)列表及租戶(業(yè)務(wù))網(wǎng)關(guān)列表進(jìn)行同步,確保租戶(業(yè)務(wù))管理在配置在完成防護(hù)對(duì)象(資產(chǎn))的選取之后,安全云也對(duì)各個(gè)安全業(yè)務(wù)的配置邏輯進(jìn)行統(tǒng)一抽安全方案設(shè)計(jì)。享安全享安全能力分配。立的硬件資源,即使在單獨(dú)重啟后也不互相干擾。防護(hù)類安全能力通過同租戶在OpenStack架構(gòu)中的網(wǎng)關(guān)(OpenStack稱之為“路由器”)關(guān)聯(lián),保證業(yè)務(wù)流量能夠?qū)?yīng)到租戶專屬的安全能力。安全方案設(shè)計(jì)。安全方案設(shè)計(jì)息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中所強(qiáng)調(diào)的技術(shù)重點(diǎn)。傳統(tǒng)技術(shù)無法對(duì)租戶的日的安全狀態(tài)可視化設(shè)備往往會(huì)通過獨(dú)立的管理中心分別對(duì)不同的安全設(shè)備/能力進(jìn)行管理。隨后,SOC平臺(tái)的安全服務(wù)的效果進(jìn)行評(píng)價(jià),對(duì)安
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 工作總結(jié)之工程管理部實(shí)習(xí)總結(jié)
- 學(xué)校少先隊(duì)工作計(jì)劃3篇
- 銀行內(nèi)部管理檔案歸檔制度
- 銀行財(cái)務(wù)管理內(nèi)部控制測(cè)試制度
- 《改革開放經(jīng)驗(yàn)的科》課件
- 《故障模式分析》課件
- 科學(xué)上冊(cè)課件《總結(jié)我們的天氣觀察》
- 辦公室護(hù)膚寶典課件
- 生物細(xì)胞課件各類細(xì)胞電鏡
- 南湖上的小船課件
- (T8聯(lián)考)2025屆高三部分重點(diǎn)中學(xué)12月聯(lián)合測(cè)評(píng)語文試卷(含答案解析)
- 2024金屬非金屬礦山(露天礦山)安全管理人員試題及解析
- 2024年考研(英語一)真題及參考答案
- 山東省濟(jì)南市2023-2024學(xué)年高二上學(xué)期期末考試物理試題 附答案
- 《倉庫消防安全教育》培訓(xùn)
- 心肺復(fù)蘇術(shù)課件2024新版
- 部編版一年級(jí)上冊(cè)語文期末試題帶答案
- 2023-2024公需科目(數(shù)字經(jīng)濟(jì)與驅(qū)動(dòng)發(fā)展)考試題庫及答案
- 2024標(biāo)準(zhǔn)版勞務(wù)合同范本下載
- 2024年交管12123學(xué)法減分考試題庫和答案
- 常用統(tǒng)計(jì)軟件應(yīng)用智慧樹知到課后章節(jié)答案2023年下?lián)P州大學(xué)
評(píng)論
0/150
提交評(píng)論