IT安全技术保护措施应用指南
有较多的分支机构,并通过VPN隧道进行站点之间的连接,交换大容量的数据;企业有一定的规模,并且在IT建设、管理和维护方面拥有一定经验的员工;企业的数据比较敏感,要求安全级别较高;企业员工不能随便通过任意一台电脑就访问企业内部信息,移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。而SSL VPN更适合那些需要很强灵活性的企业,员工需要在不同地点都可以轻易的访问公司内部资源,并可能通过各种移动终端或设备;企业的IT维护水平较低,员工对IT技术了解甚少,并且IT方面的投资不多。 5.2.4.2 保护组件 表格 5-7 VPN安全接入保护组件分类表
组件编号 CTG-FHZJ-AQFH-04-1 组件名称 SSL VPN 组件说明 该组件主要针对点对多点的接入方式,针对通过WEB方式接入的方式。 CTG-FHZJ-AQFH-04-2
IPSEC VPN 该组件主要针对点对点的接入方式。 5.2.4.3 应用场景 针对中国电信的网络结构,结合VPN的部署接入特点,VPN部署方式如下图所示:
第 36页 /共 81页
IT安全技术保护措施应用指南
图示 5-7 VPN安全接入保护措施部署方式
通过上图所示,在互联网边界部署SSL VPN设备,实现针对外部的员工远程办公接入,可以设置不用的用户接入权限;在外部互联区部署IPSEC VPN接入设备,实现远程网络的点到点的透明接入。 5.2.4.4 功能要求 VPN安全应用安全保护措施功能要求包括以下:
1. VPN网络类型:支持网到网的Intranet VPN,构建经济安全的私有网;支持
Remote Access VPN,即移动接入方式,满足基本的移动办公需求;支持与合作伙伴等第三方连接的Extra VPN;
2. 丰富的加密方法:支持AES、DES、3DES、RC4、SHA、MD5等多种国际标准
加密算法,且支持国密办安全算法,提供全面安全保障;
第 37页 /共 81页
IT安全技术保护措施应用指南
3. 支持多种VPN业务类型,:如L2TP VPN、GRE VPN 、SSL VPN、IPSec VPN
和动态VPN等, 可以构建多种形式的VPN;
4. 日志管理;能够记录系统日志、设备运行日志、管理员日志、用户日志等,便
于设备管理;
5. 报表统计:基于用户、用户组、流量、资源等的柱状图、曲线图、列表等多种
显示方式,便于管理员全面掌握SSL VPN运行、资源访问及用户SSL VPN的使用情况
第 38页 /共 81页
IT安全技术保护措施应用指南
5.2.5 数据库安全保护
5.2.5.1 工作原理 随着信息化、网络化水平的不断提升,重要的数据信息越来越受到安全威胁,而大量的重要数据往往都存放在数据库系统中,保护数据库安全、有效防范信息泄漏和篡改成为一个重要的安全保障目标。数据库安全包含两个方面的含义:第一方面是指系统运行安全,即由于硬件或软件的原因至使数据库管理系统不能正常运行,不能对外提供正常的服务;第二方面是指系统数据安全,即数据库中的数据在存储或传输过程中被非法的获取,修改或者破坏。
要保护数据库安全首先需要加强对数据库的访问控制,明确数据库管理和使用职责分工,最小化数据库账号使用权限,防止权利滥用。同时还要对数据库及其核心业务系统进行安全加固,在系统边界部署防火墙、IDS/IPS、防病毒系统等,并及时地进行系统补丁检测。
有效地保护数据库安全是IT系统安全的重中之重,而数据库安全的关键在于防范信息的泄漏和篡改。防止信息泄漏应该关注以下几点:防止硬件存储设备引起的泄密;防止操作系统文件引起的数据泄密;防止数据库超级用户进行的数据窃取;防止外部入侵进行的数据破解。
保护系统支持标准的SQL语句,提供ODBC、OLEDB和JDBC支持,以及调用级接口(CLI)。 5.2.5.2 保护组件 根据数据库安全保护的强度,目前中国电信数据库安全保护组件包括以下两类,具体如下表所示:
表格 5-3 数据库安全保护组件分类表
第 39页 /共 81页
相关推荐:
loading