当前位置: 信息机 >> 信息机优势 >> 以信息安全保护为核心,介绍业务支撑系统纵
结合业务支撑系统信息安全工作实践经验,以信息安全保护为核心,介绍了业务支撑系统纵深防御体系的方法,通过对安全技术,制度流程、人员管理三大核心要素深入分析,提出了系统规划建设与上线、安全监控与响应、安全审计检查与优化个层次纵深、立体、动态防御措施,并对每层防御措施从技术手段、制度流程、人员管理三个方面进行详细介绍,对于其他信息系统建设安全防护体系,提高安全防御与保护水平有重要的借鉴意义。
(一)系统规划建设与上线
作为纵深防御的第一层防线,采取安全防护手段的完整性、严密性将直接影响系统防御体系的效果。随着“互联网+”的快速发展,业务系统直接面向客户越来越多,在系统建设阶段出现问题,上线后需要花费几倍的代价去修复,影响客户使用给公司带来负面影响,因此,上线前的安全防护措施的有效实施建立至关重要。安全技术方面:从物理安全、终端安全、网络安全、主机安全、账号安全、应用安全和数据安全、安全域隔离等方面建立安全防护措施。针对物理安全,设置物理安全区域,设计时考虑温湿度、火灾、洪水、雷击、爆炸、地震等因素进行物理防护,并对人员出入机房严格管控。针对终端安全,通过对终端安装防病毒软件、网络准入控制等手段保障终端安全。针对主机安全,采取安装主机防护软件进行恶意代码防护和入侵防范、对主机进行基线扫描和漏洞扫描保障设备及软件系统安全。针对账号安全,通过VPN和4A单点登陆系统的应用、主机、数据库,进行身份认证和访问控制。
针对网络安全:通过防火墙和VPN建立网络安全的访问机制,通过IDS和蜜罐/密网建立网络的安全检测。安全域隔离:为不同的服务等级划分独立的网络区域,基于防火墙和路由器对不同的区域的访问进行ACL过滤,VLAN和防火墙同步用于内部网络分域访问控制,将不同区域分为生产域,测试域,管理域,DMZ域、互联网域等。应用安全:采取APT安全检测对网络入侵进行防范,应用接入4A单点登录进行身份鉴别认证,应用渗透测和代码扫描保障系统应用安全。WEB威胁检测对互联网暴露面应用进行安全检测,网页放篡改和WAF对互联网暴露面应用进行入侵防范。数据安全:采取必要的技术措施(如模糊化、加解密、脱敏、防泄密/、身份鉴别、访问控制、金库等)以及数据备份及恢复技术,对数据在采集、传输、存储、使用、共享时进行相关安全防护。通过数据泄露防护设备(网络数据DLP)进行数据防泄露,对敏感数据静态脱敏和敏感数据动态脱敏保护客户信息。面向社会公众用户的IT系统应使用
转载请注明:http://www.aideyishus.com/lkgx/7082.html