第一篇:网站系统信息安全等级保护建设整改方案--4
随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施; 安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
图2:部署和网络示意图
第二篇:网站系统信息安全等级保护建设整改方案
网站系统信息安全等级保护建设整改方案
随着互联网应用和门户网站系统的不断发展和完善,网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施,另一方面要加强系统自身抵抗威胁的能力,同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求,网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施,综合提升网站系统的安全保障能力。
根据国家等级保护有关要求,省级政府门户网站系统的信息安全保护等级应定为三级,建立符合三级等级保护相关要求的安全防护措施,能够形成在同一安全策略的指导下,网站系统应建立综合的控制措施,形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析,形成网站系统的安全需求,从而建立有针对性的安全保障体系框架和安全防护措施。
网站系统安全需求
根据网站系统的应用情况,针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析,具体需求如下:
1、业务流程安全需求
针对网站类业务重点需要关注发布信息的准确性,采集分析和汇总信息的可控性,以及服务平台的可用性,系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击,应加强对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求
网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施;
安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
图2:部署和网络示意图
通过加强对互联网边界的安全防护机制落实,建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施,建立网站系统的综合防护措施。
对于这些威胁的对抗和防护能力,通过严格控制业务流程中的各个环节,包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求,同时要加强系统自身的完整性保护和抗抵赖机制的实现。
2、软件安全需求
网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面,由于几个层面涉及的主要功能和软件实现存在一定的差异性,因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成,针对业务系统此层面是一个访问入口,从安全需求方面应当减少入口对于系统的攻击可能性,对于指定的接入和入口可以通过建立可信机制进行保护,对于非指定的接口可以通过控制权限进行防护;展现层是系统内容的展示区域,要确保系统展示信息的完整性,降低被篡改的风险;应用层是对数据信息进行处理的核心部分,应加强系统自身的安全性和软件编码的安全性,减少系统自身的脆弱性;基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务,该层次重点是确保系统组件自身的安全性,同时要加强与应用之间接口的安全性;信息资源层是由业务数据库和平台数据库共同构成,此层次重点的安全在于数据库安全;基础支撑运行环境层,支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境,该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁,应加强资产的综合管理。
3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息,以及前台的交互信息和后台的数据交换信息,针对这些信息各个环节中的访问关系不同,信息的敏感和重要程度不同,可能面临威胁也存在一定的差异性,其中读取过程要结合信息的敏感和重要程度进行访问控制,降低越权、滥用等威胁的发生;录入关注信息自身的完整性和合法性,注意防止恶意代码和木马对系统造成的攻击;管理和审核涉及信息系统的关键性信息,所以基本属于系统中的敏感信息或关键流程管理,加强人员的安全管理;交互和数据交换要通过系统自身的安全防护机制,抵抗网络攻击和加强抗抵赖机制。
4、网络和物理安全需求
网络层面重点在于设计合理的网络架构,部署冗余的网络设备,形成可以建立不同安全策略的安全域,从而确保网站系统能够正常稳定运行。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求,应确保机房的建设符合国家相关要求。
5、IT资产安全需求
IT资产重点关注资产本身的漏洞风险,同时根据资产类型的不同,可以区分成硬件资产、软件资产,其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等;软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。
6、综合安全需求
通过对各个方面综合的安全风险和需求分析,网站系统相关的业务、软件、数据、网络和相关IT资产,由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面,由于其威胁发生的可能性较高,威胁利用后影响较大,导致其安全风险较高,因此应形成对抗这些威胁的必要的安全措施,加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点,进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施,并要能够落实组织、制度、人员、建设和运维相关的管理要求。
网站系统安全方案设计
根据对网站系统安全需求的分析,对于网站系统的安全防护主要从以下两个方面进行设计,一方面是系统的安全保护对象,合理分析系统的安全计算环境、区域边界和通信网络,形成清晰的保护框架;另一方面还是要建立综合的安全保障体系框架,形成对网站系统综合的控制措施架构,同时加强网站系统可能面临威胁的各项防护机制。
1、安全保护对象
根据网站系统的IT资产和业务功能,网站系统的安全保护对象和防护等级如下表所示:
安全计算环境:重点落实等级保护基本要求的主机、应用、数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施;
安全区域边界:重点落实等级保护基本要求的网络部分的安全控制项,结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等;
安全通信网络:重点落实等级保护基本要求的网络和数据部分的安全控制项,结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。
2、安全保障框架
结合等级保护基本要求的整体框架以及安全需求分析的成果,设计安全保障框架如下:
图1:安全保护体系框架
结合网站系同自身的安全需求,应加强对于网站系统的安全风险评估,同时建立配套的安全管理体系和安全技术体系,其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理;安全技术体系结合等级保护的物理、网络、主机、应用和数据安全,进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制,确保系统自身的防病毒、防篡改、方攻击能力的提升。
结合网站系统的具体实施,具体的措施部署和网络示意图如下所示:
图2:部署和网络示意图
通过加强对互联网边界的安全防护机制落实,建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施,建立网站系统的综合防护措施。
第三篇:信息安全等级保护安全建设整改工作情况统计表
附件 1 信息安全等级保护安全建设整改工作情况统计表
01 单位名称 02 单位地址 姓 03 单位负责人 办公电话 姓 04 单位联系人 办公电话 05 信息系统总数 第二级系统 第四级系统 移动电话 06 未定级备案信息 系统数量 第三级系统 合 计 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 □是 □ 否 第三级系统 合 计 名 职务/职称 名 职务/职称
07 已定级备案信息系 统数量
(1)是否明确主管领导、责任部门和具体负责人员(2)是否对信息系统安全建设整改工作进行总体部署 08 信 息 系统安全 建设整改 工作情况(3)是否对信息系统进行安全保护现状分析(4)是否制定信息系统安全建设整改方案(5)是否组织开展信息系统安全建设整改工作(6)是否组织开展信息系统安全自查工作 09 已开展安全建设整 改的信息系统数量 10 已开展等级测评的 信息系统数量 11 信息系统发生安全事 件、事故数量 12 已达到等级保护要 求的信息系统数量 填表人: 第二级系统 第四级系统 第二级系统 第四级系统 第二级系统 第四级系统 第二级系统 第四级系统 审核人:
第三级系统 合 计
第三级系统 合 计
第三级系统 合 填表时间: 计 年 月 日
1
第四篇:信息安全等级保护
信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)
12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。
13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告 40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
第五篇:大型制造企业等级保护安全建设整改方案
【摘要】本方案针对某大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。可以为广大同行提供完备的思路。
第 1 章 项目概述
XX 大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团,为了落实国家及集团的信息安全等级保护制度,提高信息系统的安全防护水平,细化各项信息网络安全工作措施,提升网络与信息系统工作的效率,增强信息系统的应急处置能力,确保信息系统安全稳定运行,集团参照国家等级保护标准的要求,找出系统现有安全措施的差距,为安全整改建设提供依据。
本方案针对 XX 大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。
1.1 项目目标 本方案将通过对集团网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动网络信息系统安全整改工作的进行。
根据 XX 大型制造型企业集团信息系统目前实际情况,综合考虑信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高信息系统的安全防护水平,完善安全管理制度体系。
资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产
而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
因此资产的评估是企业网络安全的一个重要的步骤,它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用为资产进行估价。
根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,明确各业务系统的关键资产,确定安全评估和保护的重点对象。
1.2 项目范围 本文档适用于指导 XX 大型制造型企业集团网络信息系统安全整改加固建设工作。
1.3 整改依据 主要依据:
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T25070-2010)
《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)
《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)
《信息安全技术 信息系统物理安全技术要求》(GB/T21052-2007)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 信息系统安全等级保护体系框架》(GA/T708-2007)
《信息安全技术 信息系统安全等级保护基本模型》(GA/T709-2007)
《信息安全技术 信息系统安全等级保护基本配置》(GA/T710-2007)
GBT 20984 信息安全风险评估规范
GBT 22239 信息安全技术信息系统安全等级保护基本要求
GBZ 20985 信息技术安全技术信息安全事件管理指南
第 2 章 安全整改原则
保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;
标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护基本要求,进行分等级分安全域进行安全设计和安全建设。
规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:服务所使用的工具、方法和过程都会与集团双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性;
整体性原则:服务的范围和内容整体全面,涉及的 IT 运行的各个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。
体系化原则:在体系设计、建设中,需要 充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。
先进性原则:为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。
服务细致化原则:在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合,结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
第 3 章 系统现状分析
3.1 系统定级情况说明 综合考虑信息系统的业务信息和系统服务类型,以及其受到破坏时可能受到侵害的客体以及受侵害的程度,已将系统等级定为等级保护第三级、根据就高不就低的原则,整体网络信息化平台按照三级进行建设。
3.2 业务系统说明 本次参加整改的共有 3 个信息系统,分别是 OA 系统、物流查询系统、智能制造系统,其中比较重要的是物流查询系统,具体情况介绍如下:
物流查询电子化管理系统(网络版)历经系统开发、模拟测试、网络、硬件设备安装部署,已经正式启动试运行工作,在试点和实施过程当中发现系统仍有不足之处,需要对系统进行深入完善和改进,其具有应用面广、用户规模大,并涉及到财政性资金的重要数据信息,以及基于公众网上部署的特性,因此系统自身和运行环境均存在一定的安全风险,在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。
3.3 安全定级情况 信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:
第 4 章 现网安全风险分析
4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构
通过网络架构分析,我们发现现网出口网络:互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。
4.1.2 缺少安全防护功能
通过网络架构分析和安全基线核查,我们发现现有的网络:互联网出口的下一代防火墙,入侵防御、web 应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。
4.1.3 弱资源控制
通过网络架构分析和安全基线核查,我们发现现网网络:链路负载、下一防火墙未设置网络的最大链接数,存在资源耗尽的风险。
4.1.4 弱设备安全
通过网络架构分析和安全基线核查,我们发现现网网络:网络设备和安全设备存在共享账号,无法实现有效的身份鉴别,未实现双因素鉴别,存在弱口令,未周期修改密码,部分网络设备未启用登录设备失败功能和密码复杂度要求,存在口令爆破的风险;未对网络设备和安全设备可管理地址进行限制,交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。
4.1.5 弱安全审计
通过网络架构分析和安全基线核查,我们发现现网网络:未配置专业日志审计设备,无法对审计记录进行有效的保护,无法定期日志长期保存和有效审计。
4.1.6 缺少安全管理中心
通过网络架构分析和安全基线核查,我们发现现网网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
4.2 主机安全风险 4.2.1 存在高风险安全漏洞
通过漏洞扫描,我们发现 OA 系统主机上存在高风险安全漏洞:OpenSSH < 7.0 存在多个漏洞等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.2 弱身份鉴别能力
通过安全基线核查,我们发现物流查询系统主机上:操作系统的密码策略、账户锁定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别,无法实现有效的身份鉴别。
通过利用弱身份鉴别能力,攻击者可以对业务系统主机进行口令爆破,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.3 弱访问控制能力
通过安全基线核查,我们发现系统主机上:操作系统管理使用 root 账户,数据库和主机是同一人管理,未能实现操作系统和数据库系统特权用户的权限分离;数据库系统开启 XDB 危险服务;存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标记;未限制登录终端的操作超时锁定时间;未设定终端接入方式、网络地址范围等条件限制终端登录。
通过利用弱访问控制能力,在攻击者拿到一部分系统访问权限后可实现越权。
4.2.4 弱安全审计能力
通过安全基线核查和网络架构分析,我们发现 OA 系统未部署专业的日志审计设备或软件,审计日志仅保存在主机本地,无法生成审计报表和自动告警。
这类弱安全审计能力,会导致系统安全事件时无法有效的记录和保存日志,影响安全事件的溯源。
4.2.5 缺少入侵防范能力
通过安全基线核查和漏洞扫描,我们发现现网系统未能够对重要程序的完整性进行检测,数据库系统和操作系统软件和补丁未及时更新,主机扫描存在漏洞。
缺少入侵防范能力,攻击者会较容易利用漏洞进行入侵攻击,系统容易遭到破坏。
4.2.6 缺少恶意代码防范能力
通过安全基线核查,我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。
4.2.7 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度;未有措施对服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况;未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.3 应用安全风险 4.3.1 存在高风险安全漏洞
通过漏洞扫描和渗透测试,我们发现相关应用系统存在高风险安全漏洞:SQL 盲注、URL 重定向、跨站脚本攻击等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得 web 应用的权限和数据,甚至获取到主机权限。
4.3.2 弱身份鉴别能力
通过安全基线核查,我们发现 OA 系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。
通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.3.3 未进行传输加密
通过安全基线核查,我们发现仓储系统上:应用系统未采用 hash 技术或者 HTTPS 协议,未能保证通信过程中数据的完整性与保密性、应用系统鉴别信息明文传输。
通过利用未进行传输加密,攻击者可嗅探网络数据窃取到应用传输消息,甚至是用户鉴别信息、个人信息等敏感信息。
4.3.4 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统:系统未对单个账户的多重并发会话进行限制;未能够对系统服务水平降低到预先规定的最小值进行检测和报警。
缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.4 数据安全和备份恢复风险
4.4.1 缺少数据完整性和数据保密性能力
通过安全基线核查,我们发现三个系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。
缺少数据完整性和数据保密性能力,容易导致数据被篡改和数据泄露的风险。
4.5 管理安全风险 4.5.1 缺少维护手册和用户操作规程
通过管理体系检查,我们发现现网的管理体系缺少网络设备、安全设备、主机系统、应用系统、数据库的维护手册和用户操作规程等。
4.5.2 缺少执行记录和审批记录文件
通过管理体系检查,我们发现现网管理体系缺少各项信息安全关键事项的执行记录和审批记录文件,如:备份恢复执行记录和审批记录、变更执行记录和审批记录、防恶意代码检查记录执行记录和审批记录文、漏洞检查执行记录和报告、日志审计执行记录和报告、补丁升级执行记录和审批记录文、安全事件处理记录和审批记录文、培训记录和考核记录、应急演练执行记录和报告等。
4.5.3 缺少管理体系评审和修订
通过管理体系检查,我们发现管理体系缺少未定期对 ISMS 管理体系的合理性和适用性进行评审和修订,以及 ISMS 执行和落实情况进行检查和审核。
4.5.4 缺少总体建设规划和详细设计方案
通过管理体系检查,我们发现 ISMS 管理体系 未根据企业的安全需求和安全目标,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略设计总体建设规划和详细设计方案,并形成配套文件。
4.5.5 工程验收和交付缺少部分环节
通过对管理体系检查,我们发现 ISMS 管理体系 未在工程的测试验收缺少必要安全性测试和安全报告,在工程交付中未未进行运维手册的定制。
4.5.6 未定期进行应急演练
通过管理体系检查,我们发现 ISMS 管理体系 未在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容,并定期进行应急演练及事后教育和培训。
4.5.7 未定期进行安全评估和安全加固
通过管理体系检查,我们发现 ISMS 管理体系未定期进行恶意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安全评估及风险整改。
4.5.8 缺少安全管理中心
通过网络架构分析、安全基线核查和管理体系检查,我们发现整体网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
第 5 章 安全需求分析
5.1 安全计算环境需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全计算环境的要求,还需要满足以下需求:
主机防病毒:该信息系统缺少主机防病毒的相关安全策略,需要配置网络版主机防病毒系统,从而实现对全网主机的恶意代码防范。
数据库审计:该信息系统缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒主机:该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证,需要部署堡垒机来实现。
备份与恢复:该信息系统没有完善的数据备份与恢复方案,需要制定相关策略。同时,该信息系统没有实现对关键网络设备的冗余,建议部署双链路确保设备冗余。
5.2 安全区域边界需求分析
根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全区域边界的要求,还需要满足以下需求:
边界访问控制:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界入侵防范:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界恶意代码过滤:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
防 web 攻击:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
安全域边界安全审计:该信息系统无法实现对边界的访问控制,需要部署署网络安全审计等安全设备来实现。
互联网出口安全审计:该信息系统无法实现对边界的访问控制,需要部署行为管理等设备来实现。
5.3 安全通信网络需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全通信网络的要求,还需要满足以下需求:
通信完整性和保密性:该信息系统无法实现对边界的访问控制,需要部署 SSL VPN 等安全设备来实现。
流量管理:该信息系统无法实现对边界的访问控制,需要部署流量管理系统等安全设备来实现。
5.4 安全管理中心需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全管理中心的要求,还需要满足以下需求:
统一日志平台:该信息系统无法实现对相关网络及安全设备的日志审计功能,需要部署日志审计系统来实现。
统一监控平台:该信息系统无法统一展示边界的安全威胁情况,需要部署安全感知平台等来实现。
统一管理平台:该信息系统无法实现对边界的访问控制,需要部署运维堡垒主机来实现。
第 6 章 总体安全设计
6.1 总体设计目标 本次安全等级保护整改方案设计的总体目标是依据国家等级保护的有关标准和规范,结合现网信息系统的现状,对其进行重新规划和合规性整改,为其建
立一个完整的安全保障体系,有效保障其系统业务的正常开展,保护敏感数据信息的安全,保证信息系统的安全防护能力达到《信息安全技术 信息系统安全等级保护基本要求》中第三级的相关技术和管理要求。
6.2 总体安全体系设计 本项目提出的等级保护体系模型,必须依照国家等级保护的相关要求,利用密码、代码验证、可信接入控制等核心技术,在“一个中心三重防御”的框架下实现对信息系统的全面防护。
安全管理中心
安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台,是信息系统做到可测、可控、可管理的必要手段和措施。依照信息系统等级保护安全设计技术要求中对安全管理中心的要求,一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中心应至少包含以下三个部分:
系统管理
实现对系统资源和运行的配置。控制和管理,并对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
安全管理
实现对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略,确保标记、授权和安全策略的数据完整性,并对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
审计管理
实现对系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录应进行分析,根据分析结果进行处理。此外,对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
此外,安全管理中心应做到技术与管理并重,加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度,规范安全管理操作规程,建立完善的安全管理制度集。
安全计算环境
参照基于可信计算和主动防御的等级保护模型,安全计算环境可划分成节点和典型应用两个子系统。在解决方案中,这两个子系统都将通过终端安全保护体系的建立来实现。
信息安全事故的源头主要集中在用户终端,要实现一个可信的、安全的计算环境,就必须从终端安全抓起。因此,依照等级保护在身份鉴别,访问控制(包括强制访问控制)、网络行为控制(包括上网控制、违规外联的控制)、应用
安全、数据安全、安全审计等方面的技术要求,可充分结合可信计算技术和主动防御技术的先进性和安全性,提出一个基于可信计算和主动防御的终端安全保护体系模型,以实现从应用层、系统层、核心层三个方面对计算环境的全面防护。
安全区域边界
为保护边界安全,本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能:信息层的自主和强制访问控制、防范 SQL 注入攻击和跨站攻击、抗 DoS/DDoS 攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟,因此,在本次系统整改总体设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审计系统、IDS、IPS 等有机地结合在一起,实现协同防护和联动处理。
此外,对于不同安全等级信息系统之间的互连边界,可根据依照信息流向的高低,部署防火墙或安全隔离与信息交换系统,并配置相应的安全策略以实现对信息流向的控制。
安全通信网络
目前,在通信网络安全方面,采用密码等核心技术实现的各类 VPN 都可以很有效的解决这类问题,达到在满足等级保护相关要求的同时,可灵活提高通信网络安全性的效果。
6.3 安全域划分说明 安全域的划分是网络防护的基础,事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命,具有不同的功能,分域保护的框架为明确各个域的安全等级奠定了基础,保证了信息流在交换过程中的安全性。
在本项目中,将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域,将划分如下几个区域:
互联网接入域,该区域说明如下:
在网络出口需提供流量清洗设备实现对 DDOS 等异常流量的清洗,链路负载自动匹配最优线路,保障网络可用性的同时实现快速接入;需在互联网出口边界利用防火墙进行隔离和访问控制,保护内部网络,利用 IPS 从 2-7 层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击;需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验。
办公网区域,该区域说明如下:
安全域内的终端上需具备防恶意代码的能力,并对接入内网的用户终端进行访问控制,明确访问权限以及可访问的网络范围。
DMZ 区,该区域说明如下:
该安全域内主要承载对外提供服务的服务器等,包括门户网站前端服务器、Web 业务服务器等。需在 DMZ 区域边界设置访问控制策略,并具备应用层攻击检测与防护能力、防篡改能力,同时也需要保证访问量较大的服务能够保持健康、稳定的运行。
服务器区域,该区域说明如下:
该安全域内主要承载内网核心业务信息系统,包含本次需过等级保护测评的 3 大信息系统,需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力,如 SQL 注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie 篡改等;需对存储业务信息系统产生的数据访问权限进行划分,并对数据的相关操作进行审计;需对敏感或重要数据进行备份。
综合安全管理区域,该区域说明如下:
该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计;用于监控内网安全域之间的流量,对流量中的威胁进行实时检测并统一呈现 ;对资产及其可能存在的漏洞进行扫描。
第 7 章 详细方案技术设计
7.1 物理和环境安全保障
“物理和环境安全保障体系”是支撑整个信息网应用系统的基石。其作为网信息安全管理体系建设的重要组成部分,必须依据《信息系统安全等级保护基本要求》对物理安全的有关要求,并结合信息化大集中、大整合、高共享的建设实际,不断扩展和变化,以满足信息化建设对基础设施保障和设备、数据安全的需求。
物理安全保障体系建设规划与应用的发展有着紧密的联系,其设计方向必须紧贴应用发展的实际需求,以机房的基础设施和安保系统的完善建立物理层面的保障和安全管控。在基础设施方面扩容机房的综合布线、电气配线、动力系统、制冷系统,使应用部署不再受到机房、功能区域的限制,消除物理空间上的限制,让系统的建设更加灵活且具有高度的可扩展性。在物理安保方面进一步加强对人员的管控,通过整合现有安保资源,形成多元化的安保防控一体化构件,达到对资产的全面管理和安全防护。
1、供配电系统
各级网络机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断,做到无单点失效和平稳可靠,这就要求两路以上的市电供应,足够后备时间供电的 N+1 冗余的 UPS 系统,还有与机房供电系统匹配的自备发电机系统。
2、防雷接地
要求机房设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。
3、消防报警及自动灭火
为实现火灾自动灭火功能,应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。
4、门禁
各级网络机房应建立实用、高效的门禁系统,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合,形成统一授权,分区管理的集中监控模式。
5、保安监控
各级网络机房的保安监控包括几个系统的监控:闭路监视系统、通道报警系统和人工监控系统,必要情况要求记录集中存储。
6、一体化的安保系统集成
机房应将门禁管理、视频监控、人员身份鉴别、人员行为管控、资产管控等多个基本安保元素进行一体化集成,遵循安全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形成完善的安保防控体系。
7.2 网络边界安全管控 网络边界安全管控体系从网络整体结构、网络层边界管控措施、网络安全防护及监测、主机边界管理等几个方面来设计。
7.2.1 网络安全域设计
在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护,应进行安全域的划分、结构安全、边界整合以及防护策略设计。
在理顺了信息系统访问控制关系的基础上,结合信息安全体系框架安全域划分部分的内容,以及信息系统本身的业务特点和安全要求,建立 XX 企业客户的安全域模型,从交换域、计算域和用户域划分安全域模型,提出具体解决方案及实施建议。
7.2.2 制定访问控制策略
根据信息系统网络访问关系梳理得到的相关结果,以及对于安全域划分结果进行分析,从大的方面制定各个安全级别之间的访问控制策略和安全防护措施(各种安全产品的部署),从小的方面制定同一个安全级别各个系统之间以及各个具体的安全域之间的访问控制策略。
7.2.3 网络安全防护管理
网络访问控制是防止对网络服务的未授权访问,根据安全域划分和访问控制策略在信息网络接入边界、核心边界实施访问控制;网络入侵检测(NIDS)是对信息系统的安全保障和运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入侵检测系统,监控所有进出服务器网段的流量,并对核心信息系统中的安全事件进行实时监控,发现和对各种攻击企图、攻击行为或者攻击结果进行告警,从而使整个信息系统的网络入侵防范更为完善;终端准入控制机制从终端层到网络层,再到应用层和边界层,提供了
客户端准入、网络准入和应用准入等多种准入控制手段,确保只有通过身份验证和安全基线检查的办公终端才能接入内网并进行受控访问,对非法的或存在安全隐患的办公终端进行隔离和修复,构建出完善的 “ 内网安检系统 ”,从源头上有效减少内网安全漏洞。
边界出口处采用防火墙技术进行严格的链路访问控制,并能承载高会话数转发和会话状态控制。
核心计算域的访问控制通过核心交换机进行区域划分,然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控,细化到 IP+ 端口细粒度的级别。
在出口增加防火墙加网络病毒检测防护,提升网络边界的恶意代码的防护。
7.3 终端主机安全管理 相关的安全接入基线要求为日常管理提供必要的安全底线,避免祼机运行或带“病”运行。应用系统主机安全在其相关的章节中描述。
应监控办公终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的 安全基线 不能满足要求的情况,该办公终端的网络访问将被禁止。此时启动自动修复机制,或提示终端用户手工进行修复。待修复完成后,办公终端将自动得到重新访问网络的授权。
终端安全加固
通过禁用系统 Autorun(自动播放)、禁用终端的账号和共享的匿名枚举、禁用终端的可匿名的共享、禁用 Windows 系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows 远程桌面、禁用启用系统自带的 DEP 功能(数据执行保护)、并可禁止对终端网卡属性进行修改,避免用户违规修改网卡的 IP、MAC、网关地址等属性,对终端操作系统进行安全加固,防止终端用户误操作,并有效预防蠕虫病毒和木马对办公终端带来的攻击。
除此之外,还提供丰富多样的自定义安全策略,可以用于对终端进行安全加固。例如可以通过检测特定文件或指定程序是否存,来检查终端是否有隐藏的木马或病毒;通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在,来检查终端是否存在隐藏的木马或病毒的可能,并可以通过对指定注册表项,进行保护,防止被木马或病毒恶意对其进行修改,从而达到控制终端的可能。
还可以根据公司内网要求,检查终端是否按照要求加入或登录指定的 AD 域,如果没有按照要求加入或登录域,还可以将其进行安全隔离,使其无法访问网络,保证单位域管理的有效实施。
进程红白黑名单管理
在现网网络环境中,办公终端软件环境的标准化能为桌面运维管理带来多方面的效益:能够降低桌面维护的复杂程度,确保关键软件在办公终端的强制安装与使用,同时通过禁止运行某些软件来提高工作效率。
进程管理通过定义办公终端进程运行的红、白、黑名单,实现自动、高效的进程管理功能,完全覆盖用户对进程管理的要求。进程管理,无论是进程红名单、黑名单还是白名单,都可以通过设置 MD5 码校验的方式检查进程名,防止用户对程序改名逃避安全检查。
在进程管理中所定义的红名单、白名单和黑名单的详细定义如下:
进程红名单:
办公终端必须运行的进程清单,是 “ 进程白名单 ” 的子集;
进程白名单:
办公终端能够运行的进程清单;
进程黑名单:
办公终端禁止运行的进程清单。
7.4 核心应用系统安全保护 核心应用系统的安全应从安全预警、安全管控和安全溯源三个方面来的保障,具体来说应做到事前的安全漏洞的检查、安全配置基线核查的安全风险预警,事中的严格边界访问控制、事后的网络业务审计、综合日志审计在内的业务溯源。
漏洞扫描及配置核查
据“全球信息安全调查”的数据,当前面临的最大安全挑战是“预防安全漏洞的出现”,在日益复杂的网络环境和层出不穷的安全威胁面前,手工的漏洞管理工作几乎是不可想象的,尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具来识别和修补漏洞。
应根据“发现—扫描—定性—修复—审核”的安全体系构建法则,综合运用多种国际最新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。
由于服务和软件的不正确部署和配置造成安全配置漏洞,入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和各种安全威胁事件的不断发生,越来越多的安全管理人员已经意识到正确进行安全配置的重要性。但是随着业务系统网络结构越来越复杂,重要应用和服务器数量及种类繁多,很容易发生安全管理人员的配置操作失误造成极大的影响。基于安全配置最低标准的安全配置基线检查就应运而生。
通过安全配置核查管理系统对于设备入网、工程验收、日常维护、合规检查等方面展开合规安全检查,找出不符合的项并选择和实施安全措施来控制安全风险。检查范围包括主流的网络设备、安全设备、数据库、操作系统和应用系统等,检查项包括:账号、口令、授权、日志、IP 协议和设备专有配置等内容。
核心边界业务访问控制
在核心的网络边界部署访问控制设备启用访问控制功能,根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力,控制粒度为端口级,应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET 等协议命令级的控制;在会话处于非活跃一定时间或会话结束后终止网络连接,限制网
络最大流量数及网络连接数,对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要应用系统主机。
运维审计
因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如 root 账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。
无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。
业务数据审计
信息网络的急速发展使得数据信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。数据库的安全威胁主要来自两个方面,一方面来自外部的非法入侵,黑客针对业务系统或者数据库漏洞,采取各种攻击手段,篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防。而另一方面的威胁来自内部,内部员工的恶意
破坏、违规操作和越权访问,往往会带来数据的大量外泄和严重损坏,甚至导致数据库系统崩溃。而且,这些操作往往不具备攻击特征,很难被普通的信息安全防护系统识别出来,就更加防不胜防,迫切需要一种行之有效的手段来进行防护。
围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是 IT 治理人员和 DBA 们关注的焦点:
管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。
技术层面:除了在业务网络部署相关的信息安全防护产品(如 FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。
不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。
网络安全审计系统(业务网审计)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。在网络层通过对业务人员访问系统的访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
7.5 数据安全建设 健全现有数据备份平台系统,并着手建立异地备份平台。
数据安全及备份恢复建设目标
根据等级保护前期调研结果,结合 对三级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案,进行数据安全和备份安全等级保护建设与改造。
数据完整性、数据保密性
三级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应完善以下几点:
系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密,确保信息在传输过程中的完整性和保密性;
系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密,保证信息在存储过程中的完整性和保密性,存储过程中检测到完整性错误时需采取必要的恢复措施。
建设方案:
采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。加密技术需满足以下要求:
o 密钥的安全管理:需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程和程序非相关组件访问到。
o 证书验证:数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别,且不接受或继续使用非法的或者无效的证书。
备份和恢复
三级系统数据备份和恢复与等级保护要求存在一定的差距,应完善以下几点:需提供本地数据备份与恢复功能,完全数据备份需每天一次,备份介质场外存放;必须提供异地数据备份功能,关键数据需定时批量传送至备用场地。
建设方案:
健全现有数据备份平台系统,完善《备份系统运行管理制度》内容,在现有内容上,需增加对三级系统备份周期要求(本地备份需每天一次)。备份介质场外存放,本地备份数据需提供恢复功能,并定期进行恢复测试。
建立异地备份中心,定期对各业务系统数据进行异地备份,对于重要的业务系统应进行实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密性,加密方案使用数据完整性和保密性相关措施。
第 8 章 详细方案管理设计
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
8.1 总体安全方针与安全策略 总体安全方针与安全策略是指导集团所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。本次项目中将协助集团确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责以及安全策略,建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落实性。
本次设计的 总体安全方针与安全策略 将具备以下特性:
o 安全策略紧紧围绕行业的发展战略,符合实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
o 总体安全方针与安全策略 中将明确阐述所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。
o 安全策略在经过信息安全决策机构批准之后,将具备指导和规范信息安全工作的效力。
o 安全策略中将规定其自身的时效性,当信息系统运行环境发生重大变化时,我方将协助及时对总体安全策略进行必要的调整,并将调整后的策略提交信息安全决策机构批准。
8.2 安全策略和管理制度 根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
8.3 安全管理机构和人员 根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
8.4 安全建设管理 系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
8.5 安全运维管理、环境和资产安全管理制度
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。、设备和介质安全管理制度
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。、日常运行维护制度
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和...
点击咨询 