新聞中心

Resource Center

德州某法院等級保護整改建設項目簡介

/ 2019-12-04

image.png

一、建設背景

某法院信息系統經過多年的信息化建設,已初具規模。隨著該法院信息化程度的不斷提高,對信息系統的依賴程度不斷增加,網上信息價值不斷增大,信息安全問題也日漸凸現。

為了貫徹國家對重要信息系統安全保障工作的要求以及等級化保護“堅持積極防御、綜合防范”的方針,全面提高信息安全防護能力,該法院安全建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力,創建安全健康的網絡環境,保護國家利益,促進該法院信息化的深入發展。

本文將主要闡述針對該法院的信息系統安全等級保護建設的規劃設計。

二、設計原則

等級保護是國家信息安全建設的重要政策,其核心是對信息系統分等級、按標準進行建設、管理和監督。對于該法院信息安全建設,應當以適度風險為核心,以重點保護為原則,從業務的角度出發,重點保護重要的業務系統。

信息系統安全方案設計示意圖

image.png

三、安全技術方案詳細設計

1.堡壘主機

  1)部署說明

堡壘主機部署在運維管理區域,通過交換機的訪問控制策略限定只能由堡壘主機內控管理平臺直接訪問服務器的遠程維護端口。維護人員對網絡設備、安全設備和服務器系統進行遠程維護時,首先以 WEB 方式登錄堡壘主機,然后通過堡壘主機上展現的訪問資源列表直接訪問授權資源。

  2)實現功能

堡壘主機一般使用應用代理的方式旁路部署在網絡上,用戶通過本系統訪問被管資源,用戶的所有訪問行為都在監視和控制之下,訪問記錄經過規范化、過濾、歸并和告警分析等處理后,以統一格式的日志形式進行集中存儲和管理,結合豐富的日志統計匯總及關聯分析功能,實現對信息系統整體安全狀況的全面審計。

2、殺毒軟件

1)部署說明

在運維管理區部署殺毒軟件,對整個內網定期進行殺毒。

2)實現功能

n  在所有服務器上安裝防病毒軟件,在服務器上有效查殺威脅系統正常運行的病毒、惡意腳本、木馬、蠕蟲等惡意代碼;

n  在服務器上安裝服務器版的防病毒軟件,可以捍衛服務器免受病毒、特洛伊木馬和其它惡意程序的侵襲,不讓其有機會透過文件及數據的分享進而散布到整個用戶的網絡環境,提供完整的病毒掃描防護功能;

n  部署一臺網絡殺毒服務器,安裝網絡版防病毒的服務管理端;

n  在安全維護管理人員使用的終端設備上部署管理控制臺程序,用于為所有的終端提供統一控管,自動更新部署,對防病毒服務器的狀態和策略進行維護,集中報告的客戶端病毒防護情況,同時實現對病毒庫統一升級和管理。

3、數據庫、日志審計系統

1)部署說明

此次項目的被審計對象主要集中在該法院的應用服務器、web服務器、以及數據庫服務器等,其次對于重要網絡設備和安全設備也需要列為審計和保護的對象。

2)實現功能

日志審計系統和數據庫審計是從三個角度去記錄網絡的活動情況,日志審計屬于被動式的技術,其審計結果的完整性取決于被審計對象的日志完整性,但是由于日志審計關注了網絡的每一個環節,因此其審計內容的覆蓋范圍很大,并且日志審計系統將原本分散在各個網絡設備、服務器、安全設備、數據庫中的日志信息匯總起來,并對不同格式的日志內容進行標準化,因此使得系統管理員能夠更有效的查詢和分析日志,更好的監測網站的活動狀態;而數據庫審計屬于主動式的技術,在記錄的過程中還能夠定義關鍵字,在發現一些敏感性的數據包時能夠進行及時報警;另外從記錄的內容上,這兩種審計系統能夠更詳細地記錄訪問過程,從而能夠實現細粒度的審計記錄。

4、上網行為管理系統

1)部署說明

上網行為管理系統部署在外網核心交換機前,與上層流量控制設備相連,同時硬件具有BYPASS功能,當硬件引擎發生故障是可以保障網絡的可用性。上網行為管理能夠有效的協助管理網絡,從網絡接入控制、權限控制到細致的應用與協議管理,以及更加深入的內容管理,

2)實現功能

基于用戶的四層行為管理采用實名制及IP管理,這種管理方式,使得用戶名與IP地址、MAC地址實現統一規劃和捆綁,未通過系統認證管理的用戶禁止進入網絡環境,極大保護了用戶網絡環境的安全。

 

四、方案價值

 

該法院信息系統安全保障建設的基本思路是:以保護信息系統為核心,嚴格參考三級等級保護的思路和標準,從多個層面進行建設,滿足該法院信息系統在物理層面、網絡層面、系統層面、應用層面、數據層面和管理層面的安全需求,建成后的保障體系將充分符合國家標準,能夠為該法院業務的開展提供有力保障。


關注我們

2018-2020 德州網安信息技術有限公司 版權所有 備案號:魯ICP備17032094號
怎么用租的房子赚钱吗