文档编号:等级保护整改方案-03
项目代号:
中国××股份
信息安全专项咨询项目
等级保护整改方案
北京信息安全技术有限公司
2009年9月
保密申明
这份文件包含了来自××星辰的可靠、权威的信息,这些信息是作为××股份正在实施的信息安全专项咨询项目实施专用,接受这份计划书表示同意对其内容保密并且未经××公司书面请求和书面认可,不得复制,泄露或散布这份文件。如果你不是有意接受者,请注意对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
文档信息表
| 文档基本信息 | |||||
| 项目名称 | 中国××股份信息安全专项咨询项目 | ||||
| 文档名称 | ××股份信息安全专项咨询项目风险评估报告 | ||||
| 文档版本 | 3.0 | 是否为正式交付件 | 是 | ||
| 文档创建日期 | 2009-8-17 | 当前修订日期 | 2009-9-13 | ||
| 保密级别 | 商密 | 文档审批要求 | 是 | ||
| 文档审阅信息 | |||||
| 审阅人 | 项目角色 | 审阅时间 | 审阅意见 | ||
| 高级咨询顾问 | 2009-9-11 | ||||
| 文档批准信息 | |||||
| 批准人 | 项目角色 | 批准时间 | 批准意见 | ||
| 项目经理 | 2009-9-13 | ||||
| 文档修订信息 | |||||
| 版本 | 修正章节 | 日期 | 作者 | 变更记录 | |
| 3.0 | 全部 | 2009-9-11 | 程威、赵毅 | 创建文档 | |
1.1概述
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要信息系统。
1.2主要内容
本文档主要描述了××集团2级系统的现状,包括OA系统、ERP系统、资金系统和集团网络,依照《信息安全技术信息系统安全等级保护基本要求》和系统现状进行了比对,分析出系统的不足,为达到系统安全等级2级的要求提出整改方案。
通过此方案的实施提高××集团信息系统的安全防护水平。
1.3目标读者
本文档的目标读者是××集团公司与信息安全相关的决策人员、规划人员、管理人员和执行人员。
2系统识别定级
2.1业务信息受到破坏时所侵害客体的确定
OA系统主要包含:信息发布系统、协同办公系统、邮件系统。属于××集团内部员工的专有信息。
ERP业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。具体即侵害了××集团的合法利益。侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对××集团合法权益造成影响和损害,可以表现为:工作职能受到严重影响,业务能力显著下降,造成公司决策失误等不良影响。
资金业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。具体就是侵害了××集团的合法利益。侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对××集团合法权益造成影响和损害,可以表现为:影响公司财务和业务正常运转,使公司蒙受经济损失,造成公司决策失误等不良影响。
集团网络遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。即××集团的合法权益。侵害的客观方面表现为:一旦网络系统遭到入侵、修改、删除等不明侵害,会对××集团的合法权益造成影响和损害,可以表现为:网络通讯系统瘫痪、信息系统数据无法交换、企业依托于此网络的各种业务系统停止服务。
2.2信息受到破坏后对侵害客体的侵害程度
通过评估得出以上系统受到破坏后对侵害客体的程度为严重和特别严重级别。
2.3系统定级
参考《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》,当前系统遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,不涉及社会、公共或国家的安全,所以结合下表的对比以及其他企业定级结果。
| 业务信息安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 第三级 | 第四级 | 第五级 | |
| 系统名称 | 系统等级 | 责任部门 |
| OA系统 | 第二级 | 信息管理部 |
| ERP系统 | 第二级 | 信息管理部 |
| 资金管理系统 | 第二级 | 信息管理部 |
| 集团网络 | 第二级 | 信息管理部 |
经过与《信息安全技术信息系统安全等级保护基本要求》的对比分析,××集团各系统安全等级防护水平如下:
3.1ERP系统
在ERP系统中,安全管理制度离等级保护制度2级要求最远,其次是主机安全,未过半数的还有安全管理机构,人员安全管理和系统运维管理,而数据安全及备份恢复完全符合要求.
综合分析可以看出,ERP系统十分注重数据的安全,根据自己的实际业务需求做足了功夫,但是缺乏系统的安全管理制度,又因为过分注重数据库而忽略了主机的安全.安全是一个整个,任何一个小的脆弱口都将影响整个系统的安全.
下图为根据各个项目为个体,其中符合的占该项目的百分比图.
将所有不符合的项目做一个统计,应用安全和物理安全的条目数占总比例最少,不符合的情况集中体现在系统的运维管理,主机安全,系统建设管理,网络安全这四个方面.具体情况参看上表.
3.2资金系统
从上图中可以看出,资金系统中,安全管理制度离等级保护2级要求距离最远,其次是主机安全,数据安全及备份恢复完全符合2级要求
下图则反应了在所有不符合的项目集中起来,系统运维管理的不符合数目最多,其次是主机安全.
3.3OA系统
从上图中可以看出,OA系统中,安全管理制度离等级保护2级要求距离最远,其次是主机安全,数据安全及备份恢复完全符合2级要求
下图则反应了在所有不符合的项目集中起来,系统运维管理的不符合数目最多,其次是主机安全.
4安全管理
ERP系统、资金系统、OA系统依照等级保护2级要求管理方面相对较差,安全的整体框架和大部分的管理制度缺少,没有执行安全工作的组织、人员,运维方面问题较大。结合安全目标和成本的综合考虑,建议先从整体框架的制定、管理文档的修补、安全组织和人员建设方面开展安全工作。后续对安全工作的开展情况进行监控和持续改进。详细情况如下,具体安全防护工作的开展可参考第6章。
4.1安全管理制度
4.1.1现状的不足
| 等保标准要求条款 | 描述说明 | 结论 |
| 安全管理制度 | ||
| 管理制度 | ||
| a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等 | 没有信息安全策略方针文件 | 不符合 |
| a) 应对安全管理活动中的各类管理内容建立安全管理制度; | 只有部分管理制度 | 不符合 |
| b) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程; | 各系统有自己的操作流程和管理办法,ERP,资金系统见过。 OA和网站没见过 | 不符合 |
| 制定和发布 | ||
| a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | 信息管理部负责信息安全相关事项,各部门编写各自负责的系统相关的管理制度 | 不符合 |
| c) 应组织相关人员对制定的安全管理制度进行论证和审定; | 涉及安全的各部门统一分工进行编写,如办公室与信息管理部联合完成。 | 不符合 |
立即执行
1.1建立《方针策略文件》,对机构信息安全管理工作的各个方面进行分类。是对各类别工作的规范性要求,如网络安全管理制度、机房安全管理规范等。管理制度制定完成后,需要通过评审,确认文件的合理性与适用性后再正式发布;
1.2在OA系统中,对具体的人员行为和设备、系统操作流程、方法进行较细致的规范时,需编写文件化的《操作规程》、作业指导性文件、操作手册等。
1.3指定或授权专门的部门或人员负责安全管理制度的制定。
持续改进
对制定的安全管理制度进行改进、论证和审定。
4.2安全管理机构
4.2.1现状的不足
| 等保标准要求条款 | 描述说明 | 结论 |
| 安全管理机构 | ||
| 岗位设置 | ||
| a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; | 没有整体的信息安全组织架构,只有兼职的安全管理员,但是安全职责不明确 | 不符合 |
| b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责; | 有网络管理员,各系统设有系统管理员。安全职责不明确 | 不符合 |
| 人员配备 | ||
| b) 应配备专职安全管理员,不可兼任; | 安全管理员是兼职 | 不符合 |
| 沟通和合作 | ||
| a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题; | 出现信息安全事件后,信息管理部各部门会协同解决问题,但是没有统一的应急处理流程,缺乏知识共享机制 | 不符合 |
| 审核和检查 | ||
| a) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; | 未进行安全检查,只进行设备的巡检,数据备份有,Windows服务器用赛门铁克防病毒,补丁没有明确的制度更新 | 不符合 |
立即执行
1.1指定一个部门负责信息安全管理工作,其他部门配合该部门开展工作;负责信息安全管理工作的部门有的时候就是该机构的信息技术部门,部门中会根据岗位划分不同的安全管理岗位;
1.2系统管理员、网络管理员、安全管理员等各岗位明确划分各部分工作的职责与指定工作的负责人员;
1.3设定一名安全管理员,安全管理员不可兼任系统管理员或网络管理员,安全管理员的主要职责就是负责以信息安全为主的管理工作,一般负责日常技术管理工作。
持续改进
1.1安全管理员负责定期对系统进行安全检查,检查的目标是查看系统当前的安全性是否满足业务需要,以及系统安全维护要求是否满足,例如是否定期对数据进行备份,系统有没有漏洞之类的;
1.2定期召开信息安全管理工作的沟通协调会议,会议不一定会是专门的会议,例如在每周的例会上,其中一项讨论事项就是信息安全工作的开展情况之类的,也符合要求。
4.3人员安全管理
4.3.1现状的不足
| 等保标准要求条款 | 描述说明 | 结论 |
| 人员安全管理 | ||
| 人员离岗 | ||
| a) 应制定有关管理规范,严格规范人员离岗过程,及时终止离岗员工的所有访问权限; | 有部分系统能够及时终止离岗员工访问权限 | 不符合 |
| 人员考核 | ||
| a) 应定期对各个岗位的人员进行安全技能及安全认知的考核; | 目前针对培训无考核 | 不符合 |
| 安全意识教育和培训 | ||
| a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训; | 岗位技能培训随项目有,定期有系统操作方面的培训。随安全项目有相关培训,全员安全意识培训缺乏 | 不符合 |
| b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒; | 无相关规定 | 不符合 |
| c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训; | 培训随项目走,没有书面规定,也无培训计划 | 不符合 |
| 外部人员访问管理 | ||
| a) 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案; | 没有书面申请,但是有陪同,有机房出入登记 | 不符合 |
立即执行
1.1《人员安全管理规定》规定人员离岗过程,规定终止离岗员工的所有访问权限;规定安全技能考核内容、考核范围、考核周期,并有效执行;
1.2针对不同岗位设置不同的《培训计划》,包括培训的频度,包括安全基础知识和岗位操作规程等内容,并有效执行;
1.3确定安全责任内容和范围、奖惩制度,与相关岗位签署《安全责任书》。
持续改进
对外部人员访问受控区域进行书面的申请、登记备案,形成《人员访问审批记录》和《登记备案记录》。
4.4系统建设管理
4.4.1现状的不足
| 等级保护标准要求条款 | 描述说明 | 结论 |
| 系统建设管理 | ||
| 安全方案设计 | ||
| a) 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | 还未选择全面安全措施 | 不符合 |
| b) 应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案; | 没有系统的安全规划及详细设计方案 | 不符合 |
| c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案; | 未细划详细方案 | 不符合 |
| d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施; | 无安全策略,也未对安全规划进行论证。 | 不符合 |
| 产品采购和使用 | ||
| c) 应指定或授权专门的部门负责产品的采购; | 各部门负责不同的项目采购,网络管理处负责采购网络设备 | 不符合 |
| 自行软件开发 | ||
| b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; | 目前无 | 不符合 |
| 外包软件开发 | ||
| b) 应在软件安装之前检测软件包中可能存在的恶意代码; | 没有检测恶意代码 | 不符合 |
| c) 应要求开发单位提供软件设计的相关文档和使用指南; | ERP系统没有使用指南 | 不符合 |
| d) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 | ERP系统无审查 | 不符合 |
| 测试验收 | ||
| a) 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告; | 没有安全性测试,验收报告包括性能测试和功能测试 | 不符合 |
| 系统交付 | ||
| c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档; | 缺少过程文档和维护文档 | 不符合 |
立即执行
1.1根据系统等级防护要求建立系统的《安全建设规划文件》,包含系统建设的总体安全策略、安全技术建设要求、安全管理要求、系统总体建设规划和详细设计方案,并且安排评审、确定;
1.2指定或授权专门的部门负责产品的采购;
1.3建立《软件开发管理制度》包含了对开发流程的控制要求以及对自行开发人员的行为要求。
持续改进
1.1对外包开发的软件进行安全测试,审查源代码中是否包括漏洞或后门,例如网站系统则可以对其进行防SQL注入等脆弱性的安全测试;
1.2外包软件开发需要提供《软件的需求分析报告》、《系统概要设计》、《系统详细设计》、《测试报告》、《用户手册》这几个文件。《测试报告》需要包括安全方面、功能方面、性能方面。
4.5系统运维管理
4.5.1现状的不足
| 等级保护标准要求条款 | 描述说明 | 结论 |
| 8.2.5 系统运维管理 | ||
| 8.2.5.1 环境管理 | ||
| c) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定; | 有机房管理制度,不全面包括上述内容 | 不符合 |
| 8.2.5.2 资产管理 | ||
| a) 应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; | 资产管理简单,并无法进行统一编排管理 | 不符合 |
| b) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为; | 有些资产的责任人不明确 | 不符合 |
| 8.2.5.3 介质管理 | ||
| c) 应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏; | 没有相关规定 | 不符合 |
| 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。 | 没有标识,只标识年度信息 | 不符合 |
| 8.2.5.4 设备管理 | ||
| a) 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | 未对所有设备定期维护 | 不符合 |
| d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; | 实际操作按这样做,未形成制度 | 不符合 |
| 8.2.5.6 网络安全管理 | ||
| a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作; | 日志没有专门的人负责 | 不符合 |
| b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定; | 各系统有自己的规定,但是没有形成统一的网络安全管理规定 | 不符合 |
| c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份; | 楼层交换机的闪存容量过小,不能刷新 | 不符合 |
| d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; | 没有定期做漏洞扫描 | 不符合 |
| e) 应实现设备的最小服务配置和优化配置,并对配置文件进行定期离线备份; | 存在不必要的服务 | 不符合 |
| 8.2.5.7 系统安全管理 |
| b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补; | 很少做 | 不符合 |
| c) 应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装; | 没有测试环节,类UNIX服务器很少更新补丁,windows服务器用自动更新 | 不符合 |
| d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理、日常操作流程等方面做出具体规定; | 每个系统有自己的管理制度,但是没有统一的系统安全管理制度 | 不符合 |
| f) 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; | 运维记录每个管理员自己记录,以后用IT管理系统记。 应完善系统安全管理的维护操作手册 | 不符合 |
| g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为; | 日志分析欠缺 | 不符合 |
| 8.2.5.10 变更管理 | ||
| a) 应确认系统中要发生的变更,并制定变更方案; | OA没有变更管理流程 | 不符合 |
| b) 应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告; | OA没有变更管理流程 | 不符合 |
| 8.2.5.12 安全事件处置 | ||
| b) 应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责; | OA没有应急响应流程 | 不符合 |
| c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; | OA没有应急响应流程 | 不符合 |
| e) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存; | 缺乏相应的应急响应制度 | 不符合 |
| 8.2.5.13 应急预案管理 | ||
| a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; | 没有统一协调的应急预案 | 不符合 |
| c) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次; | 没有培训 | 不符合 |
立即执行
1.1修订《机房管理制度》,对物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定
1.2建立资产《安全管理制度》,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为,按照要求维护《资产清单》
1.3建立《介质处理与安全管理规定》包括介质销毁、介质中数据加密、介质分类标示、送修、盘点规定等
1.4完善《中国××股份有限公司关于终端计算机管理办法》规定终端计算机、工作站、便携机、系统和网络设备的使用操作
1.5建立《网络安全管理制度》和《系统安全管理制度》,对系统安全配置、日志管理、安全策略、口令更新周期、日常操作流程、定期进行漏洞检查、修复和版本更新等方面做出具体规定,包括网络设备(路由器、交换机、流量控制设备、负载均衡设备)、主机设备(服务器、PC机、负载均衡设备)、安全产品(防火墙、防毒墙、IDS、IPS、网页防篡改产品、流量分析设备、DDOS清洗设备、安全审计设备等)、存储设备(磁带、磁阵、带库、移动存储设备)。
1.6应完善系统安全管理的《维护操作手册》,明确系统维护,操作日志记录,重要的日常操作、运行维护记录、参数的设置和修改等内容。是否明确说明严禁进行未经授权的操作
1.7建立OA系统的《变更管理制度》涵盖以下内容:系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告
1.8建立《安全事件报告和处置管理制度》,明确定义安全事件的类型,安全事件等级,规定安全事件的现场处理、事件报告和后期恢复的管理职责
1.9建立整体的安全《应急预案》,包含以下内容:启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等,并对应急预案进行培训、演练,保留培训记录。
持续改进
1.1增加运行日志、网络监控记录的日常维护和报警信息分析和处理工作,可借助IDS报告
1.2定期对网络设备、系统主机等进行漏洞检查、修复和版本更新,在补丁修补前需要在测试环境中测试,选择在业务空闲时先备份后修复
1.3对设备上的服务进行备案,关闭不必要的服务,尤其需要关注漏洞扫描结果中的高危服务漏洞
1.4定期对运行日志和审计数据进行分析,可部署日志审计分析系统,输出《系统审计记录》
1.5当系统发生安全事件,进行分析处理输出《安全事件分析及处理过程记录》
5安全技术
ERP系统、资金系统、OA系统依照等级保护2级要求技术方面相对较好,网络安全和主机安全方面还需要加强。结合安全目标和成本的综合考虑,建议先从设备的安全策略加固、安全域划分方面开展安全工作。后续使用产品对系统进行立体式的防御。另外漏洞扫描系统可以在日常的安全工作中使用,同时将IDS报告分析列入日常安全工作范围内。详细情况如下,具体安全防护工作的开展可参考第6章。
5.1物理安全
5.1.1现状的不足
| 等级保护标准要求条款 | 描述说明 | 结论 |
| 物理安全 | ||
| 8.1.1.2 物理访问控制 | ||
| a) 机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员; | 没有专人值守,有门禁,未执行人员出入记录 | 不符合 |
立即执行
机房出入口应安排专人值守并记录进入的人员和携带的物品。
5.2网络安全
5.2.1现状的不足
| 等级保护标准要求条款 | 描述说明 | 结论 |
| 网络安全 | ||
| 8.1.2.1 结构安全 | ||
| a) 应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; | 核心交换上有冗余,但有配置遗漏 | 不符合 |
| e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; | 办公区域和服务器区没有根据重要性进一步划分安全区域 | 不符合 |
| 8.1.2.2 访问控制 | ||
| g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; | 存在多人共用帐号的问题 | 不符合 |
| 安全审计 | ||
| a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; | 网络设备运行状况有纸质记录,流量有计费系统记录,无用户行为审计 | 不符合 |
| b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 缺乏审计系统 | 不符合 |
| 网络设备防护 | ||
| e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; | 口令加密强度不够 | 不符合 |
| g) 应具有登录失败处理功能,可采取结束会话、非法登录次数和当网络登录连接超时自动退出等措施; | 未设置此项安全策略 | 不符合 |
| h) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; | 大部分启用SSH,有部分设备仍使用TELNET | 不符合 |
立即执行
1.1对核心交换上的配置进行检查,保证设备的冗余,在发生安全事件时能够保证网络的畅通,将核心冗余的核心交换设备上的配置保持一致;
1.2为系统中每个人设立单独的账号避免账号共用
1.3进行网络设备安全加固,对网络设备进行密码加密存储(使用enable secret)
1.4进行网络设备安全加固,远程管理维护使用SSH加密
持续改进
1.1进行安全域划分,按照等级保护安全区域
1.2部署审计系统对各种事件以及用户行为进行审计;
5.3主机安全
5.3.1现状的不足
| 等级保护标准要求条款 | 描述说明 | 结论 |
| 主机安全 | ||
| 身份鉴别 | ||
| c) 应启用登录失败处理功能,可采取结束会话、非法登录次数和自动退出等措施; | 没有启用登陆失败处理 | 不符合 |
| e) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; | 远程管理未加密 | 不符合 |
| 访问控制 | ||
| e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 | 部分主机存在共享帐号 | 不符合 |
| 安全审计 | ||
| a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; | 缺乏审计机制 | 不符合 |
| b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; | 缺乏审计机制 | 不符合 |
| c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; | 缺乏审计机制 | 不符合 |
| f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 | 保护审计记录 | 不符合 |
| 入侵防范 | ||
| c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 | 系统补丁更新不及时 | 不符合 |
| 恶意代码防范 | ||
| a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; | 小型机没有防恶意代码软件 | 不符合 |
| 应支持防恶意代码的统一管理。 | 小型机没有防恶意代码软件 | 不符合 |
| 资源控制 | ||
| a) 应通过设定终端接入方式、网络地址范围等条件终端登录; | 需要加强终端登陆策略 | 不符合 |
| b) 应根据安全策略设置登录终端的操作超时锁定; | 没有超时锁定 | 不符合 |
立即执行
1.1进行安全加固,设置系统登录验证失败6次,账号锁定;
1.2进行安全加固,系统默认账号如果不使用则锁定,或修改默认的口令
1.3当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听,使用SSH管理主机,关闭TELNET;
1.4关闭不必要的服务Rexecd、Dtspcd、Tooltalk、RPC Statd、Send mail、RPC cmsd、Snmp、login(rlogin)、RPC nlockmgr、telnet,并保持系统补丁及时得到更新,首先确认以上服务是否是应用依赖的服务;
1.5进行安全加固,设置系统登录超时锁定策略180秒
1.6应设置ACL管理远程接入,远程登录范围,可在主机上设置host allow 、host deny,或在防火墙上进行
持续改进
1.1部署日志审计分析系统,对安全事件、进行审计
1.2增加UNIX系列系统的恶意代码防护,安装防护软件或部署网络病毒防范,并统一管理
5.4应用安全
5.4.1现状的不足
| 等级保护标准要求条款 | 结论 | 影响系统 |
| 应用安全 | ||
| 身份鉴别 | ||
| d) 应提供登录失败处理功能,可采取结束会话、非法登录次数和自动退出等措施; | 不符合 | 资金 |
| e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 | 不符合 | 资金 |
| 访问控制 | ||
| e) 应严格默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; | 不符合 | OA |
| 通信完整性 | ||
| 应采用密码技术保证通信过程中数据的完整性。 | 不符合 | OA |
| 通信保密性 | ||
| b) 应对通信过程中的整个报文或会话过程进行加密; | 不符合 | OA、ERP、资金 |
立即执行
1.1采用密码技术保证通信过程中数据的完整性,对通信过程中的整个报文或会话过程进行加密,至少对登录认证部分进行加密;
1.2开启资金系统的登录失败处理功能,非法登录6次后将锁定该账号,如此模块不能满足要求,则需要增加此模块;
1.3OA系统中没有强制新用户对密码的修改,从管理或技术角度强制系统账号修改默认口令或曾加技术控制模块强制新用户修改密码。
5.5数据安全及备份恢复
5.5.1现状描述
密码采用加密存储,并且主要网络设备、通信线路和数据处理系统进行了硬件冗余。
6整改方案总结
根据与《信息安全技术信息系统安全等级保护基本要求》2级安全防护要求的对比分析结果,参考《信息系统安全保护等级实施指南》建议系统从管理制度的建设和修订、管理机构和人员的设置、人员安全技能培训、技术修补、日常安全管理控制和成熟产品的使用方面进行安全防护。
6.1管理制度的建设和修订
1.1建立《方针策略文件》,对机构信息安全管理工作的各个方面进行分类。是对各类别工作的规范性要求,如网络安全管理制度、机房安全管理规范等。管理制度制定完成后,需要通过评审,确认文件的合理性与适用性后再正式发布;
1.2在OA系统中,对具体的人员行为和设备、系统操作流程、方法进行较细致的规范时,需编写文件化的《操作规程》、作业指导性文件、操作手册等。
1.3《人员安全管理规定》规定人员离岗过程,规定终止离岗员工的所有访问权限;规定安全技能考核内容、考核范围、考核周期,并有效执行;
1.4确定安全责任内容和范围、奖惩制度,与相关岗位签署《安全责任书》。
1.5根据系统等级防护要求建立系统的《安全建设规划文件》,包含系统建设的总体安全策略、安全技术建设要求、安全管理要求、系统总体建设规划和详细设计方案,并且安排评审、确定;
1.6建立《软件开发管理制度》包含了对开发流程的控制要求以及对自行开发人员的行为要求。
1.7修订《机房管理制度》,对物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定
1.8建立资产《安全管理制度》,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为,按照要求维护《资产清单》
1.9建立《介质处理与安全管理规定》包括介质销毁、介质中数据加密、介质分类标示、送修、盘点规定等
1.10完善《中国××股份有限公司关于终端计算机管理办法》规定终端计算机、工作站、便携机、系统和网络设备的使用操作
1.11建立《网络安全管理制度》和《系统安全管理制度》,对系统安全配置、日志管理、安全策略、口令更新周期、日常操作流程、定期进行漏洞检查、修复和版本更新等方面做出具体规定,包括网络设备(路由器、交换机、流量控制设备、负载均衡设备)、主机设备(服务器、PC机、负载均衡设备)、安全产品(防火墙、防毒墙、IDS、IPS、网页防篡改产品、流量分析设备、DDOS清洗设备、安全审计设备等)、存储设备(磁带、磁阵、带库、移动存储设备)。
1.12应完善系统安全管理的《维护操作手册》,明确系统维护,操作日志记录,重要的日常操作、运行维护记录、参数的设置和修改等内容。是否明确说明严禁进行未经授权的操作
1.13建立OA系统的《变更管理制度》涵盖以下内容:系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告
1.14建立《安全事件报告和处置管理制度》,明确定义安全事件的类型,安全事件等级,规定安全事件的现场处理、事件报告和后期恢复的管理职责
1.15建立整体的安全《应急预案》,包含以下内容:启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等,并对应急预案进行培训、演练,保留培训记录。
6.2管理机构和人员的设置
1.1指定或授权专门的部门或人员负责安全管理制度的制定。
1.2指定一个部门负责信息安全管理工作,其他部门配合该部门开展工作;负责信息安全管理工作的部门有的时候就是该机构的信息技术部门,部门中会根据岗位划分不同的安全管理岗位;
1.3系统管理员、网络管理员、安全管理员等各岗位明确划分各部分工作的职责与指定工作的负责人员;
1.4设定一名安全管理员,安全管理员不可兼任系统管理员或网络管理员,安全管理员的主要职责就是负责以信息安全为主的管理工作,一般负责日常技术管理工作。
1.5指定或授权专门的部门负责产品的采购;
6.3人员安全技能培训
1.1针对不同岗位设置不同的《培训计划》,包括培训的频度,包括安全基础知识和岗位操作规程等内容,并有效执行;
1.2对应急预案进行培训、演练,保留培训记录。
6.4技术修补
1.1对核心交换上的配置进行检查,保证设备的冗余,在发生安全事件时能够保证网络的畅通,将核心冗余的核心交换设备上的配置保持一致;
1.2为系统中每个人设立单独的账号避免账号共用
1.3进行网络设备安全加固,对网络设备进行密码加密存储(使用enable secret)
1.4进行网络设备安全加固,远程管理维护使用SSH加密
1.5进行安全加固,设置系统登录验证失败6次,账号锁定;
1.6进行安全加固,系统默认账号如果不使用则锁定,或修改默认的口令
1.7当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听,使用SSH管理主机,关闭TELNET;
1.8关闭不必要的服务Rexecd、Dtspcd、Tooltalk、RPC Statd、Send mail、RPC cmsd、Snmp、login(rlogin)、RPC nlockmgr、telnet,并保持系统补丁及时得到更新,首先确认以上服务是否是应用依赖的服务;
1.9进行安全加固,设置系统登录超时锁定策略180秒
1.10应设置ACL管理远程接入,远程登录范围,可在主机上设置host allow 、host deny,或在防火墙上进行
1.11采用密码技术保证通信过程中数据的完整性,对通信过程中的整个报文或会话过程进行加密,至少对登录认证部分进行加密;
1.12开启资金系统的登录失败处理功能,非法登录6次后将锁定该账号,如此模块不能满足要求,则需要增加此模块;
1.13OA系统中没有强制新用户对密码的修改,从管理或技术角度强制系统账号修改默认口令或曾加技术控制模块强制新用户修改密码。
6.5日常安全管理控制
1.1对制定的安全管理制度进行改进、论证和审定。
1.2对外部人员访问受控区域进行书面的申请、登记备案,形成《人员访问审批记录》和《登记备案记录》。
1.3对外包开发的软件进行安全测试,审查源代码中是否包括漏洞或后门,例如网站系统则可以对其进行防SQL注入等脆弱性的安全测试;
1.4外包软件开发需要提供《软件的需求分析报告》、《系统概要设计》、《系统详细设计》、《测试报告》、《用户手册》这几个文件。《测试报告》需要包括安全方面、功能方面、性能方面。
1.5增加运行日志、网络监控记录的日常维护和报警信息分析和处理工作,可借助IDS报告
1.6定期对网络设备、系统主机等进行漏洞检查、修复和版本更新,在补丁修补前需要在测试环境中测试,选择在业务空闲时先备份后修复
1.7对设备上的服务进行备案,关闭不必要的服务,尤其需要关注漏洞扫描结果中的高危服务漏洞
1.8当系统发生安全事件,进行分析处理输出《安全事件分析及处理过程记录》
1.9机房出入口应安排专人值守并记录进入的人员和携带的物品。
1.10进行安全域划分,按照等级保护安全区域
6.6成熟产品的使用
1.1部署审计系统对各种事件以及用户行为进行审计;
1.2部署日志分析系统,定期对运行日志和审计数据进行分析,输出《系统审计记录》。
1.3增加UNIX系列系统的恶意代码防护,安装防护软件或部署网络病毒防范,并统一管理。下载本文
