军工行业服务器安全保护解决方案

其它行业软件 一、设计要求

参照BMB17－2006《涉及国家神秘的信息系统分级掩护手艺要求》和BMB20－2007《涉及国家神秘的信息系统分级掩护治理规范》，国家保密局对军工单元网络宁静建设明确提出了品级掩护建设思绪、规范和要求，主要体现在如下几个方面：
1制作软件

．要求对网络宁静域举行合理划分；
2．要求对网络、系统、应用举行差别宁静品级划分；
3．在差别的网络宁静域界限接纳响应的宁静掩护手艺、措施；
4．对主要营业系统和主要数据资料的会见接纳身份认证机制；
5．需要对用户终端数据传输途径举行宁静掩护，防止敏感信息被监听；
6．防止用户非法、越权和冒充身份会见服务应用后台
7．增强对应用服务器、应用系统的深层防护；
8．实现对应用服务器的运维监控、治理和异常恢复；
9．增强基于应用的宁静防护措施，确保应用系统提供连续性、可靠服务保障；
10．实现对装备、应用、服务的细粒度审计；

二、应用服务器面临的宁静风险

通过对上述网络宁静现状和现有宁静手艺手段剖析，现在应用服务器所面临的主要宁静风险和宁静隐患如下：
1．服务器区域宁静界限不明确；
2．服务器区域和终端用户区域无界限宁静防护措施，存在非法会见、入侵宁静风险；
3．缺少对应用服务器基于应用层的宁静防护手艺、措施，存在基于应用层非法会见和非法攻击、入侵，如SQL注入攻击、溢出攻击、剧本攻击、Dos攻击等；
4．缺少对应用服务器会见的细粒度控制，如控制会见的详细路径、会见源主体工具等；
5．缺少对服务器运行状态动态监控，存在服务器运行宁静风险；
6．缺少对应用服务器的要害历程、服务的实时监测和响应，存在应用可连续性风险；
7．缺少对应用服务器、应用系统会见的细粒度审计；
8．缺少对服务器会见数据流信息的天真的统计、剖析机制，对宁静事务无法提供高效的剖析工具；

三、宁静建设整体计划

针对上述应用服务器所面临的宁静问题，联合现有的网络宁静措施，参考海内外针对应用服务器的宁静防护手艺，我们对XXX研究所应用服务器区域举行统一宁静计划建设，建设“以计谋为焦点、接纳宁静动态防护手艺”，实现对服务器的集中治理、基于应用的宁静防御、服务器运行状态实时监控、网络会见行为审计，最终实现对应用服务器区域的整体宁静防护。

3.1   宁静建设依据和目的

宁静建设主要参考依据：
国家相关宁静建想法规
国家相关宁静建设手艺要求
BMB17－2006 涉及国家神秘的信息系统分级掩护手艺要求
BMB20－2007 涉及国家神秘的信息系统分级掩护治理规范
中办发[2003]27号文件《国家信息化向导小组关于增强信息宁静保障事情的意见》
宁静建设的目的：
　　掩护服务器、应用系统资源价值不受侵占，保证信息资产面临最小的风险，建设、健全XXX研究所应用服务器系统纵深、立体的深度宁静防御系统，确保系统运行宁静、信息资产宁静。

3.2 应用服务器宁静防护建设

遵照“统一计划、统一建设、统一尺度、相互配套”的原则，参照保密局针对军工行业的宁静建设规范要求，实现对XXX研究所服务器多方位、多条理的宁静防护，确保服务器、应用系统、信息资料等的宁静。

3.2.1 总体网络建设拓扑计划

依据上述应用服务器存在的宁静风险和宁静建设的要求，我们建议接纳专门针对应用服务器宁静防护的宁静产物WebGate应用宁静门户网关装备实现对XXX研究所所重点应用服务器的宁静防御和掩护。
针对XXX研究所提供所需重点掩护的服务器数目、提供服务和数据交流量，我们建议部署如图所示的千兆WebGate装备作为对重点服务器区域举行响应的宁静防护，同时对整个网络系统的宁静域举行合理计划。总体计划为主要服务器区域、通俗服务器区域、焦点装备区域和终端用户接入用户区域4个大的宁静域。主要服务器区域
部署了需要重点掩护的服务器区域，包罗CAPP、PDM、OA（MAIL）、人事、物资、审计监控服务器，针对主要服务器区域凭据服务器提供应用和服务的主要性，又划分为两个差别的掩护级别区域，一个区域包罗的服务器有CAPP、PDM和OA（包罗mail）；  另一个为人事、物资和审计监控服务器区域。

 1/3    1 2 3 下一页 尾页