XX市社保局安全服务项目实施方案.docx
《XX市社保局安全服务项目实施方案.docx》由会员分享,可在线阅读,更多相关《XX市社保局安全服务项目实施方案.docx(31页珍藏版)》请在冰豆网上搜索。
XX市社保局安全服务项目实施方案
社保局2015年度信息安全服务项目
实施计划
一、
项目概述
经过多年建设XX社保中心已经初步建成完善的信息系统,为XX社保中心重要业务系统的有效开展提供了强有力的支撑。
同时,信息系统的安全可靠运行是确保XX社保中心主营业务正常开展的必要条件。
在信息科技发展的同时,各种黑客手段、病毒技术、木马技术也在飞速发展,信息安全问题在信息化的过程中也日益突出,XX社保中心的信息系统建设必须面对日益严峻的信息安全问题。
尽管XX社保中心近几年来通过持续的安全建设,形成了初步的单纯依靠安全设备的安全防护体系。
但从目前的国内外安全环境以及法律法规的角度来看,仅是单单依靠安全设备,是无法解决XX社保中心的整体信息安全防护需求的。
必须引入综合安全服务,结合专业的信息安全服务团队,解决诸多安全设备无法直接解决的安全问题,共同形成确保业务系统安全、稳定运营的综合安全保障措施。
因此,根据目前实际情况,XX社保中心需要引入以安全风险识别、安全风险控制、安全体系完善、日常安全运维、安全宣传、安全培训、网站安全监控、等级保护测评等主要内容的综合信息安全服务保障,切实提高XX社保中心的信息安全保障能力。
二、
项目服务内容
综合安全服务要求包含风险评估、设备安全加固、安全管理体系建设、等级保护测评、安全技术运维、安全咨询及宣传培训、上级部门交办的安全自查和整改、通过部署安全配置审计身份验证令牌等技术手段加强技术控制、安全服务证书、建立安全运维体系、信息安全实时监控服务、网站和网办安全服务等内容,具体要求如下。
1.
2.
2.1.风险评估
针对社保的物理机房环境、网络结构、网络服务、主机系统、中间件、数据库系统、容灾系统及数据存储安全、应用系统、应用代码、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等对象进行评估,包括采用漏洞扫描、人工安全审计、渗透测试、代码安全审计、客户端测试等方法,深入且全面的掌握社保中心的安全现状,为后续的持续安全改进提供科学、详细的依据。
主要内容包括:
Ø建立安全风险模型:
评估前建立安全风险模型,该模型必须包含但不限于以下要素:
资产、影响、威胁、漏洞、安全控制、安全需求、安全风险,投标人应详细描述其风险模型的各个要素及之间的关系,并包括对威胁、漏洞、风险的等级划分标准。
安全评估必须按照分层的原则,包括但不限于以下对象:
物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等。
Ø信息资产评估:
收集社保中心所有信息资产,包括所有的有形资产和无形资产,如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。
并对所有资产根据关键安全要素进行赋值,为评估阶段的风险计算和安全优化阶段的风险控制提供依据。
Ø安全审计:
对社保中心的服务器和网络设备进行安全审计。
其中,服务器的安全审计包括操作系统安全(WINDOWS、LINUX、Solaris、AIX)审计和应用软件(如数据库、IIS、APACHE、TOMCAT、WEBLOGIC)的安全审计。
安全审计的每台被审计设备也必须体现CIA三要素包含的安全性、完整性、可用性。
Ø漏洞扫描:
漏洞扫描针社保中心的主要IT设备(服务器,网络设备,安全设备)得自身脆弱性进行安全评估。
扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等,服务完成后应提供扫描报告,解决方案并对发现漏洞给予解决。
Ø数据安全威胁分析:
通过入侵检测系统对社保中心信息安全所面临的威胁进行细致分析,并给出报告。
报告必须包括网络事件协议类型统计及对比饼图、事件危险级别统计及对比饼图、事件攻击类型统计及对比饼图、信息安全性综合分析等。
Ø网络结构安全分析:
为降低社保中心整体网络安全风险、增强IT内控的实效性、更清晰的评价和监控现有安全状况,需要对网络结构进行分析,并结合业务情况进行安全域的规划设计。
安全域设计需要对社保中心现有网络按照等级分为域、区、单元三个级别,描述安全域划分步骤及边界防护原则,对现有网络结构的每项不足之处提出可执行的措施,并在安全优化阶段实施。
Ø渗透测试服务:
对所有业务应用系统进行渗透测试。
Ø源代码审核:
针对用户应用系统的白盒测试,主要目的是发现系统代码层的安全问题,并提出解决方案。
源代码审核需要包括以下内容,且服务方需要形成源代码审核模型图:
(1)审核业务流程中是否存在可被绕开的漏洞;
(2)审核业务系统源代码中是否有一般性的漏洞类型;
(3)审核业务系统源代码中因需要开放给管理员或用户而可能导致的隐蔽漏洞;
(4)给出加固解决方案;
(5)对代码中不符合安全规范的部分进行规范;
(6)对今后代码编写的安全措施给出指导意见。
(7)检查出代码中存在的安全漏洞。
Ø综合风险分析:
在对社保中心信息体系的各个层次进行技术安全评估基础上,综合分析社保中心信息系统面临的各方面威胁,依靠定量计算和定性分析结合的方式,计算出社保中心各方面的风险级别,并提出解决措施。
Ø月度动态安全评估。
结合每月的安全运维工作,随时获取信息系统安全要素的最新安全情况,监控社保中心信息系统的最新安全动态情况,并根据需要调整安全策略,确保应对最新的安全威胁。
Ø数据安全保护
对业务数据、数据库系统提供实施保护技术服务,协助用户对数据设计及数据库漏洞进行分析整改,对敏感数据进行过滤规划,对测试数据提供脱敏服务。
2.2.设备安全加固
安全整改加固工作对通过安全配置核查、漏洞扫描、渗透测试、策略分析等工作中发现的安全漏洞、安全弱点、安全风险,通过多方面的安全加固措施进行修补。
特别对问题源头进行整改与加固,以最大限度的降低风险。
包括:
Ø配置核查结果的服务器安全加固
Ø漏洞扫描的服务器安全加固
Ø网络及安全设备的安全加固
Ø边界安全策略的安全加固
Ø渗透测试安全核查结果的安全整改
Ø等级保护差距测评结果的安全整改加固
Ø等级保护验收测评结果的安全整改加固
Ø代码审计结果的协助性加固
Ø病毒库升级
Ø其它技术测试、评估发现问题的安全整改加固。
2.3.安全管理体系建设
根据各类安全标准要求,包括等级保护要求、社保行业要求,以及劳动保障信息中心内部信息系统运行对安全管理的需求,完善中心的安全管理体系。
形成并落实信息安全策略、信息安全管理制度、信息安全操作规范等,提高中心安全运营的管理水平。
具体制度要求如下:
五个方面包含的主要内容如下:
(1)安全管理机构:
Ø设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人,定义各负责人的职责;
Ø设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责;
Ø成立指导和管理信息安全工作的委员会或领导小组,其最高领导应由单位主管领导委任或授权;
Ø制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
Ø配备一定数量的系统管理人员、网络管理人员和安全管理人员等;
Ø配备专职安全管理人员,不可兼任;
Ø关键区域或部位的安全管理人员应按照机要人员条件配备;
Ø关键岗位应定期轮岗;
Ø关键事务应配备多人共同管理;
Ø授权审批部门及批准人,对关键活动进行审批;
Ø列表说明须审批的事项、审批部门和可批准人;
Ø建立各审批事项的审批程序,按照审批程序执行审批过程;
Ø建立关键活动的双重审批制度;
Ø不再适用的权限应及时取消授权;
Ø定期审查、更新需授权和审批的项目;
Ø记录授权过程并保存授权文档;
Ø加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;
Ø信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;
Ø信息安全领导小组或者安全管理委员会定期召开例会,对信息安全工作进行指导、决策;
Ø加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持;
Ø加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通,获取信息安全的最新发展动态,当发生紧急事件的时候能够及时得到支持和帮助;
Ø文件说明外联单位、合作内容和联系方式;
Ø聘请信息安全专家,作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等;
Ø由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等;
Ø由安全管理部门组织相关人员定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
Ø由安全管理部门组织相关人员定期分析、评审异常行为的审计记录,发现可疑行为,形成审计分析报告,并采取必要的应对措施;
Ø制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
Ø制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
(2)安全管理制度:
Ø制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
Ø对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
Ø对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
Ø形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
Ø由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
在信息安全领导小组的负责下,组织相关人员制定;
Ø保证安全管理制度具有统一的格式风格,并进行版本控制;
Ø组织相关人员对制定的安全管理进行论证和审定;
Ø安全管理制度应经过管理层签发后按照一定的程序以文件形式发布;
Ø安全管理制度应注明发布范围,并对收发文进行登记;
Ø安全管理制度应注明密级,进行密级管理;
Ø定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制度进行修订;
Ø当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时,应对安全管理制度进行检查、审定和修订;
Ø每个制度文档应有相应负责人或负责部门,负责对明确需要修订的制度文档的维护;
Ø评审和修订的操作范围应考虑安全管理制度的相应密级。
(3)人员安全管理:
Ø保证被录用人具备基本的专业技术水平和安全管理知识;
Ø对被录用人声明的身份、背景、专业资格和资质等进行审查;
Ø对被录用人所具备的技术技能进行考核;
Ø对被录用人说明其角色和职责;
Ø签署保密协议;
Ø对从事关键岗位的人员应从内部人员选拔,并定期进行信用审查;
Ø对从事关键岗位的人员应签署岗位安全协议;
Ø立即终止由于各种原因即将离岗的员工的所有访问权限;
Ø取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
Ø经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离开;
Ø关键岗位的人员调离应按照机要人员的有关管理办法进行;
Ø对所有人员实施全面、严格的安全审查;
Ø定期对各个岗位的人员进行安全技能及安全认知的考核;
Ø对考核结果进行记录并保存;
Ø对违背安全策略和规定的人员进行惩戒;
Ø对各类人员进行安全意识教育;
Ø告知人员相关的安全责任和惩戒措施;
Ø制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;
Ø针对不同岗位制定不同培训计划;
Ø对安全教育和培训的情况和结果进行记录并归档保存。
(4)系统运维管理:
系统定级-
Ø应明确信息系统划分的方法;
Ø应确定信息系统的安全保护等级;
Ø应以书面的形式定义确定了安全保护等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等;
Ø应确保信息系统的定级结果经过相关部门的批准。
安全方案设计-
Ø根据系统的安全级别选择基本
升级会员 