信息安全防护方案初稿Word文档格式.docx

1、3.本实施规划书是一份对双方均有约束力的一份文件，对双方的工作内容有明确的规定，请详细阅读，各步骤完成之后需相关人员签字确认，将作为项目结案文档重要文件，作为实施进度及工作评估的最重要依据，并成为xxx有限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的依据。2.问题阐述2.1数据安全通常，机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据库以及运行数据库的各类访问行为。随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的数据泄露问题变得日益突出起来。机构在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其

2、他专业代维公司。如何有效地规范设备厂商和代维人员的操作行为,是各类机构面临的一个关键问题。2.2日志管理1、数据库重要数据增删改操作2、应用系统操作2.3服务器异地备份1、服务器异常2、网络节点异常3.解决方案3.1 数据安全通常业内对信息安全防护的思路有两个：一、控制；二、审计；1）控制通常采用的是安全边界、身份认证、访问控制、攻击防护等技术手段。控制技术应用于产品，产生了防火墙、防病毒、入侵检测系统等安全产品。这些产品虽可以解决一部分安全问题，但对于违规操作数据库等行为却无能为力。2）审计通常采用的是记录、分析等技术。侧重于事后追溯。通过对事件的追根溯源，完善业务流程与机制，最终形成安全的

3、闭环管理。针对数据库的安全防护，审计技术成为最佳实践。针对数据库审计的技术分具体分为以下三类：1、数据库自身审计多数的商用数据库都提供自身审计功能，但是在实际应用中，开启此功能的实际案例较少。主要原因为：1） 审计结果不直观，读懂日志需要资深技术人员的支持。2） 难以集中管理，用户通常应用了多个数据库的后，需要分别登录到各数据库中进行查看。3） 更为关键的原因是，自身审计并非第三方审计。能提供对操作审计结果的人，往往是操作人员自己。审计结论不够权威。2、安装监控软件此种技术是在数据库服务器上安装监控软件，并且将审计日志进行统一管理。该技术虽属第三方的审计技术，在实际环境中仍较少。安装软件之后会

4、占用数据库服务器的计算资源，导致数据库性能下降。再者，其软件的兼容性是产品是否成功较为关键的因素。软件需要与多种数据库、多种服务器应用软件、多种操作系统的各种版本兼容，需要进行海量的研发与测试工作。稍有不慎，会对数据库的运行造成严重影响。3.网络监听技术这类技术通常采用部署网络侦听设备的方式，收集网络中传输的访问数据进行分析并存储。此种技术在实际应用中被较多采用。其主要原因在于：1）此种技术属于第三方的审计技术，审计结果可信赖;2）设备的部署对原有网络、应用无影响3）设备所侦听到的信息较为完整，除了针对数据库的访问之外，还可侦听到访问服务器操作系统的操作行为。该技术能使用户更全面的了解到网络中

5、的业务状态。神州信源采用。（未知）3.2 日志管理开发日志管理应用系统，实现用户操作可视化，数据修改可视化。实现以下目标：1、日志集中管理。2、日志管理查询分析平台。3、日志异常报警。4、日志安全机构：1）.远程备份。2）.日志锁（日志信息不允许修改）3.3 服务器异地备份1、服务器备份（将应用系统与数据库服务器分开利于维护与资源合理利用）1）应用系统服务器保持应用系统与常用服务器应用系统一致，定期维护检查状态，防止异常终止导致切换服务器时出现无法连接现象。2）数据库服务器按天备份数据（根据客户要求），常用服务器数据结构如果有所变化应及时更改备用服务器数据库信息，定期维护检查状态。2、异常应对

6、措施1）服务器问题（1.服务器损坏2.服务器异常终止无法连接）。2）网络节点（1.断网、断电 ）。当出现以上问题时及时切换备用服务器，保证用户访问应用系统。4. 实施规划总体流程图5. 实施控制要点简述5.1 实施步骤实施南京交通厅信息安全防护项目需要经过的大致步骤：1、项目调研，需求分析，目标确定；2、实施小组成立；3、数据库分析4、项目定制5、软件安装；6、软件系统初始化资料及参数设置；7、系统各方位培训；8、数据准备，包括商品资料、客户资料、会计资料、库存资料等；9、试运行；10、系统切换与实际业务对接；5.2 软件部署 服务器用 WINDOWS 2008 SERVER或centos6.

7、5+操作系统； 5.3 用户验收测试南京交通厅信息安全防护项目的运行依赖于数据的准确、及时和完备。企业原有的各种管理信息，一般需要经过收集、整理、转换才能符合系统运行的要求。因此南京交通厅信息安全防护项目实施过程需要一个数据准备阶段。数据准备是在充分理解了南京交通厅信息安全防护项目原理、使用方法和软件应用培训的基础上进行的。只有经过培训，理解了南京交通厅信息安全防护项目，才能正确地理解各项数据的定义、概念、作用和要求，减少由于理解错误造成的返工。5.4 产品培训培训分为两部分：1.根据企业的实际情况，对相关人员、电脑操作员进行必要的计算机使用培训，如WINDOWS的操作等。这部分培训由企业自行

8、培训。2.南京交通厅信息安全防护项目的培训一般分为以下几个步骤：1）项目基本概念和原理讲解、以图让企业员工更好理解项目的协助关系；2）项目产品基本操作讲解。对操作人员进行南京交通厅信息安全防护项目的操作使用培训，对系统维护操作的培训；3）让操作人员及系统管理员依照企业实际业务进行全体模拟操作，并对不理解的概念及不清楚的操作记录下来；4）对模拟操作过程中遇到的各种问题进行进一步的培训。5.5 售后服务保障为使客户能够享受到周到、完美、技术专业、形象亲和的公司服务，为客户享有的服务提供有力保障，xxx有限公司制定了完美的服务保障措施，包括服务质量监控、服务报告制度、客户满意度调查制度、异常情况处理

9、措施，全方位保障客户享受的服务质量。1.服务质量监控xxx有限公司建立了完备的服务质量监控体系，加强服务项目的严格管理，从主动监控和被动监控两方面进行服务质量的控制。主动监控主要是通过定期提供服务报告，发现问题，及时督促改进。被动监控主要是建立总经理投诉专线，并借助成熟的公司级客户满意度调查体系进行监控。2.服务报告制度为确保项目工程的服务质量，并让客户更清晰的了解服务实施情况，公司技术支持中心将定期提供服务实施报告（具体时间按双方协商确定）。内容包括该时间段的实施服务的类型、数量、解决方案、安全策略建议，使客户可以全面的了解设备的运行状况，以便做出正确的决策。3.客户满意度调查制度xxx有限

10、公司拥有完善的服务质量监控体系，每季度均由总裁室直属的中立部门，采取电话回访客户、上门拜访等方式，对公司各个部门的工作质量进行客户满意度调查。4.异常情况处理xxx有限公司建立总经理投诉专线，按照公司客户服务的投诉处理流程准确及时的处理客户的投诉；如果一线服务机构提供的服务不能满足客户需求，客户有权要求调整。6. 具体实施工作与时间计划表序号实施任务名称工作天数与时间段具体工作内容工作交付结果双方参与人员1数据调研15天2016年11月23日-12月13日1.明确实施方工作内容。2.启动整个信息化项目3.评估项目实施规划与风险控制4.基础环境准备5.现有系统数据库结构分析2需求定制26天2016年12月14日-2017年01月16日1.根据现有结构建立基本数据仓库2.系统接口改造3.界面定制3软件部署5天2017年01月17日-02月23日1.环境确认2.审计系统部署3.备份系统部署4.审计系统配置优化5.备份系统配置优化4用户验收测试2天2017年2月24日-2月26日1.审计系统启动并运行2.备份系统启动并运行5产品培训1天2017年2月27日-2017年2月27日1.系统基本使用培训附件：实施验收确认表产品名称军区总院业务系统数据库安全与优化项目一期开始时间结束时间实施人员实施工作说明实施期间完成以下主要工作：产品试用效果遗留问题：解决方案：用户签字：时间： 年 月 日