IT系统整体安全解决方案一、信息系统安全的含义3二、信息系统涉及的内容3三、现有信息系统存在的突出问题31、信息系统安全管理问题突出32、缺乏信息化安全意识与对策33、重安全技术，轻安全管理34、系统管理意识淡薄3四、信息系统安全技术及规划31、网络安全技术及规划3（1）网络加密技术3（2）防火墙技术、内外网隔离、网络安全域的隔离3（3）网络地址转换技术3（4）操作系统安全内核技术3（5）身份验证技术3（6）网络防病毒技术3（7）网络安全检测技术3（8）安全审计与监控技术3（9）网络备份技术32、信息安全技术及规划3（1）鉴别技术3（2）数据信息加密技术3（3）数据完整性鉴别技术3（4）防抵赖技术3（5）数据存储安全技术3（6）数据库安全技术3（7）信息内容审计技术3五、信息系统安全管理31、信息系统安全管理原则3（1）、多人负责原则3（2）、任期有限原则3（3）、职责分离原则32、信息系统安全管理的工作内容3一、信息系统安全的含义信息系统安全包括两方面的含义，一是信息安全，二是网络安全，涉及到的试信息化过程中被保护信息系统的整体的安全，是信息系统体系性安全的综合。

具体来说，信息安全指的是信息的保密性、完整性和可用性的保持；网络安全主要从通信网络层面考虑，指的是使信息的传输和网络的运行能够得到安全的保障，内部和外部的非法攻击得到有效的防范和遏制。

信息系统安全概括的讲，根据保护目标的要求和环境的状况，信息网络和信息系统的硬件、软件机器数据需要受到可靠的保护，通信、访问等操作要得到有效保障和合理的控制，不受偶然的或者恶意攻击的原因而遭受到破坏、更改、泄漏，系统连续可靠正常的运行，网络服务不被中断。

信息化安全的保障涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，涉及到安全体系的建设，安全风险的评估、控制、管理、策略指定、制度落实、监督审计、持续改进等方面的工作。

信息化安全与一般的安全范畴有许多不同的特点，信息化安全有其特殊性，首先，信息化安全使不能完全达到但有需要不断追求的状态，所谓的安全是相对比较而言的。

其次，信息化安全是一个过程，是前进的方向，不是静止不变的。

只有将该过程针对保护目标资源不断的应用于网络和其支撑体系，才可能提高系统的安全性。

第三，在信息系统安全中，人始终是一个重要的角色，由于人的动机、素质、品德、责任、心情等因素，在管理、操作、攻击等方面有不同表现，可能造成信息系统的安全问题。

第四，信息系统安全是一个不断对付攻击的循环过程，攻击和防御是循环中交替的矛盾性角色。

防御攻击的技术、策略和管理并不是一劳永逸的，需要更新适应性的发展需求。

第五，信息系统安全是需要定期进行风险评估的，风险存在和规避风险都是不断变化的。

信息系统安全涉及的内容既有技术方面的问题，更重要的是管理方面的问题，两方面相互补充，缺一不可。

技术方面主要侧重于防范、记录、诊断、审计、分析、追溯各种攻击，管理方面侧重于相应于技术实现采取的人员、流程管理和规章制度。

因此，从某种意义上讲，信息系统安全不仅是技术难题，而且也是管理问题。

二、信息系统涉及的内容信息系统安全所涉及到的主要内容包括：系统运行的安全：主要侧重于保证信息处理和通信传输系统的安全。

其安全的要求是保证系统正常运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免物理的不安全导致运行的不正常或瘫痪，避免由于电磁泄露而产生信息泄漏，干扰他人或受他人干扰。

访问权限和系统信息资源保护：对网络中的各种软硬件资源（主机、硬盘、文件、数据库、子网等）进行访问控制，防止未授权的用户进行非法访问，访问权限控制技术包括口令设置、身份识别、路由设置、端口控制等。

系统信息资源保护包括身份认证、用户口令鉴别、用户存取权限控制、数据库存取权限控制、安全审计、计算机病毒防治、数据保密、数据备份、灾难恢复等。

信息内容安全：侧重与保护信息的保密性、真实性和完整性。

避免攻击者利用系统的漏洞进行窃听、冒充、诈骗等有损合法用户的行为。

信息内容安全还包括信息传播产生后果的安全、信息过滤等，防止和控制非法、有害的信息进行传播后的后果。

作业和交易的安全：网络中的两个实体之间的信息交流不被非法窃取、篡改和冒充，保证信息在通信过程中的真实性、完整性、保密性和不可否认性。

作业和交易安全的技术包括数据加密、身份认证。

数字签名等，其核心是加密技术的应用。

人员和安全的规章制度保障：重大的信息化安全事故通常来自单位阻止的内部，所以对于人员的管理、确定信息系统安全的基本方针和相应的规章管理制度，是信息系统安全不可缺少的一个部分。

在人员角色、流程、职责、考察、审计、聘任、解聘、辞职、培训、责任分散等方面，建立可操作的管理安全防范体系。

安全体系整体的防范和应急反应功能：对于信息系统涉及到的安全问题，建立系统的防范体系，对可能出现的安全威胁和破坏进行预演，对出现的灾难、意外的破坏能够及时的恢复。

三、现有信息系统存在的突出问题1、信息系统安全管理问题突出信息系统安全管理包括三个层次的内容：组织建设、制度建设和人员意识。

组织建设问题是指有关信息安全管理机构的设立。

信息安全的管理包括安全规划、风险管理、应急反应计划、安全教育培训、安全策略制定、安全系统的评估和审计等多方面的内容。

安全管理虽然有一些机构成立，但是各个机构的职责并不是很明确，建立的规章制度可落实性差，甚至没有规章制度。

对人的管理，还需要解决多人负责、责任到人、任期有限的问题。

领导对信息化还不够重视，没有形成群防群治的意识。

信息安全的教育和培训还不够。

2、缺乏信息化安全意识与对策管理层新在对信息资产所面临威胁的严重性认识不足，或者只限于信息技术安全方面，没有形成一个合理的信息化安全整体方针来指导和组织信息化安全管理工作，表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和安全风险防范教育和培训，现有的安全规章制度组织机构未能严格发挥作用。

3、重安全技术，轻安全管理虽然现在使用计算机、内部办公局域网来构建信息系统，但是相应的管理措施不到位，如系统运行、维护、开发等岗位不清，职责部分，存在一人身兼数职现象。

信息化安全大约70％以上的问题是由于管理方面的原因造成的，也就是解决信息化安全问题，不仅仅从技术方面入手，同时更应该加强安全管理的工作。

4、系统管理意识淡薄现有的安全管理模式仍是传统的管理方法，出了问题才去想补救的办法，头疼医头，脚疼医脚，是一种就事论事，静态的管理办法，不是建立唉安全风险评估基础之上的动态的持续改进管理办法。

四、信息系统安全技术及规划1、网络安全技术及规划由于互联网所存在的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞漏洞，保证提供通信服务的安全性。

快速发展的网络安全技术能从不同角度逐步保护网络信息不受侵犯，网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术、检测审计技术、备份技术等。

（1）网络加密技术网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。

网络加密常用的方法有链路加密、端点加密和节点加密三种。

链路加密的目的是保护网路节点之间的链路信息安全；端点加密是对源端用户到目的端用户的数据提供加密保护；节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。

一般常用的加密方法是链路加密和端点加密。

链路加密侧重于在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。

链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。

端到端加密是指信息由发送端自动加密，形成TCP/IP数据包，然后作为不可阅读和不可识别的数据穿过网络，当这些信息一旦到达目的地，将自动解密、重组，成为可读数据。

端点加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文的形式传输，用户数据在中央节点不需解密。

端点加密系统的价格比较便宜，并且与链路加密和节点加密相比更可靠，更容易设计、实现和维护。

端点加密还避免了其他加密系统所固有的同步问题，此外，从用户的角度出发，端点加密更自然些，在对数据信息进行加密的同时，不影响网络上其他的用户。

（2）防火墙技术、内外网隔离、网络安全域的隔离在内外部网络之间，设置防火墙（包括分组过滤和应用代理）实现内外网的隔离与访问控制是保护内部网络安全的主要措施之一。

防火墙可以表示为：防火墙＝过滤器＋安全策略＋网关。

防火墙可以监控进出网络的数据信息，从而完成仅让安全、核准的数据信息进入，同时又地址对内部网络构成威胁的数据进入任务。

通常，防火墙服务的主要目的是：限制他人进入内部网络、过滤掉不安全服务和非法用户、限定访问的特殊站点等等。

防火墙的主要技术类型包括网络级数据包过滤器和应用级代理服务器。

由于网络级数据包过滤器和应用级代理服务器两种类型的防火墙系统各有优缺点，因此在实际中，应将二者结合起来使用。

分组过滤器作用在网络层和传输层，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。

应用代理，俗称"网关"，作用在应用层，特点是完全隔绝了网络通信流，通过对各种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

实际中的应用网关通常有专用工作站实现。

对于内部网络不同网络安全域的隔离及访问控制，防火墙被用来隔离内部网络的一个网段与另外一个网段。

这样就能防止影响一个网段的问题穿过整个网络传播。

针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感，这样，在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

（3）网络地址转换技术网络地址转换技术也称为地址共享器或地址映射器，设计的初衷是为了解决网络IP地址不足的问题，现在多用于网络安全。

内部主机向外部主机连接时，使用同一个IP地址，相反的，外部主机要向内部主机连接时，必须通过网关映射到内部主机上。

它使外部网络看不到内部网络，从而隐藏内部网络，达到保密的目的，使系统的安全性提高，并且节约从ISP处得到的外部IP地址。

（4）操作系统安全内核技术除了传统的网络安全技术以外，在操作系统层次上也应该考虑相关的网络安全问题，操作系统平台的安全措施包括：采用安全性较高的操作系统；对操作系统进行安全配置；利用安全扫描系统检查操作系统的漏洞等。

（5）身份验证技术身份验证是用户向系统出示自己身份证明的过程。

身份识别是系统查核用户身份证明的过程。

这两个过程是判明和确认通信双发真实身份的两个重要环节。