欢迎来到天天文库
浏览记录
ID:11372464
大小:407.00 KB
页数:33页
时间:2018-07-11
《xx证券公司安全域划分及防护规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、XX证券公司安全域划分及防护规范CISCO金牌代理33目录安全域划分及防护规范1一.概述51.1适用范围51.2引用标准5二.XX证券信息系统概述6三.安全域划分规范83.1划分原则83.2安全域划分113.2.1网络外部域123.2.2网络接入域123.2.3网络核心域133.2.4计算域143.2.5管理用户域143.2.6安全支撑域143.2.7边界描述15四.安全域保护定级18五.安全域防护策略205.1xx证券信息系统防护策略205.2网络核心域防护20335.2.1边界防护策略215.2.2边界5的防护策略215.2.3边界6
2、的防护策略225.2.4边界7、8的防护策略235.2.5边界9的防护策略245.2.6内部防护策略245.3网络接入域的防护265.3.1边界防护策略265.3.2互联网接入域275.3.3外联网接入域1的防护策略295.3.4外联网接入域2的防护策略315.3.5内联网接入域的防护策略32六.总结3333一.概述1.1适用范围本文档是根据xx证券公司2008年网络安全评估项目的要求,结合xx证券网络的建设现状,制定了安全域划分框架,并在此基础上制定了安全域的保护等级以及对应的安全防护规范。本文档为xx证券信息网络的安全规划和工程建设提
3、供了依据,可用来指导构建详细的安全技术防护体系和安全产品部署方案。本文档面向xx证券公司信息系统的管理者和信息系统安全的工程技术人员。1.2引用标准l《关于加强信息安全保障工作的意见》(中办、国办[2003]27号文)l公安部、保密局、机要局、国务院信息办联合下发的《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文)l国务院信息办信息安全风险评估课题组编制的《信息安全风险评估研究报告》l美国国家标准和技术研究所(NIST,NationalInstituteofStandardsandTechnology)制订的SP800系
4、列文档:《IT系统安全自评估指南》、《IT系统风险管理指南》、《联邦IT系统安全认证和认可指南》、《信息系统安全规划指南》等,http://csrc.ncsl.nist.gov/publications/nistpubs/33l美国国家安全局,信息保障技术框架IATF(InformationAssuranceTechnicalFramework),V3.1版,www.iatf.netl《计算机信息系统安全保护等级划分准则》(GB17859)l公安部GA/T387-391-2002系列标准,计算机信息系统安全等级保护操作系统技术要求、管理要
5、求、通用技术要求、网络技术要求、数据库管理系统技术要求一.xx证券信息系统概述xx证券信息网络整体逻辑如图。从图中可以看出,xx证券网络采取星型的网络拓扑结构,由双核心交换机为核心连接银行、灾备中心、深沪交易所、营业部、互联网和业务系统,同时还连接相关网络系统。该图仅说明系统之间的连接关系,对设备间的具体连接、与外部系统的连接、以及系统内部的组成情况都进行了简化。xx证券网络由4大部分组成,具体如下:331)位于总公司机房的核心交换机,由两台CISCO4006热备,是网络的核心部分。2)业务系统,包括网上行情、交易系统、银证转帐等,是xx
6、证券网络的主要业务系统。3)网管系统,对公司信息系统进行管理。4)对外连接的相关系统,包括:银行系统、深沪交易所、灾备中心、营业部、互联网,核心交换作为xx证券网络的核心,连接了所有的相关系统。xx证券核心交换和主要业务系统的物理实体集中在总公司机房,在机房中提供业务系统的接入,同时提供主要的对外连接接口以及网络管理的连接。33由上图我们可以看出,信息系统必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下,使得不同的外部网络、不同身份和目的的人都有机会连接到xx证券内部网络中,从而对信息系统的安全带来了威胁。从xx证券网络环境的
7、层面而言,信息系统的安全威胁主要来自以下几个方面。1.来自内部误用和滥用的安全威胁,包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用,与公司内部不同IT系统或者与其他相关系统的互联互通、合作伙伴之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;2.来自互联网的安全威胁:目前网上交易系统、网上行情系统等系统是与互联网相连的,如果安全措施不力就很有可能被黑客利用,带来网络安全问题;3.来自缺省配置的安全威胁:在建设IT系统时,大量的UNIX/WINDOWS等系
8、统很多都采用缺省配置,造成开放不必要的端口等安全隐患,如果对其IT局域网架构缺乏安全边界的划分,而又没有采取一个可集中控制访问请求的措施,则很容易被不法分子利用进行非法入侵。一.安全域划分规范
此文档下载收益归作者所有