企业信息安全管理技术方案.docx

企业信息安全管理技术方案  目 录 TOC \o "1-3" \h \z \u 1. 信息安全管理平台建设 3 1.1. 生产环境数据安全解决方案 3 1.1.1. 示范要点 3 1.1.2. 建设内容 4 1.1.3. 建设规模 5 1.1.4. 技术设计方案 5 1.2. 非生产环境数据安全解决方案 30 1.2.1. 数据防泄漏解决方案 30 1.2.2. 数据脱敏解决方案 43  信息安全管理平台建设 生产环境数据安全解决方案 示范要点 计划通过合作研发模式，开发实现一套具备应用入侵预防、应用入侵发现、应用入侵阻断、应用系统可用性监测、入侵取证等功能要求，同时满足不影响应用系统性能、高可用性、良好可视化、可扩充性、数据机密性等非功能需求的云防护系统。该系统利用云技术将安全防护功能服务化，不同于传统方案中将不同功能的安全设备进行简单堆叠，具有性能可扩展，功能可定制，部署简单、结构清晰的特点，对于行业内开放系统安全防护有一定的示范效果。（云安全） 采用基于虚拟终端技术建立的新运维模式，基于桌面控制协议实现对终端的安全隔离，克服了传统实终端物理隔离方式所造成的数据、计算落地和远程分散使用所带来的安全隐患，虚拟终端方式利用服务器虚拟化技术比物理终端方式即能提供较高的可用性，还能提供较短的故障恢复时间，虚拟终端集中存放在数据中心也便于管理。虚拟终端方式即能提升生产效率，又能提高管理水平，还能提升安全防护能力，对于提升终端安全保障能力有一定的示范效果。（终端安全） 负责运维的系统具有较高的复杂度，即有传统主机也有开放系统，对于开放服务器和网络设备也同时存在多种特权帐号管理系统，通过建设符合航信特权账号安全管理需求的4A平台，即能实现对原有主机、开放系统的整合，提升原有主机、开放系统的安全防护能力，也能与新系统进行融合，降低新系统的开发难度的同时提升新系统安全防护水平，航信对于复杂的特权账号安全管理需求的解决思路和经验可以对民航企业起到一定的示范效果。（运维4A） 将多种技术和产品的特点优势组合，采用网络流量汇集解析与大数据平台检索分析结合的审计方案为企业信息系统核心数据库提供审计支持，能够覆盖所有主流数据库系统及国产达梦数据库系统，可全面审计来自于运行维护人员和应用系统的访问操作，做到可分析可溯源，充分利用大数据平台的查询分析优势。弥补数据库审计系统缺失的重大安全漏洞，并可以作为成功模式在行业内推广，提升数据库的安全监控和审计能力。（数据库审计） 建设内容 云防护 构建对企业信息系统应用防护、配置管理、安全审计、运行维护、监控防御的全面云服务能力。提供专业化、标准化、精细化的信息安全态势感知和安全云防护服务产品，该平台的部署将提升企业信息系统的整体安全监控和防护水平。 图 3- STYLEREF 1 \s 3 SEQ 图 \* ARABIC \s 1 35企业信息系统信息安全综合支撑平台 虚拟化运维终端 对运维终端进行安全隔离，保障运维终端的终端安全； 运维4A 实现对民航前台应用系统以及网络内的各种IT资源的帐号、认证、授权和审计的集中控制和管理，为各个业务系统提供机制统一、多样化的帐号、认证、授权和审计安全服务。（运维4A） 数据库审计 针对企业信息系统核心数据库建设数据库安全审计系统，采用网络流量汇集解析与大数据平台结合的审计方案提供审计支持，实现数据库系统的全路径访问审计。（数据库审计） 建设规模 云防护、运维4A、虚拟化运维终端覆盖民航新一代旅客服务信息系统。 数据库审计覆盖民航新一代旅客服务信息系统、国航电子商务系统、首都机场电子商务系统以及空管局相关系统。 数据库审计建设规模 数据库审计系统建设满足企业信息系统核心数据库系统审计需求。 这些数据库包括： 航信民航新一代旅客服务信息系统所有重要数据库。 国航商务数据库、旅客服务系统数据库、呼叫中心系统数据库、市场销售分析系统。 虚拟运维终端建设规模 虚拟运维终端覆盖总部（运行中心、研发中心和其他业务部门）和全国各分支机构，约1000台。 运维4A建设规模 自然人身份帐号管理范围：针对航信总部和各分支机构系统维护人员进行集中化管理，共约1000个主帐号。 资源管理范围：针对航信总部和各分支机构的系统资源，包括主机设备、网络设备、数据库设备、安全设备、虚拟终端，应用资源，包括C/S应用、B/S应系统实现集中统一的帐号管理、认证管理、审计管理，共约5000个资源。 云防护建设规模 保护航信对外提供服务的200个网站。 技术设计方案 生产环境数据安全整体解决方案，外网流量首先通过流量清洗设备对拒绝服务攻击流量进行过滤，防火墙对非授权流量进行过滤，IPS对网络攻击流量进行过滤，负载均衡会用户业务访问