【正文】 Company Ltd. 169。因此，可建立主機(jī) IDS以進(jìn)一步防止黑客的威脅。 Copyright IBM Corporation 2023 業(yè)務(wù)連續(xù)性計(jì)劃 /災(zāi)難恢復(fù)計(jì)劃 ? 現(xiàn)在社會中，業(yè)務(wù)的連續(xù)性對一個企業(yè)越來越重要，在企業(yè)中已不是IT一個部門的問題，而是整個企業(yè)生死相關(guān)的問題。 Copyright IBM Corporation 2023 網(wǎng)絡(luò)安全體系建設(shè) ? 根據(jù)業(yè)務(wù)上或管理上以及 《 企業(yè)信息化安全域規(guī)范 》 的各種安全相關(guān)需求，對現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)通過各種網(wǎng)絡(luò)安全防范的技術(shù)手段和管理規(guī)范進(jìn)行一系列的安全改造，從而將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)和安全隱患降至最低。包括： ? 存儲子模塊：即目錄服務(wù)模塊 ? 同步子模塊：即元目錄，或動態(tài)用戶管理（ User Provisioning）模塊 身份管理：管理用戶身份信息，并提供自動工作流程和自服務(wù)、分權(quán)管理功能。 ? 該項(xiàng)目的范圍包括 統(tǒng)一主流的桌面操作系統(tǒng)平臺和其他相關(guān)安全系統(tǒng)平臺、定制其安全策略 統(tǒng)一制定用戶桌面系統(tǒng)使用安全操作手冊 建立桌面電腦補(bǔ)丁的自動分發(fā)機(jī)制 29 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。通過教育，讓所有的人了解自己在企業(yè)信息化系統(tǒng)安全中的角色 (role)、責(zé)任 (responsibility)和義務(wù) (liability)，以及如何正確、安全地使用企業(yè)信息化系統(tǒng)。 Copyright IBM Corporation 2023 防病毒安全規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 集團(tuán)公司防病毒架構(gòu) ? 第一層：集中管理層。 分布于集團(tuán)總部內(nèi)網(wǎng)的各個節(jié)點(diǎn)，數(shù)量眾多，通過防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。 35 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 第二層：分布層。 ? 第三層：終端層。這個層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過濾服務(wù)器、 Web防病毒過濾服務(wù)器、 FTP防病毒過濾服務(wù)器。支持跨越廣域網(wǎng)管理、分級管理、和分組管理。內(nèi)容過濾，采用預(yù)定義的字詞列表，檢查主題、內(nèi)容和附件等方法內(nèi)容過濾阻擋垃圾郵件；使用黑名單、白名單等工具管理郵件的收發(fā)。省 /直轄市公司、各地市公司可以參照運(yùn)維組織架構(gòu)設(shè)立相應(yīng)的防病毒機(jī)構(gòu)。 ? 防病毒應(yīng)急響應(yīng)小組 由省 /直轄市公司防病毒日常維護(hù)人員和安全服務(wù)提供商以及防病毒廠商技術(shù)人員組成，組成人員可以兼職。 ? 信息資產(chǎn)分類與控制 信息資產(chǎn)負(fù)責(zé)人的防病毒責(zé)任 信息資產(chǎn)分類防病毒控制 ? 人員安全 防病毒安全培訓(xùn) 安全時(shí)間和故障響應(yīng) ? 系統(tǒng)維護(hù)管理 落實(shí)防病毒管理流程：文檔維護(hù)、工具變更、緊急時(shí)間響應(yīng)等 防止惡意軟件：病毒掃描和文件數(shù)據(jù)交換控制 ? 遠(yuǎn)程辦公 移動電腦 ? 遵守防病毒法律規(guī)定 39 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 地市公司防病毒管理職能 根據(jù)省 /直轄市公司下發(fā)的最新病毒信息和解決辦法處理各種病毒問題； 負(fù)責(zé)管理轄內(nèi)病毒防治的管理和日常維護(hù)； 定時(shí)統(tǒng)計(jì)、分析、匯總和上報(bào)本公司防病毒檢測情況報(bào)告。 Copyright IBM Corporation 2023 防病毒管理機(jī)制建設(shè)要點(diǎn) ? 終端計(jì)算機(jī)用戶防病毒條例 建立全網(wǎng)用戶應(yīng)該遵循以下用戶使用條例： ? 未經(jīng)許可不能卸載防病毒軟件，不能更改配置。 ? 不允許訪問含有色情、暴力等不健康內(nèi)容的網(wǎng)站 ? 不隨意從互聯(lián)網(wǎng)上下載軟件、游戲、電影等。 Copyright IBM Corporation 2023 防病毒管理機(jī)制建設(shè)要點(diǎn) ? 防病毒預(yù)警機(jī)制 新病毒訊息公告與處理 疑似病毒信息發(fā)布 ? 防病毒意識培訓(xùn) 防病毒知識普及 ? 防病毒知識全員普及內(nèi)容 ? 病毒疫情預(yù)警 ? 安全漏洞公告 ? 特定病毒處理通告 病毒防治論壇 ? 用于計(jì)算機(jī)用戶在線防病毒技術(shù)交流、討論、求助和建議等 ? 提供相關(guān)預(yù)防病毒知識 43 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 數(shù)據(jù)庫系統(tǒng)的安全防護(hù)架構(gòu) ? 數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內(nèi)部的安全機(jī)制外，還與外部網(wǎng)絡(luò)環(huán)境、運(yùn)行主機(jī)環(huán)境等因素息息相關(guān)。 48 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 數(shù)據(jù)庫管理系統(tǒng)層次安全加固（二） ? 數(shù)據(jù)庫帳戶安全設(shè)置要點(diǎn) 定義數(shù)據(jù)庫系統(tǒng)訪問帳戶負(fù)責(zé)人員和業(yè)務(wù)用途，刪除無關(guān)的或者不再使用的數(shù)據(jù)庫系統(tǒng)訪問人員帳戶； 修改數(shù)據(jù)庫管理系統(tǒng)內(nèi)建帳戶的初始密碼 ； 對數(shù)據(jù)庫帳戶所使用的資源（如 CPU等） 進(jìn)行限制。 Copyright IBM Corporation 2023 進(jìn)一步數(shù)據(jù)庫安全考慮 ? 細(xì)粒度訪問控制 ? 應(yīng)用程序安全檢查 ? 數(shù)據(jù)庫系統(tǒng)與基于標(biāo)準(zhǔn)的公共密鑰體系 PKI集成 ? 關(guān)鍵數(shù)據(jù)庫系統(tǒng)災(zāi)難備份 53 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 防火墻體系結(jié)構(gòu) ? 屏蔽路由器（ Screening Router） ? 雙穴主機(jī)網(wǎng)關(guān)（ Dual Homed Gateway） ? 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） ? 屏蔽子網(wǎng) （ Screened Sub） 57 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 用戶數(shù)據(jù)保護(hù)功能 ? 識別與鑒別功能 ? 保密功能 ? 可信安全功能保護(hù) ? 安全審計(jì)功能 59 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ?安全審計(jì)員 負(fù)責(zé)所管理主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全定期審查和維護(hù)工作。 Copyright IBM Corporation 2023 防火墻日志審計(jì)與監(jiān)控 ? 日志收集 ? 日志分析 ? 建立安全基線 ? 界定可疑活動 ? 日志存儲 ? 安全審計(jì)建議 ? 建立安全審計(jì)報(bào)告 ? 安全問題應(yīng)對流程 ? 審計(jì)與整體監(jiān)控系統(tǒng)配合 64 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻部署原則 ?骨干層 ?匯聚層 ?接入層 68 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 ? MIS應(yīng)用： MIS包括財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計(jì)系統(tǒng)等應(yīng)用系統(tǒng)；還包括電子采購系統(tǒng)、全面預(yù)算管理系統(tǒng)等。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)架構(gòu)（圖） 73 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 74 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化的一級安全域劃分 公共區(qū) 不在中國移動直接控制范圍內(nèi)的區(qū)域。 位于中國移動信息化系統(tǒng)控制范圍內(nèi)，是安全控制和保護(hù)級別較高的區(qū)域。 78 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 位于中國移動信息化系統(tǒng)控制范圍內(nèi)，是安全控制和保護(hù)級別最高的區(qū)域。 半安全區(qū) 安全區(qū) 核心安全區(qū) 位于中國移動信息化系統(tǒng)控制范圍內(nèi)，是公共區(qū)與安全區(qū)之間的“過渡”區(qū)域。 Copyright IBM Corporation 2023 集團(tuán)總部企業(yè)信息化的網(wǎng)絡(luò)拓?fù)洌▓D） 76 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 松散耦合結(jié)構(gòu)的應(yīng)用： 例如 OA系統(tǒng)，各個業(yè)務(wù)單位都有自身的 OA系統(tǒng)，其服務(wù)器在各個業(yè)務(wù)單位的服務(wù)器區(qū)域，而 OA互連主要通過公文網(wǎng)關(guān)。 71 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全域規(guī)范的主要內(nèi)容 ?企業(yè)信息化系統(tǒng)的現(xiàn)狀 ?企業(yè)信息化系統(tǒng)的安全域劃分 ?安全域的管理、技術(shù)、設(shè)備需求定義 ?安全域的威脅等級和保護(hù)等級 ?企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡(luò)保護(hù) 70 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－單級防火墻結(jié)構(gòu) 防火墻典型模型 ( 1 )i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pE xt e r n a l D M Z66 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 62 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻安全策略 防火墻安全策略配置 : ? 通信策略 ? 訪問策略 ? 應(yīng)用策略 安全策略管理流程： ? 增添安全策略 ? 更改安全策略 ? 刪除安全策略 61 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 ? 用戶數(shù)據(jù)保護(hù)功能 ? 識別與鑒別功能 ? 保密功能 ? 可信安全功能保護(hù) ? 安全審計(jì)功能 58 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻分類 ? 包過濾（ Packet Filter） ? 應(yīng)用層代理（ Proxy） ? 電路層代理（ Circuit Proxy） ? 動態(tài)包過濾（ Dynamic Packet Filter） ? 全狀態(tài)檢測（ Stateful Inspection） ? 自適應(yīng)代理（ Adaptive Proxy） ? 深度包檢測（ Deep Packet Inspection） 55 Presentation Title | Confidential | Document ID IBM China Company Ltd