上海藍光集團信息安全建設方案

目錄

一、信息安全現況... 1
二、信息安全面臨威脅... 1
2.1網絡層面... 1
2.2數據層面... 1
三、藍光集團信息安全存在的問題... 2
3.1基礎設安全問題... 2
3.2服務器安全問題... 2
3.3應用軟件安全問題：... 2
3.4數據庫安全問題：... 3
3.5管理方面問題... 4
四、信息安全建設意見... 4
4.1基礎設施安全建設... 4
4.2應用系統安全建設... 5
4.3服務器安全建設... 5
4.4數據安全建設... 6
4.5管理類安全需求... 7
五、信息安全建設階段... 8
第一階段： 基礎安全建設... 8
第二階段：信息安全加強... 8
第三階段：信息安全深入... 9
六、信息安全建設預算... 10
七、信息安全管理文件... 10

一、信息安全現況

????? 藍光集團對信息安全的建設，在終端上部署了防火墻和防病毒軟件（360安全衛士，360殺毒軟件），在網絡邊界使用了硬件防火墻（Juniper防火墻），能夠對外部威脅起到基本的防護能力，但是如今的安全威脅和攻擊手段日新月異，層出不窮，各種高危漏洞不斷被攻擊者挖掘出來，攻擊的目標越來越有針對。

二、信息安全面臨威脅
2.1網絡層面
1.惡意攻擊數量快速增加，攻擊手段不斷豐富，最新的未知威脅防不勝防
2.高級、有針對性的高危持續性攻擊APT已蔓延至各類規模企業
3.復雜混亂的應用與外接設備環境，無法確保應用和設備的準入控制，無法保證安全策略強制下發，無法確保終端滿足制定的終端安全策略-終端準入控制
4.核心系統遭受攻擊或是網絡遭受DDOS攻擊等影響系統的正常使用，造成依賴企業IT系統的部門無法正常運轉。
2.2數據層面?
?? 1. 數據丟失：人力系統數據丟失，導致員工工資無法正常發放；運行系統數據丟失，導致無法了解企業生產數據量；銷售數據丟失，企業無法了解銷售數量、客戶訂貨量等。數據丟失不同程度地影響著企業正常運營。
?? 2.數據篡改：這意味著企業的真實數據不再真實。本應發貨給A的訂單被篡改成發貨給H。數據篡改會給企業經營帶來很多不必要的麻煩，甚至是法律糾紛。

?? 3.數據泄露：將影響企業的名譽和繼續存活。數據泄露的案例眾多，數據泄露對公司的信譽影響巨大，嚴重影響公司的未來發展。

三、藍光集團信息安全存在的問題
?????? 我們對網絡設備、服務器系統、數據庫系統、應用系統、網絡掃描、安全管理等方面進行了安全評估，發現關于操作系統、數據庫系統、網絡設備、應用系統等等方面的漏洞，信息安全管理中并沒有規范的安全管理制度，也是出現操作系統、數據庫系統、網絡設備、應用系統等漏洞，主要體現如下：
3.1基礎設安全問題
1.網絡設備問題
訪問控制安全，網絡設備安全漏洞 ， 設備配置安全
3.2服務器安全問題
1.服務器系統問題
補丁問題，安全策略問題、 弱口令問題、 默認共享問題 、防病毒情況 、
3.3應用軟件安全問題：
1. exchange郵件系統問題
系統版本不更新，補丁過期，無殺毒軟件，防火墻防護，弱口令問題，無備份機制。
2.ERP系統問題
系統BUG不更新，補丁過期，無殺毒軟件，防火墻防護，弱口令問題，無備份機制。
3.OA系統問題
系統版本不更新，補丁過期，無殺毒軟件，防火墻防護，弱口令問題，無備份機制。
4.CIM系統問題
系統BUG不修復，補丁過期，無殺毒軟件，防火墻防護，弱口令問題，無備份機制。
3.4數據庫安全問題：
1. Oracle數據庫問題?
Oracle數據庫默認帳號問題?? Oracle數據庫弱口令問題?? Oracle數據庫默認配置問題 ，災備系統問題。
2.MSSQL數據庫問題
MSSQL數據庫默認帳號問題?? MSSQL數據庫弱口令問題?? MSSQL數據庫默認配置問題 ，災備系統問題。
3.5管理方面問題
1. 原有的信息安全組織沒有實施起來，沒有制定安全總體策略；沒有落實信息 安全責任人。導致信息安全管理沒有能夠自上而下的下發策略和制度，信息安全管理沒有落到實處。
2. 雖然有基本的安全管理制度；但是這些安全管理制度還沒有 落實到日常工作中，并且可能在實際的操作中根據實際的情況做一些修改。
3. 沒有成立安全應急小組，沒有相應的應急事件預案；缺少安全事件應急處理 流程與規范，也沒有對安全事件的處理過程做記錄歸檔。

4. 沒有建立數據備份與恢復制度；應該對備份的數據做恢復演練，保證備份數 據的有效性和可用性，在出現數據故障的時候能夠及時的進行恢復操作。

四、信息安全建設意見
4.1基礎設施安全建設
集團內網劃分子網，集團與分公司組建區域子網，建立非軍事區。對網絡結構和網絡設備進行安全評估，并根據需要進行適當加固和整改。保證主要網絡設備的業務處理能力和網絡鏈路的傳輸帶寬具備冗余空間，滿足業務高峰期需要。應按照業務類型、重要程度等對網絡進行安全域劃分，對重要的安全域與其他網段、外部網絡之間需采取可靠的技術隔離手段。應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保證重要主機的通信帶寬。應在網絡邊界部署具有會話狀態檢測功能的訪問控制設備，控制粒度為端口級，可控制單個用戶對受控系統資源的訪問，并能對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制。應限制網絡最大流量數及網絡連接數。 重要網段應采取技術手段防止地址欺騙。需要開啟網絡設備的日志功能，對網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄，審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。能夠根據記錄數據進行分析，生成審計報表。需設置安全、獨立的日志存儲系統，保護審計記錄不被非法刪除、修改或覆蓋等。 需要部署非法接入監控系統和非法外聯監控系統，對非授權設備私自聯到內部網絡或內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。需要在網絡邊界部署網絡入侵檢測機制，對進出邊界的網絡數據流進行端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等的檢測。 應在檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。需要在網絡邊界部署網關級的病毒過濾系統，對惡意代碼進行檢測和清除，并提供代碼庫的升級和檢測引擎的更新功能。 需要部署雙因素身份認證系統對網絡管理員進行身份鑒別，身份鑒別信息應不易被冒用。需要對遠程身份認證過程提供加密保護。需要將系統特權用戶的權限進行分離。
4.2應用系統安全建設
??? 應用系統由供應商進行評估給出安全建設方案
4.3服務器安全建設
1、安全評估
需由專業安全服務人員根據相關要求對主機操作系統和數據庫系統進行安全評估，并根據需要進行適當加固和提供整改建議。
2、身份鑒別（S）
需要部署雙因素身份認證系統對操作系統和數據庫系統的管理員進行身份鑒別，身份鑒別信息應不易被冒用。需要對遠程身份認證過程提供加密保護。
3、訪問控制（S）
應對重要信息資源設置敏感標記，依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。
4、安全審計
需要對服務器操作系統、數據庫系統和重要客戶端操作系統進行用戶行為、系統事件的審計，審計記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等。需設置安全、獨立的日志存儲系統，保護審計記錄不被非法刪除、修改或覆蓋等。
能夠根據記錄數據進行分析，生成審計報表。
5、入侵防范
需要在重要服務器上部署入侵檢測機制，對非法入侵和攻擊行為進行檢測、記錄和告警，并對系統重要程序的完整性進行檢測和保護。
6、惡意代碼防范
需安裝網絡版防病毒軟件，提供統一管理和更新，且需與網關防病毒系統的
7、資源控制（A）
需要對重要服務器的運行情況進行實時監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況，限制單個用戶對系統資源的最大或最小使用限度，并能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。
4.4數據安全建設
1、數據傳輸完整性、保密性（S）
應采用密碼技術或其他有效措施，保證系統管理數據、鑒別信息和重要業務數據在傳輸過程中的完整性、保密性。
2、數據存儲完整性、保密性（S）
應采用專門的存儲安全措施，保證系統管理數據、鑒別信息和重要業務數據在存儲過程中的完整性、保密性。
3、數據備份和恢復（A）
應建立或完善數據備份和恢復機制，在提供本地備份和恢復功能的基礎上，建立異地數據備份機制。
應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。
4.5管理類安全需求
1.安全管理制度
需要制定信息安全工作的總體方針和安全策略，對安全管理活動中各類管理內容建立安全管理制度，對管理人員或操作人員執行的日常管理操作建立操作規程。要求形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。
2.安全管理機構
需要建立或完善既滿足相關要求又符合實際情況的安全管理機構。應加強與外部組織的溝通和合作，并聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規劃和安全評審等。
3.人員安全管理
需要制定既滿足相關要求又符合實際情況的人員安全管理條例，并進行必要的人員安全意識和安全技能培訓。
4.系統建設管理
需要依照等級保護相關政策和標準的要求進行系統定級、規劃、設計、實施，并委托公正的第三方測試單位對系統進行安全性測試，并出具安全性測試報告作為驗收依據。應選擇具有國家相關技術資質和安全資質的測評單位至少每年對系統進行一次等級測評，發現不符合相應等級保護標準要求的及時整改。
5.系統運維管理

需要對系統運行進行維護和管理，涵蓋環境管理、資產管理、介質管理、 設備管理、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等各個方面，并在環境管理、資產管理、介質管理、設備管理、網絡安全管理、系統安全管理、密碼管理、變更管理、備份與恢復管理等方面要求進行規范的制度化管理。要求對安全事件根據等級分級響應，同時加強對應急預案的演練和審查。此外還需結合采用以下的技術手段實現網絡和系統的安全運維。

五、信息安全建設階段
第一階段：基礎安全建設
建設內容：
本次基礎安全建設主要考慮安全域劃分和加強安全邊界防護措施，優先考慮辦公業務網出口的安全問題。在辦公業務網與核心交換區的邊界處，應采用多種安全技術和手段來防范外來的威脅。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全等方面。
建設設備：深信服，梭子魚郵件防火墻
建設周期：6個月
第二階段：信息安全加強
建設內容：
在第二階段的安全建設中需要考慮加強手段。主要從安全日志審計、系統平臺和應用系統安全兩個方面展開。
（1）安全日志審計系統
第一階段部署了大量的安全產品。這些安全產品和大量的網絡產品以及應用系統產生海量的日志和事件，尤其是入侵檢測之類的安全產品，每天的事件量巨大，靠人工的方式很難檢索所有的事件，如漏掉重要事件很可能會帶來較大損失，鑒于此，需要部署統一的日志審計管理平臺。這個平臺能夠收集所有網絡產品、安全產品、主機以及應用系統的日志和安全事件，對其進行規范化處理，根據審計規則發現真正有價值的事件后及時告警，并能夠存儲海量事件，能夠提供事后取證.
（2）系統平臺和應用系統安全
在第一階段建設了安全評估體系，定期進行評估和加固，已經有效地增強主機和應用的安全，第二階段需要進一步加強系統平臺和應用系統的安全管理，考慮從完整性管理和脆弱性管理兩個方面進行加強。結合安全日志審計功能，就可以針對各業務系統的帳號級的信息安全審計和追蹤。
建設設備：堡壘機，災備系統，日志記錄系統
建設周期：8個月
第三階段：信息安全深入
建設內容：
安全管理建設，主要從安全管理中心、安全管理體系著手完善。當前信息安全問題的處理情況建設安全管理統一平臺，將全網的安全管理通過該平臺進行。通過該平臺可以及時準確地獲知網絡安全體系的效果和現狀，幫助安全管理員進行正確的決策分析。該平臺應該具備風險管理、策略中心、事件中心、響應中心、知識中心等功能模塊，并且應具備很好的開放性和可定制性。
安全管理體系
安全管理建設應該自始至終，并且對安全建設和運維起到指導作用。主要從安全策略制定、組建安全管理隊伍、安全評估、資產鑒別和分類、安全認證等多種管理領域開展，最終形成管理和技術相融合，共同形成真正的安全體系架構。
建設設備：安全管理平臺
建設目標：制度完善

建設周期：12個月

六、信息安全建設預算
? 第一階段 50萬? 第二階段30萬? 第三階段 20萬

七、信息安全管理文件
附件：
《藍光集團信息安全管控體系_基礎設施端》
《藍光集團信息安全管控體系_服務器端》
《藍光集團信息安全管控體系_客戶端》
《藍光集團信息安全管控體系_數據庫》
《藍光集團信息安全管理體系》

?

?

總結

以上是生活随笔為你收集整理的上海蓝光集团信息安全建设方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。