图3-1 xxx网络主干拓扑结构图
3.2.2 中心机房信息系统构成
RAID磁盘阵列应用系统服务器群Internetwww mailserver···CISCO 3620cisco2924楼层交换机网络公司核心网络CISCO PIX 525网络公司光纤配线架核心交换cisco6509航空公司二级网络入侵检测CISCO 3640带宽管理器CISCO 3745漏洞扫描网管服务器图例光纤专线百兆线缆南航2×2M光明路北门两条2M新疆航空公司信息中心核心网络拓扑图图3-2信息中心核心设备拓扑图
3.3 现行系统的安全策略
xxxxxx目前的网络基于Internet/Intranet和同城网络流行的符合国际标准的TCP/IP网络协议和WEB等技术,提供了与中国xxxxxx公司的数据传输与信息发布的专用网络,为了保障网络不受到有意、无意的的破坏,采取了以下安全防范措施:
1. 配置防火墙:为减少局域网用户受到病毒及黑客的威胁,在局域网与internet之间安装了思科Secure PIX525防火墙,实现了局域网用户对internet资源的单向访问;通过防火墙的过滤规则,实现ip控制,限制局域网用户对internet的访问等。
2. 安装网管软件:公司专门安装了Cisco works网管软件,利用管理软件直观地以图形方式显示Cisco的设备,以及基本的故障排除信息,进行有效的网络管理。
3. 进行网络性能监测分析:为了给网络管理人员提供深入监测、分析和优化网络的信息,公司购买了美国福禄克网络公司的 OptiView II 系列集成式网络分析仪
(OPVS2 INA),该产品具有协议分析、流量分析和网络搜索的功能。
4. 入侵检测系统(IDS):作为防火墙的补充,公司在网络上增加了干将/莫邪入侵检测系统,该系统主要作用是保护网络、帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。
5. 定期进行漏洞扫描:承影网络漏洞扫描器是一种基于网络的漏洞扫描和分析工具软件,用来检查网络环境下各种网络系统与设备的安全缺陷和弱点,信息部工作人员每周对中心服务器进行一次扫描,帮助管理员巩固企业的信息系统安全。
6. 划分VLAN:通过路由访问列表等Vlan划分原则,可以有效的控制网络广播风暴和逻辑网段大小,将不同部门划分在不同Vlan,从而提高交换式网络的整体性能
7. 安装网络防病毒软件:为了保证用户在使用网络时不受病毒的感染,公司于2004年2月建立防病毒系统,局域网内的用户必须安装Symantec防病毒软件。
8. 安全管理组织:xxxxxx成立了由信息部部长任安全领导小组组长,由运行室副主任任副组长的“安全领导小组”,安全管理人员由信息中心两名技术人员担任。负责与xxxxxx总部联系,并发布信息安全的相关信息。
9. 安全管理制度:xxxxxx制定了以下与信息系统管理相关的规章制度: 1) xxxxxx网络管理暂行规定 2) 网络设备运行管理制度
3) xxxxxx计算机病毒防治管理办法 4) xxxxxx计算机系统密码设置和使用规则 5) xxxxxx邮件帐号使用管理及安全管理规定 6) 系统运行室管理规章制度 7) 系统运行室值班职责
8) 2005系统维护室工作职责划分 9) 系统运行室各系统应急预案
xxxxxx在信息系统的建设中已经采取了以上的安全措施,这些安全措施也的确起到了安全防范的作用,信息系统运行至今,没有出现过重大的安全事故。但是从实际测试以及业务调研中,还是发现了不少系统的安全漏洞,有些系统的脆弱性还具有比较高
的风险(参见本文第四部分)。这些问题是必须引起高度重视的。
3.4 信息资产识别和定义
在资产定义阶段,通过对前期业务调研的总结和讨论,产生了xxxxxx中心信息资产工作表,并从中挑选出本次评估的关键资产,见表一:
表一:资产定义汇总表 资产 xxxxxx财务信息 资产的作用和重要性 财务信息是公司的核心数据,目前xxxxxx公司的财务系统由xxxxxx公司统一管理,数据主要集中在xxxxxx公司 航务、机务、采供、飞行、这些信息直接关系到航空公司业务的正常进行,是企业的重要信信息 货运、客户信息 息。 原始资料及相关档案 通常指第一手资料,如硬件、软件设计文档、数据库设计文档、原程序、软件安装介质、使用手册、配置手册、管理制度等等,有些内容丢失会造成泄密及无法恢复的损失 xxxxxx公司的应用软件包括有FOC 系统、航空维修综合管理信息系统 客舱采供管理系统、飞行统计系统、航班查询系统、950333系统 ISO 9000手册电子版管理系统来保证xxxxxx业务的正常运行。 xxxxxx的数据库管理系统主要采用的是MS SQL SERVER,部分应用系统采用DB2 、SYBASE 和ORACLE数据库,来保障系统的正常运行,它们关系到数据的完整性和可用性 xxxxxx公司各类服务器的操作平台,目前全部采用 MS WIN2000 系列操作系统,是各类服务器及工作站正常运行的基础环境,也是信息系统的最后一道安全防线。 包括:xxxxxx的电子邮件(采用的mdaemon6.5.3、xxxxxx的电子邮件系统Exchange2000);xxxxxx内、外部网站;办公自动化系统(服务器在xxxxxx)、视频系统等,是正常办公的辅助工具。 信息中心采用CISCOWORK 2000网管软件对网络运行状况的监控和维护提供了技术手段 采用Symantec网络防病毒软件(1000客户端),该系统主要用于为公司服务器和pc机防病毒,保证用户在使用网络时不受病毒的感染。关系网络中所有计算机的安全。 基于网络的漏洞扫描和分析工具软件,用来检查网络环境下各种网络系统与设备的安全缺陷和弱点,帮助管理员巩固企业的信息系统安全。 业务系统软件 数据库管理系统 操作系统 应用软件 办公应用软件 网络管理软件 网络防病毒软件 承影网络漏洞扫描软件
表一:资产定义汇总表 资产 数据库存储设备 数据库服务器 核心路由及核心交换机 网络通讯线路 设备及硬件 其他路由器及交换机 防火墙 入侵检测系统 网络测试仪 应用系统管理员 人员 安全管理人员 软件开发维护人员 网络硬件管理人员 系统配置信息 源程序 技术系统设计开发文档 文档 系统说明文档 系统维护文档 资产的作用和重要性 采用DELL 磁盘阵列保存及备份xxxxxx公司部分的重要信息及数据 采用HP 和DELL的PC服务器做数据库系统载体,为xxxxxx公司提供各种查询、计划等数据服务 核心交换机CISCO 6509网络核心设备,一旦出现故障,会导致整个网络系统瘫痪 主干光缆线路和机房内连接各设备的线缆,保证xxxxxx业务的正常运行 CISCO 3640 和CISCO 3750 等是网络互联设备,提供对xxxxxx和市区售票处的接入,出现故障,会造成无法与中心网络连接,影响业务正常进行 Pix 525防火墙提供xxxxxx公司INTERNET 的安全接入 防火墙的补充,提高系统对外部攻击的检测能力,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)。 OptiView II将网络分析和监测能力结合在一起,能够完整的透视整个网络。 负责应用软件升级、扩展、更新及数据备人是第一位的,其它份。 因素,如:设备、软负责信息系统安全管理及安全支持 件程序、信息系统均由人来操作使用,信应用系统开发、升级、扩展及维护。 息资料由人来调用。 网络设备系统配置、网络检测。 系统功能参数设定。 应用系统的程序清单。 系统设计的依据、技术特征、业务及数据模式、开发方法等。 说明系统的功能、使用范围。 记载系统升级、维修的文字记录。 在系统资产定义阶段,还根据资产的工作范围及重要性,对信息资产的安全优先级别进行了定义,在风险规避中,要优先考虑安全要求高的资产;根据系统对信息安全的机密性、完整性、可用性、可控性以及抗抵赖性的要求,对信息资产的安全需求进行了定义。具体内容见《系统特征分析报告》文档。
相关推荐:
loading