网站建设规划方案（系统集成项目信息安全保障体系规划方案）

本文内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析，提出XX公司信息安全技术工作的总体规划、目标以及基本原则，并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。1.2 背景1.2.1 XX行业相关要求国家XX行业总局一直以来十分重视信息安全管理工作，先后下发了涉及保密计算机运行、等级保护定级等多个文件，下发了《XX行业信息安全保障体系建设指南》，指南从技术、管理、运维三个方面对安全保障提出了建议，如下图所示。图 1_1行业信息安全保障体系框架1.2.2国家等级保护要求等级保护工作作为我国信息安全保障工作中的一项基本制度，对提高基础网络和重要信息系统安全防护水平有着重要作用，在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求，如下图所示。图 1_2等保基本要求框架图1.2.3三个体系自身业务要求在国家数字XX行业政策的引导下，近年来信息系统建设日趋完善，业务系统对信息系统的依赖程度逐渐增加，信息系统的重要性也逐渐提高，其安全保障就成为了重点。信息系统的重要组成部分包括MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统等。企业生产已经高度依赖于企业的信息化和各信息系统。信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。在整个信息系统运行的过程中，起主导作用的仍然是人，是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中，发现和纠正各类安全保障措施存在的问题和不足，保证它们稳定可靠运行，有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。1.3三个体系规划目标1.3.1 安全技术和安全运维体系规划目标建立技术体系的目的是通过使用安全产品和技术，支撑和实现安全策略，达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型，行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容：1、防护：通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施，使信息系统具备比较完善的抵抗攻击破坏的能力。2、检测：通过采取入侵检测、漏洞扫描、安全审计等技术手段，对信息系统运行状态和操作行为进行监控和记录，对信息系统的脆弱性以及面临的威胁进行评估，及时发现安全隐患和入侵行为并发出告警。3、响应：通过事件监控和处理工具等技术措施，提高应急处理和事件响应能力，保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。4、恢复：通过建立信息系统备份和恢复机制，保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。1.3.2安全管理体系规划目标本次项目通过风险评估对XX公司自身安全管理现状进行全面了解后，对信息安全管理整体提出以下目标：健全信息安全管理组织，建立信息安全专业服务团队，建立完善的信息安全风险管理流程，完善信息安全制度与标准，建立规范化的流程。1.4技术及运维体系规划参考模型及标准1.4.1参考模型目前安全模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护（Protection）、检测（Detection）、响应（Reaction）的安全模型。上个世纪90年代末，ANS联盟在PDR模型的基础上建立了新的P2DR模型。该模型是可量化、可由数学证明、基于时间的、以PDR为核心的安全模型。这里P2DR2是策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）的缩写。策略（Policy）策略是P2DR模型的核心，所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。防护（Protection）防护是主动防御的防御部分，系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部，防护手段也因此多种多样。检测（Detection）检测是动态响应和加强防护的依据。通过不间断的检测网络和系统，来发现威胁。响应（Response）响应是主动防御的实现。根据策略以及检测到的情况动态的调整防护，达到主动防御的目的。随着技术的进步，人们在P2DR模型以后又提出了APPDRR模型，即在P2DR模型中加入恢复（Recovery）手段。这样一旦系统安全事故发生了，也能恢复系统功能和数据，恢复系统的正常运行。1.4.2参考标准主要参考标准：《信息保障技术框架v3.1》（IATF） 美国国家安全局《信息系统安全管理指南》（ISO 13335） 国际标准化组织《信息安全风险评估指南》（国标审议稿）中华人民共和国质监总局其它参考标准：AS/NZS 4360: 1999 风险管理标准ISO/IEC 17799:2005 /BS7799 Part 1ISO/IEC 27001:2005 /BS7799 Part 2ISO/IEC 15408（CC）GB17859-1999等级保护实施意见（公通字[2004]66号）《计算机信息系统安全保护等级划分准则》GB 17859行业参考标准：《XX行业行业信息安全保障体系建设指南》1.5管理体系规划参考模型及标准1.5.1国家信息安全标准、指南1. GB/T 20274—2006 信息系统安全保障评估框架2. GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分：信息技术安全概念和模型3. GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分：管理和规划信息技术安全4. GB/T 19716—2005 信息技术—信息安全管理实用规则1.5.2国际信息安全标准1. ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求2. ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型3. ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架4. ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法5. ISO/IEC WD 15443—3 信息技术安全保障框架 第三部分 保障方法分析6. ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估二、 技术体系建设规划2.1技术保障体系规划2.2.1设计原则技术保障体系的规划遵循一下原则：先进性原则采用的技术和形成的规范，在路线上应与当前世界的主流发展趋势相一致，保证依据规范建成的XX公司网络安全系统具有先进性和可持续发展性。实用性原则具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长，相互补充。当某一种或某一层保护失效时，其它仍可起到保护作用。可靠性原则加强网络安全产品的集中管理，保证关键网络安全设备的冷热备份，避免骨干传输线路的单点连接，保证系统7*24小时不间断可靠运行。可操作性原则根据XX公司风险评估结果，制定出各具特色、有较强针对性和可操作性的网络安全技术保障规划，适用于XX公司信息安全的规划、建设、运行、维护和管理。可扩展性原则规范应具有良好的可扩展性，能适应安全技术的快速发展和更新，能随着网络安全需求的变化而变化，网络安全保护周期应与整个网络的工作周期相同步，充分保证投资的效益。2.1.2技术路线分级保护的思想遵照《XX行业行业信息安全保障体系建设指南》、《关于信息安全等级保护工作的实施意见》的要求，结合XX公司网络应用实际，XX公司网络的信息安全防护措施需要满足安全等级保护要求，必须按照确定的安全策略，整体实施安全保护。分层保护的思想按照XX公司业务承载网络的核心层、接入（汇聚）层、接入局域网三个层次，根据确定的安全策略，规范设置相应的安全防护、检测、响应功能，利用虚拟专用网络（例如MPLS VPN、IPSec VPN、SSL VPN）、公钥基础设施/授权管理基础设施（PKI/PMI）、防火墙、在线入侵抵御、入侵检测、防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品，进行全方位的安全保护。分域保护的思想控制大型网络安全的另一种思想是把网络划分成不同的逻辑网络安全域，每一个网络安全域由所定义的安全边界来保护。综合考虑信息性质、使用主体等要素，XX公司网络划分为计算域、支撑域、接入域、基础设施域四种类型安全域。通过在相连的两个网络之间采用访问控制措施来进行网络的隔离和连接服务。其中，隔离安全服务包括身份认证、访问控制、抗抵赖和强审计等；连接安全服务包括传输过程中的保密、完整和可用等。动态安全的思想动态网络安全的思想，一方面是要安全体系具备良好的动态适应性和可扩展性。威胁和风险是在不断变化的，安全体系也应当根据新的风险的引入或风险累积到一定程度后，适时进行策略调整和体系完善；另一方面是在方案的制定和产品的选取中，注重方案和产品的自愈、自适应功能，在遭遇攻击时，具有一定的自动恢复和应急能力。2.2信息安全保障技术体系规划2.2.1安全域划分及网络改造安全域划分及网络改造是系统化安全建设的基础性工作，也是层次化立体化防御以及落实安全管理政策，制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。目标规划的理论依据安全域简介安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。相对以上安全域的定义，广义的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于：物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……总体架构如下图所示：安全域的划分如下：图 2_1安全与总体框架本次建议的划分方法是立体的，即：各个域之间不是简单的相交或隔离关系，而是在网络和管理上有不同的层次。网络基础设施域是所有域的基础，包括所有的网络设备和网络通讯支撑设施域。网络基础设施域分为骨干区、汇集区和接入区。支撑设施域是其他上层域需要公共使用的部分，主要包括：安全系统、网管系统和其他支撑系统等。计算域主要是各类的服务器、数据库等，主要分为一般服务区、重要服务区和核心区。边界接入域是各类接入的设备和终端以及业务系统边界，按照接入类型分为：互联网接入、外联网接入、内联网接入和内网接入。图 2_1安全域立体结构图建设规划内容一、边界接入域边界接入域的划分边界接入域的划分，根据XX公司公司的实际情况，相对于ISO 13335定义的接入类型，分别有如下对应关系：ISO 13335实际情况组织单独控制的连接内部网接入（终端接入，如办公网）；业务边界（如核心服务边界）公共网络的连接互联网接入（如Web和邮件服务器的外部接入，办公网的Internet接入等）不同组织间的连接外联网接入（如各个部门间的接入等）组织内的异地连接内联网接入（如XXX单位接入等其他部门等通过专网接入）组织内人员从外部接入远程接入（如移动办公和远程维护）边界接入域威胁分析由于边界接入域是XX公司公司信息系统中与外部相连的边界，因此主要威胁有：黑客攻击（外部入侵）恶意代码（病毒蠕虫）越权（非授权接入）终端违规操作……针对边界接入域的主要威胁，相应的防护手段有：访问控制（如防火墙）用于应对外部攻击远程接入管理（如VPN）用于应对非授权接入入侵检测与防御（IDS&IPS）用于应对外部入侵和蠕虫病毒恶意代码防护（防病毒）用于应对蠕虫病毒终端管理（注入控制、补丁管理、资产管理等）对终端进行合规管理 二、计算域计算域的划分计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合，根据计算环境的行为不同和所受威胁不同，分为以下三个区：一般服务区用于存放防护级别较低（资产级别小于等于3），需直接对外提供服务的信息资产，如办公服务器等，一般服务区与外界有直接连接，同时不能够访问核心区（避免被作为攻击核心区的跳板）；重要服务区重要服务区用于存放级别较高（资产级别大于3），不需要直接对外提供服务的信息资产，如前置机等，重要服务区一般通过一般服务区与外界连接，并可以直接访问核心区；核心区核心区用于存放级别非常高（资产级别大于等于4）的信息资产，如核心数据库等，外部对核心区的访问需要通过重要服务区跳转。计算域的划分参见下图：图 2_3计算域划分图计算域威胁分析由于计算域处于信息系统的内部，因此主要威胁有：内部人员越权和滥用内部人员操作失误软硬件故障内部人员篡改数据内部人员抵赖行为对外服务系统遭受攻击及非法入侵针对计算域主要是内部威胁的特点，主要采取以下防护手段：应用和业务开发维护安全基于应用的审计身份认证与行为审计同时也辅助以其他的防护手段：对网络异常行为的检测对信息资产的访问控制三、支撑设施域支撑设施域的划分图 2_4支撑基础设施域划分图如上图所示，将网络管理、安全管理和业务运维（业务操作监控）放置在独立的安全域中，不仅能够有效的保护上述三个高级别信息系统，同时在突发事件中也有利于保障后备通讯能力。其中，安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中，如果条件允许，还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。支撑设施域的威胁分析支撑设施域是跨越多个业务系统和地域的，它的保密级别和完整性要求较高，对可用性的要求略低，主要的威胁有：网络传输泄密（如网络管理人员在网络设备上窃听业务数据）非授权访问和滥用（如业务操作人员越权操作其他业务系统）内部人员抵赖（如对误操作进行抵赖等）针对支撑设施域的威胁特点和级别，应采取以下防护措施：带外管理和网络加密身份认证和访问控制审计和检测四、网络基础设施域网络基础设施域的划分图 2_5网络基础设施域划分图网络基础设施域的威胁分析主要威胁有：网络设备故障网络泄密物理环境威胁相应的防护措施为：通过备份、冗余确保基础网络的可用性通过网络传输加密确保基础网络的保密性通过基于网络的认证确保基础网络的完整性2.2.2现有信息技术体系描述 XX公司现有网络拓扑XX公司网络结构脆弱性评估1、网络结构层次不清晰当前网络骨干区域，基本形成以两台C6509为核心，多台C2970/C2950等为接入的架构，网络骨干设备性能优异，扩展能力较强。但部分区域仍然存在结构层次不清晰、不合理之处。远程接入区域，包括XXX单位通过专线直接接入到核心交换机C6509上，其它的上联国家局、XX公司局等专线链路也直接接入到核心交换机C6509上，除国家局配置有防火墙外，其它连接均未经过任何汇聚或访问控制设备。核心交换机C6509同时兼具上述多条专线接入设备的任务，网络逻辑层次结构较为模糊。2、网络单点故障当前网络核心层为冗余设备，下联接入层交换为冗余线路，其它对外连接均为单设备和单线路连接，存在网络单点故障隐患。各远程接入链路均为一条电信专线，没有其它冗余的广域网链路，存在远程接入链路单点故障。外网服务器区的Web和Mail服务器的互联网连接和访问均为单线路，存在单点故障。3、网络安全域划分不明公司大多数内网服务器系统分布在XX网段，没有进一步的VLAN划分及其它防护措施的隔离。ERP、协同办公、营销等重要系统混杂在一起，与其它服务器都部署在同一个区域，非常不利于隔离防护及后期的安全规划建设。下属车间存在生产网与办公网络混用的情况。各生产网与办公网未严格隔离，未整合边界，未实施集中安全防护。业务维护人员、网络管理人员、安全管理人员以及第三方运维人员，未划分专门的管理支撑域。当前主要根据办公物理位置，各自接入到办公网中，未与普通办公人员网络区域隔离。远程接入区域，根据对端可信度及管理职责等，可以划分为四类，1、国家XX行业；2、省商业公司链路；3、XXX单位接入。当前未进行分类隔离，统一安全策略。4、部分节点区域缺乏必要安全防护措施内部终端用户访问内部服务器、互联网络没有有效的控制行为；能够访问互联网的终端不能有效控制访问带宽并进行行为审计。远程接入XXX单位专线直接接入到核心交换机Cisco3845上，两端均未部署防火墙实施访问控制。XXX单位用户可以任意访问到总部网络，任意访问内网服务器。全网缺乏一套集中的安全运营管理中心，当前网络设备、安全设备、主机及业务系统的日志及安全运行状况监控，仅由各自维护人员手工操作，直接登录设备检查分析。内网服务器区、生产服务器区缺乏业务审计设备，无法记录关键的业务、维护操作行为。5、现有的安全技术防护手段 在互联网出口部署了防火墙两台，同时设置访问规则对WEB服务器和内网用户对互联网的访问进行网络层控制；在核心交换机上部署了入侵检测系统，对核心交换上的数据信息进行入侵行为的检测；在邮件系统部署了防垃圾邮件系统，可对垃圾邮件进行过滤；内网部署了趋势的网络防病毒系统，内网部署了内网管理系统，可对内部网络终端进行接入管理、主机维护管理、补丁管理、主机行为审计等。2.3技术体系规划主要内容2.3.1网络安全域改造建设规划改造建议说明：1、 新增管理支撑域，作为整个网络的设备和系统管理中心。2、 新增汇聚层网络设施域，部署四台三层交换机，核心部件采用冗余配置，作为整个网络的汇聚层，这样既便于接入区和服务区的访问控制，又将生产区和办公区进行了区分，并分担了核心交换机的负担。3、 在核心交换和新增的汇聚交换间部署防火墙进行服务域的访问控制；4、 将原有的服务器使用VLAN方式划分为核心服务域和一般服务域；5、 更换互联网出口防火墙为安全网关，采用双机冗余方式部署，并启用IPS检测、AV检测功能，为对外提供服务的WEB和MAIL服务器制定保护策略；6、 在互联网安全网关后增加上网行为管理系统，采用双机冗余方式部署，对访问互联网的流量和访问进行控制和审计；7、 将互联网出口替换下的防火墙部署到单独划分的财务服务域前端，进行必要的访问控制保护；8、 将XXX单位连接线路由原来的连接核心C6509改为连接新增加的汇聚层防火墙上，增加外部访问的访问控制。2.3.2网络安全设备建设规划网络安全设备分为边界保护类，入侵检测/防御类，终端保护等多种。网络安全产品的类型是由网络安全技术决定的，为了实现全面的安全防护，以不同的实体出现的安全设备要在技术上覆盖所有的安全领域，也就是所有安全设备功能的总和在技术层面应该能够防御目前网络环境下所有安全威胁的总和。安全产品虽然不是安全防护体系的决定因素，却是安全防御体系的基石。是实现系统化全方位网络安全防护的必要条件。在充分分析目前XX公司已经部署的网络安全设备的前提下，又结合了风险评估的结果，以及安全域划分和网络改造的具体需求，得出了最终需要新增的网络安全设备需求。此过程保证在设备层面实现安全技术体系。部署完成后，XX公司所有安全设备防护功能的总和在技术层面上将能够满足防护和应对目前已知安全威胁。同时满足《XX行业行业信息安全保障体系建设指南》中在技术体系建设方面对网络安全部分的要求。结合规划的安全域，在新的安全环境下，规划的安全设备部署示意图如下：一、防火墙设备部署位置防火墙部署在核心层和汇聚层之间。如下图所示。安全功能防火墙系统是进行安全域边界防护的有效手段。需要部署防火墙将网络分割成不同安全区域，并对核心业务系统形成纵深保护体系。在新增的汇聚网络层和核心网络层之间冗余部署四台防火墙设备，实现生产接入域、办公接入域和其他区域访问的控制，生产接入域和办公接入域之间的访问控制。通过此次安全域的划分和网络改造，使防火墙主要可以起到如下几类作用：限制各个接入网络对网络设备的访问。限制接入网络穿过的源。限制接入网络能访问的目的。限制接入网络穿过的应用端口。限制能提供的应用端口。二、安全网关设备部署位置一体化安全网关部署在互联网出口处，做互联网边界综合防护。如下图所示。实现安全功能：访问控制IP地址过滤、MAC地址过滤、IP＋MAC绑定、用户认证、流量整形、连接数控制等IPS防御体系通过继承的IPS功能，精确抵御黑客攻击、蠕虫、木马、后门；抑制间谍软件、灰色软件、网络钓鱼的泛滥；并可有效防止拒绝服务攻击。网络防病毒能够有效抵御文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。抗DoS攻击采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性，阻断绝大多数的DoS攻击行为。三、上网行为管理设备部署位置上网行为管理部署在互联网出口处。如下图所示。安全功能：P2P流量控制对P2P的应用加以控制，例如提供最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能，最终可实现禁止使用P2P软件或限制P2P软件的可用带宽，从而达到控制P2P流量的目标，将宝贵的、有限的带宽资源保留给组织中关键的应用和业务。服务分级服务分级是一种带宽管理的理解方式。也可以理解为某种程度上QoS。针对不同访问需求的用户也可以进行服务的分级处理，对带宽要求高的人员可以获得较多的带宽，从而保证其访问的需求。关键应用保障目前XX公司在应用方面已经建立基于互联网的Web和Mail系统，需要在应用层加以优先保证。上网行为管理设备可以基于应用的重要程度进行带宽资源的合理分配，从而保证重要的、时效性高的应用能够获得较多的带宽，最终能够保障关键应用的正常运行。四、业务安全审计设备部署位置网络安全审计设备主要部署在核心业务区域，按照XX公司安全域的规划，需要部署业务审计系统的位置为服务域（核心服务域+一般服务域），生产服务域（卷包中控、物流中控、制丝中控、动力中控），重点审计内容是人为通过网络对各服务器系统、数据的访问行为审计和控制，部署示意图如下：服务域审计系统部署示意图生产服务域审计系统部署示意图安全功能满足合规要求目前，越来越多的单位面临一种或者几种合规性要求。XX公司面也面临着合规性的要求。一是等级保护的要求；二是行业规范的要求。在国烟办的147号文件中，明确要求部署网络审计设备。有效减少核心信息资产的破坏和泄漏对企业的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上（如数据库服务器、应用服务器等），通过使用网络安全审计系统，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。追踪溯源，便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（例如掌握DBA帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。试用网络安全审计系统提供基于角色的审计，能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说，网络环境的安全状况事关重大。网络安全审计系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。实现独立审计与三权分立，完善IT内控机制从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。网络安全审计系统基于网络旁路监听的方式实现独立的审计与三权分立，完善了IT内控机制。五、漏洞扫描设备部署位置漏洞扫描系统部署在管理支撑域，通过一个二层接入交换机接入到核心交换机，示意图如下图所示：安全功能通过对网络设备，操作系统，应用系统的扫描，有效了解系统弱点，为实施安全防护方案和制定安全管理策略提供依据和参考。制定周期性扫描计划，实现周期性的安全自评，为有效的风险管理提供参考和支持。2.3.3 CA认证体系建设现状XX公司目前暂无CA认证系统，但按照国家总局的统一建设要求，已经将CA认证系统作为即将开始的项目。建设规划目标通过建设CA认证体系，为业务应用系统提供稳定可靠的信息安全服务，切实保障系统使用人员身份的真实性、信息传输的保密性、数据交换的完整性、发送信息的不可否认性，为信息化建设和发展奠定安全基础。建设规划内容 CA认证体系平台建设按照《XX行业行业CA认证体系建设方案》规范，XX公司行业CA认证体系项目由数字证书签发服务平台标准版、数字证书应用支撑平台和数字证书系综合监管平台组成，本次建设的企业级数字证书签发服务平台标准版，主要建设内容包括CA、RA、KMC系统；数字证书应用支撑服务平台，主要建设内容包括：签名服务器、SSL安全代理服务器、身份认证系统、时间戳服务器；数字证书综合监管平台，主要建设内容包括：数字证书备案系统、数字证书安全审计系统。CA认证体系应用建设1、 应用系统身份认证利用CA认证体系同现有应用系统的身份认证方式相结合，针对重要业务系统或重要岗位，进行身份验证，保留登录记录，落实责任，方便管理。2、 综合应用平台单点登录对已建设的信息系统进行整合和数据交流，并提供统一身份验证平台，实行信息门户单点登录。CA认证体系建设和该平台相结合，使单点登录系统更安全，并便于管理。3、 远程VPN访问身份认证由于营销人员等分布全国各地，需要远程访问公司服务器。CA认证系统和VPN远程访问控制相结合，更能保障身份唯一性，并大幅提高互联网访问的安全性。2.3.4数据安全保障一、建设规划目标1、知识产权保障通过部署电子文档安全系统，使得企业成为电子数据的真正所有者，保证企业知识产权。有效提高企业在市场上的竞争力。2、电子文档管理流程优化通过部署电子文档安全系统，优化文档安全管理工作的效率，从前需要人工审核的部门由计算机网络取代，提高了工作效率。同时，在服务器上备份所有的文件审查日志。数据的完整性、可靠性都得到了极大的提升，也减免了传统的纸质备份保密资料给企业带来的成本。 二、建设规划内容1、建议部署结构在进行文档保护系统部署结构时，考虑到必须保证业务的高可用性。因此，采用了双服务端热备设计，此举能够保证，在一台服务器出现故障的时候，另一台会接管故障服务器的工作，保证业务的可用性。2、建议权限划分建议根据XX公司用户角色不同，初步将用户权限规划为如下：离线功能加解密功能日志记录用途○○●记录对文件的操作○●●普通办公PC●●●办公笔记本电脑（出差）●可选●家用笔记本电脑●可选○家用PC（员工在家办公）○○○仅阅读之用针对不同的用户，可以随时灵活的变更权限，保证安全性和易用性两不误。3、系统使用在正常使用的过程中，最终用户一般感受不到电子文档的存在，除非用户需要：将文件解密；带电脑离开公司的网络环境；希望产生的文档不加密；需要把机密文档中的文字复制到特定的网站。2.3.5终端安全管理XX公司现已经部署了一套综合的终端安全管理系统，实现了对网络终端进行主动的管理和控制、补丁分发、强制安全策略、远程帮助等主要功能。通过该系统，实现终端主动防护能力和有效的管理，形成整体的安全准入控制体系。2.3.6 备份与恢复现状目前XX公司还没与建立起行之有效的备份与恢复机制。在网络层，系统层，应用层都涉及到备份与恢复的问题。网络层的备份主要指的设备和线路的冗余。在安全域划分网络改造中已经涉及并考虑的了线路的冗余问题。外网通信线路冗余按照相关文件的要求，在XX行业技术体系要求中需要建立通信线路冗余。主要是体现在两个方面：互联网公共出口的线路冗余。通常做法是选择两家以上的运营商同时接入互联网，增加冗余，降低通讯链路故障风险。公司内部广域网的线路冗余，比如和国家局或者天水烟厂之间的通讯链接。通常是租用的SDH专线。可以考虑增加VPN线路作为冗余。在专线故障的时候启用VPN线路应急。2.3.7安全运营中心建设目前XX公司还未建立安全运行中心。建立安全运营管理中心，使得XX公司的网络安全管理机构能及时准确地获知整个网络安全体系的效果和现状，并且帮助进行正确的决策分析。通过安全运营管理中心，将不同位置、不同资产（主机、网络设备和安全设备等）中分散且海量的安全信息进行范式化、汇总、过滤和关联分析，形成基于资产/域的统一等级的威胁与风险管理，并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理。2.3.8周期性风险评估及风险管理项目目标通过周期性的风险评估，发现信息系统存在的安全隐患，以维持公司的整体信息安全水平；通过周期性的安全加固增强主机的安全性，减小由于主机漏洞而导致的安全风险。项目内容XX公司的业务系统长期稳定安全地运行，是XX公司能够提供优质服务的保障。由于信息安全的动态性特点，信息安全工作是一个持续的、长期的工作，建议XX公司每年定期请安全顾问进行安全风险评估。通过专业、持续的安全服务来解决信息系统日常运行维护中的安全问题，降低安全风险、提高信息系统安全水平。风险评估的范围为XX公司的整个信息系统。安全风险评估服务包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。给出风险评估报告和安全现状报告，系统风险修正措施以及系统安全指导性架构。此项服务可以帮助XX公司了解自身网络安全现状，并根据报告和建议进行投资预算。本次已进行的风险评估是实现XX公司信息安全风险管理的重要组成部分。周期性的风险评估是实现P2DR2安全模型的重要机制和组成部分。建议每年对XX公司的网络系统进行一次安全风险评估，由于XX公司的网络安全工作目前刚起步，许多工作刚开始，整个XX公司缺乏相关的经验，建议XX公司在三到五年内，聘请一家较有经验的网络安全公司，每年为XX公司提供一次网络安全的风险评估服务。3. 运维体系建设规划3.1风险评估及安全加固3.1.1 风险评估此次XX公司安全项目本身已经包含信息系统风险评估部分。详细信息参见风险评估各部分输出文档。3.1.2 安全加固风险评估是安全加固的前提，风险评估依据资产，威胁，脆弱性的分析得到信息系统各部分面临的安全风险。安全加固则是依据风险评估的结果，为了降低系统风险所采取的措施之一。通过对当前系统进行加固操作，修补主机系统、网络设备、数据库、应用和中间件存在的弱点，可以全面提高设备的安全性。降低系统运行风险。3.2信息安全运维体系建设规划3.2.1机房安全规划制定详细的机房环境维护管理流程，安排专门人员进行机房环境的定期维护管理，并做好相关的记录和检查；将现有的机房安全管理制度制作标牌悬挂机房内，并监督执行；安排机房安全管理人员，并制作标牌悬挂机房内。3.2.2资产和设备安全资产管理对现有资产管理制度进行修订，增加安全管理内容；通过一定的服务活动更新资产清单，并增加资产编号的标示标牌；通过安全评估活动增加资产定性赋值，完善现有资产管理表格。介质管理介质管理在XX公司的“信息安全保密管理规定”中已经有明确的规定，后续工作为加强管理的执行；对于移动备份介质的存放和管理可在“信息安全保密管理规定”进行一定的修订，确保明确明晰；对于介质维修和销毁的规定，可在“信息安全保密管理规定”进行一定的修订，确保明确明晰。设备管理部署专用设备和软件系统，对设备操作使用进行有效的监管。3.2.3网络和系统安全管理一、网络安全管理1、部署网络漏洞扫描系统，并制定扫描管理规范，定期对网络和服务系统进行扫描，并生成检查报告；2、在现有管理的规范上，细化管理流程包含服务变更、授权访问等形成系统的申请、审批、核查流程；3、在现有管理规范的基础上，结合后期网络整改的需求制定专门的网络安全管理规范；4、根据网络和各业务系统的实际情况，补充详细的管理流程对安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面进行管理；5、部署安全运维管理系统和业务审计系统收集各种日志信息，并集中进行存储、管理和分析，为事件处理提供有力支持；6、通过按照国家局身份认证系统建设规范和计划，建设XX公司的身份认证系统，实现身份认证和授权管理的补充；建议部署内网ntp服务器，并配置所有系统使用NTP服务器进行时间校验和更新；7、按照国家局身份认证系统的规范进行建设，可根据身份认证系统的建设进行访问用户的身份认证和授权；二、系统安全管理1、服务器补丁采取谨慎处理，建议聘请专业安全公司协同应用系统开发厂商对漏洞修补对业务系统的影响进行评估后，对能够修补的补丁进行修正，不能修补的补丁漏洞通过网络访问控制、入侵防御等技术手段将风险控制到可接受范围内；2、在网络访问控制方面采用访问控制、入侵防御、业务审计、终端管理相结合的技术手段实现从网络层到应用层的综合防护；3、系统自身的管理通过系统管理员进行，访问系统应用的帐号均分配了合适的访问权限；4、部署漏洞扫描系统，定期对业务系统进行必要的检查；5、细化各类用户的责任、义务和风险，对系统帐户的登记造册、用户名分配、初始口令分配、用户权限及其审批程序、系统资源分配、注销等做出一定规定，并形成有效可行的流程；6、部署安全运维管理系统和业务审计系统，对系统自身的各项操作信息进行审计和管理，使之符合于对应的安全管理规定。3.2.4监控管理和安全管理中心建议部署安全运维管理中心，收集设备完整的各项资源使用信息、访问授权、操作记录、日志信息等并进行综合分析；建议部署的安全运维管理中心与已经部署的IT运维管理系统进行接口处理，将安全运维管理中心的安全事件处理自动发送IT运维管理中心进行规范处理管理。3.2.5备份与恢复1、需要制定专门的数据备份管理流程，对备份方式（如增量备份或全备份等）、备份频度（如每日或每周等）、存储介质、保存期、放置场所、文件命名规则、介质替换频率和将数据离站运输的方法等进行详细规定；2、将执行恢复程序，检查和测试备份介质的有效性的检查验证工作变为定期开展工作；3.2.6恶意代码防范1、策划全员安全培训，增强恶意代码的防范意识；2、建议新增网关防病毒系统，与现有网络版防病毒系统形成立体防护；3、建议制定单独的恶意代码管理规范。3.2.7变更管理增强变更档案管理。3.2.8信息安全事件管理1、在原有检测系统的基础上，增加安全事件高风险节点的入侵防御手段和安全防护；2、建设安全运维管理平台，对安全事件和事故的处理进行集中管理和分析处理；同时与现有的信息管理系统进行有效的整合，将信息管理、信息安全管理进行有效的结合；3、对已经制定的各项事件处理流程，编制培训和演练计划。应急预案的培训和演练事件建议每一年举办一次。制定并执行4、明确的计划要求，对应急预案进行定期审查和根据实际情况更新的内容，更新完成后及时进行培训和演练。3.2.9 密码管理按照国家局的相关要求进行XX公司的CA体系建设；参考CA建设内容、相关要求和自身实际情况，制定专项的密码管理条款或规定。4. 管理体系建设规划4.1体系建设4.1.1 建设思路一个信息安全项目和驱动因素会涉及六项主要输入：业务需求安全必须与业务需求相结合，这些需求与XX公司的业务战略、目的和目标，以及公司（在互联网上）经营业务的方式相联系；有效的安全将支持和确保公司业务的成功。合规需求任何公司都有一些必须遵从的法律法规，这些规定可能是行业相关的或者具体规定公司经营的，例如，XX公司必须遵循国家等级保护的规定，同时要遵循国家XX行业局的相关规定。威胁企业必须了解其信息和业务所面临的内外部威胁。对XX公司可能这些威胁来自于病毒对业务的破坏或拒绝服务的攻击，或主机网络瘫痪，以及内外部人员的误操作等。威胁也可能是无意的，但也会破坏业务的运营，如办公室火灾或者一些计算机设备损坏。后果了解安全事件的后果是至关重要的。如若不能理解公司是如何应用信息的，就不可能针对重大风险做出有效的安全控制计划。必须平衡实施安全控制的成本和所保护的资产的价值。安全治理安全项目的治理定义了，谁将控制以及谁对妥善保护公司信息资产负有责任。治理将定义安全组织模式并对安全项目绩效和价值进行评估。安全管理规划思路4.1.2规划内容本文安全管理体系规划内容从以下几个方面考虑。安全管理体系规划内容图4.2信息安全管理体系现状4.2.1现状XX公司在信息系统建设过程中意识到信息安全的重要性，在安全技术方面不断完善技术体系，安全管理方面也采取了相应的措施，在人员、制度和流程上都有所体现：明确信息系统各部分以及各重要应用系统的管理员和职责，具体如下：网络管理员数据库管理员ERP管理员MES管理员OA管理员辅助系统管理员营销系统管理员自动化系统管理员服务器硬件管理员服务器维护管理员4.2.2问题根据风险评估的结果，结合相关调研材料，目前XX公司信息安全管理现状如下：缺乏信息安全方针由于安全目标方针不明确，导致全员不能清晰领悟安全的重要性，安全思想不能得到有效贯彻落实，对于安全建设还抱有可有可无的思想状态。安全管理策略制度不完善缺乏系统开发安全规范，可能会存在项目过程文档、内部敏感信息外流的风险，以及系统漏洞被非法利用，如网站遭到数据库注入攻击，系统维护人员直接访问数据库导致系统重要数据被破坏。无符合性相应的文档规范，安全产品部署不符合目前等级保护的相关要求，对重要系统今后的正常运行产生一定障碍。人员安全管理不规范人员管理不规范导致内部人员无意失误、恶意破坏系统及被非法利用；对第三方人员的访问无管理流程规范，会导致第三方人员的恶意破坏或误操作；终端人员的误操作或恶意尝试会涉及到全网机器，导致整个公司的正常业务运作。如果按下图管理成熟度模型评价XX公司的管理体系应该处在2左右，即大多数过程能遵循固定的模式。成熟度模型4.3管理体系建设规划4.3.1信息安全最高方针信息安全最高方针是为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致；是管理层正式发布的总体意图与方向，管理者应根据业务目标制定清晰的方针方向，并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。最高方针事例：为保护公司的信息资产（包括软硬件设施、数据、信息的安全）免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失，保障各项生产、经营管理工作正常有序的开展。贯宣口号事例：建立安全理念 建设安全文化 坚持以人为本 认识安全效益建议：信息安全方针文档应经过管理层的批准，并传达给所有员工和外部相关方。4.3.2 风险管理建议：1、在信息系统的建设、运单位、变更过程中引入风险管理。2、对实施风险管理的信息系统中的信息资产进单位识别。3、应该识别受保护的信息资产所面临的威胁和信息系统所存在的脆弱性。4、对信息系统已采取的控制措施进行识别，并对控制措施的有效性进行确认。5、应该根据安全事件发生的可能性和影响程度，评估风险，确定风险等级。6、应该选择恰当的控制措施，并实施这些措施以降低信息系统安全风险。7、建立相应的制度保证风险管理的落实及维护。4.3.3组织与人员安全组织和人员是信息安全工作的重要支撑，建立有效的安全组织机构和相应的人员是做好XX公司信息安全工作的必要条件。一、组织结构建议：1、XX公司需要建立以厂领导为最高领导的信息安全领导小组，对XX公司信息系统的安全负有领导责任。2、该组织结构能够满足XX公司安全组织需求，但需要加强其职能。3、对上述组织结构中人员进行明确角色划分，并明确其任务分工，列入职位说明书里。二、信息安全职责建议： 1、应在信息安全领导小组中设立信息安全运行的不同岗位，如网络管理员、数据库系统管理员、操作系统管理员、业务系统管理员等。2、明确规定信息系统安全管理过程中人员配备及职责。3、应该建立与加强与外部其它组织间的安全协作。4、应贯彻工作岗位中角色分离的原则，互斥、不兼容的职能角色必须分离。5、必须制定公司员工的安全使用原则，明确员工，尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转职、离职等的安全要求。XX公司在管理员设置以及人员方面较好的满足了信息安全职责划分的要求。但是仍然需要在管理员角色管理，用工人员制度方面有所加强。三、人员安全管理建议：1、制定《员工信息安全手册》，作为唯一针对全公司的信息安全操作手册。2、 对《员工信息安全手册》进行宣传推广。主要手段：邮件、内网论坛、集中培训宣讲。3、《员工信息安全手册》执行情况检查与改进四、信息安全培训建议：1、 应建立长期有效的信息安全培训机制，对员工进行相关的安全培训, 增强安全意识、提高安全技能。2、员工上岗前，应进行岗位信息安全培训，并签署信息安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。3、信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前，开展必要的安全培训，明确相关调整和变更所带来的信息安全权限和责任的变化。五、信息安全检查与考核建议：1、应定期进行信息安全检查与考核，包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。2、 制定正式的安全奖惩条例，处罚和奖励必须分明。4.3.4信息资产管理信息资产是指同信息系统相关的对XX公司有价值的事物，如计算机硬件和软件、数据库、服务和文档等。本章适用于XX公司所有部门。 信息资产的分类分级建议：1、为了保证信息资产得到适当的保护，应该对信息分类分级，指明其保护级别。信息资产鉴别和分类是整个XX公司信息安全管理的基础，这样才能够真正知道要保护的对象。2、涉密（是指涉及国家秘密）信息资产应按办公室涉密信息资产规定进行管理。3、涉及企业秘密的资产信息，应按办公厅机密信息分类方法和制度，根据机密程度和商业重要程度对数据和信息进行分类。信息资产的标识建议：1、对所有识别出并进行分类的信息资产，应当建立资产目录并进行标识，标识方法可采用有形标签和电子标签。2、将信息资产分为不同的安全防护等级，有助于“应级而异”地规划、设计、实施相关的信息资产安全管理和保护措施，从而更有效地保障信息资产的机密性、完整性和可用性。信息资产的管理建议：1、根据业务、组织、人员等变化定期审查信息资产的归属类别，并更新其归属类别。2、应建立信息资产的物理存放、淘汰、报废等管理规定。3、应对各类信息资产设立责任人，明确安全责任。信息资产的审计和执行建议：1、各部门领导及信息资产管理员应当对本部门各类信息资产进行有效监督和管理，对违反管理规定的行为要及时指正，对严重违反者要立即上报；2、安全领导小组应当定期/不定期组织对各个部门的信息资产的安全状态进行审计，对违反管理规定的情况要通报批评；3、对严重违反规定，可能或者己经造成重大损失的情况要立即汇报上级安全指导委员会。4.3.5网络安全管理XX公司已经制定了《计算机网络管理规定》，各部门除了需要严格按照该规定执行外，还应该增加下列内容：网络基础的管理，网络运行的管理，无线网络管理.4.3.6桌面安全管理终端用户行为管理建议：1、应制定终端用户行为管理规范，严格控制用户的日常操作，并尽量避免应一台终端出现问题导致全网受影响。2、在操作之前，所有对主机及系统的访问都必须向用户提供示警信息。3、必须要求通过安全的登录程序登录主机及系统。4、用户必须具有唯一的个人身份标识，保证对主机及系统的所有活动都可以追溯到责任者。5、对于员工违反安全策略和安全流程，制定相应的纪律处分规定进行处罚。桌面防病毒管理建议：1、制定防病毒的管理制度和操作指南。2、设立专门的管理员负责防病毒的管理工作。3、如遇病毒安全事故，则按照信息安全事件响应。4、应在全网范围内建立多层次的防病毒体系，要使用国家规定的、服务技术支持优秀、具有计算机使用系统安全专用产品销售许可证的网络防病毒产品。各部门对防病毒软件的部署应该做到统一规划，统一部署，统一管理。4.3.7 服务器管理1、服务器系统是指承载重要业务的服务器，其安全管理不同于普通桌面系统，其它全管理不仅针对自身操作系统，还包括业务系统。2、应制定服务器系统安全管理规范，对服务器的软件安装、主机操作系统、服务器补丁/升级及变更等各方面进行管理。3、XX公司已经制定了《服务器管理规定》，用于加强对服务器的管理。各部门除了要严格执行《服务器管理规定》所述各项规定外，还需要进一步细化，遵守下述服务器安全管理规定：软件安装安全管理，服务器系统安全管理，服务器补丁/升级安全管理，变更管理。4.3.8第三方安全管理由于XX公司业务系统较多，有很多系统是委托第三方机构进行开发或者代维，XX公司不能直接管理第三方，所以可能面临着很大的威胁。此章节适用于与第三方机构及人员活动的各部门。建立第三方安全管理的规范和制度，并要求其严格遵守。严格控制第三方对XX公司信息系统的访问，并在合同中规定其安全责任和安全控制要求，以维护第三方访问的安全性。4.3.9系统开发维护安全管理XX公司信息化建设步伐很快，新的系统陆续在开发，如果开发过程中的安全管理做好可避免系统运行后因应用系统漏洞而受到威胁。本章适用于涉及信息系统开发维护的所有部门。应建立系统开发维护管理规范，对系统开发过程及维护过程进行严格管理。4.3.10业务连续性管理业务连续性管理是确认影响业务发展的关键性因素及其可能面临的威胁。并由此而拟定一系列计划与步骤用来确保企业无论处于何种状况下，这些关键因素的作用都能正常而持续地发挥作用，应对可能发生的冲击及对企业运作造成的威胁，确保业务的连续稳定连续运行。通常在企业信息安全工作里，业务连续性是指应急响应和灾难恢复工作。XX公司已经建立了《信息安全事故响应预案》，各部门除了要严格遵守和执行上述预案外，还应该从风险管理的角度的出发，多方面考虑业务连续性的要求，细化应急响应工作内容。，具体要求：建立应急响应小组，制定应急响应计划，信息安全事件的报告和应急处理，建立应急信息库，应急恢复演练和测试。4.3.11项目安全建设管理项目安全建设管理是指从可行性研究、立项、招投标、合同到设计、施工等各个环节按照法律法规、工程建设相关管理规定为依据在信息安全方面进行的管理。此章节适用于进行建立IT相关项目的各部门。应结合公司相关工程建设管理规范对项目整个过程建立安全管理规范，包括项目设计安全管理，项目施工安全管理，项目试运行安全管理，项目验收安全管理.4.3.12物理环境安全物理环境安全不仅包括机房，还包括工作环境等区域，应针对这些区域进行安全管理。此章适用于XX公司所有部门。物理环境安全包括物理区域划分，物理访问控制，物理设备安全管理，物理文档安全管理，4.4管理体系建设规划4.4.1项目规划通过本规划中的建设项目达到等级保护和国家局安全保障体系建设指南的相关管理基本要求。具体规划项目内容如下：类别基本要求项目编号建设项目管理安全管理机构ISM-1信息安全组织建立安全管理制度ISM-2信息安全制度完善人员安全管理ISM-3人员安全能力建设系统建设管理ISP-4第三方运维管理ISP-3信息安全建设过程完善制度评审ISM-4信息安全制度评审运维流程规范ISP-2网络安全流程规范完善ISP-1系统运维规范建设风险评估ISM-5风险评估能力建设采购与实施过程管理ISP-3信息安全建设过程完善日常维护ISP-5配置管理规范建设ISP-2网络安全流程规范完善应急与事件响应ISP-6应急响应能力建设备注：ISM：Information Security Management，信息安全管理 ISP：information Security Procedure，信息安全流程规划项目内容表4.4.2总结通过上述安全管理体系的建设，可以使XX公司的安全管理水平达到一个新的高度，满足现实安全需求的要求，同时也满足合规性的相关要求。随着XX公司信息安全技术体系，管理体系运维体系的相继建设，XX公司的信息系统将大大提高安全防护能力，并且在制度上能够保证安全措施的落实，从而极大的提高了系统的安全性。