为了给某集团公司消减信息和信息系统面临的众多风险，满足既定的信息安全需求，人们能想到的最直接做法，就是选择并使用各种能够解决信息安全问题的技术和产品。

与信息安全的发展历程一样，信息安全技术在不同的阶段也表现出不同的特点。在通信安全阶段，针对数据通信的保密性需求，人们对密码学理论和技术的研究及应用逐渐成熟了起来。随着计算机和网络技术的急遽发展，信息安全阶段的技术要求集中表现为ISO 7498-2 标准中陈述的各种安全机制上面，这些安全机制的共同特点就是对信息系统的保密性、完整性和可用性进行静态的防护。到了互联网遍布全球的时期，以IATF（信息保障技术框架）为代表的标准规范为我们勾画出了更全面更广泛的信息安全技术框架，这时的信息安全技术，已经不再是以单一的防护为主了，而是结合了防护、检测、响应和恢复这几个关键环节在一起的动态发展的完整体系。归纳起来，典型的信息安全技术包括：

1).物理安全技术：环境安全、设备安全、媒体安全；

2).系统安全技术：操作系统及数据库系统的安全性；

3).网络安全技术：网络隔离、访问控制、VPN、入侵防御、扫描评估；

4).应用安全技术：Email 安全、Web 访问安全、内容过滤、应用系统安全；

5).数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA 特性；

6).认证授权技术：口令认证、SSO 认证（例如Kerberos）、证书认证等；

7).访问控制技术：防火墙、访问控制列表等；

8).审计跟踪技术：入侵检测、日志审计、辨析取证；

9).防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；

10).灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。

根据某集团中心的实际情况，具体的技术路线从安全域的角度可以划分为以下几个部分。

5.1 物理安全 （机房管理）

机房环境，包括温度、湿度、进出机房的控制等等；

安全防雷以及机房屏蔽系统；

电力供应，提供连续的有保障的电力供应。

5.2 建立安全域体系

为了有效地管理不同性质和级别的安全，我们根据设备的重要程度建立安全域体系。通过这个安全域体系，把整个网络划分为：服务器网段、互联网网段、桌面工作网段、分支机构接入网段以及移动用户接入网段。各个网段之间用防火墙隔离，并在各网段之间设立入侵防御体系。

这个安全域体系的构建涉及到防火墙系统的改造、入侵防御系统的构建、分支机构的接入（VPN方式），以及移动用户的接入（SSLVPN或IPSEC VPN）

为了保障安全域的有效运行，我们需要经常对这些安全域进行漏洞扫描以评估可能存在的风险。

5.3 服务器安全域

服务器网段是整个某集团公司信息系统的核心所在，在服务器网段，需要做的事情主要包括以下几项：

1、 集中存储

将服务器上的重要数据集中存放在集中存储中，以便对重要数据进行集中管控，实现更好的安全保护；

2、数据备份

对服务器上的重要数据进行备份以防止数据的丢失、损坏带来的不良后果；

3、服务器主机系统管理与监控

对服务器系统进行有效的系统管理和运行监控，让系统能够有效地提供服务；

4、数据库管理监控

数据库系统作为各个应用系统的后台和数据存放地，其重要性不言而喻，所以非常有必要对数据库系统进行管理监控，以确保其能有效地为应用提供服务；

4、服务器主机系统的访问控制

由于服务器的重要性，有必要对服务器主机系统的访问进行严格的控制，包括对文件夹、文件等的访问权限控制，以确保合适的人能够访问到合适的数据，而不能访问未授权的数据。

5.4 互联网安全域

互联网连作为对外沟通的重要渠道，其重要性仅次于服务器网段，在互联网网段，需要做的事情主要包括以下几项：

1、 互联网访问加速

由于人数的急剧增加，现有的ISA软件Proxy系统已不能够有效地满足互联网访问的需要，如果可能需要更换更高处理速度的专业Proxy硬件系统；

2、 互联网访问控制和审计

对互联网的访问，目前对内部做了授权访问控制，但对于已授权的IP，其访问外部的网站系统没有得到有效的控制，也没有做详细的审计，有必要做一套专门的互联网访问控制系统以限制对某些受限网站的访问，并能够对已访问的网站做相关的审计；

3、 网站防篡改系统

对外提供服务的WEB服务器，容易受到恶意攻击者的攻击，甚至网站被侵入者恶意篡改，导致前海股权交易中心形象大受影响，上一套网站防篡改系统能够有效地抵御这种篡改的行为。

5.5 桌面工作站安全域

桌面工作网段作为信息系统的使用者，具有数量多、不好管理的特性，针对桌面工作网段需要做的事情相对比较繁杂，主要包括：

1、 终端桌面行为监控和审计

监控桌面终端的行为，对各种操作行为进行审计，主要保障数据不被泄露出公司；

2、 终端网络准入控制

对桌面终端接入网络进行有效的控制，确保接入网络的工作电脑都是安全的；

3、 终端系统安全管理

对桌面终端的资产进行管理，包括硬件资产、软件资产，有效地控制可以运行的程序，提高工作效率。

正对整体安全域而言，安全领域还包括以下提到的几个部分。

5.6 病毒防护系统

防病毒系统作为安全领域最基本的保障，目前成为不可或缺的安全组件，防病毒系统主要包括以下几个部分：

1、 桌面病毒防护

对数量上占绝大多数的PC进行病毒防护；

2、 服务器病毒防护

对关键的服务器进行病毒防护；

3、 网关病毒防护

目前绝大多数的病毒都是从互联网引入的，所以非常有必要在网关处进行病毒防护。

5.7 邮件系统安全

邮件系统作为一个重要的沟通工具，目前已经成为第一号沟通工具，重要性超过电话系统，同时也成为第一号的泄密渠道，所以保障邮件系统的安全也是一项非常重要的工作，目前看对邮件的安全主要包括以下几个部分：

1、 反垃圾邮件系统

垃圾邮件已经成为一个公害，严重影响正常工作，并影响到邮件服务器的效能，需要对其进行防范和过滤；

2、 邮件存档（审计）系统

邮件存档作为法规遵从的一个重要组成部分，已经成为上市公司必须要上的系统；同时能够为使用者提供邮件查询服务。

3、 邮件外发审核系统

邮件外发审核主要防止通过邮件发送设计机密和敏感的数据，配合桌面行为监控和审计系统一起构筑防泄密体系。

4、 邮件防毒网关

阻挡和清楚从外部进来的带毒的邮件，同时起到邮件服务器和外面的缓冲区作用，避免邮件服务器直接暴露在外面。

5.8 身份管理

身份作为信息系统中唯一的识别信息，对身份的管理显得尤为重要，目前看对身份的管理包括以下几个方面：

1、 实名制网络，统一身份认证体系

把网络从IP制转向到ID制，使得网络行为更加可视化，此系统可以作为统一的身份认证体系，为其他应用系统提供身份认证服务，此系统也可以和AD系统进行整合管理。

2、 强身份认证体系（双因素认证）

强身份认证系统主要用于重要设备的登录管理和重要人员的登录鉴别而用，防止冒名登录系统，造成不必要的损失。

3、 单点登录系统（SSO  Single Sign-on）

单点登录系统作为身份管理的一种应用，能够有效地提高人员的工作效率，降低人员对密码管理的复杂度。

客户收益：

    确保集团公司信息化建设的顺利实施，为各个应用系统提供一个安全可靠的应用平台，使业务系统能够安全、稳定、可靠的运行。