2022年信息系统安全规划方案 2.pdf
《2022年信息系统安全规划方案 2.pdf》由会员分享,可在线阅读,更多相关《2022年信息系统安全规划方案 2.pdf(33页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信构企业信用信息管理系统安全规划建议书名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 33 页 - - - - - - - - - . . 目录1. 总论 . 31.1. 项目背景 . 3 1.2. 项目目标 . 3 1.3. 依据及原则 . 4 1.3.1. 原则 . . 4 1.3.2. 依据 . . 5 1.4. 项目范围 . 7 2. 总体需求 . 73. 项目建议 . 83.1. 信构企业信用信息管理系统安全现状评估与分析. 8 3.1.1. 评估目的 . .
2、8 3.1.2. 评估内容及方法 . . 9 3.1.3. 实施过程 . . 14 3.2. 信构企业信用信息管理系统安全建设规划方案设计. 23 3.2.1. 设计目标 . . 23 3.2.2. 主要工作 . . 24 3.2.3. 所需资源 . . 27 3.2.4. 阶段成果 . . 27 4. 附录 . 274.1. 项目实施内容列表及报价清单. 27名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 33 页 - - - - - - - - - . . 1.总论1
3、.1. 项目背景*(以下简称“ *” )隶属 *,主要工作职责是根据的授权,负责;负责等工作。*作为*部门,在印前,需要对。在整个业务流程中信构企业信用信息管理系统起了关键的作用。1.2.项目目标以国家信息安全等级保护相关文件及ISO27001 /GBT22080为指导,结合*信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。从技术与管理上提高*网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破
4、坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 33 页 - - - - - - - - - . . 1.3.依据及原则1.3.1. 原则以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务、信构企业信用信息管理系统,在方案设计中遵循以下的原则:?适度安全原则从网络、主机、应用、数据等层面加强防护措施
5、,保障信构企业信用信息管理系统的机密性、完整性和可用性,同时综合成本,针对信构企业信用信息管理系统的实际风险,提供对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。?重点保护原则根据信构企业信用信息管理系统的重要程度、业务特点,通过划分不同安全保护等级的信构企业信用信息管理系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信构企业信用信息管理系统。?技术管理并重原则把技术措施和管理措施有效结合起来,加强*信构企业信用信息管理系统的整体安全性。?标准性原则信息安全建设是非常复杂的过程,在规划、设计信息安全系统时,单纯依赖经验是无法对抗未知的威胁
6、和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 33 页 - - - - - - - - - . . 同时,在规划、设计*信息安全保护体系时应考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001 安全管理指南,使建成后的等级保护体系更具有广泛的实用性。?动态调整原则信息安全问题不是静态的,它总是随着*的安全组织策略、组织架构、信构企业信用信息管理系统和操
7、作流程的改变而改变,因此必须要跟踪信构企业信用信息管理系统的变化情况,调整安全保护措施。?成熟性原则本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的。?科学性原则在对*信构企业信用信息管理系统进行安全评估的基础上,对其面临的威胁、弱点和风险进行了客观评价,因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决*信息网络中存在的安全问题,满足特性需求。1.3.2.依据1.3.2.1.政策文件? 关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知(中办 200327 号文件)? 关于印发信息安全
8、等级保护工作的实施意见的通知(公通字名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 33 页 - - - - - - - - - . . 200466 号文件)? 关于印发信息安全等级保护管理办法的通知(公通字200743号文件)?信息安全等级保护管理办法 (公通字 200743 号)?关于开展全国重要信构企业信用信息管理系统安全等级保护定级工作的通知(公信安 2007861 号)?关于开展信息安全等级保护安全建设整改工作的指导意见( 公信安20091429 号) 1.3
9、.2.2.标准规范? 计算机信构企业信用信息管理系统安全保护等级划分准则(GB/T 17859-1999)? 信息安全技术信构企业信用信息管理系统安全等级保护实施指南? 信息安全技术信构企业信用信息管理系统安全保护等级定级指南(GB/T 22240-2008 )? 信息安全技术信构企业信用信息管理系统安全等级保护基本要求(GB/T 22239-2008 )? 信息安全技术信构企业信用信息管理系统安全等级保护测评要求? 信息安全技术信构企业信用信息管理系统安全等级保护测评过程指南? 信息安全技术信构企业信用信息管理系统等级保护安全设计技术要求名师资料总结 - - -精品资料欢迎下载 - - -
10、- - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 33 页 - - - - - - - - - . . 1.4.项目范围按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信构企业信用信息管理系统综合防护体系,提高信构企业信用信息管理系统整体安全保护能力。依据信构企业信用信息管理系统安全等级保护基本要求(以下简称基本要求) ,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技
11、术措施。根据*现状和 *规划,确定本项目主要建设内容包括:网络结构调整、物理安全建设、主机及应用系统安全建设、数据存储与备份安全建设、终端安全建设、运行及优化等。2.总体需求*在充分利用现有信息化成果的基础上,进一步将信息化技术深入应用于管理、设计、协同等各方面,建立和完善以信息和网络技术为支撑,满足 *服务等所需的信息网络体系和协同工作平台,满足公司运营管控的信息化平台,实现技术、人力、资金、设备、知识资源的共享。目前*随着业务不断增加信息化建设的进度必须满足业务发展的需要。*信构企业信用信息管理系统安全建设,旨在从技术与管理上名师资料总结 - - -精品资料欢迎下载 - - - - - -
12、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 33 页 - - - - - - - - - . . 加强公司网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止*信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。针对 *信构企业信用信息管理系统安全现状及未来的需求分析,亟需建立一整套完善的安全体系。该体系包括信构企业信用信息管理系统的安全管理体系和技术产品的技术体系。通过两个体系的建立,实现*信构企业信用信息管
13、理系统的所有信息资产以及与*之间进行安全的管理和技术保护。同时通过多层次、多角度的安全服务和产品,覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。整个安全体系包括网络平台安全、应用安全、系统平台安全以及物理和环境的安全等内容。3.项目建议主要完成两项工作,一是信构企业信用信息管理系统安全现状调查与分析;二是信构企业信用信息管理系统安全建设规划方案设计。3.1.信构企业信用信息管理系统安全现状评估与分析3.1.1.评估目的为了准确把握 * *当前现状,了解当前存在的缺陷和不足,完善信构企业信用信息管理系统整体安全。以信构企业信用信息管理名师资料总结 - - -精品资
14、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 33 页 - - - - - - - - - . . 系统安全等级保护标准为基础,对信构企业信用信息管理系统安全进行符合性分析,作为 *信构企业信用信息管理系统安全规划的原始标准和改进依据。3.1.2.评估内容及方法3.1.2.1.评估内容结合信构企业信用信息管理系统安全等级保护基本要求标准,对*的信构企业信用信息管理系统进行测试评估,应包括两个方面的内容:一是安全控制评估,主要评估信息安全等级保护要求的基本安全控制在信构企业信用信息管理系统中的实施配置
15、情况;二是系统整体评估,主要评估分析信构企业信用信息管理系统的整体安全性。其中,安全控制评估是信构企业信用信息管理系统整体安全评估的基础。对安全控制评估的描述,使用评估单元方式组织。评估单元分为安全技术评估和安全管理评估两大类。安全技术评估包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制评估;安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估。具体见下图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -
16、 - 第 9 页,共 33 页 - - - - - - - - - . . 由于*在信构企业信用信息管理系统安全规划建议是基于信构企业信用信息管理系统安全等级保护基本要求标准(二级)之上,因此,共需要对技术与管理两大方面、十个层面的66 个控制项、 175 个控制点进行安全评估。3.2.2.2.1技术部分技术部分将对 *的物理安全、网络安全、主机安全、应用安全、数据安全及备份的五个层面进行安全控制评估。3.2.2.2.2管理部分安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -
17、 - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 33 页 - - - - - - - - - . . 3.1.2.2.评估方法评估实施阶段的工作主要是进入评估现场以后,依据信构企业信用信息管理系统安全等级保护实施指南和评估计划和方案的要求,通过各种评估方式对涉及信构企业信用信息管理系统安全各个层面进行评估。评估的主要方式包括:3.1.2.2.1文档审核文档审核的对象主要是与被评估信构企业信用信息管理系统安全性有关的各个方面的文档,如:安全管理制度和文件、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各
18、种运行记录文档、机房建设相关资料等等。通过对这些文档的审核与分析确认评估的相关内容是否达到了等级的要求。3.1.2.2.2现场访谈评估人员与被评估信构企业信用信息管理系统的相关人员进行交谈和问询,了解信构企业信用信息管理系统技术和管理方面的一些基本信息,并对一些评估内容及其文档审核的内容进行核实。人员访谈是通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点,对客户的信息安全管理体系、信息安全运维过程等方面,对比等级要求进行测试。评估人员通过与信构企业信用信息管理系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信构企业信用信息管理系统安全等级保护措施是否有效,评估中使用各类
19、调查问卷和访谈大纲。评估方法人员访谈名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 33 页 - - - - - - - - - . . 简要描述根据系统定级,对安全管理制度的制定及执行情况进行检查达成目标了解甲方安全管理制度的制定情况、落实情况主要内容安全组织和管理,安全策略和程序,应用安全管理,数据安全管理,操作系统安全管理,网络安全管理,访问控制管理,物理安全控制,业务连续性管理(含备份)实现方式管理制度和程序文件的收集和分析分析和现场检查管理过程记录问卷和现场访
20、谈工作结果甲方安全管理制度访谈结果3.1.2.2.3现场检查现场检查主要是对一些需要在现场上机进行实际检查与确认的信息进行核实,以及对某些访谈和文档审核的内容进行核实。评估人员通过对评估对象进行观察、查验、分析等活动,获取证据以证明信构企业信用信息管理系统安全等级保护措施是否有效的一种方法,评估过程中使用各种检查表和相应的安全调查工具。人工审计对实施人员的安全知识、安全技术和安全经验要求很高,因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的安全领域经验,这样才能对技术评估对象中物理层、网络层、主机层、数据层和客户层的所有安全对象目标进行最有效和最完整的安全检查,并提供最合理和
21、最及时的安全建议。评估方法人工审计简要描述作为漏洞扫描的辅助手段, 通过登陆系统控制台的方式人工核查和分析系统的安全配置情况达成目标检测系统的安全配置情况,发现配置隐患主要内容系统控制台配置审计名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 33 页 - - - - - - - - - . . 实现方式利用安全配置审计脚本、 安全配置核查系统及手工配置检查对评估对象的安全配置情况进行审计、核查工作结果甲方系统人工审计结果报告3.1.2.2.4工具测试工具测试主要是根据被
22、评估信构企业信用信息管理系统的实际情况,评估人员使用某些技术工具对信构企业信用信息管理系统进行测试。一般包括漏洞扫描(仅限于终端) 、性能测试、配置检查、日志与记录分析等内容。在本次差距评估服务项目实施中,使用的工具包括网络和系统漏洞扫描工具、应用漏洞扫描工具、综合扫描工具、网络协议分析工具、渗透测试工具和其它相关工具等。?漏洞扫描漏洞扫描是通过自动化的评估工具(安全评估系统或扫描器),根据其内置的评估内容、测试方法、评估策略及相关数据库信息,从系统内部、外部对系统进行一系列的脆弱性检查,发现潜在安全风险问题,如易猜出的密码、用户权限、用户设置、关键文件权限设置、路径设置、密码设置、网络服务配
23、置、应用程序的可信性、服务器设置以及其他含有攻击隐患的可疑点等。使用漏洞扫描工具的优点是能够明显降低评估工作量,且其报表功能较为强大,有的还具备一定的智能分析和数据库升级功能。评估方法漏洞扫描简要描述利用漏洞扫描工具从网络的不同接入点对甲方网络内的网络设备、 主机、应用和数据库等系统进行脆弱性检查和分析达成目标发掘甲方信构企业信用信息管理系统的安全漏洞,提出名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 33 页 - - - - - - - - - . . 漏洞修补建议
24、主要内容以多种漏洞扫描工具实施漏洞扫描实现方式利用安全扫描器等多种漏洞扫描工具进行安全评估工作结果甲方系统漏洞扫描分析结果报告?安全测试安全测试包括功能测试、性能测试及渗透测试。主要针对应用系统的功能及性能方面进行测试,验证应用系统的功能及性能是否符合要求;以及从操作系统、数据库系统、应用系统及网络设备等方面可能存在的漏洞及弱点出发,对网络系统进行渗透性测试,验证网络系统的安全防护是否有效。评估人员通过对评估对象进行探测、分析、测试及验证等活动,获取证据以证明信构企业信用信息管理系统安全等级保护措施是否有效,评估过程中会使用到各种专业的测试工具。评估方法安全测试简要描述作为人工审计及安全检查的
25、辅助手段,通过对设备及系统的功能、性能、安全性等进行测试和验证,核查设备及系统的安全防护情况达成目标检测系统的安全防护情况,发现深度的安全隐患主要内容设备及系统的功能、性能及安全性测试实现方式主要通过人工方式, 并配合使用多种评估工具对设备及系统的功能、性能及安全性方面进行测试工作结果甲方系统安全测试结果报告3.1.3.实施过程信构企业信用信息管理系统安全等级保护差距评估的全过程以项目管名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 33 页 - - - - - - -
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年信息系统安全规划方案 2022 信息系统安全 规划 方案
限制150内