《信息系统网络安全整改方案.docx》由会员分享,可在线阅读,更多相关《信息系统网络安全整改方案.docx(18页珍藏版)》请在优知文库上搜索。
1、信息系统网络安全整改方案第1章项目概述1.1 项目目标本方案将通过对公司网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动XX企业公司网络信息系统安全整改工作的进行。根据XX企业公司信息系统目前实际情况,综合考虑XX企业公司信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高XX企业公司信息系统的安全防护水平,完善安全管理制度体系。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生
2、成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。1.2 项目范围本文档适用于指导XX企业信息系统安全整改加固建设工作。1. 3信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏
3、后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。1. 4等级保护建设依据1.1.1 国内标准中华人民共和国网络安全法信息系统安全等级保护基本要求GB/T22239-2008信息安全风险评估规范GB/T20984-2007信息安全管理实用规划GB/T22081-20081.1.2 国际标准IS027001IS027002ISO/IEC13335ISO90011.1.3 行业要求关于印发的通知(公信安200743号)中华人民共和国计算机信息系统安全保护条例(国务院147号令)国家信息化领导小组关于加强信息安全保障工作
4、的意见(中办发200327号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安20078安号)公安机关信息安全等级保护检查工作规范(公信安2008736号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)信息安全防护总体策略体系安全运维监管体系安全技术保障体系安全管理保障体系数据安全体系终端安全管理体系网络边界安全管控体系物理安全保障体系第2章安全现状分析核心层接入层1.XX企业公司网络信息系统内网架构为三层架构1 .1网络现状描述2 .核心交换机直
5、连各楼栋汇聚交换机3 .用户接入交换机,通过VLAN划分用户区域4 .网络出口上有两条链路:一条为500M的互联网线路;一条为20M专线的的集团线路。2. 2安全现状XX企业在一些关键区域已经部署了相应的安全防护设备,如在出口区域部署了防火墙和上网行为管理设备,一定程度上提升了公司信息系统在物理层、传输层、网络层的网络防护能力,网络结构基本满足公司办公网络的安全和管理需要。由于目前网络中潜在的安全隐患大多数来自会话层、表示层和应用层,但是公司目前部署的防火墙并不具备防护来自以上三层威胁的能力,同时在防御外网对公司内网的黑客入侵、嗅探、流量攻击等高危险攻击方式上也没有相应的安全措施来抵御。其次,
6、在互联网出口区域部署两台功能相近的上网行为管理设备,虽然可以实现功能的分担、负载的分担,但也严重影响了用户的上网体验,而且两台都采用串接的方式,增加了链路单点故障的风险。最后,就是在企业内网缺乏发现安全隐患的的机制,从网络攻击的行为分析,大部分的攻击针对的是网络信息系统中的漏洞,如:操作系统漏洞、网络漏洞、软件漏洞等等,这些漏洞就是网络信息系统安全的最大风险,而这些漏洞却又不是能轻易发现的,因此需要在内网建立一个能预先发现系统漏洞的机制,对漏洞进行修补,防止被黑客利用对企业内网进行攻击和窃取关键数据。2. 3安全定级情况信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评
7、、监督检查等后续工作的重要基础。根据信息安全等级保护管理办法,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:安基本描述安全保护要求全等级第适用于一般的IT系统,系统遭到破坏后对机构履行其参照国家标准自主一职能、机构财产、人员造成较小的负面影响。进行保护。级第适用于处理日常信息和提供一般服务的IT系统,系统在主管部门的指导二遭到破坏后对机构履行其职能、机构财产、人员造成下,按照国家标准自级中等程度的负面影响。主进行保护。第适用于处理重要信息和提供重
8、要服务的IT系统,系统在主管部门的监督三遭到破坏后对机构履行其职能、机构财产、人员造成下,按国家标准严格级较大的负面影响,对国家安全造成一定程度的损害。落实各项保护措施进行保护。第适用于涉及国家安全、社会秩序、经济建设和公共利在主管部门的强制监督和检查下,按国 家标准严格落实各 项措施进行保护。益的重要IT系统,系统遭到破坏后对机构履行其职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。第适用于关系国家安全、社会秩序、经济建设和公共利根据安全需求,由主五益的核心系统,系统遭到破坏后对机构履行其职能、管部门和运营单位级机构财产、人员造成极其严重的负面影响,对国家安对IT系统进行专门
9、控制和保护。全造成严重损害。参照以上等级保护的定级标准,XX公司信息系统的等级保护级别建议定为二级。第3章安全现状分析3. 1网络安全风险通过网络架构分析和安全基线核查,我们发现XX企业的网络:互联网出口的下一代防火墙,入侵防御、web应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。3. 2主机安全风险通过漏洞扫描,我们发现XX企业OA系统主机上存在高风险安全漏洞:通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主
10、机、设备进行监听和攻击。褐制外T地安全策略更多注册表保力3.3应用安全风险通过安全基线核查,我们发现XX企业的OA系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。3. 4数据安全和备份恢复风险通过安全基线核查,我们发现XX企业的OA系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。缺
11、少数据完整性和数据保密性能力,容易导致数据被篡改和数据泄露的风险。第4章安全整改方案3.1 等级差距分析服务等级差距评估首先根据系统的安全等级选择和确定系统基本安全要求指标,然后按照安全指标评估系统安全现状,找出系统现状与安全指标之间的差距,并通过风险评估方法根据承载业务的安全特点找出系统的特定需求。在等级保护工作中,对信息系统的等级评估如果只是简单地套用标准,按标准中描述的相应等级基线的安全技术要求和安全管理要求进行僵化的符合性评估,而不考虑具体信息系统面临的特定的安全威胁和风险,将很难准确评估信息系统的安全状况和与相应等级的差距。等级差距评估是结合风险评估的方法和理论,围绕着系统所承载的具
12、体业务,通过风险评估的方法评估系统的风险状况,判断系统风险水平是否低于系统可接受的风险水平要求,以及系统的安全措施是否符合相应等级的安全要求两方面条件来判断系统与所定等级的差距。采用的方法有:人工评估:安排相关人员逐项检查系统的各项配置和运行状态,评估对象应包括各主机的操作系统、网络设备和数据库,给出评估报告。工具评估:基于各种技术层面的评估工具或者专用安全评估系统对评估对象进行扫描,评估对象应包括主机、网络设备和各种数据库,给出评估报告。渗透测试:可依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,测试对象应涵盖网络中的核心服务器及重要的网络设备,包括服务器、
13、交换机、防火墙等,给出评估报告。网络架构评估:网络架构评估应涵盖文档方面、网络拓扑方面、运行维护方面、网络管理方面、数据安全方面、安全产品方面、安全控制方面等。网络数据抽样:利用网络分析设备或工具从网络中抓包分析现有网络的安全情况,分析现有网络的安全风险态势。3.2 整改加固服务信息安全管理是改进当前信息系统安全状况的主要保障,不健全的安全管理机制是信息安全最大的薄弱点,也是等级保护的工作重点,相对于安全技术来说,等级保护在安全管理方面所需工作更是任重道远。但安全管理体系绝不是各类安全管理制度的简单叠加,以系统用户的角度,以保障系统业务正常运行为出发点,将系统的信息安全管理状况与等级保护管理要
14、求进行深入的差距分析,深入分析现有的系统管理体系和信息安全管理制度,从各个方面协助建立与信息系统安全技术和安全运行相适应的完善的符合系统业务特点的信息安全管理体系。安全技术实施的活动内容包括安全产品的采购、安全控制的开发以及验收与测试等环节,将针对系统具体的安全需求,在等级保护前期工作基础上,提供专业的安全技术解决方案,提供包括安全产品选型、产品部署、产品调试配置、安全加固等服务,而且站在更高的角度,以一个系统建设者的角度,把信息系统安全建设与信息系统建设过程平滑有机地结合起来。在安全管理体系和安全技术体系改造完成之后,派遣专业工程师到现场,针对加固前后的系统脆弱性进行复查,复查手段包括但不限
15、于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。3.3 协助测评服务在信息系统等级保护基线建设完成后,我们将协助客户依照等级保护测评的实际标准进行预测评,整理测评所需相关文档、资料、记录等,计划预测评的整体符合率达到80%以上。在内部预测评合格后,将向测评机构提出测评申请,邀请第三方的测评机构进行测评,配合测评队伍完成现场测评,并保证测评整体符合率达到60%以上,从而通过最终的等级测评。帮助客户的相关信息系统通过信息系统安全等级保护的测评,获得测评通过的报告。3.4 整改方案思路4.4.1安全域内部策略bl、通过合理的结构设计和网段划分手段实现合理分配、控制网络、操作系统和应用系统资源及路由选择和控制;b2、通过网络访问控制手段实现网络、系统和应用的访问的严格控制及数据、文件或其他资源的访问的严格控制;b3、通过拨号访问控制手段实现对数据、文件或其他资源的访问进行严格控制。b4、通过网络安全审计手段实现记录用户操作行为和分析记录;以及对资源访问的行为进行记录、集中分析并响应;b5、通过边界完整性检查手段实现检测非法接入设备及检测