信息系統(tǒng)安全規(guī)劃方案

信構(gòu)企業(yè)信用信息管理系統(tǒng)安全規(guī)

劃建議書信息系統(tǒng)安全規(guī)劃建議書信息系統(tǒng)安全規(guī)劃建議書/33-完善的安全防護(hù)體系。通過體系化、標(biāo)準(zhǔn)化的信息安全風(fēng)險評估，積極采取各種安全管理和安全技術(shù)防護(hù)措施，落實(shí)信息安全等級保護(hù)相關(guān)要求。從技術(shù)與管理上提高********網(wǎng)絡(luò)與信構(gòu)企業(yè)信用信息管理系統(tǒng)安全防護(hù)水平，防止信息網(wǎng)絡(luò)癱瘓，防止應(yīng)用系統(tǒng)破壞，防止業(yè)務(wù)數(shù)據(jù)丟失，防止******航海測繪信息泄密，防止終端病毒感染，防止有害信息傳播，防止惡意滲透攻擊，確保信構(gòu)企業(yè)信用信息管理系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全。主要工作信構(gòu)企業(yè)信用信息管理系統(tǒng)安全規(guī)劃設(shè)計建議網(wǎng)絡(luò)訪問控制策略網(wǎng)絡(luò)訪問控制策略如下：＞核心服務(wù)器區(qū)/非核心服務(wù)器區(qū)只允許業(yè)務(wù)網(wǎng)終端訪問；＞不允許業(yè)務(wù)網(wǎng)終端到達(dá)外網(wǎng)以及更低的安全區(qū)域；＞不允許外網(wǎng)終端到達(dá)業(yè)務(wù)網(wǎng)以及更高的安全區(qū)域；＞允許外網(wǎng)終端訪問前置服務(wù)區(qū)；＞允許外網(wǎng)終端訪問因特網(wǎng)服務(wù)器區(qū)；＞允許外網(wǎng)終端訪問因特網(wǎng)并對所有終端用戶訪問行為，如郵件、網(wǎng)頁訪問等進(jìn)行監(jiān)控；＞因特網(wǎng)服務(wù)器區(qū)允許因特網(wǎng)公眾訪問特定服務(wù)（如Http、SMTP、POP3、DNS等）；＞同一應(yīng)用系統(tǒng)的前置服務(wù)器與內(nèi)部核心服務(wù)器、非核心服務(wù)器之間建立特定的數(shù)據(jù)交換通道。物理安全物理安全策略針對以下三個方面進(jìn)行改造和設(shè)計：＞環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn)GB50173—93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、國標(biāo)GB2887—89《計算站場地技術(shù)條件》、GB9361—88《計算站場地安全要求》＞設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；＞媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。主機(jī)安全主機(jī)安全包括服務(wù)器的主機(jī)安全及終端用戶的主機(jī)安全，其系統(tǒng)加固和優(yōu)化是實(shí)現(xiàn)********信構(gòu)企業(yè)信用信息管理系統(tǒng)安全的關(guān)鍵環(huán)節(jié)。通過主機(jī)系統(tǒng)安全加固，可以對********各應(yīng)用系統(tǒng)的網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層及終端用戶等層次設(shè)置合理的安全狀態(tài)，并以此作為保證********信構(gòu)企業(yè)信用信息管理系統(tǒng)安全的起點(diǎn)。主機(jī)系統(tǒng)安全加固的主要內(nèi)容包括：＞正確的安裝操作系統(tǒng)和應(yīng)用軟件；＞安裝全部最新的OS、應(yīng)用軟件的安全補(bǔ)??；＞操作系統(tǒng)和應(yīng)用軟件的安全配置；＞系統(tǒng)安全風(fēng)險防范；＞應(yīng)用系統(tǒng)功能測試；

＞系統(tǒng)完整性備份；＞終端安全管理；＞終端病毒防護(hù)；＞終端準(zhǔn)入控制。主機(jī)系統(tǒng)加固是有一定風(fēng)險的,一般可能的風(fēng)險包括停機(jī)、應(yīng)用程序不能正常使用、最嚴(yán)重的情況是系統(tǒng)被破壞無法使用。這些風(fēng)險一般是由于系統(tǒng)運(yùn)行狀況調(diào)查不清導(dǎo)致，也有因?yàn)榧庸谭桨傅拇鷥r分析不準(zhǔn)確，誤操作引起，因此在系統(tǒng)加固前應(yīng)做好系統(tǒng)備份。應(yīng)用安全目前***********目前*****************相關(guān)應(yīng)用系統(tǒng)的安全目前往往依賴于基礎(chǔ)設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫的安全，對于訪問用戶不同的應(yīng)用系統(tǒng)，應(yīng)分別制定相應(yīng)的安全防護(hù)策略。應(yīng)用系統(tǒng)的基本安全防護(hù)主要應(yīng)該依靠身份鑒別、內(nèi)部審計和管理策略，實(shí)現(xiàn)內(nèi)部控制的合規(guī)性；對于需要對外網(wǎng)開放的應(yīng)用系統(tǒng)，應(yīng)在外網(wǎng)增設(shè)前置服務(wù)器，還需要考慮訪問控制和代碼安全。針對********網(wǎng)站的應(yīng)用系統(tǒng)，主要的安全措施有：＞嚴(yán)格的安全審查和測試應(yīng)用系統(tǒng)＞安全的定義應(yīng)用系統(tǒng)中軟件和硬件的配合＞外網(wǎng)需要訪問的應(yīng)用系統(tǒng)，應(yīng)采取業(yè)務(wù)分離方式設(shè)置前置機(jī)＞制訂嚴(yán)格的應(yīng)用系統(tǒng)安全使用制度＞配置應(yīng)用系統(tǒng)的安全備份系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)＞制訂應(yīng)用系統(tǒng)的應(yīng)急響應(yīng)制度，和配置響應(yīng)的安全人員＞對不同的數(shù)據(jù)接口處采用入侵監(jiān)測和身份認(rèn)證等多方位安全方式所需資源需要用戶方提供以下資源、資料及信息：協(xié)調(diào)各信構(gòu)企業(yè)信用信息管理系統(tǒng)的相關(guān)管理人員（或設(shè)備供貨商、服務(wù)商等）作為溝通接口人員（討論整改思路）。階段成果在本階段，******將整理并向用戶方提交以下服務(wù)資料：?《信構(gòu)企業(yè)信用信息管理系統(tǒng)安全建設(shè)規(guī)劃方案》附錄項(xiàng)目實(shí)施內(nèi)容列表及報價清單信息安全系統(tǒng)規(guī)劃作業(yè)計劃表號序評估控制項(xiàng)評估內(nèi)容評估周期費(fèi)用（元）工具/作業(yè)指導(dǎo)書配合人員備注物理安全（0.5天）1機(jī)房機(jī)房現(xiàn)場環(huán)境檢查0.5《物理安全調(diào)查表》機(jī)房管理員如果有機(jī)房建設(shè)、驗(yàn)收材料，請

提供。網(wǎng)絡(luò)安全（2.5天）交換機(jī)/路由器交換機(jī)/路由器安全配置檢查1《網(wǎng)絡(luò)安全調(diào)查表》網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件《交換機(jī)檢查表》《路由器檢查表》防火墻/VPN/網(wǎng)閘2防火墻安全配置檢查0.5《網(wǎng)絡(luò)安全調(diào)查表》安全管理員/網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件《VPN檢查表》《網(wǎng)閘檢查表》IPS/IDS/防病毒IPS/IDS/防火墻安全配置檢查0.5《網(wǎng)絡(luò)安全調(diào)查表》安全管理員/網(wǎng)絡(luò)管理員需要協(xié)助登錄并操作，可提供配置文件《IDS檢查表》網(wǎng)絡(luò)結(jié)構(gòu)邊界分析0.5《網(wǎng)絡(luò)安全調(diào)查表》網(wǎng)絡(luò)管理員提供訪問控制策略文件。配合解答評估問題。網(wǎng)絡(luò)分析對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行現(xiàn)場排查及分析

主機(jī)安全（2天）操作系統(tǒng)3服務(wù)器操作系統(tǒng)安全配置檢查1.5《主機(jī)安全調(diào)查表-linux/uniX》《主機(jī)安全調(diào)查表-windows》《WINDOWS主機(jī)評估項(xiàng)》系統(tǒng)管理員需要協(xié)助登錄并操作數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫安全配置檢查0.5《Domino數(shù)據(jù)庫核查表》《SQLSERVER數(shù)據(jù)庫核查表》《ORACLE數(shù)據(jù)庫核查表》數(shù)據(jù)庫管理員需要協(xié)助登錄并操作應(yīng)用安全（3天）應(yīng)用系統(tǒng)調(diào)研41上應(yīng)用安全檢查業(yè)務(wù)應(yīng)用系統(tǒng)安全檢查2《應(yīng)用安全調(diào)查表》應(yīng)用系統(tǒng)管理員、開發(fā)人員需要協(xié)助登錄應(yīng)用系統(tǒng)并操作演

示應(yīng)用安全驗(yàn)證測試業(yè)務(wù)應(yīng)用系統(tǒng)安全測試（漏洞掃描等）漏洞掃描數(shù)據(jù)安全（0.5天）5數(shù)據(jù)安全檢查檢查系統(tǒng)在數(shù)據(jù)完整性、保密性、備份恢復(fù)等安全功能和配置0.5《數(shù)據(jù)安全及備份恢復(fù)調(diào)查表》應(yīng)用系統(tǒng)管理員、開發(fā)人員、數(shù)據(jù)庫管理員需要協(xié)助登錄并操作演示工具測試（3天）主機(jī)系統(tǒng)掃描6主機(jī)操作系統(tǒng)掃描1漏洞掃描及滲透測試系統(tǒng)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員需要將專用掃描設(shè)備接入網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)掃描0.5需要將專用掃描設(shè)備接入網(wǎng)絡(luò)遠(yuǎn)程滲透性測試網(wǎng)絡(luò)、應(yīng)用漏洞掃描1網(wǎng)絡(luò)管理員、應(yīng)用管理員從internet網(wǎng)遠(yuǎn)程接入對應(yīng)用

進(jìn)行滲透測試網(wǎng)絡(luò)、WEB應(yīng)用攻擊滲透測試0.5管理體系檢查（2天）安全管理制度7制定、發(fā)布、評審、修訂等方面2《安全管理制度檢查表》文檔管理員及相關(guān)管理負(fù)責(zé)人需要收集整理并提供相關(guān)管理制度文件、記錄。若能提供系統(tǒng)建設(shè)時的設(shè)計、驗(yàn)收資料也請一并提供。安全管理機(jī)構(gòu)崗位設(shè)置、人員配置等方面《安全管理機(jī)構(gòu)》人員安全管理人員錄用、離崗、考核等方面《人員安全管理》系統(tǒng)建設(shè)、運(yùn)環(huán)境、《系統(tǒng)

維管理資產(chǎn)、變更、備份恢復(fù)、安全事件、應(yīng)急預(yù)案建設(shè)管理》管理體系執(zhí)行情況執(zhí)行記錄檢查及執(zhí)行狀況訪談《系統(tǒng)運(yùn)維管理》結(jié)果匯總分析及確認(rèn)（1.5天）數(shù)據(jù)分析匯總Q1《數(shù)據(jù)匯總分析表》可能需要進(jìn)行補(bǔ)充評估8數(shù)據(jù)確認(rèn)0.5評估配合人員對分析數(shù)據(jù)進(jìn)行確認(rèn)、補(bǔ)充和說明差距分析報告（6.5天）編寫標(biāo)準(zhǔn)符合性分析報告96《等級保護(hù)標(biāo)準(zhǔn)符合性分析報告》標(biāo)準(zhǔn)符合性分析報告