全国服务热线 :0755-26406096

产品推荐
  • TRITON APX Enterprise Core
  • 深信服(sangfor)上网行为管理AC
  • 深信服(sangfor)下一代防火墙NGAF
  • 深信服(sangfor)SSL VPN
  • 深信服(sangfor)广域网优化WOC
  • 深信服(sangfor)应用交付AD
  • Polycom(宝利通)ReaIPresence Group550高清视频会议终端
  • polycom(宝利通) HDX7000 宝利通高清视频终端
联系我们
深圳市望升信息技术有限公司
售前电话:0755-26406096
售后电话:0755-86549081
地址:深圳市南山区科技园中钢大厦M-6栋4楼
Email:hel@wangshenginfo.com
邮编:518057
电话:0755-26406096
传真:0755-26649834
您现在的位置: 首页   新闻资讯   信息安全 信息安全

信息安全需求分析

文章来源:多媒体会议室 发布日期:2016年07月11日    浏览次数:459

1、网络安全需求
网络安全策略包括防火墙安全策略、入侵防御系统安全策略、入侵检测系统安全策略、交换机安全策略、数据交换安全策略等;网络安全不仅需要进行整体防护、综合分析,而且各分区安全也需考虑各区的业务特点进行针对性防护。

a)结构安全要求:采用冗余架构模式,考虑设备性能、业务需求、性能需求,并预留一定的冗余量,从整体上保障网络架构的弹性。

b)访问控制策略:交换机应进行端口MAC(媒体控制接入)地址绑定和VLAN(虚拟局域网)设置,开启防火墙上的ACL(访问控制列表)、QoS保障策略等,实现设备认证、用户身份鉴别、非法接入识别等功能,同时根据IP地址、端口、协议等控制数据流大小、网络连接数量。

c)安全审计:需启用相关设备的系统日志功能,通过应用层检测分析设备对进出网络的数据进行七层包捕捉和综合分析;通过采集安全设备、网络设备、主机系统、数据库系统的日志及网络安全事件,实现对用户网络行为、网络传输内容的监控,并进行统计分析和安全审计。

d)边界完整性检查:需对终端设备进行802.1x接入认证管理,防止设备的非法接入;同时需开启各区域边界安全设备的访问策略,实现各区之间的边界安全。

e)入侵防范:需对网络数据包进行过滤、分析,针对网络异常行为进行报警,并将攻击行为阻挡在安全区域之外。

f)恶意代码防护:需实现对网络病毒、网络攻击、网络漏洞的主动扫描,及时发现安全漏洞并进行修补。

g)网络设备防护:需对登录网络设备的用户进行身份认证、权限认证、行为审计等,需实现用户登录地址限定、会话数限制、登录失败处理等功能,避免恶意攻击或远端系统的意外崩溃导致系统资源被独占;需根据信息重要性划分系统安全域,并按照最小授权原则对用户权限进行划分,避免合法用户的非法访问。


2、主机安全需求
a)身份鉴别:需实现对主机操作系统、数据库管理系统的集中管理,定期更换各设备登录口令且满足复杂度要求,避免非法用户的登录,同时启用登录失败功能,对无效口令的用户名进行锁定;针对Linux、Windows等操作系统、数据库系统开启密码监控策略、账户锁定阈值、账户锁定时间、账户锁定策略等功能。

b)访问控制:需实现对敏感信息的标记,严格限制系统账户和权限,删除过期的、多余的账户,禁用或锁定系统默认账户,对不同管理员设置最小的合理权限,尽量避免合法用户的非法访问和非法用户的访问。

c)安全审计:借助相关审计系统及时发现违规操作和非法访问情况,提高安全防护能力。

d)剩余信息保护:操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户使用前需得到有效删除,及时清除服务器内的残余信息,保障数据不被非法使用。

e)入侵防范:操作系统的安装应遵循最小安装原则,仅安装必要的组件和应用程序,关闭多余服务等;仅开放业务需要的服务端口,删除默认的共享路径,并对不需要的组件进行手动卸载;需定期进行主机扫描、数据库扫描等,及时发现外部、内部渗透的攻击行为并告警。

f)恶意代码防范:在所有终端和服务器上需部署防病毒软件,控制终端接入设备类型及接入准则,及时升级恶意代码软件版本以及恶意代码库,提高主机防范能力。

g)资源控制:需实时监控设备CPU、内存、磁盘空间等重要资源状况,及时发现设备故障和异常行为,同时限制单个用户对系统资源的最大或最小使用限度。


3、应用安全需求
a)身份鉴别:需对用户进行口令、数字证书的双因素身份认证,保证用户身份的真实性,通过设定尝试登录次数和登录时间阈值来限制用户登录,并采用结束会话、锁定账户等安全措施。

b)访问控制:对不同帐户分配业务所需的最小权限,严格限制默认帐户的访问权限,同时需将系统管理和审计等特权权限分配给不同的用户;严格控制对应用系统的文件、数据库等资源的访问,避免越权非法使用。

c)安全审计:需实现对重要安全事件的日期、时间、发起者信息、类型、描述、结果、操作等进行保护,需保证应用系统无法单独中断审计进程,并阻止非法删除、修改或覆盖审计记录。

d)剩余信息保护:需保障用户鉴别信息、密钥、文件、目录、数据库记录等敏感信息所在的存储空间被释放或再分配给其他用户使用前得到完全清除。e)通信完整性:需防止数据在传输过程中被非法窃取或篡改。

f)通信保密:数据在传输前需进行加密,防止非法用户的读取。

g)抗抵赖:需为数据原发者或接收者提供数据原发或接收证据,防止用户为其非法操作而逃避责任处罚。

h)软件容错:应用软件应具备数据有效性检验功能,保证通过人机接口输入的数据格式或长度符合系统设定要求,并可提示用户内容输入格式。

i)资源控制:需实现会话自动结束并释放资源、会话限制、登录条件限制、超时锁定、用户可用资源阈值限制、用户服务优先级设置等功能,防止造成资源耗尽、服务中断等后果。


4、数据安全及备份恢复需求
a)数据完整性:应用系统应支持调用相关接口对重要数据在存储和处理过程中进行保密性和完整性保护;当管理、业务等数据受到破坏时,应能够根据数据重传、存储冗余机制等方式保障数据的校验恢复。

b)数据保密性:综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,防止数据在传输过程中被篡改。

c)备份和恢复:重要交换机、网络安全设备需实现双机热备;需实现对操作系统数据、业务数据的实时备份,当遇到故障时需能够及时进行数据恢复,保障系统的正常运行。


5、管理安全需求
a)安全管理机构:明确安全管理机构中各个部门和岗位的职责、分工、技能要求,配置专职安全管理员,制定安全审核和安全检查制度,规范安全审核和安全检查工作。

b)人员安全管理:制定相关制度,定期对各个岗位的人员进行安全技能及安全认知的考核,并对考核结果进行记录和保存。

c)系统建设管理:根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术架构、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。

d)系统运维管理:制定相关制度,对终端计算机、便携计算机、系统和网络等设备的操作和使用进行规范化管理。

【推荐阅读】

望升官方微信

关注微信,了解“更多精彩”

电话:400-807-5518

地址:深圳市南山区高新园中区中钢大厦M-6栋4楼