软件平台安全体系建设方案.docx

软件平台安全体系建设方案 目录 1.安全体系总体设计 3 2.技术目标 3 3.管理目标 4 4.安全技术方案 5 1.网络与边界安全 5 2.主机系统安全 5 3.应用安全 6 4.数据安全 6 5.防火墙设计 7 6.WEB入侵防护设计 9 7.安全隔离网关设计 9 5.安全管理方案 11 1.安全组织体系建设 11 2.安全管理制度建设 12 3.信息安全管理原则 13 4.其他管理措施 14 5.售后服务内容、要求和期限 14 6.维护方案 15 7.技术培训方案 15 8.其它 16 1.安全体系总体设计 安全系统建设的原则，一是必须符合国家电子政务安全规划及国家的其他相关规定，二是要从平台实际工作需求出发，建设既符合要求又满足实际需求的安 全系统。 安全系统建设的重点是，确保信息的安全，确保业务应用过程的安全防护、身份识别和管理。安全系统建设的任务，需从技术和管理两个方面进行安全系统的建设基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不 可分割的两个部分。 本项目安全体系结构如下图所示。 数据安全：数据备份、数据库安全策略应用安全：应用系统安全、 数据安全：数据备份、数据库安全策略 应用安全：应用系统安全、PKI/CA认 证 系统安全：操作系统安全策略、防病毒 软件 网络安全：网络边界安全、防火墙 物理安全：环境建设、设备冗余 安全管理：安全管理制度、人员安全管 理、系统建设管理、系统运维管理 系统安全体系 应用安全 系统安全 网络安全 物理安全 安全策略 安全标准、规范 安全技术管理 安全制度管理 安全措施 3.7.1-1安全体系结构图 信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危 害程度等，由低到高划分为五级。 根据等级保护相关管理文件，本项目安全等级建议定级为第二级。 2.技术目标 从安全体系上考虑，实现多种安全技术或措施的有机整合，形成一个整体、 动态、实时、互动的有机防护体系。具体包括： 1)本地计算机安全：主机系统文件、主机系统的配置、数据结构、业务原 始数据等的保护。 2)网络基础设施安全：网络系统安全配置、网络系统的非法进入和传输数 据的非法窃取和盗用。 3)边界安全：横向网络接入边界，内部局域网不同安全域或子网边界的保 护。 4)业务应用安全：业务系统的安全主要是针对应用层部分。应用软件的设计是与其业务应用模式分不开的，同时也是建立在网络、主机和数据库系统基础之上的，所以业务部分的软件分发、用户管理、权限管理、终 端设备管理需要充分利用相关的安全技术和良好的安全管理机制。 3.管理目标 安全建设管理目标就是根据覆盖信息系统生命周期的各阶段管理域来建立完善的信息安全管理体系，从而在实现信息能够充分共享的基础上，保障信息及 其他资产，保证业务的持续性并使业务的损失最小化，具体的目标如下： 1)定期对局域网网络设备及服务器设备进行安全隐患的检查，确保所有运行的网络设备和服务器的操作系统安装了最新补丁或修正程序，确保所 有网络设备及服务器设备的配置安全。 2)提供全面风险评估、安全加固、安全通告、日常安全维护、安全应急响 应及安全培训服务。 3)对已有的安全制度，进行更加全面的补充和完善。 4)应明确需要定期修订的安全管理制度，并指定负责人或负责部门负责制 度的日常维护。 5)应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测 试报告。 6)应通过第三方工程监理控制项目的实施过程。 4.安全技术方案 1.网络与边界安全 网络安全是指通过各种手段保证网络免受攻击或是非法访问，以保证网络的 正常运行和传输的安全。 1、防火墙 通过防火墙进行缺省路由巡径、内部私有地址转换和公众服务静态地址映射，开启2-3层安全防护功能，完成Internet基础安全接入，实现互联网接入域的 合法接入控制、内容过滤、传输安全需求。 2、安全隔离网闸 布置安全隔离网闸，实现网间有效的数据交换。 3、网络基础设施的可用性 本项目政务网核心交换机、政务网边界防火墙采用主备冗余设计，以保证业 务信息的可靠传输。 2.主机系统安全 1、操作系统安全策略 及时检测、发现操作系统存在的安全漏洞； 对发现的操作系统安全漏洞做出及时、正确的处理； 及时给系统打补丁，系统内部的相互调用不对外公开； 通过配备安全扫描系统对操作系统进行安全扫描，发现其中存在的安全漏洞， 并有针对性地对网络设备进行重新配置或升级。 2、网络防病毒 建立完善的病毒防护管理体系，负责病毒软件的自动分发、自动升级、集中