信息安全保障方案

關(guān)注我實(shí)時(shí)更新最新資料原創(chuàng)內(nèi)容侵權(quán)必究信息安全保障措施一、信息安全保障措施采用IBM服務(wù)器作主機(jī)1、軟件系統(tǒng)：操作系統(tǒng)：WINGDOWS2000SERVER數(shù)據(jù)庫(kù)：Oralce防火墻：諾頓防病毒軟件2、硬件系統(tǒng)：主機(jī)位置及帶寬：系統(tǒng)主機(jī)設(shè)在 IDC主機(jī)房?jī)?nèi)，通過(guò) 100M帶寬光纖與 CHINGANET骨干網(wǎng)相連接。二、信息安全保密管理制度1. 建立全員安全意識(shí)，合理規(guī)劃信息安全安全意識(shí)的強(qiáng)弱對(duì)于整個(gè)信息系統(tǒng)避免或盡量減小損失， 乃至整個(gè)具備主動(dòng)防御能力的信息安全體系的搭建，都具有重要的戰(zhàn)略意義。我們首先建立起全員防護(hù)的環(huán)境。在意識(shí)上建立牢固的防患意識(shí)，并有足夠的資金支持，形成企業(yè)內(nèi)部的信息安全的共識(shí)與防御信息風(fēng)險(xiǎn)的基本常識(shí)， 其次是選用安全性強(qiáng)的軟硬件產(chǎn)品， 構(gòu)筑軟硬協(xié)防的安全體系，確保安全應(yīng)用。建立信息采集（來(lái)源）、審核、發(fā)布管理制度并結(jié)合關(guān)鍵字過(guò)濾系統(tǒng)，保障信息安全。采編部按照采編制度和相關(guān)互聯(lián)網(wǎng)規(guī)定，嚴(yán)格把關(guān)。涉密信息，包括在對(duì)外交往與合作中經(jīng)審查、批準(zhǔn)與外部交換的秘密信息，不得在連有外網(wǎng)的計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳遞。加強(qiáng)對(duì)計(jì)算機(jī)介質(zhì)（軟盤(pán)、磁帶、光盤(pán)、磁卡等）的管理，對(duì)儲(chǔ)存有秘密文件、資料的計(jì)算機(jī)等設(shè)備要有專(zhuān)人操作，采取必要的防范措施，嚴(yán)格對(duì)涉密存儲(chǔ)介質(zhì)的管理，建立規(guī)范的管理制度，存儲(chǔ)有涉密內(nèi)容的介質(zhì)一律不得進(jìn)入互聯(lián)網(wǎng)絡(luò)使用建立系統(tǒng)保密措施，嚴(yán)格實(shí)行安全管理。系統(tǒng)的安全、帳號(hào)及權(quán)限的管理，責(zé)任到人；對(duì)系統(tǒng)軟件的管理；在系統(tǒng)維護(hù)過(guò)程中，產(chǎn)生的記錄：系統(tǒng)維護(hù)日志、系統(tǒng)維護(hù)卡片、詳細(xì)維護(hù)記錄。對(duì)涉密信息實(shí)行加密、解密及管理，確保數(shù)據(jù)傳輸?shù)陌踩?。建立?shù)據(jù)庫(kù)的信息保密管理制度，保障數(shù)據(jù)庫(kù)安全。數(shù)據(jù)庫(kù)由專(zhuān)人管理并負(fù)責(zé)。建立日志的跟蹤、記錄及查閱制度，及時(shí)發(fā)現(xiàn)和解決安全漏洞。三、技術(shù)保障措施加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理、監(jiān)測(cè)違規(guī)(1)在強(qiáng)、弱電安全方面，采用雙路交流電供電形成電源冗余并配置 UPS的設(shè)計(jì)方案保證強(qiáng)電安全，另外，采用避雷防電和放置屏蔽管道的方法來(lái)保證弱電線路 (交換機(jī)、網(wǎng)線)的安全。(2)在IP資源管理方面，采用IP+MAC捆綁的技術(shù)手段防止用戶(hù)隨意更改 IP地址和隨意更換交換機(jī)上的端口。 通過(guò)網(wǎng)管中心的管理軟件， 對(duì)該交換機(jī)遠(yuǎn)程實(shí)施 Port Security策略，將客戶(hù)端網(wǎng)卡 MAC地址固定綁在相應(yīng)端口上。在網(wǎng)絡(luò)流量監(jiān)測(cè)方面，使用網(wǎng)絡(luò)監(jiān)測(cè)軟件對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類(lèi)型進(jìn)行分類(lèi)統(tǒng)計(jì)，查看數(shù)據(jù)、視頻、語(yǔ)音等各種應(yīng)用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。在違規(guī)操作監(jiān)控方面，對(duì)涉秘信息的處理，嚴(yán)禁“一機(jī)兩用”事件的發(fā)生。即一臺(tái)計(jì)算機(jī)同時(shí)聯(lián)接內(nèi)部網(wǎng)和互聯(lián)網(wǎng)，還包括輪流上內(nèi)部網(wǎng)和國(guó)際互聯(lián)網(wǎng)的情形，因此我們對(duì)每個(gè)客戶(hù)端安裝了監(jiān)控系統(tǒng)，實(shí)行電腦在線監(jiān)測(cè)、電腦在線登記、一機(jī)兩用監(jiān)測(cè)報(bào)警、電腦阻斷、物理定位等措施。管理服務(wù)器應(yīng)用服務(wù)器安裝的操作系統(tǒng)為Windows系列,服務(wù)器的管理包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略。服務(wù)器安全審核的范圍包括安全漏洞檢查、日志分析、補(bǔ)丁安裝情況檢查等，審核的對(duì)象是DC、Exchange Server、SQL Server、IIS等。在組策略實(shí)施時(shí)，使用軟件限制策略，即哪些內(nèi)部用戶(hù)不能使用哪個(gè)軟件，對(duì)操作用戶(hù)實(shí)行分權(quán)限管理。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫(kù)備份兩部分， 系統(tǒng)軟件備份擬利用現(xiàn)有的ARCServer 專(zhuān)用備份程序，制定合理的備份策略，每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份；定期對(duì)服務(wù)器備份工作情況進(jìn)行檢查（數(shù)據(jù)庫(kù)備份后面有論述）。管理客戶(hù)端將客戶(hù)端都加入到域中，客戶(hù)端納入管理員集中管理的范圍。出于安全上的考慮，安裝win2000系列客戶(hù)端。只給用戶(hù)以普通域用戶(hù)的身份登錄到域，因?yàn)槠胀ㄓ蛴脩?hù)不屬于本地Administrators 和Power Users組，這樣就可以限制他們?cè)诒镜赜?jì)算機(jī)上安裝大多數(shù)軟件。當(dāng)然為了便于用戶(hù)工作，通過(guò)本地安全策略措施，授予基本操作權(quán)利。實(shí)現(xiàn)客戶(hù)端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。實(shí)現(xiàn)客戶(hù)端防病毒軟件的自動(dòng)更新。利用SMS對(duì)客戶(hù)端進(jìn)行不定期監(jiān)控，發(fā)現(xiàn)不正常情況及時(shí)處理。數(shù)據(jù)備份與冗余考慮到綜合因素，采用如下數(shù)據(jù)備份和冗余方案：(1)在網(wǎng)絡(luò)中心的 Oracle 服務(wù)器以及文件服務(wù)器上分別安裝 VERITAS的相關(guān)客戶(hù)端Agent軟件。(2)在服務(wù)器上設(shè)置在線備份策略，每天凌晨 1點(diǎn)自動(dòng)備份 SQL數(shù)據(jù)庫(kù)、凌晨 2點(diǎn)自動(dòng)備份Oracle數(shù)據(jù)庫(kù)、凌晨 3點(diǎn)自動(dòng)備份郵件，主要用于系統(tǒng)層恢復(fù)后的數(shù)據(jù)加載。(3)采用本地硬件 RAID 5對(duì)硬件級(jí)磁盤(pán)故障進(jìn)行保護(hù)。數(shù)據(jù)加密考慮到網(wǎng)絡(luò)上非認(rèn)證用戶(hù)可能試圖旁路系統(tǒng)的情況，如物理地“取走”數(shù)據(jù)庫(kù)，在通信線路上竊聽(tīng)截獲。對(duì)這樣的威脅采取了有效方法：數(shù)據(jù)加密。即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰，通過(guò)加密設(shè)備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，他只能得到無(wú)法理解的密文，從而對(duì)信息起到保密作用。病毒防治措施我們對(duì)防病毒軟件的要求是：能支持多種平臺(tái)，至少是在 Windows系列操作系統(tǒng)上都能運(yùn)行；能提供中心管理工具，對(duì)各類(lèi)服務(wù)器和工作站統(tǒng)一管理和控制；在軟件安裝、病毒代碼升級(jí)等方面，可通過(guò)服務(wù)器直接進(jìn)行分發(fā)，盡可能減少客戶(hù)端維護(hù)工作量；病毒代碼的升級(jí)要迅速有效。所以，綜合以上各種因素，我們選擇了 SYMANTEC公司的Norton Antivirus 企業(yè)版。在實(shí)施過(guò)程中，本單位以一臺(tái)服務(wù)器作為中央控制一級(jí)服務(wù)器，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)和監(jiān)控，并使用其中有效的管理功能，如 : 管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、 強(qiáng)制對(duì)遠(yuǎn)程客戶(hù)端進(jìn)行病毒掃描、 鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下，一級(jí)服務(wù)器病毒代碼庫(kù)升級(jí)后半分鐘內(nèi)，客戶(hù)端的病毒代碼庫(kù)也進(jìn)行了同步更新。補(bǔ)丁更新與軟件分發(fā)網(wǎng)絡(luò)安全防御不是簡(jiǎn)單的防病毒或者防火墻。只有通過(guò)提高網(wǎng)絡(luò)整體系統(tǒng)安全，才能讓病毒進(jìn)攻無(wú)門(mén)。然而提高網(wǎng)絡(luò)整體系統(tǒng)安全不僅僅是一個(gè)技術(shù)問(wèn)題，更重要的是管理問(wèn)題。自動(dòng)分發(fā)軟件、升級(jí)補(bǔ)丁等工作是確保系統(tǒng)安全的關(guān)鍵步驟。我們使用微軟的Systems Management Server（SMS）和Software Update Service（SUS）軟件來(lái)自動(dòng)實(shí)現(xiàn)這一功能。(1)我們使用微軟的 Software Update Service（SUS）解決運(yùn)行 Windows操作系統(tǒng)的計(jì)算機(jī)免受病毒和黑客攻擊， 將需要升級(jí)的軟件從 Internet 下載到公司 Intranet 的服務(wù)器上，并為公司內(nèi)的所有客戶(hù)端 PC提供自動(dòng)升級(jí)，打上所有需要的“補(bǔ)丁” 。(2)我們使用微軟 Systems Management Server（SMS）進(jìn)行軟件分發(fā)、資產(chǎn)管理、遠(yuǎn)程問(wèn)題解決等。四、信息安全審核制度1）設(shè)立信息安全崗位，實(shí)行信息安全責(zé)任制（1）設(shè)立專(zhuān)職信息安全管理領(lǐng)導(dǎo)崗位和3個(gè)信息安全管理崗位；（2）信息安全崗位工作人員不得在其他單位兼任信息安全崗位；（3）信息安全管理崗位人員負(fù)責(zé)本單位制作、復(fù)制、發(fā)布、批量傳播的信息的初審，信息安全管理領(lǐng)導(dǎo)崗位負(fù)責(zé)信息審核和批準(zhǔn)，信息非經(jīng)審核批準(zhǔn)不得予以發(fā)布、傳播。4）不得制作、復(fù)制、發(fā)布、傳播含有下列內(nèi)容的信息：反對(duì)憲法所確定的基本原則的；危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一的；損害國(guó)家榮譽(yù)和利益的；煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；破壞國(guó)家宗教政策，宣揚(yáng)邪教和封建迷信的；散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；侮辱或者誹謗他人，侵害他人合法權(quán)益的；含有法律、行政法規(guī)禁止的其他內(nèi)容的。5）信息安全部門(mén)統(tǒng)一規(guī)劃、組織、協(xié)調(diào)、監(jiān)督、管理和實(shí)施內(nèi)外部網(wǎng)絡(luò)安全，具體職責(zé)如下：負(fù)責(zé)各種資源的安全監(jiān)測(cè)、安全運(yùn)行和安全管理；負(fù)責(zé)計(jì)算機(jī)病毒防御、黑客入侵防范和不良信息過(guò)濾；負(fù)責(zé)各種安全產(chǎn)品的正常運(yùn)行、管理和維護(hù)；普及信息安全常識(shí)、建立相關(guān)安全制度、應(yīng)急處理重大安全事件；負(fù)責(zé)安全規(guī)劃和安全項(xiàng)目的研究，全面提高網(wǎng)絡(luò)安全管理的技術(shù)和水平。2）建立并實(shí)行服務(wù)器日常維護(hù)及管理制度（1）服務(wù)器監(jiān)控：管理員經(jīng)常性的監(jiān)控服務(wù)器的運(yùn)行狀況，如發(fā)現(xiàn)異常情況，及時(shí)處理，并作詳細(xì)記錄。2）重要數(shù)據(jù)備份：對(duì)于數(shù)據(jù)服務(wù)器中的用戶(hù)信息、重要文件和數(shù)據(jù)進(jìn)行及時(shí)備份。信息天天更新備份，每周一次完全備份，備份信息應(yīng)保存一個(gè)月。3）定期系統(tǒng)升級(jí)：對(duì)于windows操作系統(tǒng)的服務(wù)器每周做一次升級(jí)，如遇到安全問(wèn)題立即升級(jí)。3） 建立并實(shí)行機(jī)房值班安全制度1）確保線路暢通。上班后與下班前檢查線路，尋找網(wǎng)絡(luò)隱患。對(duì)在運(yùn)行期間發(fā)生的主要事件記錄在案。按時(shí)定期對(duì)設(shè)備進(jìn)行檢修。每月的最后一個(gè)工作日對(duì)所有設(shè)備進(jìn)行測(cè)試，并填寫(xiě)報(bào)告。2）及時(shí)、準(zhǔn)確、無(wú)誤地填寫(xiě)運(yùn)行記錄。出現(xiàn)事故盡快處理，馬上填寫(xiě)故障記錄。當(dāng)自己不能解決或不能立即解決時(shí)，及時(shí)與安全主管聯(lián)系，并保持與其他值班人員的聯(lián)系，在己方線路或設(shè)備出現(xiàn)故障時(shí)， 盡快查明原因，及時(shí)處理，并填寫(xiě)故障記錄。3）負(fù)擔(dān)整個(gè)網(wǎng)絡(luò)的性能管理任務(wù)。對(duì)網(wǎng)絡(luò)性能進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，并要有詳細(xì)的記錄及統(tǒng)計(jì)分析。必要時(shí)把網(wǎng)絡(luò)性能記錄以圖表形式打印出來(lái)。4）注意網(wǎng)絡(luò)運(yùn)行安全，對(duì)網(wǎng)絡(luò)異常現(xiàn)象進(jìn)行反應(yīng)。利用路由器等安全系統(tǒng)控制網(wǎng)絡(luò)非法侵入。

（5）保證機(jī)房的供電及室內(nèi)空氣的溫度、濕度正常。注意 UPS的工作情況。注意網(wǎng)絡(luò)設(shè)備安全，加強(qiáng)防火，防盜及防止他人破壞的工作。 注意臨走時(shí)門(mén)窗關(guān)好，鎖緊。禁止在機(jī)房?jī)?nèi)吸煙。禁止無(wú)關(guān)人員進(jìn)入機(jī)房。值班人員不得隨意離開(kāi)。6）完成網(wǎng)絡(luò)設(shè)備的安裝，調(diào)試。并對(duì)安裝，測(cè)試過(guò)程中的主要事件，做到有據(jù)可查。7）主動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)，隨時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)查清故障點(diǎn)，并主動(dòng)與相關(guān)主管和部門(mén)聯(lián)系。4） 建立并實(shí)行防火墻等軟件更新制度1）防火墻軟件的使用與更新：采用諾頓企業(yè)級(jí)防火墻；及時(shí)更新防火墻2）堅(jiān)持使用正確、安全的軟件及軟件操作流程，從細(xì)節(jié)保障系統(tǒng)安全。5）建立應(yīng)急處理流程1）清點(diǎn)數(shù)字資產(chǎn)，確定每項(xiàng)資產(chǎn)應(yīng)受多大程度的保護(hù)2）明確界定資源的合理使用，明確規(guī)定系統(tǒng)的使用規(guī)范，比如誰(shuí)可以擁有網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)，在訪問(wèn)之前須采取哪些安全措施。3）控制系統(tǒng)的訪問(wèn)權(quán)限，公司在允許一些人訪問(wèn)系統(tǒng)的同時(shí)，必須阻止另外一些人進(jìn)入。網(wǎng)絡(luò)防火墻、驗(yàn)證和授權(quán)系統(tǒng)、加密技術(shù)都為了保證信息安全。 同時(shí)采用監(jiān)視工具和入侵探測(cè)工具來(lái)查詢(xún)公司網(wǎng)絡(luò)上的電腦活動(dòng)，及時(shí)發(fā)現(xiàn)可疑行為。（4）使用安全的軟件；（5）找出問(wèn)題根源；（6）提出解決方案并及時(shí)解決問(wèn)題；（7）加入應(yīng)急知識(shí)庫(kù)，預(yù)防類(lèi)似事件再次發(fā)生。6）實(shí)行關(guān)鍵字的設(shè)立、過(guò)濾與更新規(guī)則（1）通信平臺(tái)具有信息內(nèi)容的過(guò)濾功能。信息過(guò)濾包括對(duì)播放的相關(guān)短信、頁(yè)面內(nèi)容進(jìn)行有效過(guò)濾。具體包括關(guān)鍵字設(shè)定、修改、查詢(xún)功能，提供相應(yīng)的測(cè)試端口，并具有嚴(yán)格的權(quán)限管理功能；對(duì)發(fā)現(xiàn)的有害短信及時(shí)向有關(guān)部門(mén)匯報(bào)，并從技術(shù)上予以保證，包括有害信息的內(nèi)容、發(fā)現(xiàn)時(shí)間、發(fā)現(xiàn)來(lái)源；2）關(guān)鍵字的設(shè)立規(guī)則根據(jù)相關(guān)法律和互聯(lián)網(wǎng)規(guī)定制定3）過(guò)濾引擎的建立：過(guò)濾引擎設(shè)定關(guān)鍵字、日志管理、報(bào)警的管理。管理控制中心顯示詳細(xì)的有害信息 (有害信息的發(fā)送方、 接受方、內(nèi)容、時(shí)間)，并截?cái)嘣摱滔ⅰ＃?）對(duì)不良信息和事件的發(fā)生進(jìn)行記錄，并儲(chǔ)存，以備后需。7）建立并實(shí)行信息儲(chǔ)存與查閱制度（1）信息采集：信息資料的來(lái)源渠道必須正規(guī)，不能侵犯他人版權(quán)，杜絕政治性和常識(shí)性的錯(cuò)誤；信息采集的內(nèi)容要廣泛、真實(shí)、可靠、健康，要有時(shí)效性，有使用價(jià)值。2）信息審核：信息采集人員要杜絕信息資源格式不規(guī)范、措辭不嚴(yán)謹(jǐn)?shù)葐?wèn)題出現(xiàn)，減少或避免初審失誤；切實(shí)做到“三密”信息不失密、不上網(wǎng)；重大的信息、來(lái)源不清的信息、披露性信息要報(bào)經(jīng)信息審核主管終審后才能發(fā)布3）信息的發(fā)布更新：限時(shí)更新的信息要及時(shí)采集、整理，經(jīng)審核后盡快發(fā)布。要確保及時(shí)、準(zhǔn)確無(wú)誤； 各自分工的任務(wù)，如不能按規(guī)定時(shí)限及時(shí)更新的， 將追究有關(guān)人員責(zé)任。（4）信息的存儲(chǔ)：對(duì)采集的各種信息進(jìn)行科學(xué)分類(lèi)，以文本格式存放在統(tǒng)一的文件中；建立信息的匯總渠道，開(kāi)辟專(zhuān)用空間存放歸集信息，方便保存與查找；數(shù)據(jù)的備份參見(jiàn)“數(shù)據(jù)備份與冗余”（5）信息查閱制度：根據(jù)信息的重要性和保密級(jí)別的不同，實(shí)行區(qū)別對(duì)待，對(duì)涉秘信息、重要數(shù)據(jù)的查詢(xún)需向相關(guān)主管人員申請(qǐng)并報(bào)總負(fù)責(zé)人審批。8）投訴流程與方式，處理結(jié)構(gòu)用戶(hù)投訴客服人員填寫(xiě)用戶(hù)投訴報(bào)告單，并向投訴人告知受理員的姓名、電話記錄：投訴事由、聯(lián)系電話、投訴時(shí)間、用戶(hù)地區(qū)等立即落實(shí)投訴內(nèi)容的解決辦法客服經(jīng)理負(fù)責(zé)處理投訴相關(guān)事宜記錄投訴處理結(jié)果受理客服人員向用戶(hù)反饋處理結(jié)果，滿(mǎn)意后將處理報(bào)告單存檔當(dāng)日?qǐng)?bào)主管副總經(jīng)理，做業(yè)績(jī)考察五、信息安全責(zé)任落實(shí)信息安全重在管理， 而安全管理又貫穿在整個(gè)網(wǎng)絡(luò)的運(yùn)行之中。 為此，首先抓好組織機(jī)構(gòu)建設(shè)。在原來(lái)的基礎(chǔ)上，建立健全了公司計(jì)算機(jī)安全監(jiān)察領(lǐng)導(dǎo)小組， 并建立了決策層、管理層、執(zhí)行層的三級(jí)計(jì)算機(jī)安全組織機(jī)構(gòu)。 從而將安全工作落實(shí)到各個(gè)部門(mén)， 做到分工明細(xì)，責(zé)任明確。從組織上、技術(shù)上切實(shí)保障了計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。在此基礎(chǔ)上，公司制定了完善的安全管理方案，涵蓋安全風(fēng)險(xiǎn)管理、物理安全管理、邏輯安全管理和日常安全管理等各方面。通過(guò)各級(jí)安全組織機(jī)構(gòu)，全面抓好制度的落實(shí)，真正做到事事有人管，事事管理有規(guī)章。其中安全風(fēng)險(xiǎn)管理是通過(guò)對(duì)全網(wǎng)、特別是關(guān)鍵資產(chǎn)的周期性風(fēng)險(xiǎn)計(jì)算，合理分配資源，為安全控制的范圍、 類(lèi)型和力度等提供決策參考； 物理安全管理主要體現(xiàn)在針對(duì)物理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問(wèn)的控制中，主要通過(guò)機(jī)房物理安全來(lái)體現(xiàn) ; 邏輯安全管理則是從技術(shù)層面建立諸如用戶(hù)管理、 口令管理、網(wǎng)絡(luò)設(shè)備安全管理和主機(jī)系統(tǒng)安全管理的制度， 進(jìn)一步保障網(wǎng)絡(luò)的安全性；日常安全管理則偏重于日常安全審計(jì)以及安全事件響應(yīng)的內(nèi)容。定期對(duì)高層管理人員進(jìn)行信息安全意識(shí)和技術(shù)培訓(xùn)， 及時(shí)組織信息安全員參加信息安全知識(shí)技術(shù)講座；并通過(guò)多種宣傳手段增強(qiáng)各級(jí)部門(mén)的安全意識(shí)。 為跟蹤最新的安全技術(shù)和了解更多的安全產(chǎn)品，信息安全專(zhuān)員負(fù)責(zé)本網(wǎng)絡(luò)的安全保護(hù)管理工作，建立健全安全保護(hù)管理制度落實(shí)安全保護(hù)技術(shù)措施，保障本網(wǎng)絡(luò)的運(yùn)行安全和信息安全負(fù)責(zé)對(duì)本網(wǎng)絡(luò)用戶(hù)的安全教育和培訓(xùn)4) 對(duì)委托發(fā)布信息的單位和個(gè)人進(jìn)行登記， 并對(duì)所提供的信息內(nèi)容按照信息發(fā)布審核制度進(jìn)行審核社區(qū)、ＢＢＳ等實(shí)現(xiàn)２４小時(shí)值班，并將信息安全責(zé)任落實(shí)到人，各分公司和各網(wǎng)站均有專(zhuān)人負(fù)責(zé)信息安全工作完善信息安全事件快速處理機(jī)制，縮短信息安全事件處理時(shí)間和環(huán)節(jié)，將不良影響降到最低明確信息安全工作重點(diǎn)，日常信息安全工作重點(diǎn)為容易發(fā)生信息安全事件的欄目，如社區(qū)、ＢＢＳ、留言簿和郵件等采用技術(shù)手段檢測(cè)和保障信息安全。通過(guò)采用如關(guān)鍵字過(guò)濾、防垃圾郵件等技術(shù)手段來(lái)杜絕有害信息通過(guò)高標(biāo)準(zhǔn)的控制來(lái)強(qiáng)化所有安全設(shè)施、重要的服務(wù)器和通訊平臺(tái)防火墻(Firewall)是在一個(gè)可信的網(wǎng)絡(luò)和不可信的網(wǎng)絡(luò)之間建立安全屏障的軟件或硬件產(chǎn)品。Linux操作系統(tǒng)內(nèi)核具有包過(guò)濾能力，系統(tǒng)管理員通過(guò)管理工具設(shè)置一組規(guī)則即可建立一個(gè)基于 Linux的防火墻，用這組規(guī)則過(guò)濾被主機(jī)接收、 發(fā)送的包或主機(jī)從一個(gè)網(wǎng)卡轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)卡的包，無(wú)須花費(fèi)額外資金購(gòu)買(mǎi)專(zhuān)門(mén)的防火墻產(chǎn)品， 比較適用于某些中小企業(yè)或部門(mén)級(jí)用戶(hù)。六、防火墻的類(lèi)型和設(shè)計(jì)策略---- 在構(gòu)造防火墻時(shí)，常采用 2種方式，包過(guò)濾和應(yīng)用代理服務(wù)。包過(guò)濾是指建立包過(guò)濾規(guī)則，根據(jù)這些規(guī)則及 IP包頭的信息，在網(wǎng)絡(luò)層判定允許或拒絕包的通過(guò)。如允許或禁止FTP的使用，但不能禁止 FTP特定的功能（例如 Get和Put的使用）。應(yīng)用代理服務(wù)是由位于內(nèi)部網(wǎng)和外部網(wǎng)之間的代理服務(wù)器完成的， 它工作在應(yīng)用層， 代理用戶(hù)進(jìn)、出網(wǎng)的各種服務(wù)請(qǐng)求，如 FTP和Telenet等。---- 目前，防火墻一般采用雙宿主機(jī)（ Dual-homedFirewall ）、屏蔽主機(jī) (ScreenedHostFirewall)和屏蔽子網(wǎng)(ScreenedSubnetFirewall) 等結(jié)構(gòu)。雙宿主機(jī)結(jié)構(gòu)是指承擔(dān)代理服務(wù)任務(wù)的計(jì)算機(jī)至少有2個(gè)網(wǎng)絡(luò)接口連接到內(nèi)部網(wǎng)和外部網(wǎng)之間。屏蔽主機(jī)結(jié)構(gòu)是指承擔(dān)代理服務(wù)任務(wù)的計(jì)算機(jī)僅僅與內(nèi)部網(wǎng)的主機(jī)相連。屏蔽子網(wǎng)結(jié)構(gòu)是把額外的安全層添加到屏蔽主機(jī)的結(jié)構(gòu)中，即添加了周邊網(wǎng)絡(luò)，進(jìn)一步把內(nèi)部網(wǎng)和外部網(wǎng)隔開(kāi)。---- 防火墻規(guī)則用來(lái)定義哪些數(shù)據(jù)包或服務(wù)允許 /拒絕通過(guò)，主要有 2種策略。一種是先允許任何接入，然后指明拒絕的項(xiàng) ;另一種是先拒絕任何接入，然后指明允許的項(xiàng)。一般地，我們會(huì)采用第 2種策略。因?yàn)閺倪壿嫷挠^點(diǎn)看，在防火墻中指定一個(gè)較小的規(guī)則列表允許通過(guò)防火墻，比指定一個(gè)較大的列表不允許通過(guò)防火墻更容易實(shí)現(xiàn)。 從Internet的發(fā)展來(lái)看，新的協(xié)議和服務(wù)不斷出現(xiàn)，在允許這些協(xié)議和服務(wù)通過(guò)防火墻之前，有時(shí)間審查安全漏洞。二、基于Linux操作系統(tǒng)防火墻的實(shí)現(xiàn)基于Linux操作系統(tǒng)的防火墻是利用其內(nèi)核具有的包過(guò)濾能力建立的包過(guò)濾防火墻和包過(guò)濾與代理服務(wù)組成的復(fù)合型防火墻。下面，讓我們來(lái)看看怎樣配置一個(gè)雙宿主機(jī)的基于Linux的防火墻。----由于Linux的內(nèi)核各有不同，提供的包過(guò)濾的設(shè)置辦法也不一樣。IpFwadm是基于Unix中的ipfw，它只適用于Linux2.0.36以前的內(nèi)核；對(duì)于Linux2.2以后的版本，使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它們配置的4個(gè)鏈中，有3個(gè)在Linux內(nèi)核啟動(dòng)時(shí)進(jìn)行定義，分別是：進(jìn)入鏈（InputChains）、外出鏈（OutputChains）和轉(zhuǎn)發(fā)鏈（ForwardChains），另外還有一個(gè)用戶(hù)自定義的鏈（UserDefinedChains）。進(jìn)入鏈定義了流入包的過(guò)濾規(guī)則，外出鏈定義了流出包的過(guò)濾規(guī)則，轉(zhuǎn)發(fā)鏈定義了轉(zhuǎn)發(fā)包的過(guò)濾規(guī)則。這些鏈決定怎樣處理進(jìn)入和外出的IP包，即當(dāng)一個(gè)包從網(wǎng)卡上進(jìn)來(lái)的時(shí)候，內(nèi)核用進(jìn)入鏈的規(guī)則決定了這個(gè)包的流向;如果允許通過(guò)，內(nèi)核決定這個(gè)包下一步發(fā)往何處，如果是發(fā)往另一臺(tái)機(jī)器，內(nèi)核用轉(zhuǎn)發(fā)鏈的規(guī)則決定了這個(gè)包的流向;當(dāng)一個(gè)包發(fā)送出去之前，內(nèi)核用外出鏈的規(guī)則決定了這個(gè)包的流向。某個(gè)特定的鏈中的每條規(guī)則都是用來(lái)判定IP包的，如果這個(gè)包與第一條規(guī)則不匹配，則接著檢查下一條規(guī)則，當(dāng)找到一條匹配的規(guī)則后，規(guī)則指定包的目標(biāo)，目標(biāo)可能是用戶(hù)定義的鏈或者是Accept、Deny、Reject、Return、Masq和Redirect等。其中，Accept指允許通過(guò);Deny指拒絕;Reject指把收到的包丟棄，但給發(fā)送者產(chǎn)生一個(gè) ICMP回復(fù)；Return指停止規(guī)則處理， 跳到鏈尾；Masq指對(duì)用戶(hù)定義鏈和外出鏈起作用，使內(nèi)核偽裝此包 ;Redirect 只對(duì)進(jìn)入鏈和用戶(hù)定義鏈起作用，使內(nèi)核把此包改送到本地端口。為了讓 Masq和Redirect起作用，在編譯內(nèi)核時(shí)，我們可以分別選擇Config_IP_Masquerading 和Config_IP_Transparent_Proxy 。網(wǎng)絡(luò)結(jié)構(gòu)如附圖所示。附圖配置基于Linux防火墻----假設(shè)有一個(gè)局域網(wǎng)要連接到Internet上，公共網(wǎng)絡(luò)地址為5。內(nèi)部網(wǎng)的私有地址根據(jù)RFC1597中的規(guī)定，采用C類(lèi)地址～。為了說(shuō)明方便，我們以3臺(tái)計(jì)算機(jī)為例。實(shí)際上，最多可擴(kuò)充到254臺(tái)計(jì)算機(jī)。----具體操作步驟如下：在一臺(tái)Linux主機(jī)上安裝2塊網(wǎng)卡ech0和ech1，給ech0網(wǎng)卡分配一個(gè)內(nèi)部網(wǎng)的私有地址，用來(lái)與 Intranet相連;給ech1網(wǎng)卡分配一個(gè)公共網(wǎng)絡(luò)地址 5，用來(lái)與Internet相連。2. Linux主機(jī)上設(shè)置進(jìn)入、 轉(zhuǎn)發(fā)、外出和用戶(hù)自定義鏈。 本文采用先允許所有信息可流入和流出， 還允許轉(zhuǎn)發(fā)包，但禁止一些危險(xiǎn)包，如 IP欺騙包、廣播包和 ICMP服務(wù)類(lèi)型攻擊包等的設(shè)置策略。--------

具體設(shè)置如下：(1)刷新所有規(guī)則/sbin/ipchains-Fforward/sbin/ipchains-Finput/sbin/ipchains-Foutput(2)設(shè)置初始規(guī)則/sbin/ipchains-Ainput-jACCEPT/sbin/ipchains-Aoutput-jACCEPT/sbin/ipchains-Aforward-jACCEPT(3)設(shè)置本地環(huán)路規(guī)則/sbin/ipchains-Ainput-jACCEPT-ilo/sbin/ipchains-Aoutput-jACCEPT-ilo本地進(jìn)程之間的包允許通過(guò)。(4)禁止IP欺騙/sbin/ipchains-Ainput-jDENYiech1-s/24/sbin/ipchains-Ainput-jDENYiech1-d/24/sbin/ipchains-Aoutput-jDENYiech1-s/24/sbin/ipchains-Aoutput-jDENYiech1-d/24/sbin/ipchains-Ainput-jDENYiech1-s5/32/sbin/ipchains-Aoutput-jDENYiech1-d5/32(5)禁止廣播包/sbin/ipchains-Ainput-jDENYiech0-s55/sbin/ipchains-Ainput-jDENYiech0-d0.0..0.0/sbin/ipchains-Aoutput-jDENYiech0-s/3(6)設(shè)置ech0轉(zhuǎn)發(fā)規(guī)則/sbin/ipchains-Aforword-jMASQ-iech0-s/24(7)設(shè)置ech1轉(zhuǎn)發(fā)規(guī)則/sbin/ipchains-Afor