信息系统网络安全建设项目方案.docx
《信息系统网络安全建设项目方案.docx》由会员分享,可在线阅读,更多相关《信息系统网络安全建设项目方案.docx(43页珍藏版)》请在冰豆网上搜索。
信息系统网络安全建设项目方案
信息系统网络安全建设项目方案
1项目背景
随着互联网技术飞速进展,网络状况日趋复杂和重要,网络信息安全差不多提高到国家安全的高度。
现在各单位、企业差不多重视网络安全建设,但网络自身仍旧比较脆弱。
为了达到信息系统安全等级爱护工作的纵深要求,依据信息安全等级爱护技术标准规范,建设网络安全和开展等级爱护治理工作。
信息安全等级爱护整体的安全保证体系包括技术和治理两大部分,其中技术部分依照«信息系统安全等级爱护差不多要求»分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而治理部分依照«信息系统安全等级爱护差不多要求»那么分为安全治理制度、安全治理机构、人员安全治理、系统建设治理、系统运维治理五个方面。
整个安全保证体系各部分既有机结合,又相互支撑。
之间的关系能够明白得为〝构建安全治理机构,制定完善的安全治理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行爱护。
〞
依照等级化安全保证体系的设计思路,等级爱护的设计与实施通过以下步骤进行:
1.系统识别与定级:
确定爱护对象,通过分析系统所属类型、所属信息类别、服务范畴以及业务对系统的依靠程度确定系统的等级。
通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保证体系框架设计、安全要求选择以及安全措施选择提供依据。
2.安全域设计:
依照第一步的结果,通过分析系统业务流程、功能模块,依照安全域划分原那么设计系统安全域架构。
通过安全域设计将系统分解为多个层次,为下一步安全保证体系框架设计提供基础框架。
3.确定安全域安全要求:
参照国家相关等级爱护安全要求,设计不同安全域的安全要求。
通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采纳的安全指标。
4.评估现状:
依照各等级的安全要求确定各等级的评估内容,依照国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。
并找出系统安全现状与等级要求的差距,形成完整准确的按需防备的安全需求。
通过等级风险评估,能够明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全治理建设提供依据。
5.安全保证体系方案设计:
依照安全域框架,设计系统各个层次的安全保证体系框架以及具体方案。
包括:
各层次的安全保证体系框架形成系统整体的安全保证体系框架;详细安全技术设计、安全治理设计。
6.安全建设:
依照方案设计内容逐步进行安全建设,满足方案设计做要符合的安全需求,满足等级爱护相应等级的差不多要求,实现按需防备。
7.连续安全运维:
通过安全预警、安全监控、安全加固、安全审计、应急响应等,从事前、事中、事后三个方面进行安全运行爱护,确保系统的连续安全,满足连续性按需防备的安全需求。
通过如上步骤,系统能够形成整体的等级化的安全保证体系,同时依照安全术建设和安全治理建设,保证系统整体的安全。
而应该专门注意的是:
等级爱护不是一个项目,它应该是一个不断循环的过程,因此通过整个安全项目、安全服务的实施,来保证用户等级爱护的建设能够连续的运行,能够使整个系统随着环境的变化达到连续的安全。
在整个信息安全等级爱护体系实施过程中,治理工作尤为重要,广西桂盾科技有限责任公司推出了LanSecS®信息安全等级爱护综合治理系统,该系统是一套适用于信息安全等级爱护工作业务治理的综合信息治理平台。
作为信息安全等级爱护工作的常态化治理工具,该系统紧密结合我国信息安全等级爱护政策,实现了对信息安全等级爱护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个环节信息与数据的集中治理和工作流程治理。
针对以上体系中提到了安全建设与连续安全运维,推出了LanSecS®内网安全治理系统、LanSecS®内控治理平台〔堡垒主机〕、LanSecS®数据库安全防护平台,三款产品符合信息安全等级爱护相关技术要求,也符合等保安全建设与连续安全运维的需求。
2建设目标
开展信息安全等级爱护体系建设,差不多成为许多单位、企业的重大目标,广西桂盾科技有限责任公司推出的北京圣博润LanSecS®产品不仅符合信息安全等级爱护的技术要求,而且进一步加强了等保工作的治理,加固了网络安全防护。
信息安全等级爱护综合治理系统能将等保治理中的数据集中治理,有效提高工作效率。
让多个工作环节按流程化治理,促进等保工作的标准化和规范化。
通过此平台将等保工作融入日常信息安全治理工作中。
内网安全治理系统能够对运算机准入操纵、运算机安全加固、运算机运行爱护、运算机安全审计、移动储备介质注册等多个方面的综合治理,能够为各单位、企业打造一个安全、可信、规范、健康的网络环境。
内控治理平台〔堡垒主机〕通过账号集中治理,统一所有网络设备、服务器运维要求的入口,未通过授权的要求挡在入口别处,从而全然上解决了共享账户、账户泄露等问题引起的安全风险,提高了运维访问的安全性。
通过审计功能,将堡垒主机上所有运维操作录屏回放,可在安全事件发生时,做到有据可查,责任落实。
通过数据库安全防护平台能够防止针对数据库的外部黑客攻击、防止内部高危操作、防止敏锐数据泄漏、审计追踪非法行为,实时监控数据库运行状态。
保证了重要信息的安全。
3信息安全等级爱护综合治理系统
3.1信息安全等级爱护综合治理系统概述
圣博润专门早就开始与相关职能部门进行紧密的交流,了解和跟踪信息安全等级爱护综合治理系统的实际应用需求,从2007年开始信息安全等级爱护综合治理系统的相关技术研究、产品研发和连续改进等工作。
并推出了具有自主知识产权的LanSecS信息安全等级爱护综合治理系统。
产品可解决如下几个方面的问题:
1)信息安全等级爱护信息与数据缺乏集中治理
当前信息安全等级爱护工作中各种信息和数据大多依靠简单的EXCEL表格进行治理,手工操作任务繁琐,不利于信息与数据的汇总和统计,本项目产品将解决这一难题,有效提高等级爱护工作效率。
2)信息安全等级爱护工作流程缺乏必要的约束
各行业开展等级爱护功过过程中,难以有效幸免因人而异、因时而异、因事而异的工作状态,各项工作流程缺乏必要的约束。
本项目产品的应用,将有利于提高等级爱护工作流程的规范性。
3)缺乏有效的信息安全等级爱护工作考核依据
各行业等级爱护主管部门对等级爱护工作的执行和工作成效的考核没有统一的量化的标准,对等保工作和人员的考核缺乏依据。
本项目产品将有效解决这一难题。
通过提供标准化、流程化的办公平台,为等级爱护工作的考核提供数据支持。
4)信息安全建设整改工作统一指挥和和谐难
等级爱护安全建设与整改工作是一项任务紧迫、形势复杂、周期较长的工作。
这一工作必须要统一指挥和和谐,才会取得良好的工作成效。
本产品为各行业的安全建设整改工作提供了一个统一指挥和和谐的工作平台,将有效解决安全建设整改工作的指挥和调度困难问题。
作为等级爱护工作开展所依靠的基础工作平台,信息安全等级爱护综合治理系统可在如下方面促进信息安全等级爱护工作的开展。
1)实现信息与数据的集中治理和分析处理
信息安全等级爱护综合治理系统可对各种信息安全等级爱护基础数据实现集中储备和治理,不但保证了数据的完整性和一致性,也为行业等级爱护工作的开展提供了可靠的数据支持。
通过数据统计和分析,可为等级爱护工作的进一步开展提供决策支持。
该系统可治理的数据包括如下多种类型:
•系统定级、备案数据;
•建设整改数据;
•等级测评数据;
•安全检查数据;
•风险评估数据;
•等级爱护政策标准;
•安全治理制度与治理措施;
•信息资产;
•安全事件;
•测评机构与人员;
•专家库;
•教育培训数据。
针对上面各类数据,本系统能够进行集中治理和统计查询,并快速生成种类丰富的报告和报表,极大的方便了等级爱护工作的信息系统定级、备案、安全建设整改、安全测评、安全检查等工作。
2)规范等级爱护工作流程,提高工作效率
信息安全等级爱护综合治理系统为信息安全等级爱护的多个工作环节提供了基于工作流引擎的工作流程治理功能,如安全建设整改、安全检查、风险评估等。
通过流程定制,使得行业治理人员可按照统一的工作流程开展行业的等级爱护工作,幸免了不同单位、不同治理人员在执行等级爱护工作过程中的随意性。
促进了等级爱护工作环节的标准化和规范化。
另外,通过流程治理,使得数据处理和工作部署实施的自动化程度大大增强,从而有效提高了等级爱护工作的效率。
3)提升行业等级爱护工作治理的透亮度
信息安全等级爱护综合治理系统通过预置部门、人员、角色和工作流程,实现了行业用户等级爱护工作开展过程中的部门、角色的分工协作。
通过内置的办公治理模块,让等级爱护工作执行人员及时受理和完成分配的工作任务,让治理人员及时把握等级爱护工作的开展情形,实现可视化的等级爱护工作治理。
行业主管部门通过该系统能够对等级爱护工作的进度进行跟踪。
可有效改善原有等级爱护工作对整体治理过程的不可跟踪性和治理成效的不可预见性。
行业主管部门通过该系统还可对每个等级爱护参与人员的工作进度、工作状况、工作结果进行直观的检视。
同时,依照预定义的评判指标,对等级爱护工作的执行成效进行客观的考核和评判,大大增加了治理的透亮度。
4)提升行业等级爱护工作的整体实施能力
通常,各行业的等级爱护工作执行人员并不一定是安全领域的技术专家,这往往会导致等级爱护工作中显现领导层与执行层工作脱节,具体执行工作难于直观的反映到信息安全保证工作的直属领导层面,显现信息安全等级爱护工作执行上的不透亮,直截了当导致治理工作的执行不完全和不到位。
信息安全等级爱护综合治理系统在各行业开展等级爱护工作的过程中,通过规范工作流程、完善数据治理、提供教育与培训等,提高等级爱护工作人员的等级爱护工作意识、明白得等级爱护工作职责、促进等级爱护工作的规范化。
利用系
统的内置的各种工作流程,可将等级爱护工作要求迅速分解到相关技术部门和人员,大大降低了单位内部的和谐复杂性,提升了行业等级爱护工作的整体实施能力。
5)促进等级爱护工作治理的常态化
信息安全等级爱护综合治理系统提供了安全整改活动、等级测评活动、安全检查活动和风险评估活动的流程治理功能,为各行业开展的新一轮安全建设与整改工作以及等级测评工作提供了可靠的技术支撑。
信息安全等级爱护综合治理系统的定位和目标是为我国各行业开展的等级爱护工作建设一套运行可靠、治理严密、操纵有效、信息全面、监管有力、便于爱护、高效安全的工作平台。
实现信息系统定级备案、安全建设整改、等级测评和安全检查等工作的信息化治理,提升等级爱护工作的效率和治理水平。
信息安全等级爱护综合治理系统提供了涵盖等级爱护工作所有工作环节的治理功能,是一个以等级爱护为核心的集成的、综合的信息安全基础工作平台。
该系统可有效促进各行业等级爱护工作治理的常态化。
3.2系统架构
上图是LanSecS信息安全等级爱护综合治理系统的总体框架结构示意图。
系统总体分为业务治理层、基础数据层和接口层三个层次。
业务功能层是软件主体功能,包括等级爱护工作治理、日常办公治理、数据统计与分析和系统治理几个部分。
基础数据层爱护等级爱护工作所需的各类基础数据,接口层负责与其它安全运维治理系统或等级爱护相关系统的数据共享和交互。
1)等级爱护工作治理
等级爱护工作治理以信息安全等级爱护工作为主线,对等级爱护工作中的定级备案、安全建设整改、等级测评、安全检查、风险评估、安全评判等各个工作环节进行规范化治理,包括信息与数据的收集、工作流程治理等。
2)基础数据层
基础数据治理为信息安全等级爱护综合治理所需的各种基础信息与数据提供统一的爱护与治理。
包括政策法规、标准规范库的治理,安全治理机构、人员和治理制度库的治理,灾备信息、应急预案、应急演练的治理,教育培训治理,专家库治理,资产信息治理,信息安全事件治理等。
3)接口层
接口层负责提供本系统与其他系统之间的数据共享和交互接口。
例如本系统的定级备案数据向公安部定级备案信息治理系统的数据输出接口,信息安全运维治理系统收集的数据向本系统的数据输入接口等。
LanSecS信息安全等级爱护综合治理系统的业务体系架构以及各业务模块之间的关系如以下图所示。
系统用户通过扫瞄器访问LanSecS信息安全等级爱护综合治理系统,通过系统身份认证和权限操纵,进行等级爱护业务治理工作。
一般用户以日常办公治理作为要紧操作界面。
系统治理员那么可对基础数据、工作流程、具体等级爱护工作环节的业务活动进行统一爱护治理并可对工作过程进行监控、对信息和数据进行统计分析等。
3.3系统功能
〝LanSecS信息安全等级爱护综合治理系统〞要紧功能包括如下几个方面:
1)定级备案治理
2)建设整改治理
3)等级测评治理
4)安全检查治理
5)风险评估治理
6)日常办公治理
7)统计分析
8)基础数据爱护
3.3.1定级备案治理
重要信息系统的定级与备案工作是我国信息安全等级爱护工作开展的基础。
各行业均应对本行业内各单位的重要信息系统进行定级,并将定级情形向公安机关备案。
目前大部分行业用户,均通过手动方式填写备案登记表,备案表在本单位的留存也是以离散文档的形式储备。
这种备案方式专门不利于备案信息的爱护,也不利于备案信息的查询、检索和统计。
也就无法为主管部门快速提供本单位的信息系统备案状况。
本系统可为各行业的重要信息系统的定级和备案提供方便的治理功能。
定级备案治理模块功能逻辑结构如下:
〝定级备案治理〞要紧完成重要信息系统的定级备案信息爱护与治理,包括备案信息的录入、查询、统计,备案信息表的导出和导入、备案数据采集等。
具体如下:
1〕备案信息填报:
完成重要信息系统备案信息的填报;
2〕备案情形查询〔更换〕:
按照备案单位或备案信息表中任何一个字段进行单项查询或组合查询,查询结果显示为备案信息〔分为以单位为主导和以信息系统为主导两类,即承诺用户按单位查也能够按信息系统查〕,为一项或多项。
提供关键字段的准确和模糊查询;
3〕备案信息导出:
将备案信息导出,供导入备案数据采集工具或监督检查工具使用;
4〕备案情形统计:
提供特定备案时刻段的信息系统数量、单位数量等,统计显示形式为统计表;
5〕附加信息治理:
完成备案附加信息的添加;
6〕备案数据采集工具
■备案表填报:
完成备案表信息的填报;
■备案表校验和审核:
完成备案表信息的校验和核对,以及系统自动给用户提供一个备案表编号供用户酌情选择使用;
■备案表WORD文档生成:
完成备案表xml格式到word文件格式的转换和具体文件的生成;
■备案表信息打包:
完成备案表信息、附件的合并和压缩,生成可上传文件
■批量入库:
实现文件包的解析和批量入库。
3.3.2建设整改治理
本系统将整改建设分为五个步骤环节:
1〕工作部署:
制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;
2〕现状分析:
开展信息系统安全爱护现状分析,从治理和技术两个方面确定信息系统安全建设整改需求;
3〕整改方案:
确定安全爱护策略,制定信息系统安全建设整改方案;
4〕整改实施:
开展信息系统安全建设整改工作,建立并落实安全治理制度,落实安全责任制,建设安全设施,落实安全措施;
5〕整改结果:
开展安全自查和等级测评,及时发觉信息系统中存在安全隐患和威逼,进一步开展安全建设整改工作。
建设整改执行流程如以下图所示。
〝建设整改治理〞要紧完成已备案信息系统的建设整改活动的跟踪记录与治理。
包括建设整改信息的录入、查询、统计。
1〕建设整改信息录入:
将建设整改活动过程中的所有相关信息记录入库;
2〕建设整改信息查询:
对入库的建设整改信息,按照单位、系统或者整改信息表中的任何一个字段进行信息检索和查询,查询结果可生成报表;
3)建设整改信息导出:
将建设整改信息导出,生成能够阅读的word文档格式。
3.3.3等级测评治理
等级测评治理模块负责对行业用户发起的由第三方测评机构主导实施的等级测评活动的组织和治理。
行业用户在新上线的信息系统建设完毕或者对旧的信息系统安全建设整改完成时,均需要托付第三方测评机构对信息进行等级测评,以验证信息系统的安全建设是否符合定级要求。
等级测评模块要紧负责对测评机构的治理、测评流程的治理、测评结果的汇总与记录、测评活动的监控等子模块。
各子模块之间的关系如以下图所示:
1〕等级测评信息录入:
将等级测评过程中的所有相关信息记录入库;
2〕等级测评信息查询:
对入库的等级测评信息,按照单位、系统或者等级测评信息表中的任何一个字段进行信息检索和查询,查询结果可生成报表;
3〕等级测评信息导出:
将等级测评信息导出,生成能够阅读的word文档格式;
4〕等级测评机构治理:
等级测评机构的相关信息治理;
5〕等级测评报告治理:
对差不多取得等级测评报告的信息系统所对应的测评报告进行集中归档治理。
3.3.4安全检查治理
〝安全检查治理〞提供对安全自查、主管部门检查和公安机关检查等安全检查活动状况的跟踪记录治理。
包括:
1〕监督检查制度治理:
对监督检查规章制度等级入库,并提供查询和打印服务;
2〕安全自查治理:
对安全自查活动状况进行信息记录,并提供查询、统计服务;
3〕主管部门检查治理:
对主管部门的检查活动状况进行信息记录,并提供查询和统服务;
4〕监督检查数据导出:
完成用户从主系统中导出需要监督检查单位及其系统的相关信息,并转换为桌面系统能解析识别的文件系统;
5〕监督检查信息录入:
供用户直截了当在主系统上填写监督检查相关数据〔或直截了当导入监督检查工具生成的检查数据包〕,填写完成后可生成符合«信息系统安全等级爱护监督检查表»格式和内容的Word文本;
6〕监督检查情形查询:
要求按照检查表中任何一个字段〔包括检查时刻等〕单项或组合进行查询,还可按检查次数、是否超过检查期限等条件查询,查询结果显示为一项或多项,信息为单位或信息系统监督检查信息;
7〕合规性检查:
对检查结果进行分析,并与标准进行比对,判定所检查的信息系统是否合规。
8〕监督检查工具
●备案信息导入:
能够将主系统导出的数据导入到监督检查工具中,便于在监督检查过程中实时查询信息系统的备案信息;
●监督检查填报:
完成用户独立填写监督检查数据,登记信息、填写完成后可生成符合«信息系统安全等级爱护监督检查表»格式和内容的Word文本;
●监督检查数据导入:
完成桌面系统特定文件格式〔特定的格式包,内可含文本、图象文件等附件信息〕的监督检查数据导入进服务器端主系统。
3.3.5风险评估治理
风险评估治理要紧负责对信息系统风险评估活动的相关信息的爱护治理,规范本单位在托付第三方进行风险评估过程中需要进行配合的相关事项和流程,并对整个风险评估活动过程中的各种数据进行汇总记录。
风险评估治理要紧由风险评估测评、风险评估治理两个子模块组成。
风险评估测评子模块采纳内置工作流引擎进行风险评估工作的流程规范及过程推动;风险评估治理子模块可对差不多进行过的风险评估测评项目的相关信息进行查看治理,并可对当前正在进行风险评估测评的项目的执行情形进行监控。
3.3.6风险评估测评
风险评估测评通过内置的工作流引擎,以系统预先定制的风险评估流程引导并规范风险评估测评工作的展开,具体的工作流程示意图如下:
如上图所示,风险评估流程要紧由发起风险评估、风险评估预备资料上传、风险评估方案上传、风险评估协助任务制定划分、风险评估报告上传、风险评估资料汇总整理、风险评估资料审核及风险评估资料归档等几个环节组成。
1〕发起风险评估
信息系统风险评估的第一个流程是发起一个风险评估项目,系统可记录当前项目发起的日期、要紧目标、要紧任务和发起人等相关信息。
风险评估发起后,此次风险评估即被纳入流程治理,发起者能够指定相关人员进行下一步的风险评估预备资料上传工作。
2〕风险评估预备资料上传
风险评估预备资料上传负责风险评估所需的各种资料文件的上传和治理,例如与第三方风险评估机构签署风险评估合同和保密协议等。
系统可记录的信息包括文件的签署人,签署日期和文件描述等相关信息。
3〕风险评估方案上传
风险评估方案上传负责将本次风险评估方案文件上传并储存到系统中,系统可记录信息包括方案提供方的单位及人员,方案接收方的人员、日期等信息。
4〕风险评估协助任务分配
风险评估协助任务分配负责对风险评估方案中的各项任务进行分配,需要协助的风险评估任务要紧包括为风险评估单位提供信息系统相关的信息,协助风险评估人员入场、离场,并签署入场离场相关文件,协助风险评估单位人员执行工具测评,并对测评结果签字确认等相关事项。
5〕风险评估协助任务执行
风险评估协助任务执行负责通知各相关人员按照完成风险评估协助任务,并及时记录任务完成的情形和相关信息等。
6〕风险评估报告上传
风险评估报告上传负责将第三方风险评估单位提供的风险评估报告上传到服务台并储存,系统可记录提供报告文件的单位及人员和接收报告文件的人员等相关信息。
7〕风险评估资料汇总整理
风险评估资料汇总整理负责将本次风险评估活动的其它相关资料逐一入库汇总,由系统进行集中治理。
方便系统使用单位将风险评估的结果做为建设整改的依据,关心系统使用单位构建一个良性循环的信息安全环境。
8〕风险评估资料审核
风险评估资料审核是指由系统使用单位对风险评估测评单位提供的风险评估相关资料的评审与审核。
9〕风险评估资料归档
风险评估资料归档要紧提供电子文档归档功能,并可记录文件档案存放位置等相关信息,方便系统使用单位集中治理风险评估相关信息。
3.3.7风险评估治理
风险评估治理要紧提供对历史风险评估项目信息的查看治理以及对当前正在进行的风险评估项目的监控功能。
风险评估项目信息的查看治理要紧包括查看历次风险评估项目差不多信息,历次风险评估资料档案信息,历次风险评估中的风险统计和不可同意风险处理打算的功能。
风险评估监控的要紧功能包括查看当前正在进行的风险评估活动的最新状况,当前正在进行的业务节点以及当前进行业务节点的处理情形、处理人和处理日期等相关信息,另外能够查看差不多完成的业务节点的处理情形、处理人和处理信息等相关信息。
3.3.8日常办公治理
日常办公治理为系统用户提供了一个日常工作的平台,由待办事项,办结事项,任务治理,工作考核四个部分组成。
差不多囊括了与等级爱护相关的事项的治理,其中系统内部事项直截了当在此处提供统一入口,系统外事项在此处提供统一任务治理入口,纳入到系统治理,方便等级爱护工作的开展。
具体关系如以下图:
1〕待办事项治理:
提供需要办理事项的记录功能,并可标记事项当前进展状态;
2〕待办事项查询:
对差不多录入的事项,可按照待办、办结和超期等条件进行归类查询,并按照其他条件进行复合查询;
3〕任务治理:
对上级派发的等级爱护工作任务进行登记治理,并提供任务执行状况的跟踪记录能力,可对任务进行复合条件查询和统计;
4)工作考核:
对等级爱护各个环节的工作状况进行考核,并给出综合考核结果。
3.3.9统计分析
统计分析治理要紧提供等级爱护相关的重要数据的统计及分析功能,包括信息系统统计,安全事件统计,工作事项统计,资产统计,安全机构统计,安全人员统计,建
升级会员 