信息系统网络安全整改方案.docx

上传人:王** 文档编号:907273 上传时间:2024-02-27 格式:DOCX 页数:14 大小:87.60KB
下载 相关 举报
信息系统网络安全整改方案.docx_第1页
第1页 / 共14页
信息系统网络安全整改方案.docx_第2页
第2页 / 共14页
信息系统网络安全整改方案.docx_第3页
第3页 / 共14页
信息系统网络安全整改方案.docx_第4页
第4页 / 共14页
信息系统网络安全整改方案.docx_第5页
第5页 / 共14页
信息系统网络安全整改方案.docx_第6页
第6页 / 共14页
信息系统网络安全整改方案.docx_第7页
第7页 / 共14页
信息系统网络安全整改方案.docx_第8页
第8页 / 共14页
信息系统网络安全整改方案.docx_第9页
第9页 / 共14页
信息系统网络安全整改方案.docx_第10页
第10页 / 共14页
亲,该文档总共14页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《信息系统网络安全整改方案.docx》由会员分享,可在线阅读,更多相关《信息系统网络安全整改方案.docx(14页珍藏版)》请在优知文库上搜索。

1、信息系统网络安全整改方案目录笫1章项目概述31.1 项目目标31.2 项目范围31.3 信息系统安全保护等级31.4 等级保护建设依据3笫2章安全现状分析52.1 网络现状描述52.2 安全现状52.3 安全定级情况6笫3章安全现状分析71.1 1网络安全风险71.2 主机安全风险71.3 应用安全风险71.4 数据安全和备份恢复风险8笫4章安全整改方案84.1 等级差距分析服务84.2 整改加固服务94.3 协助测评服务94.4 整改方案思路9笫5章安全运维方案115.1定期安全巡检115.2 定期安全检查125.3 新业务上线检查125.4 应急响应服务13笫6章方案总结13笫1章项目概述

2、1.1 项目目标本方案将通过对公司网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动XX企业公司网络信息系统安全整改工作的进行。根据XX企业公司信息系统目前实际情况,综合考虑XX企业公司信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高XX企业公司信息系统的安全防护水平,完善安全管理制度体系。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件

3、一旦发生,将对资产甚至是整个系统都将造成一定的影响。1.2 项目范围本文档适用于指导XX企业信息系统安全整改加固建设工作。1.3 信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重

4、损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。1.4 等级保护瓮设依据1.4.1国内标准中华人民共和国网络安全法信息系统安全等级保护基本要求GB/T22239-2008信息安全风险评估规范GB/T20984-2007信息安全管理实用规划GB/T22081-20081.4.2国际标准IS027001IS027002IS0/IEC13335IS090011.4.3行业要求关于印发信息安全等级保护管理办法的通知(公X安200743号)中华人民共和国计算机信息系统安全保护条例(GWY147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200

5、327号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公X安2007861号)公安机关信息安全等级保护检查工作规范(公X安2008736号)关于开展信息安全等级保护安全建设整改工作的指导意见(公X安20091429号)安全技术保障体系 安全管理保障体系安全运维监管体系数据安全体系终端安全管理体系网络边界安全管控体系物理安全保障体系笫2章安全现状分析2.1 网络现状描述/ / / / / / gggggggg核心层汇剜8接入层1 .XX企业公司网络信息系统内网架构为三层架构2 .核心

6、交换机直连各楼栋汇聚交换机3 .用户接入交换机,通过VLAN划分用户区域4 .网络出口上有两条链路:一条为500M的互联网线路;一条为20M专线的的集团线路。2.2 安全现状XX企业在一些关键区域已经部署了相应的安全防护设备,如在出口区域部署了防火墙和上网行为管理设备,一定程度上提升了公司信息系统在物理层、传输层、网络层的网络防护能力,网络结构基本满足公司办公网络的安全和管理需要。由于目前网络中潜在的安全隐患大多数来自会话层、表示层和应用层,但是公司目前部署的防火墙并不具备防护来自以上三层威胁的能力,同时在防御外网对公司内网的黑客入侵、嗅探、流量攻击等高危险攻击方式上也没有相应的安全措施来抵御

7、。其次,在互联网出口区域部署两台功能相近的上网行为管理设备,虽然可以实现功能的分担、负载的分担,但也严重影响了用户的上网体验,而且两台都采用串接的方式,增加了链路单点故障的风险。最后,就是在企业内网缺乏发现安全隐患的的机制,从网络攻击的行为分析,大部分的攻击针对的是网络信息系统中的漏洞,如:操作系统漏洞、网络漏洞、软件漏洞等等,这是漏洞就是网络信息系统安全的最大风险,而这些漏洞却又不是能轻易发现的,因此需要在内网建立一个能预先发现系统漏洞的机制,对漏洞进行修补,防止被黑客利用对企业内网进行攻击和窃取关键数据。2.3 安全定级情况信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、

8、等级测评、监督检查等后续工作的重要基础。根据信息安全等级保护管理办法,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:安全等级基本描述安全保护要求第级适用于一般的IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第级适用于处理日常信息和提供一般服务的IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下,按照国家标准自主进行保护。第级适用于处理重要信息和

9、提供重要服务的IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。第四级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。第适用于关系国家安全、社会秩序、经济建设和公共根据安全需求,由主管五利益的核心系统,系统遭到破坏后对机构履行其职部门和运营单位对IT级能、机构财产、人员造成极其严重的负面影响,对系统进行专门控制

10、和保国家安全造成严重损害。护。参照以上等级保护的定级标准,XX公司信息系统的等级保护级别建议定为二级。笫3章安全现状分析3.1网络安全风险通过网络架构分析和安全基线核查,我们发现XX企业的网络:互联网出口的下一代防火墙,入侵防御、Web应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。3.2主机安全风险通过漏洞扫描,我们发现XX企业OA系统主机上存在高风险安全漏洞:通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机

11、、设备进行监听和攻击。3.3应用安全风险通过安全基线核查,我们发现XX企业的OA系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。3.4数据安全和备份恢复风险通过安全基线核查,我们发现XX企业的OA系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。缺少数据完整性和数据保密性能力,容易导

12、致数据被篡改和数据泄露的风险。笫4章安全整改方案4.1等级差距分析服务等级差距评估首先根据系统的安全等级选择和确定系统基本安全要求指标,然后按照安全指标评估系统安全现状,找出系统现状与安全指标之间的差距,并通过风险评估方法根据承载业务的安全特点找出系统的特定需求。在等级保护工作中,对信息系统的等级评估如果只是简单地套用标准,按标准中描述的相应等级基线的安全技术要求和安全管理要求进行僵化的符合性评估,而不考虑具体信息系统面临的特定的安全威胁和风险,将很难准确评估信息系统的安全状况和与相应等级的差距。等级差距评估是结合风险评估的方法和理论,围绕着系统所承载的具体业务,通过风险评估的方法评估系统的风

13、险状况,判断系统风险水平是否低于系统可接受的风险水平要求,以及系统的安全措施是否符合相应等级的安全要求两方面条件来判断系统与所定等级的差距。采用的方法有:人工评估:安排相关人员逐项检查系统的各项配置和运行状态,评估对象应包括各主机的操作系统、网络设备和数据库,给出评估报告。工具评估:基于各种技术层面的评估工具或者专用安全评估系统对评估对象进行扫描,评估对象应包括主机、网络设备和各种数据库,给出评估报告。渗透测试:可依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,测试对象应涵盖网络中的核心服务器及重要的网络设备,包括服务器、交换机、防火墙等,给出评估报告。网络架

14、构评估:网络架构评估应涵盖文档方面、网络拓扑方面、运行维护方面、网络管理方面、数据安全方面、安全产品方面、安全控制方面等。网络数据抽样:利用网络分析设备或工具从网络中抓包分析现有网络的安全情况,分析现有网络的安全风险长东态势。4.2 整改加固服务信息安全管理是改进当前信息系统安全状况的主要保障,不健全的安全管理机制是信息安全最大的薄弱点,也是等级保护的工作重点,相对于安全技术来说,等级保护在安全管理方面所需工作更是任重道远。但安全管理体系绝不是各类安全管理制度的简单叠加,以系统用户的角度,以保障系统业务正常运行为出发点,将系统的信息安全管理状况与等级保护管理要求进行深入的差距分析,深入分析现有

15、的系统管理体系和信息安全管理制度,从各个方面协助建立与信息系统安全技术和安全运行相适应的完善的符合系统业务特点的信息安全管理体系。安全技术实施的活动内容包括安全产品的采购、安全控制的开发以及验收与测试等环节,将针对系统具体的安全需求,在等级保护前期工作基础上,提供专业的安全技术解决方案,提供包括安全产品选型、产品部署、产品调试配置、安全加固等服务,而且站在更高的角度,以一个系统建设者的角度,把信息系统安全建设与信息系统建设过程平滑有机地结合起来。在安全管理体系和安全技术体系改造完成之后,派遣专业工程师到现场,针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。4.3 协助测评服务在信息系统等级保护基线建设完成后,我们将协助客户依照等级保护测评的实际标准进行预测评,整理测评所需相关文档、资料、记录等,计划预测评的整体符合率达到80%以上。在内部预测评合格后,将向测评机构提出测评申请,邀

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 解决方案

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!