集团公司网络安全总体规划方案

1昆明钢铁集团公司信息安全建设规划建议书昆明睿哲科技有限公司2013年11月2目录第1章综述...............................................................31.1概述...............................................................31.2现状分析...........................................................31.3设计目标...........................................................6第2章信息安全总体规划...................................................82.1设计目标、依据及原则.................................................82.1.1设计目标.......................................................82.1.2设计依据.......................................................82.1.3设计原则.......................................................92.2总体信息安全规划方案................................................102.2.1信息安全管理体系..............................................102.2.2分阶段建设策略................................................16第3章分阶段安全建设规划................................................183.1规划原则..........................................................183.2安全基础框架设计..................................................19第4章初期规划..........................................................204.1建设目标..........................................................204.2建立信息安全管理体系..............................................204.3建立安全管理组织..................................................22第5章中期规划..........................................................255.1建设目标..........................................................255.2建立基础保障体系..................................................255.3建立监控审计体系..................................................255.4建立应急响应体系..................................................275.5建立灾难备份与恢复体系............................................31第6章三期规划..........................................................346.1建设目标..........................................................346.2建立服务保障体系..................................................346.3保持和改进ISMS...................................................35第7章总结..............................................................367.1综述..............................................................367.2效果预期..........................................................367.3后期..............................................................363第1章综述1.1概述信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息的竞争，随着企业的业务的快速增长、企业信息系统规模的不断扩大，企业对信息技术的依赖性也越来越强，企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，确保信息系统稳定、安全的运行，保证企业知识资产的安全，已经成为现代企业发展创新的必然要求，信息安全能力已成为企业核心竞争力的重要部分。企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。与此同时，随着企业业务领域的扩展和规模的快速扩张，为了满足企业发展和业务需要，企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展，为了满足生产的高速发展，市场的大力扩张，企业决定在近期进行信息安全系统系统的调研建设，因此随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、制卡系统的高效安全的运行，不因各种安全威胁的破坏而中断，信息安全建设不可或缺，信息安全建设必然应该和当前的信息化建设进行统一全局考虑，应该在相关的重要信息化建设中进行安全前置的考虑和规划，避免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生。。本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术，帮助企业建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。1.2现状分析目前企业已经在前期进行了部分信息安全的建设，包括终端上的一部分防病毒，网络边界处的基本防火墙等安全软件和设备，在很大程度上已经对外部威胁4能有一个基本的防护能力，但是如今的安全威胁和攻击手段日新月异，层出不穷，各种高危零日漏洞不断被攻击者挖掘出来，攻击的目标越来越有针对性，目前的企业所面临的全球安全威胁呈现如下几个新的趋势：恶意攻击数量快速增加，攻击手段不断丰富，最新的未知威胁防不胜防：如何防范未知威胁，抵御不同攻击手段和攻击途径带来的信息安全冲击?高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业：如何阻止不同的攻击手段？不仅仅是防病毒！需要服务器，终端，网络，数据等各方面多层次的防护，增加威胁防范能力复杂混乱的应用与外接设备环境：如何确保应用和设备的准入控制？繁琐枯燥的系统维护和安全管理：如何更有效利用有限的信息人力资源？工具带来的新问题：如何保证安全策略的强制要求，统一管理和实施效果？终端接入不受控：如何确保终端满足制定的终端安全策略-终端准入控制网页式攻击(Web-basedAttack)已成为最主流的攻击手法：如何确保访问可靠网站？内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失从目前大多数企业的信息安全建设来看，针对以上的目前主流的新形势的信息威胁，企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御，纵深防御的能力，目前大多数企业在安全防护上还有如下的欠缺：51.2.1目前信息安全存在的问题在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估，发现主要有如下的问题：网络设备安全：访问控制问题网络设备安全漏洞设备配置安全系统安全：补丁问题运行服务问题安全策略问题弱口令问题默认共享问题防病毒情况应用安全：exchange邮件系统的版本问题apache、iis、weblogic的安全配置问题serv-U的版本问题radmin远程管理的安全问题数据安全：数据库补丁问题Oracle数据库默认帐号问题Oracle数据库弱口令问题Oracle数据库默认配置问题Mssql数据库默认有威胁的存储过程问题网络区域安全：市局政务外网安全措施完善市局与分局的访问控制问题分局政务外网安全措施加强安全管理：没有建立安全管理组织没有制定总体的安全策略没有落实各个部门信息安全的责任人缺少安全管理文档通过安全评估中的安全修复过程，我们对上述大部分的的安全问题进行了修补，但是依然存在残余的风险，主要是数据安全（已安排升级计划）、网络区域安全和安全管理方面的问题。所以当前信息安全存在的问题，主要表现在如下的几个方面：1.在政务外网中，市局建立了基本的安全体系，但是还需要进一步的完善，例如政务外网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施，存在被黑客入侵的安全隐患；2.在政务内网中，市局和分局之间没有做访问控制，存在蠕虫病毒相互扩散的可能。另外，如果黑客入侵了分局的政务内网后，可能进一步的向市局进6行渗透攻击。3.原有的信息安全组织没有实施起来，没有制定安全总体策略；没有落实信息安全责任人。导致信息安全管理没有能够自上而下的下发策略和制度，信息安全管理没有落到实处。4.通过安全评估，建立了基本的安全管理制度；但是这些安全管理制度还没有落实到日常工作中，并且可能在实际的操作中根据实际的情况做一些修改。5.没有成立安全应急小组，没有相应的应急事件预案；缺少安全事件应急处理流程与规范，也没有对安全事件的处理过程做记录归档。6.没有建立数据备份与恢复制度；应该对备份的数据做恢复演练，保证备份数据的有效性和可用性，在出现数据故障的时候能够及时的进行恢复操作。7.目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。万一租用的天威网络发生故障将可能导致市局与分局之间的政务内网网络中断。通过信息安全风险评估，对发现的关于操作系统、数据库系统、网络设备、应用系统等等方面的漏洞，并且由于当时信息安全管理中并没有规范的安全管理制度，也是出现操作系统、数据库系统、网络设备、应用系统等漏洞的原因之一。为了达到对安全风险的长期有效的管理，我们建议建设ISMS（信息安全管理体系），对安全风险通过PDCA模型，输出为可管理的安全风险。1.2.2常见的信息系统面临的风险和威胁大致如下：根据目前的安全威胁，企业的信息安全面临的问题是信息安全仅作为后台数据的保障前端业务应用和后端数据库信息安全等级不高信息安全只是建立在简单的“封、堵”上，不利提升工作效率和协同办公因此，对于企业来说，在新的IT环境下，需要就如下的安全考虑，根据合理的规划进行分期建设。业务模式正在发生改变，生产、研发等系统的实施，信息安全应全面面向应用，信息安全须前置，以适应业务的安全要求。用户终端的多样化也应保持足够的安全。数据集中化管控和网络融合后所需的安全要求。数据中心业务分区模块化管理及灾备应急机制1.3设计目标为企业设计