返回
学习信息安全产品设计--架构设计-详细设计.

学习信息安全产品设计--架构设计-详细设计.

ID:15162517

大小:723.50 KB

页数:17页

时间:2018-08-01

学习信息安全产品设计--架构设计-详细设计._第1页
学习信息安全产品设计--架构设计-详细设计._第2页
学习信息安全产品设计--架构设计-详细设计._第3页
学习信息安全产品设计--架构设计-详细设计._第4页
学习信息安全产品设计--架构设计-详细设计._第5页
资源描述:

《学习信息安全产品设计--架构设计-详细设计.》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全产品设计理念信息安全产品设计理念技术架构篇第17页信息安全产品设计理念1设计1.1概述随着信息技术的不断发展和信息化建设的不断进步,办公系统、商务平台的不断推出和投入运行,信息系统在企业的运营中全面渗透。电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站,更是使用数量较多的服务器主机来运行关键业务。随着国家信息安全等级保护和分级保护的贯彻实施,信息安全产品在在高安全域行业被普遍应用。中国外交部和美国常务副国务卿多次共同主持中美战略安全对话。双方就共同关心的主权安全、两军关系、海上安全、网络及外空安全

2、等重要问题坦诚、深入交换了意见。双方同意继续充分利用中美战略安全对话机制,就有关问题保持沟通,增进互信,拓展合作,管控分歧,共同推动建设稳定、合作的战略安全关系。2002年由美国总统布什签发的萨班斯法案(Sarbanes-OxleyAct)开始生效。其中要求企业的经营活动,企业管理、项目和投资等,都要有控制和审计手段。因此,管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁

3、。细粒度模型,通俗的讲就是将业务模型中的对象加以细分,从而得到更科学合理的对象模型,直观的说就是划分出很多对象.所谓细粒度的划分就是在pojo类上的面向对象的划分,而不是在于表的划分上。以常用的信息安全产品---运维审计产品(堡垒机)为例,堡垒机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。内控堡垒主机扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。堡垒机具体有强大的输入输出审计功能,不

4、仅能详细记录用户操作的每一条指令,而且能够通过回放的功能,将其动态的展现出来,大大丰富了内控审计的功能。堡垒机自身审计日志,可以极大增强审计信息的安全性,保证审计人员有据可查。堡垒机还具备图形终端审计功能,能够对多平台的多种终端操作审计,例如windows平台的RDP形式图形终端操作。为了给系统管理员查看审计信息提供方便性,堡垒机提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。总之,堡垒机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化和专业化。第17页信息安全产品设计理

5、念1.1管理现状目前机构的运维管理有以下三个特点:l关键的核心业务都部署于Unix和Windows服务器上。l应用的复杂度决定了多种角色交叉管理。l运行维护人员更多的依赖Telnet、SSH、FTP、RDP等进行远程管理。基于这些现状,在管理中存在以下突出问题:1.2.1使用共享帐号的安全隐患企业的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性

6、无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。1.2.2密码策略无法有效执行为了保证密码的安全性,安全管理员制定了严格的密码策略,比如密码要定期修改,密码要保证足够的长度和复杂度等,但是由于管理的机器数量和帐号数量太多,往往导致密码策略的实施流于形式。1.2.3授权不清晰各系统分别管理所属的系统资源,为本系统的用户分配权限,无法严格按

7、照最小权限原则分配权限。另外,随着用户数量的增加,权限管理任务越来越重,当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加,安全性无法得到充分保证。第17页信息安全产品设计理念1.2.1访问控制策略不严格目前的管理中,没有一个清晰的访问控制列表,无法一目了然的看到什么用户能够以何种身份访问哪些关键设备,同时缺少有效的技术手段来保证访问控制策略被有效执行。1.2.2用户操作无法有效审计各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志

8、,但是往往日志找到了,也不能最终定位到行为人。另外各系统的日志记录能力各不相同,例如对于Unix系统来说,日志记录就存在以下问题:lUnix系统中,用户在服务器上的操作有一个历史命令记录的文件,但是用户可以随意更改和删除自己的记录;lroot用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。