在一份优秀的方案中,既要包括各项具体的工作环节,时间节点,执行人,也要包括实现方法、需要的资源和预算等,那么具体要如何操作呢?以下是小编精心整理的《宣讲会信息系统方案》,供大家参考借鉴,希望可以帮助到有需要的朋友。
第一篇:宣讲会信息系统方案
教师管理信息系统方案
确山一高“全国教师管理信息系统”工作实施方案
根据河南省教育厅《关于印发<河南省“全国教师管理信息系统”部署与启用工作实施方案>的通知》要求,结合县教体局培训要求和我校实际,现制定工作实施方案如下:
一、工作任务
根据国家教育信息化工作总体部署、省教育厅和县教育局的工作要求,做好我校教师管理信息系统启用工作,任务包括三项:一是采集全校教师基础信息,实现联网运行,为每一名教师建立电子档案,确保教师“一人一号”;二是推动教师信息动态更新,确保信息准确有效;三是推进教师系统应用,实现基础信息管理、业务管理与教师工作的深度融合。
二、工作分工
信息管理员负责组织全校教师信息采集的督促和系统应用工作。 教师个人进入教师管理信息系统的教师信息采集工作。
三、组织管理 (一)组织领导
成立确山一高“全国教师管理信息系统”部署与启用工作领导小组,由校长舒国顺任组长,书记张溢任副组长,曹泉水、王明亮、钟世学、马全、杨明方、胡国峰、宋勤建、赵富有为成员,全面统筹系统部署与启用各项工作。 领导小组下设办公室,为此项工作的工作专班,负责全校“全国教师管理信息系统”部署与启用具体工作。组成人员如下: 工作专班: 组 长:舒国顺 副组长:张 溢
成 员:曹泉水 王明亮 钟世学 马 全 杨明方 胡国峰 宋勤建 赵富有 (二)职责分工
信息员、教师个人开展信息采集工作; 审核员:负责教师信息采集的审核; 校长:负责教师的基本信息表、基本待遇信息表、考核信息表、师德信息表(包括荣誉信息、考核信息、处分信息3表)等4项6表的审核,并签字盖章。
四、采集范围
(一)教师范围
学校在编教职工和签订一年以上合同的教师岗位、其他专业技术岗位和管理岗位教职工,离退休教职工信息不采集。
(二)信息范围
采集教师基本信息、学习经历、工作经历、岗位聘任、教育教学、培训研修等方面的基础信息。
五、信息采集流程
采取由学校统一填报信息的方式,进行信息采集,具体流程如下:
(一)生成教师账号
学校系统管理员或教师个人通过录入本校教师姓名、性别、出生日期、身份证件号码等4项基本信息,为教师生成账号。教师可使用账号登录系统,查询个人相关信息。
(二)录入教师信息
学校信息管理员负责录入已审核的本校教师信息,可采取批量导入信息表或在线填报方式进行。信息录入后,学校负责人对信息进行网上审核,确保不漏一人,不错一人,确认无误后上报至县教育局(网络上报)
(三)审核教师信息
信息录入后,学校负责人对信息进行网上审核,确保不漏一人,不错一人,确认无误后上报至县教育局(网络上报)
(四)做好监控管理
学校信息管理员将有效利用系统,及时掌握本单位数据采集情况,做好督促监管工作,确保信息采集按进度开展。要确保在2016年11月15日前完成信息采集审核工作。
(五)及时更新信息 教师信息生效后,如发生变化应及时更新。新信息添加由学校信息管理员负责操作,经学校负责人审核后生效;变更已有信息需由学校信息管理员提交申请,报县教育局审核后变更。
(六)有效应用信息
学校按权限开展信息查询、统计分析、生成报表等方面的应用工作。
六、业务管理应用流程
教师系统先期开发了教师变动管理、交流轮岗管理和培训学分(学时)管理等业务管理功能模块,要结合工作实际,积极推动业务管理功能应用,具体流程如下:
(一)教师变动管理
教师调动或教师在职情况发生变化时,各校应按如下流程进行变动管理。
1、关于教师调动。由调入校发起申请,经其教育行政部门确认后发出,由调出学校及其教育行政部门确认后,调入学校进行调档,完成调动。如教师调动属于交流轮岗,则在交流轮岗管理功能模块中进行操作。
2、关于在职情况变动。对长期不在岗、离职、离退休等情况的教师,经镇(区)中心学校、县直各单位报县教育局审核后,学校信息管理员应及时对其在职情况进行变更。
(二)交流轮岗管理
交流轮岗如不变更人事关系,由派出学校发起申请,经派出学校主管教育行政部门确认后完成。教师交流轮岗如变更人事关系,则在此功能模块中按教师调动流程操作。
(三)培训学分(学时)管理
教师培训学时管理实行分级管理,具体流程如下:
1、项目登记。各级教育行政部门先在系统录入本级教师培训项目及培训机构,确定学时学分转化规则,生成培训计划。校本研修项目登记需经主管教育行政部门审核确认。
2、考核评价。培训机构对教师参训情况进行考核评价,项目结束后及时将考核结果提交至系统。
3、2016年10月19日之前为测试环境;10月19日系统清零,10月19日之后为正式环境。
5、2016年11月15日前,确保完成信息采集审核工作。
(四)落实信息采集责任
教师信息填报实行“谁填报谁负责、谁审核谁负责”,确保信息采集及时、全面、准确。
确山一高 2016年10月12日
第二篇:信息系统安全管理方案
信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全
硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标
准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:
1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;
2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;
3、软件管理制度;
4、机房设备(包括电源、空调)管理制度;
5、网络运行管理制度;
6、硬件维护制度;
7、软件维护制度;
8、定期安全检查与教育制度;
9、下属单位入网行为规范和安全协议。
三、网络安全
按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:
1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。主要采用划分 VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通
讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
明确网络资源。事实上我们不能确定谁会来攻击网络系统,所以作为网络管理员在制定安全策略之初应充分了解网络结构,了解保护什么,需要什么样的访问以及如何协调所有的网络资源和访问。
第三篇:公司网络信息系统整改方案
1. 方案背景:
公司目前拥有的PC数量大约为180台(全部在用约为180台左右,闲置台数约为30台),网络体系架构比较复杂,大部分PC机均在同一网段,这样在目前没有部署企业级杀毒软件的情况下,很容易发生一台电脑中毒,致使整个网络瘫痪的事件;其二,机房网络结构繁琐,网络布线比较混乱,这样网络管理维护非常的困难;其三,财务部使用的CRM/K3服务器由于使用时间过长,系统运行速度很慢,机箱内部已有硬件不能正常,且目前该服务器硬盘存储空间已严重不足,该服务器已经严重影响公司的办事效率,由于硬件故障该服务器即将面临崩溃;其四,由于公司最初设计的未考虑上网安全管理,目前局域中存在着BT下载,IP地址盗用,以及通过USB接口泄露公司的机密等问题。
2. 方案简介:
1.网络优化处理:增加路由接口。目前公司的中心路由器只有两个接口,一个接防火墙,设置的ip是10.10.10.2另一个接口公司内网网关:192.168.10.200/24,还设置了一个路由接口192.168.2.2/30的路由口接工厂,在一个口上设置两个IP,严重影响了路由性能,对内网的冲击也大,非常不合理。因此建议将大榭的路由接口接到防火墙的DMZ区,并增加cisco2811的以太网口,增加几个网段。这样做的好处可以划分更多的网络区域(vlan),可以有效隔离广播风暴,和蠕虫病毒。将病毒爆发的影响范围缩小,不至于拖垮整个公司网络,需增加HWIC-4ESW模块一个,该模块预算:2500元左右。同时对公司的网络布线进行综合整理。 2.病毒处理方案:建议公司购买企业级杀毒软件,集中部署,这样可以集中管理每台电脑的病毒情况,由服务器端每天检查下面所有客户段的病毒情况,定期每周做一次集中的扫毒情况。不用管理员经常一台台的检查电脑病毒情况。其次,部署了企业杀毒后,可以避免客户段任意卸载杀毒软件,因为卸载该杀毒软件需要输入管理员密码。目前公司的PC电脑,基本都是网络下载的测试版、试用版的杀毒软件,包含卡巴斯基,诺顿,瑞星,品牌众多,病毒码更新不及时,且有使用盗版之嫌疑,给公司法务带来不必要的麻烦。在这里推荐公司使用企业中广泛使用的趋势企业杀毒软件。购买软件使用后,将保证公司所有电脑都能得到防病毒软件的保护,和病毒码的时时更新。防病毒,是公司首要改善措施。按公司150台电脑的情况,安装趋势客户端和服务器端软件一年共需要预算:22000左右。三年的预算大约为:32000元左右 3.设置代理服务器:现在公司局域网上网都是通过firewall直接NAT上网,主干网络达到100兆。这种模式internet的网络带宽都是非常有限的,容易导致网络传输速度变慢。所以需要在(ICS,NAT,PROXY)三种代理上网的技术中有所选取。推荐使用proxy服务器。它可以Cache大量internet缓存,存储在服务器本地硬盘或内存里。在不同的用户访问相同的网址时,proxy只需向internet提交一次处理。然后存储在服务器的cache里。其他用户就可以直接从服务器cache里调用数据即可,这种方案节省了大量的的多余的internet流量。同时代理认证上网实施,既代理上网的用户在访问internet的时候需要提交用户名和密码,这样可以有效的解决目前公司哪些人能上网,哪些人不能上网的需求。不会出现靠盗用IP上网的情况。该部分需要购买一台新服务器,建议型号为:HP DL380G5405,预算大约为2.0万。
4.Acl规则限制服务:目前公司上网无任何规则限制,这样导致员工上网自由,资源浪费,一个人在访问在线电影或者下载BT,就会导致公司所有员工上网缓慢。如果在防火墙和路由器上做响应的acl限制,以规定上网访问行为,封毒一些常见的病毒端口和攻击漏洞。加强对重要设备的保护。
5.资料安全方案:考虑到公司客户定单和公司设计资料的安全,可以通过做ACL设置用户访问权限,防止用户访问不该访问的机密电脑资料,并且并部分控制对EMAIL,QQ等的泄密管道,防止资料外泄,因此加强防火墙的安全管理很重要,可以在防火墙上设置禁止对外的smtp服务,禁止通过外部邮箱outlook传递资料,关于USB的封堵,本来应该靠购买行为软件来规范,或者通过AD域的组策略来实施,但考虑到预算成本,可以通过脚本(一个exe的可执行文件),只需要用管理员的身份登陆电脑,点击一下,就可以完成PC注册表的修改,禁止该电脑的USB口。而类似的上网行为软件价格大概在200-300/元每客户端,可为公司节省近4-6万元左右。
6.财务CRM/K3服务器,由于该服务器积累了公司财务、合同、定单、固定资产等对公司至关重要的数据,目前该服务器已使用7年,CPU 频率过低,系统运行缓慢,经查该服务器内部硬件已坏,且硬盘存储空间已严重不足,建议更换最好一台新的服务器,并作好定期该服务器的数据备份。该部分需要购置一台新的服务器,建议型号为:HP DL380G5405,预算大约为2.0万。
7. 积极使用地OA系统,目前该系统运行良好,但自从新的组织结构调整后,但是由于使用人数比较少,没能更好利用它的功能,目前该系统外挂组织结构已基本和公司实际组织架构相符,但OA系统内部电子审批流程还未做更改,关于这方面我会与OA系统的售后服务人员协同把内部电子审批流程做出合理并符合当前公司审批流程,同时建议公司,提倡员工每天登陆,并利用OA系统功能尽量实现无纸化办公!
第四篇:车间信息显示系统方案
根据公司领导安排,对我公司车间内的信息显示系统方案作了一个初步的设想.在此对该系统所涉及的相关问题进行了分析. 1. 用来显示什么?
该系统必须可以用来显示所有涉及车间生产及公司运作所产生的一切文档、表格、图片、视频等电子格式文件。 2. 显示要达到什么样的要求?
该系统必须能够实时的将需要显示的文件按照规定的时间规定的样式在规定的显示器上稳定可靠的进行显示。 3. 用什么样的显示器?
需要考虑系统的经济性、可靠性,显示器的大小、亮度、分辨率,需显示的字体大小、观看距离等等相关的因素。 4. 由谁来负责更换显示内容?
需要考虑是否集中管理或者分散管理,并须指派相关固定人员进行系统的使用及管理维护。 5. 如何实现?
现已找到一款免费的多媒体信息发布系统软件,但该系统的稳定性尚不清楚,须经过实际应用验证。或者可以考虑采购相关的专用设备,但估计造价较高。 6. 所需要的投入?
如果使用软件系统,在锦绣锦铁公司各安装显示器一台,则需要以下设备:管理服务器一台(需硬件配置较高),客户机两台(硬件配置较低),显示器两台(根据实际情况确定规格型号),相关的网络线缆及硬件若干。估计造价两万元左右。若采购专业设备,需询价。
由于水平及信息有限,另有其他的相关未尽事宜还请领导批示。
设备部电气主管
2014/4/19
第五篇:银行信息系统安全管理方案
随着金融界向电子化、数字化、网络化的发展,各金融机构对计算机的重视程度越来越高,全球高新技术尤其是信息技术的发展,进一步提高了银行计算机的应用水平。
1银行业务的发展和信息安全范畴的变迁
随着金融界向电子化、数字化、网络化的发展,各金融机构对计算机的重视程度越来越高,全球高新技术尤其是信息技术的发展,进一步提高了银行计算机的应用水平。人们可以通过国际互联网随时随地进行信息交流、电子商务活动,银行既要保障有强固的银行内部业务网络,又要扩展业务,利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务,许多银行也顺应形势相继推出了网上银行、自助银行、客户服务中心、手机银行等。同时,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,避免了业务分散导致的业务风险,但是另一方面不可避免的导致了信息安全风险的集中。
随着银行业务系统顺应趋势的开放和互连,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全。我们必须在一个日趋开放的系统平台上重新审视银行的信息安全问题。金融系统(银行、保险、证券)是国家政策要求实施安全等级保护的11大类关键信息基础设施的重点系统。因此,如何建立一个高效的现代信息安全体系,日益成为突出的问题。
2 冠群金辰公司的主动防御安全策略
冠群金辰公司具有多年的信息安全产品研发、工程实施和安全服务经验,在金融行业具有丰富的行业应用经验,并且对国外和国内的金融行业业务应用、信息安全策略、相关法律法规等有深刻的理解,具有独到的见解。
根据对客户需求的详细调查分析,推出了以客户价值为中心,以3S为代表的安全理念,即Security Solution(安全方案),Security Application(安全应用),Security Service(安全服务)。安全方案是基于符合用户需求的自有产品和合作伙伴的优秀产品搭建的整体解决方案;安全应用则是基于用户的实际应用系统和业务系统的安全需要,将我们的安全方案进行定制和二次开发,以满足用户对业务系统和安全系统更高程度的整合需求;安全服务则是参照国际和国内信息安全管理和工程标准,并结合冠群金辰公司的服务经验积累提供的评估、设计、实施、管理、教育等一系列服务项目,以帮助用户在日趋严峻的安全环境中保持业务的顺利运行。
经过对信息安全趋势的分析,我们认为在当前新的安全漏洞发现频率日益加快、安全攻击事件大幅度增加的状况下,局限于传统的被动(Reactive)防范策略是非常危险的。我们按照风险管理的思路,提出了主动(Proactive)防御策略,强调利用先进的技术、产品,配合以有效的管理方法和运维模式,避免入侵行为造成损害,并且有效防御新的安全漏洞造成的风险。脆弱性三维图可以帮助客户识别风险状况,选择采用适当有效的风险控制方法,达到成本和效益之间的平衡。
冠群金辰公司倡导采用以主动防御为基础的纵深防御体系来进行银行安全保障体系的建立。
第一:在整个受保护网络环境中的每一个环节上减少可能会被入侵者利用的突出的脆弱点;
第二:对于关键的资源,使用多重防御策略来管理风险,以便在一层防御不够时,在理想情况下,另一层防御将会削弱对被保护资源的破坏。
3.银行信息安全风险管理思路和技术建议
银行信息安全问题不仅仅是技术上的问题,同样重要的是管理问题。2003年4月底正式挂牌的中国银监会5月份以第二号公告的形式,就巴塞尔新资本协议公开征求中国银行业界意见。新巴塞尔协议的实施势必大大提升银行业的整体业务风险管理水平。同样,在银行的信息安全领域也需要一种成熟的风险管理思路。这种风险管理的思想要贯穿在银行的每一个业务系统的生命周期阶段。对于每一个银行业务系统,比如柜台业务、资金清算等随着时间的发展都可以分为不同的阶段。按照NIST风险管理指南,这些阶段可以划分为系统规划阶段、系统开发阶段、系统实施阶段、系统运行阶段和系统废止阶段。根据银行业务系统各自的特点,其各阶段的具体内容会有所不同,但基本周期保持不变。所以与之相对应就产生了所谓系统安全的生命周期,即是将安全生命周期模型整合到系统生命周期模型上,一方面在系统生命周期各阶段提取安全需求,另一方面将安全生命周期的过程应用在系统生命周期各阶段,即在系统各阶段遵循安全的过程性开
展相应安全工作。不同系统,各阶段的安全需求不同,安全工作展开的顺序也会有所不同。但是,它们的共同点就是需要同时从技术和管理两个方面着手进行风险管理,同时这两个方面不是孤立实施的,而是有机结合的。
冠群金辰公司的银行业信息安全风险管理方案主要分为下面几个部分:
第一, 参照相关法律法规、金融行业相关规定、国内外信息安全标准等,为用户建立一套信息安全管理系统和业务持续性策略;
第二, 根据业务系统的需要,进行安全技术层面的实施,其中包括对银行现有设备和系统的加固、自有安全产品配置和实施、第三方安全产品配置和实施以及根据实际需求进行的专有安全系统开发和实施等。
第三,提供需求分析、风险评估、安全审计、紧急响应等覆盖全系统生命周期的安全服务。冠群金辰公司拥有一支持有CCIE、CISSP、BS7799 LA、CISP、SCSA等国际国内认证的专业安全服务队伍和专职的银行业务顾问小组,提供基于整体和业务的安全服务。
由于银行系统业务种类众多,信息系统也千差万别,不同银行业务信息系统对机密性、完整性、可用性、可控性与可审查性也具有不同的要求,所以不可能采用一个相同的模式进行所有银行系统安全体系的设计。这里仅仅根据中国人民银行2001年发布的《银行信息系统安全技术规范》和中国人民银行2002年发布的关于加强银行数据集中安全工作的指导意见的260号文件,对于构成银行信息
系统的几个关键层次进行示例分析,主要从技术角度对冠群金辰的解决方案进行简单介绍。
3.1 物理安全
主要是按照国家标准GB50173-9
3、GB2887-8
9、GB9316-88等加强场地设防。计算机设备实体安全类中,首先要求场地环境条件的控制,对计算机网络的中心机房及其延伸点,要坚决搞好基本环境建设,要有完整的防雷电设施,且有严格的防电磁干扰设施,机房内要搞好防水防火的预防工作,对主机房电源要有完整的双回路备份机制。尤其是银行主机机房的物理安全保障措施一定要到位。同城异地备份甚至不同城市之间的灾备中心都是需要考虑的。另外,信息处理设备安全、媒体介质存放安全也是需要重点考虑的内容。
3.2 网络互连的隔离和网关病毒过滤
随着银行业务的发展,业务主机不可避免地需要和外部系统互联。比如为了实现跨系统银行间资金汇划的电子联行系统采用的天地对接基本上建立在电信局的公共通信网上,开放的网络环境和网络协议为系统互联提供了方便,但同时也降低了系统的安全性。正在蓬勃兴起的银行中间业务的发展更是促进了不同行业之间的网络连通。有网络的连接是造成安全风险的重要源头,一定需要对不同安全级别的网络之间进行安全隔离。除了物理隔离外,逻辑隔离按照通讯方式有几种级别:双方网络互有通讯、单向通讯、按需通讯等。按照安全级别的要求可分为简单包过滤、状态包过滤、应用层代理、专有协议隔离等。冠群金辰公司的
轩辕防火墙是集防火墙、VPN、流量管理等功能于一体的网络安全设备。它能通过Web浏览器或CLI及中央管理台集中管理,并且支持透明模式。轩辕防火墙产品能够满足银行系统中大部分的网络逻辑隔离要求。
冠群金辰公司的赤霄KILL过滤网关是一个专用硬件设备,用于在银行网络之间过滤病毒。它能够高效率地过滤包含在HTTP、FTP以及SMTP 协议中的计算机病毒,实现病毒的网络隔离,避免病毒在网络之间的扩散。该产品具有丰富和功能和优异的性能,在2002年一举获得了中国大IT媒体:《中国计算机报》和《计算机世界报》的编辑选择奖和产品奖,并在另一大专业媒体《网络世界》2003年5月12日发布的产品购买指南中得到高度评价,被称为 "防病毒网关的佼佼者",更于今年7月份又获得“网管员最信赖的防病毒产品”奖项。通过在银行内部、银行和第三方网络等网关处部署该产品,可以杜绝病毒最主要的传播途径,给被保护网络营造一个安全的计算环境。
3.3 数据传输加密
当需要在非银行控制的公网上传输机密信息时,必须采用有效的措施对网络上传输的数据进行加密处理。冠群金辰公司的轩辕防火墙内置了基于 IPSEC协议的VPN功能,能够方便地在网络边界处实现数据的加密传输,方便了银行不同分支部门之间的安全通信和远程办公。对于已经设置没有VPN功能的防火墙的网络,冠群金辰公司的软件VPN产品能够方便地部署在网络中的任意一台计算机上,实现网络内部的加密通信和远程安全访问。
3.4 网络入侵行为和蠕虫病毒的传播监控
网络攻击的表现形式主要有两种:第一,人为入侵(包括内部和外部);第二,蠕虫和病毒的网络渗透和传播。而且,目前这两种形式有逐渐趋于统一的趋势。对于这两种行为我们都要进行严格监控,并且需要统一在一个平台下进行关联监控,以更好的起到安全检测的目的。
冠群金辰提供的干将/莫邪系列入侵检测系统能够在从百兆到千兆的网络中提供实时的入侵检测和病毒传播统一监控,也是唯一能够实现在同一个平台下进行入侵行为和蠕虫病毒传播的监控的安全系统。这样在银行网络中发生入侵行为或蠕虫传播时,管理员能够很快定位网络和系统问题所在,减少故障时间,降低损失。尤其是在结构复杂的网络中,利用干将/莫邪系列入侵检测系统提供的监控功能,管理员可以迅速定位被感染的服务器,控制传染源。
3.5 安全级别提升和分散授权原则在操作系统级的实施
操作系统的安全是银行信息系统安全的重要方面。为了更加有效地避免金融犯罪,杜绝银行内部人员作案,银行要求采用的操作系统具有相当高的抗攻击能力,有必要时需要采用B1级别的安全操作系统,比如网上银行主机和关键业务主机系统。在人民银行发布的《银行计算机信息系统安全技术规范》中也明确了这一点。但是目前基本上所有的商用操作系统都是C2级的,不能满足银行的要求。如果采用专用的安全操作系统,势必需要对原有的应用程序进行改造,造成大量人力物力和财力的资源浪费。冠群金辰公司提供的龙渊服务器核心防护产品
可以很好地解决这一问题,既能克服通用操作系统(包括Windows,Unix, Linux)的安全弊病,又能够和所有应用程序兼容,并且容易管理。它能够将大部分商用操作系统的安全等级提升到TCSEC B1级,支持强制访问控制,在大幅度提升安全性的同时保护了用户原有投资。比如通过在银行业务主机上部署龙渊服务器核心防护,可以在一台主机上将管理员权限分成系统管理员、安全管理员、安全审计员以及其它一般性质的业务操作人员,并且同时取消操作系统的超级用户特权。这样,所有人员的动作都能够被互相监督,大大降低了内部人员作案的可能性。
通过在关键的银行业务服务器上部署冠群金辰公司的龙渊服务器核心防护,安全管理员能够严格限定所有用户在该服务器上的任何操作,从时间、地点、访问方式等多个方面进行极细粒度的访问控制;并且其动态安全扩展(DSX)技术使得服务器能够高强度抵御未知的攻击类型,尤其是缓冲区溢出类型的攻击,从而避免了损失,为安全管理员赢得了宝贵的时间。这种防范措施对于Windows平台和UNIX、Linux平台都适用,并且不依赖特征库的升级即可完成防范功能。另外,通过该系统在本机上限定该计算机允许的网络通信类型,即使该计算机感染了蠕虫或被放置了木马程序,也无法对外发出违反预定安全策略的数据包,避免了可能导致的蠕虫传播和网络拥塞现象,降低了攻击后的影响。在最坏的情况下,即使入侵者已经获得了被攻击服务器的管理员账户和密码,龙渊服务器核心防护仍然能够保证该入侵者仅仅具有一个该系统上普通用户的权限,不能为所欲为,造成更大的损失和影响。这是传统的由防病毒、防火墙和入侵检测系统构成的安全防御体系所不能够实现的重要特点。该方案已经在全球著名银行,如花旗银行的系统中广泛采用。
3.6 其它安全设施
网上银行的兴起决定了在整个银行的安全体系的建设中,确立一个稳固的身份认证机制是根本的前提条件。通过建立PKI/CA认证系统,可以确保各种人员、资源的身份,防止网络欺诈行为和交易抵赖行为。
一个统一的网络防病毒体系是银行信息安全中的重要组成部分。冠群金辰公司作为国内防病毒软件厂商的先驱,其KILL防病毒系统已经在全国各行业广泛应用,尤其是网络防病毒系统更是国内厂商的佼佼者。KILL防病毒系统的技术已经非常成熟,在一个软件中集成了两个完全不同的防病毒引擎,能够对 Windows 95/98/NT/2000/XP、Linux、UNIX、Netware等多种平台进行病毒防护,并且可以通过集中的中央控制台完成软件安装、完全免费的特征码自动升级、病毒报警集中管理等工作,得到了广泛的用户认可。
冠群金辰的承影漏洞扫描系统可以扫描各个计算机、网络设备,及时发现存在的安全漏洞,并且事先做出预防措施,是主动防御体系中不可或缺的一部分。
利用安全信息管理(SIM)平台可以对银行网络内采用的所有安全相关的设备的报警信息和日志,甚至包括业务系统、应用系统的信息进行统一的汇总和关联性分析,降低管理成本,提高管理效率。