¿Cuáles son las responsabilidades de la Unidad de Red de Comunicaciones del Centro de Seguridad de la Información?
2. Los servidores y estaciones de trabajo del sitio web están equipados con software antivirus genuino y se toma un conjunto completo de medidas preventivas contra virus informáticos y correos electrónicos dañinos para evitar que información dañina interfiera y dañe el sistema del sitio web. .
3. Mantener registros de producción. El sitio web tiene la función de guardar registros de operación del sistema y registros de uso del usuario durante más de 60 días, incluidas direcciones IP y uso, mantenedores de la página de inicio, usuarios de correo electrónico y direcciones IP correspondientes.
4. La columna interactiva tiene funciones de dirección IP, registro de identidad y confirmación de identidad. Los servicios de tablón de anuncios que no cumplan con los procedimientos y condiciones legales se cerrarán de inmediato.
5. El sistema de servicios de información del sitio web debe establecer un mecanismo de respaldo en caliente de doble máquina para garantizar que una vez que el sistema principal falla o es atacado, el sistema de respaldo pueda reemplazar rápidamente al sistema principal para brindar servicios.
6. Cierre las funciones de servicio no utilizadas temporalmente y los puertos relacionados en el sistema del sitio web, use parches para reparar las vulnerabilidades del sistema de manera oportuna y verifique periódicamente si hay virus.
7. Bloquee el servidor en horarios normales y mantenga la contraseña de inicio de sesión; establezca el nombre de superusuario y la contraseña en la interfaz de administración en segundo plano y vincule la IP para evitar que otros inicien sesión.
8. El sitio web proporciona gestión de permisos centralizada. El administrador del sistema del sitio web establece * * * derechos de acceso a la información de la base de datos de acuerdo con diferentes sistemas de aplicación, terminales y operadores, y establece las contraseñas y contraseñas correspondientes. Los diferentes operadores establecen diferentes nombres de usuario y los cambian periódicamente. Los operadores tienen prohibido revelar contraseñas. Los permisos del operador se establecen estrictamente de acuerdo con las responsabilidades laborales y el administrador del sistema del sitio web verifica periódicamente los permisos del operador.
9. La sala de ordenadores de la empresa está construida de acuerdo con los estándares de las salas de ordenadores de telecomunicaciones y está equipada con el sistema de alimentación ininterrumpida UPS independiente necesario, el sistema de detección de humo de alta sensibilidad y el sistema de protección contra incendios, e inspecciones periódicas del suministro de energía. Se realizan protección contra incendios, a prueba de humedad, antimagnética y a prueba de roedores.
Medidas de seguridad de la red y la información
1. Medidas de seguridad de la red
Para garantizar completamente la seguridad de la red de la empresa, se ha establecido la solución de plataforma de red de la empresa
El diseño se basará principalmente en los siguientes principios de diseño:
Seguridades
En el diseño de este plan partiremos de la red, sistema, aplicación , gestión de operaciones, redundancia del sistema, etc. Realice análisis completos desde diversas perspectivas y adopte tecnologías de seguridad avanzadas, como firewalls y tecnologías de cifrado.
Los sitios web Hotspot proporcionan un sistema de seguridad completo. Garantizar el funcionamiento seguro del sistema.
Alto rendimiento
Teniendo en cuenta el futuro crecimiento empresarial de la plataforma de red de la empresa, en el diseño de este plan realizaremos un análisis exhaustivo de la red, servidor, software, y aplicaciones, y diseñar racionalmente la estructura y configuración.
Para garantizar que durante los períodos pico de acceso simultáneo por parte de una gran cantidad de usuarios, el sistema aún tenga suficiente potencia de procesamiento para garantizar la calidad del servicio.
Confiabilidad
Como plataforma de portal empresarial, la plataforma de red de la empresa se diseñará de manera integral en términos de estructura del sistema, estructura de la red, medidas técnicas, selección de instalaciones, etc. , minimizando al mismo tiempo la inversión.
Minimizar el número de nodos únicos defectuosos en el sistema y lograr un servicio ininterrumpido 7×24.
Escalabilidad
Un excelente diseño arquitectónico (incluida la arquitectura de hardware y software) es muy importante para que el sistema se adapte al desarrollo empresarial futuro. En el diseño de este sistema se tienen en cuenta los sistemas de hardware (como servidores)
, el diseño de almacenamiento, etc. ) seguirá el principio de escalabilidad para garantizar que el sistema pueda expandirse sin problemas y sin problemas a medida que el volumen de negocios continúa creciendo sin detener el servicio; al mismo tiempo, el diseño de la arquitectura del software también seguirá el principio de escalabilidad; >
para satisfacer las necesidades de crecimiento de nuevos negocios.
eOpenness
Teniendo en cuenta que este sistema involucrará tecnologías de equipos de diferentes fabricantes y requisitos del sistema en constante expansión, se adoptarán todos los estándares internacionales/estándares de la industria en la selección de tecnología de productos de este proyecto. Los estándares hacen que este proyecto
El sistema tenga buena apertura.
f. Avance
En este sistema, se tienen en cuenta las tecnologías de productos utilizadas en la construcción de plataformas de software y hardware, el diseño y desarrollo de sistemas de aplicaciones y el mantenimiento y gestión del sistema. cuenta el desarrollo actual de la tendencia de Internet, al tiempo que adopta relativamente avanzado y.
Las tecnologías de productos relativamente maduras en el mercado pueden satisfacer las necesidades de desarrollo de futuros sitios web populares.
Integración del sistema
Los sistemas de software y hardware de esta solución incluyen excelentes productos de Shili Technology y de terceros fabricantes. Proporcionaremos servicios completos de integración de aplicaciones para el sitio web de Raman, permitiendo que el sitio web de Raman tenga más colecciones de recursos.
En el desarrollo y operaciones de negocio, no realizar trabajos específicos de integración3.
1. Medidas de salvaguardia de las instalaciones de hardware:
El equipo del servidor de información de Chongqing Raman Technology Development Co., Ltd. cumple con los indicadores de interfaz técnica de la red de comunicación pública de correos y telecomunicaciones y las normas técnicas y características eléctricas de la comunicación terminal y los métodos de comunicación.
No afectará a la seguridad de la red pública. La empresa alquila el entorno de sala de ordenadores estándar de Chongqing Telecom IDC para colocar servidores de información, que incluyen: aire acondicionado, iluminación, humedad, suministro de energía ininterrumpida, piso antiestático, etc. Heavy
Qing Telecom proporciona un puerto de datos de alta velocidad para que nuestro servidor acceda a la red CHINANET. El modo de aplicación del sistema host del sistema determina que el sistema enfrentará una gran cantidad de usuarios y una gran cantidad de fusiones.
El sistema de acceso es un sistema de aplicación clave de alta confiabilidad, lo que requiere que el sistema evite cualquier posible tiempo de inactividad y daño y pérdida de datos. El sistema requiere la última tecnología de servidor de aplicaciones.
Equilibrio de carga y prevención de puntos únicos de fallo.
Tecnología de hardware del host del sistema
CPU: CPU de 32 bits o superior, admite estructura de múltiples CPU, actualización sin problemas.
El servidor tiene alta confiabilidad y capacidades de trabajo a largo plazo. El tiempo medio entre fallos (MTBF) de todo el sistema no es inferior a 100.000 horas. El sistema proporciona un potente software de diagnóstico para diagnosticar el sistema.
El servidor tiene una función de tolerancia a fallas de espejo, adopta tolerancia a fallas de disco dual y tolerancia a fallas de máquina dual
El sistema host tiene un ancho de banda de bus y un rendimiento de E/S potentes, y tiene un rendimiento flexible y potente. escalabilidad sexo.
Principios de configuración
(1) La carga máxima del procesador es 75
(2) El procesador, la memoria y el disco deben estar equilibrados para proporcionar; buen resultado;
(3) El disco (preferiblemente reflejado) debe tener una redundancia de 30 a 40 para hacer frente al pico.
(4) La configuración de la memoria debe coincidir con los indicadores de la base de datos.
(5)La E/S es tan importante como el procesador.
Tecnología del software del host del sistema:
El software del sistema de la plataforma del servidor cumple con los estándares y protocolos abiertos de interconexión del sistema.
El sistema operativo debe ser un sistema operativo multiusuario multitarea general Windows 2000 o Linux, que debe ser altamente confiable y abierto, soportar multiprocesamiento simétrico (SMP) y soporte.
Soporta múltiples protocolos de red, incluido TCP/IP.
Cumple con los estándares de seguridad C2: proporciona monitoreo completo del sistema operativo, manejo de alarmas y fallas.
Debe ser compatible con sistemas de bases de datos y herramientas de desarrollo populares.
Dispositivos de almacenamiento del host del sistema
Tecnología de dispositivos de almacenamiento del sistema
matriz de discos RAID0 1 o RAID5 y otras medidas para garantizar la seguridad y confiabilidad del sistema.
La capacidad de E/S puede alcanzar los 6 m/s.
Proporciona suficientes ranuras de expansión.
Diseño de la capacidad de almacenamiento del sistema
La capacidad de almacenamiento del sistema considera principalmente el espacio de almacenamiento del usuario, el sistema de archivos, el espacio de respaldo, el espacio del sistema de prueba, el espacio de administración de la base de datos y el espacio de expansión del sistema. y otros datos.
Expansión de la capacidad del sistema servidor
La expansión del host del sistema incluye principalmente tres aspectos:
Expansión del rendimiento y las capacidades de procesamiento, incluida la expansión de la CPU y memoria.
Ampliación de la capacidad de almacenamiento - expansión del espacio de almacenamiento en disco
La expansión de las capacidades de E/S incluye la expansión de adaptadores de red (como tarjetas FDDI y tarjetas ATM) y dispositivos externos (como cintas externas), biblioteca y CD-ROM).
2. Medidas de garantía del sistema software:
Sistema operativo: Sistema operativo de red Windows 2000 SERVER.
Firewall: firewall de hardware Cisco PIX
El sistema operativo Windows 2000 SERVER mantiene contacto de datos con el sitio de actualización de Windows de Microsoft Corporation en los Estados Unidos para garantizar que el sistema operativo solucione vulnerabilidades conocidas.
Utilice la tecnología de partición NTFS para controlar estrictamente los derechos de acceso de los usuarios a los datos del servidor.
Se han establecido políticas de seguridad estrictas y registros de acceso a registros en el sistema operativo para garantizar la seguridad de los usuarios y contraseñas y el control de acceso a la red del sistema, y registrar el acceso de la red al sistema.
Todas las visitas y actuaciones.
El sistema adopta una arquitectura estándar de tres niveles basada en tecnología de middleware WEB, es decir, todas las aplicaciones basadas en WEB se implementan mediante tecnología de servidor de aplicaciones WEB.
Diseño de rendimiento de la plataforma middleware;
Escalabilidad: permite a los usuarios desarrollar sistemas y aplicaciones para satisfacer las crecientes necesidades comerciales de una manera sencilla.
Seguridad: Utilice diversas tecnologías de cifrado, control de identidad y autorización y tecnologías de seguridad de sesión, así como tecnologías de seguridad web para evitar que la información del usuario sea destruida por una intrusión ilegal.
Integridad: realice funciones de transacciones distribuidas confiables y de alto rendimiento a través de middleware para garantizar actualizaciones de datos precisas.
Mantenibilidad: puede utilizar fácilmente nuevas tecnologías para actualizar las aplicaciones existentes y satisfacer las crecientes necesidades del desarrollo empresarial.
Interoperabilidad y apertura: la tecnología middleware debe basarse en un sistema estándar abierto, proporcionar la función de desarrollar aplicaciones de transacciones distribuidas y lograr la interoperabilidad de los sistemas existentes en entornos heterogéneos. Puede admitir más entornos de plataformas de hardware y sistemas operativos.
Seguridad de la red:
Firewall multicapa: según las diferentes necesidades de los usuarios, se utilizan firewalls de hardware multicapa de alto rendimiento para proteger integralmente los hosts alojados por los clientes.
Firewall heterogéneo: al mismo tiempo, se utiliza el firewall de hardware Cisco PIX más avanzado y maduro para la protección. Firewalls de diferentes fabricantes y diferentes estructuras garantizan aún más la seguridad de las redes de usuarios y los hosts.
Escaneo antivirus: software de escaneo antivirus profesional para evitar que los virus infecten el host del cliente.
Detección de intrusiones: el software de seguridad profesional proporciona servicios de detección de intrusiones basados en redes, hosts, bases de datos y aplicaciones, y agrega una serie de medidas de seguridad basadas en firewalls para garantizar que los usuarios
sistema Alto seguridad.
Análisis de vulnerabilidades: escanee y analice periódicamente las vulnerabilidades de seguridad de los hosts de los usuarios y los sistemas de aplicaciones para eliminar los riesgos de seguridad y cortarlos de raíz.
El firewall de hardware CISCO PIX se ejecuta en la capa superior de los conmutadores CISCO. Proporciona un host especial para monitorear todos los paquetes de datos que fluyen a través de la red y descubrir características de ataque que puedan identificar correctamente los ataques en curso.
La identificación de ataques es en tiempo real y los usuarios pueden definir alertas y respuestas una vez que se detecta un ataque. Aquí tenemos las siguientes protecciones:
Política de monitoreo de todos los eventos Esta política se utiliza para probar, monitorear e informar todos los eventos de seguridad. En un entorno real, esta estrategia puede afectar seriamente el rendimiento del servidor de detección.
Estrategia de detección de ataques Esta estrategia se centra en prevenir ataques maliciosos desde la red y es adecuada para que los administradores comprendan eventos importantes de la red.
Análisis de protocolo Esta estrategia es diferente de la estrategia de detección de ataques. Analiza los protocolos de las sesiones de red y es adecuada para que los administradores de seguridad comprendan el uso de la red.
Protección del sitio web Esta política se utiliza para monitorear el tráfico HTTP en la red y solo es sensible a ataques HTTP. Para que los administradores de seguridad comprendan y supervisen el acceso a sitios web en la red.
Protección de red de Windows Esta estrategia se centra en proteger los entornos de red de Windows.
Replicación de sesiones Esta política proporciona la función de replicar sesiones Telnet, FTP y SMTP. Esta característica se utiliza para personalizar las políticas de seguridad.
Monitoreo DMZ Esta política se centra en proteger la actividad de la red en la zona DMZ fuera del firewall. Esta política monitorea los ataques a la red y los ataques típicos de vulnerabilidad del protocolo de Internet, como (HTTP, FTP, SMTP, POP.
y DNS) y es adecuada para que los administradores de seguridad monitoreen los eventos de la red fuera del firewall corporativo.
La estrategia de monitoreo en el firewall se centra en los ataques a aplicaciones de red que atraviesan el firewall y la explotación de las debilidades del protocolo, y es adecuada para monitorear eventos de seguridad dentro del firewall.
Plataforma de servidor de base de datos
La plataforma de base de datos es la base del sistema de aplicación y está directamente relacionada con el rendimiento de todo el sistema de aplicación, la precisión, seguridad y confiabilidad de los datos, y el procesamiento de datos. eficiencia. Logaritmo del sistema
El diseño de la plataforma de base de datos incluye:
El sistema de base de datos debe ser altamente confiable y soportar el procesamiento de datos distribuidos;
El soporte incluye TCP/ Protocolo IP y protocolo IPX/SPX;
Compatible con UNIX, MS NT y otros sistemas operativos, admite arquitectura cliente/servidor, tiene una interfaz de programación de cliente abierta y admite operaciones con caracteres chinos;
Contar con las tecnologías necesarias para soportar operaciones paralelas (como tecnología de colaboración multiservidor, tecnología de control de integridad del procesamiento de transacciones, etc.).
Admite procesamiento analítico en línea (OLAP) y procesamiento de transacciones en línea (OLTP), y admite el establecimiento de almacenes de datos.
Requiere carga rápida de datos, procesamiento concurrente eficiente y consultas interactivas; ; Admite estándares de seguridad de nivel C2 y control de seguridad multinivel, proporciona un módulo de interfaz de servicio WEB y salida al cliente.
El protocolo soporta HTTP2.0, SSL3.0, etc. Admite copias de seguridad en línea y tiene funciones automáticas de copia de seguridad y administración de registros.
2. Sistema de gestión de seguridad de la información
1. Sistema de seguimiento de la información:
(1). reimpreso La información debe indicar la dirección de reimpresión)
(2) La persona responsable correspondiente verificará el contenido de la información del sitio web de manera regular o irregular, implementará un monitoreo efectivo y hará un buen trabajo en la supervisión de la seguridad;
(3) No utilizará Internet para producir, copiar, consultar y difundir la siguiente serie de información. Si viola las regulaciones, los departamentos pertinentes los tratarán de acuerdo con las regulaciones;
1. Violar los principios básicos estipulados en la Constitución;
b. Poner en peligro la seguridad nacional, filtrar secretos nacionales, subvertir el poder nacional y socavar la unidad nacional;
c. Dañar el honor y los intereses nacionales;
d. Incitar al odio étnico, la discriminación y socavar la unidad nacional;
Aquellos que socavan las políticas religiosas nacionales y promueven cultos y supersticiones feudales;
f. Aquellos que difundan rumores, alteren el orden social y socaven la estabilidad social;
G. Difundir obscenidad, pornografía, juegos de azar, violencia, asesinato, terror o instigación a delitos;
Insultar. o difamar a otros e infringir los derechos e intereses legítimos de otros;
Contener otros contenidos prohibidos por leyes y reglamentos administrativos.
2. Estructura organizativa:
Establecer un administrador de red dedicado que sea supervisado por sus superiores. Cualquier información proporcionada o publicada en los Sitios de la Red Internacional debe ser revisada y aprobada para su confidencialidad. La aprobación de la confidencialidad está sujeta a la gestión departamental. Las unidades pertinentes deben seguir las normas nacionales de confidencialidad y publicarlas después de su revisión y aprobación. Deben adherirse al sistema de "no divulgación si la fuente es desconocida, no divulgación si es aprobada por los superiores, no divulgación si la fuente es desconocida". el contenido es problemático y tres no se publican".
Implementar el sistema de responsabilidad de gestión del sitio web
Aclarar las responsabilidades de los administradores y líderes del sitio web en todos los niveles, gestionar el funcionamiento normal del sitio web, controlar estrictamente el trabajo de gestión y quien gestiona el El sitio web es responsable.
3. Sistema de Gestión de Seguridad de la Información del Usuario
1. Sistema de Gestión de Confidencialidad para el Personal Interno de Seguridad de la Información:
1. debe mantenerse confidencial;
2. Los iniciados no pueden publicar ni difundir contenido prohibido por las leyes nacionales;
3. La información debe ser revisada por el personal pertinente antes de su publicación; /p>
4. Los administradores relevantes establecerán la autoridad de administración del sitio web y no administrarán la información del sitio web más allá de su autoridad;
5. Una vez que ocurra un incidente de seguridad de la información del sitio web, se debe informar inmediatamente al responsable correspondiente. partes y coordinado y manejado de manera oportuna
6. Filtrar información tóxica y dañina y mantener la información del usuario confidencial.
2. Sistema de gestión de seguridad de la información del usuario de inicio de sesión:
1. Configure los permisos para leer y publicar la información del usuario de inicio de sesión según sea necesario. área Gestionar la información de los miembros en forma de contenido.