【doc】-xxxx公司信息系统安全保障体系规划方案_图文

XXXX公司信息系统安全保障体系规划方案_图文XXXXXXXXXXXXX信息系统安全保障体系规划方案XXXXXXXXXXXX信息系统安全保障体系规划方案V151XXXXXXXXXXXXX信息系统安全保障体系规划方案文档信息分发控制版本控制2XXXXXXXXXXXXX信息系统安全保障体系规划方案目录1概述511引言512背景5121XXXX行业行业相关要求5122国家等级保护要求6123三个体系自身业务要求713三个体系规划目标7131安全技术和安全运维体系规划目标7132安全管理体系规划目标814技术及运维体系规划参考模型及标准10141参考模型10142参考标准1215管理体系规划参考模型及标准12151国家信息安全标准、指南12152国际信息安全标准13153行业规范132技术体系建设规划1421技术保障体系规划14211设计原则14212技术路线1422信息安全保障技术体系规划15221安全域划分及网络改造15222现有信息技术体系描述2423技术体系规划主要内容29231网络安全域改造建设规划29232网络安全设备建设规划32233CA认证体系建设40234数据安全保障42235终端安全管理45236备份与恢复46237安全运营中心建设47238周期性风险评估及风险管理4824技术体系建设实施规划49241安全建设阶段49242建设项目规划503运维体系建设规划5131风险评估及安全加固51311风险评估51312安全加固5132信息安全运维体系建设规划51321机房安全规划51322资产和设备安全523XXXXXXXXXXXXX信息系统安全保障体系规划方案323网络和系统安全管理55324监控管理和安全管理中心60325备份与恢复61326恶意代码防范62327变更管理63328信息安全事件管理64329密码管理6733运维体系建设实施规划68331安全建设阶段68332建设项目规划684管理体系建设规划7041体系建设70411建设思路70412规划内容7142信息安全管理体系现状72421现状72422问题7443管理体系建设规划75431信息安全最高方针75432风险管理76433组织与人员安全76434信息资产管理79435网络安全管理91436桌面安全管理93437服务器管理93438第三方安全管理95439系统开发维护安全管理974310业务连续性管理984311项目安全建设管理1004312物理环境安全10244管理体系建设规划103441项目规划103442总结1044XXXXXXXXXXXXX信息系统安全保障体系规划方案1概述11引言本文档基于对XXXX公司（以下简称“XXXX公司工业”）信息安全风险评估总体规划的分析，提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则，并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划，是信息安全保障体系的主体。12背景121XXXX行业行业相关要求国家XXXX行业总局一直以来十分重视信息安全管理工作，先后下发了涉及保密计算机运行、等级保护定级等多个文件，在2008年下发了147号文XXXX行业行业信息安全保障体系建设指南，指南从技术、管理、运维三个方面对安全保障提出了建议，如下图所示。5XXXXXXXXXXXXX信息系统安全保障体系规划方案图1_1行业信息安全保障体系框架122国家等级保护要求等级保护工作作为我国信息安全保障工作中的一项基本制度，对提高基础网络和重要信息系统安全防护水平有着重要作用，国家XXXX行业专卖局在2008年8月下发了国烟办综2008358号文国家XXXX行业专卖局办公室关于做好XXXX行业行业信息系统安全等级定级工作的通知，而在信息系统安全等级保护基本要求中对信息安全管理和信息安全技术也提出了要求，如下图所示。6XXXXXXXXXXXXX信息系统安全保障体系规划方案图1_2等保基本要求框架图123三个体系自身业务要求在国家数字XXXX行业政策的引导下，近年来信息系统建设日趋完善，尤其是随着国家局统一建设的一号工程的上线，业务系统对信息系统的依赖程度逐渐增加，信息系统的重要性也逐渐提高，其安全保障就成为了重点。此外，除了一号工程外，信息系统的重要组成部分还有MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统（卷包中控系统、物流中控系统、制丝中控系统、动力中控系统）等。企业生产已经高度依赖于企业的信息化和各信息系统。信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。在整个信息系统运行的过程中，起主导作用的仍然是人，是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中，发现和纠正各类安全保障措施存在的问题和不足，保证它们稳定可靠运行，有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时，就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。13三个体系规划目标131安全技术和安全运维体系规划目标建立技术体系的目的是通过使用安全产品和技术，支撑和实现安全策略，达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型，行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容1防护通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施，使信息系统具备比较完善的抵抗攻击破坏的能力。2检测通过采取入侵检测、漏洞扫描、安全审计等技术手段，对信息系7XXXXXXXXXXXXX信息系统安全保障体系规划方案统运行状态和操作行为进行监控和记录，对信息系统的脆弱性以及面临的威胁进行评估，及时发现安全隐患和入侵行为并发出告警。3响应通过事件监控和处理工具等技术措施，提高应急处理和事件响应能力，保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。4恢复通过建立信息系统备份和恢复机制，保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。132安全管理体系规划目标本次项目通过风险评估对XXXX公司工业自身安全管理现状进行全面了解后，对信息安全管理整体提出以下目标1321健全信息安全管理组织建立全面、完整、有效的信息安全保障体系，必须健全、完善信息安全管理组织，这是XXXX公司工业信息安全保障体系建立的首要任务。信息安全管理组织的健全需要明确角色模型，在此基础上设计信息安全岗位职责和汇报关系，充分考虑XXXX公司工业与下属单位的组织模式和特点，做到信息安全职责分工明确合理、责任落实到位。1322建立信息安全专业服务团队随着XXXX公司工业信息化的推进，XXXX公司工业需要有一支拥有各种专业技能的团队提供身份认证、安全监控、威胁和弱点管理、风险评估等信息安全服务。信息安全团队建设的关键在于人才培养和服务团队的设立。XXXX公司工业将在明确信息安全服务团队设立方案的基础上制定人才培养计划，逐步培养在信息安全各个领域的专业技术人才，在35年的时间内建立起一支高素质的，能够满足XXXX公司工业信息安全需求的专业服务团队。8XXXXXXXXXXXXX信息系统安全保障体系规划方案1323建立完善的信息安全风险管理流程作为XXXX公司工业信息安全保障体系的基本理念之一，信息安全风险管理的实现需要建立完善的流程，XXXX公司工业将建立针对信息安全风险的全程管理能力和信息安全管理持续改进能力，将信息安全的管理由针对结果的管理变成针对过程的管理。XXXX公司工业信息安全风险管理流程需要覆盖需求分析、控制实施、运行监控、响应恢复四个环节，识别相应的信息安全风险管理核心流程，并进行流程设计和实施。1324完善信息安全制度与标准信息安全制度与标准是信息安全工作在管理、控制、技术等方面制度化、标准化后形成的一整套文件。XXXX公司工业已经制定并发布执行了一些信息安全相关的制度和标准，但是在完整性、针对性、可用性和执行效果方面都有较大的改进空间。例如在信息安全管理制度的上，没有依据XXXX行业行业信息安全保障体系建设指南或者是ISMS体系建设等标准和规范制定，从而使管理规定缺乏系统性。在前期调研中，发现只有系统支持和维护管理控制程序、信息设备及软件控制程序等少量管理文档，不足以满足XXXX公司工业对整个信息系统安全管理的需求。XXXX公司工业需要有计划的逐步建立一套完整的，可操作的信息安全制度与标准，并通过对执行效果的持续跟踪，不断完善，以形成一套真正符合XXXX公司工业需求、完整有效的信息安全制度与标准，为信息安全工作的开展提供依据和指导。1325建立规范化的流程随着信息化建设的推进，XXXX公司工业需要建设越来越多的应用系统，这些系统目前日常维护工作基本依靠系统维护人员的经验，因此逐步建立专业化的信息安全服务和规范化的流程成为信息安全保障体系建立的重要目标之一。9XXXXXXXXXXXXX信息系统安全保障体系规划方案14技术及运维体系规划参考模型及标准141参考模型目前安全模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护（PROTECTION）、检测（DETECTION）、响应（REACTION）P2DR）、响应图1_2P2DR2模型策略（POLICY）10XXXXXXXXXXXXX信息系统安全保障体系规划方案策略是P2DR模型的核心，所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。防护（PROTECTION）防护是主动防御的防御部分，系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部，防护手段也因此多种多样。检测（DETECTION）检测是动态响应和加强防护的依据。通过不间断的检测网络和系统，来发现威胁。响应（RESPONSE）响应是主动防御的实现。根据策略以及检测到的情况动态的调整防护，达到主动防御的目的。信息系统的安全是基于时间特性的，P2DR安全模型的特点就在于动态性和基于时间的特性。我们可以通过定义下列时间量来描述P2DR模型的时间特性。防护时间PT表示从入侵开始到侵入系统的时间。防护时间由两方面共同决定入侵能力，防护能力。高的入侵能力和相对弱的防护能力可以使得防护时间PT缩短。显然防护时间越长系统越安全。检测时间DT表示检测系统发现系统的安全隐患和潜在攻击检测的时间。改进检测算法和设计可缩短DT。响应时间RT表示从检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。一个监控系统的响应可能包括见识、切换、跟踪、报警、反击等内容。而安全事件的事后处理（如恢复、总结等）不纳入事件响应的范畴之内。暴露时间ET表示系统处于不安全状态的时间。可以定义ETDTRTPT。显然ET越小表示系统越安全，当ET0时，可以认为系统是安全的。随着技术的进步，人们在P2DR模型以后又提出了APPDRR模型，即在P2DR模型中加入恢复（RECOVERY）手段。这样一旦系统安全事故发生了，也能恢复系统功能和数据，恢复系统的正常运行。11XXXXXXXXXXXXX信息系统安全保障体系规划方案142参考标准主要参考标准信息保障技术框架V31（IATF）美国国家安全局信息系统安全管理指南（ISO13335）国际标准化组织信息安全风险评估指南（国标审议稿）中华人民共和国质监总局其它参考标准AS/NZS43601999风险管理标准ISO/IEC177992005/BS7799PART1ISO/IEC270012005/BS7799PART2ISO/IEC15408（CC）GB178591999等级保护实施意见（公通字200466号）计算机信息系统安全保护等级划分准则GB17859行业参考标准XXXX行业行业信息安全保障体系建设指南15管理体系规划参考模型及标准151国家信息安全标准、指南1GB/T202742006信息系统安全保障评估框架2GB/T1971512005信息技术信息技术安全管理指南第1部分信息技术安全概念和模型3GB/T1971522005信息技术信息技术安全管理指南第2部分管理和规划信息技术安全4GB/T197162005信息技术信息安全管理实用规则12XXXXXXXXXXXXX信息系统安全保障体系规划方案152国际信息安全标准1ISO/IEC270012005信息安全技术信息系统安全管理要求2ISO/IEC1333512004信息技术信息技术安全管理指南第1部分信息技术安全概念和模型3ISO/IECTR1544312005信息技术安全保障框架第一部分概述和框架4ISO/IECTR1544322005信息技术安全保障框架第二部分保障方法5ISO/IECWD154433信息技术安全保障框架第三部分保障方法分析6ISO/IECPDTR197912004信息技术安全技术运行系统安全评估153行业规范1数字XXXX行业发展纲要2XXXX行业行业信息安全保障体系建设指南（国烟办综2008147号）3XXXX行业行业计算机网络和信息安全技术与管理规范国烟法200317号4XXXX行业行业计算机网络建设技术与管理规范国烟办综2006312号5XXXX行业行业CA认证体系的建设方案（国烟办综2008116号）13XXXXXXXXXXXXX信息系统安全保障体系规划方案2技术体系建设规划21技术保障体系规划211设计原则技术保障体系的规划遵循一下原则先进性原则采用的技术和形成的规范，在路线上应与当前世界的主流发展趋势相一致，保证依据规范建成的XXXX公司工业网络安全系统具有先进性和可持续发展性。实用性原则具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长，相互补充。当某一种或某一层保护失效时，其它仍可起到保护作用。可靠性原则加强网络安全产品的集中管理，保证关键网络安全设备的冷热备份，避免骨干传输线路的单点连接，保证系统724小时不间断可靠运行。可操作性原则根据XXXX公司工业风险评估结果，制定出各具特色、有较强针对性和可操作性的网络安全技术保障规划，适用于XXXX公司工业信息安全的规划、建设、运行、维护和管理。可扩展性原则规范应具有良好的可扩展性，能适应安全技术的快速发展和更新，能随着网络安全需求的变化而变化，网络安全保护周期应与整个网络的工作周期相同步，充分保证投资的效益。212技术路线分级保护的思想遵照XXXX行业行业信息安全保障体系建设指南（国烟办综2008147号）、关于信息安全等级保护工作的实施意见（公通字【2007】33号）的要求，14XXXXXXXXXXXXX信息系统安全保障体系规划方案结合XXXX公司工业网络应用实际，XXXX公司工业网络的信息安全防护措施需要满足安全等级保护要求，必须按照确定的安全策略，整体实施安全保护。分层保护的思想按照XXXX公司工业业务承载网络的核心层、接入（汇聚）层、接入局域网三个层次，根据确定的安全策略，规范设臵相应的安全防护、检测、响应功能，利用虚拟专用网络（例如MPLSVPN、IPSECVPN、SSLVPN）、公钥基础设施/授权管理基础设施（PKI/PMI）、防火墙、在线入侵抵御、入侵检测、防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品，进行全方位的安全保护。分域保护的思想控制大型网络安全的另一种思想是把网络划分成不同的逻辑网络安全域，每一个网络安全域由所定义的安全边界来保护。综合考虑信息性质、使用主体等要素，XXXX公司工业网络划分为计算域、支撑域、接入域、基础设施域四种类型安全域。通过在相连的两个网络之间采用访问控制措施来进行网络的隔离和连接服务。其中，隔离安全服务包括身份认证、访问控制、抗抵赖和强审计等；连接安全服务包括传输过程中的保密、完整和可用等。动态安全的思想动态网络安全的思想，一方面是要安全体系具备良好的动态适应性和可扩展性。威胁和风险是在不断变化的，安全体系也应当根据新的风险的引入或风险累积到一定程度后，适时进行策略调整和体系完善；另一方面是在方案的制定和产品的选取中，注重方案和产品的自愈、自适应功能，在遭遇攻击时，具有一定的自动恢复和应急能力。22信息安全保障技术体系规划221安全域划分及网络改造安全域划分及网络改造是系统化安全建设的基础性工作。也是层次化立体化防御以及落实安全管理政策，制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。15XXXXXXXXXXXXX信息系统安全保障体系规划方案2211目标规划的理论依据22111安全域简介安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，相同的网络安全域共享一样的安全策略。相对以上安全域的定义，广义的安全域概念是指具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于物理环境策略和流程业务和使命人和组织网络区域主机和系统22112安全域作用理顺系统架构进行安全域划分可以帮助理顺网络和应用系统的架构，使得信息系统的逻辑结构更加清晰，从而更便于进行运行维护和各类安全防护的设计。简化复杂度基于安全域的保护实际上是一种工程方法，它极大的简化了系统的防护复杂度由于属于同一安全域的信息资产具备相同的IT要素，因此可以针对安全域而不是信息资产来进行防护，这样会比基于资产的等级保护更易实施；降低投资由于安全域将具备同样IT特征的信息资产集合在一起，因此在防护时可以采用公共的防护措施而不需要针对每个资产进行各自的防护，这样可以有效减少重复投资；16XXXXXXXXXXXXX信息系统安全保障体系规划方案同时在进行安全域划分后，信息系统和信息资产将分出不同的防护等级，根据等级进行安全防护能够提高组织在安全投资上的ROI（投资回报率）。提供依据组织内进行了安全域的设计和划分，便于组织发现现有信息系统的缺陷和不足，并为今后进行系统改造和新系统的设计提供相关依据，也简化了新系统上线安全防护的设计过程。特别是针对组织的分支机构，安全域划分的方案也有利于协助他们进行系统安全规划和防护，从而进行规范的、有效的安全建设工作。22113总体架构如下图所示安全域的划分如下图2_1安全与总体框架本次建议的划分方法是立体的，即各个域之间不是简单的相交或隔离关系，而是在网络和管理上有不同的层次。网络基础设施域是所有域的基础，包括所有的网络设备和网络通讯支撑设施17XXXXXXXXXXXXX信息系统安全保障体系规划方案域，网络基础设施域分为骨干区、汇集区和接入区。支撑设施域是其他上层域需要公共使用的部分，主要包括安全系统、网管系统和其他支撑系统等。计算域主要是各类的服务器、数据库等，主要分为一般服务区、重要服务区和核心区。边界接入域是各类接入的设备和终端以及业务系统边界，按照接入类型分为互联网接入、外联网接入、内联网接入和内网接入。图2_1安全域立体结构图22114多层次体系根据XXXX公司工业公司的情况，安全域的划分原则和划分方法，域是本次安全域划分的第一层结构，划分的原则是业务行为。XXXX公司工业公司安全域总体设计计划划分为4个域，分别是边界接入域、网络基础设施域、计算域、支撑设施域。18XXXXXXXXXXXXX信息系统安全保障体系规划方案2212建设规划内容22121边界接入域221211边界接入域的划分ISO13335信息系统管理指南中将一个组织中可能的接入类型分为以下几种组织单独控制的连接（内部接入）公共网络的连接（如互联网接入）不同组织间的连接（可信的）不同组织间的连接（不可信的）组织内的异地连接（如不同地理位臵的分支结构）组织内人员从外部接入（如出差时接入内部网）边界接入域的划分，根据XXXX公司工业公司的实际情况，相对于ISO13335定义的接入类型，分别有如下对应关系221212边界接入域威胁分析由于边界接入域是XXXX公司工业公司信息系统中与外部相连的边界，因此主要威胁有19XXXXXXXXXXXXX信息系统安全保障体系规划方案黑客攻击（外部入侵）恶意代码（病毒蠕虫）越权（非授权接入）终端违规操作221213边界接入域的防护针对边界接入域的主要威胁，相应的防护手段有访问控制（如防火墙）用于应对外部攻击远程接入管理（如VPN）用于应对非授权接入入侵检测与防御（IDSIPS）用于应对外部入侵和蠕虫病毒恶意代码防护（防病毒）用于应对蠕虫病毒终端管理（注入控制、补丁管理、资产管理等）对终端进行合规管理22122计算域221221计算域的划分计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合，根据计算环境的行为不同和所受威胁不同，分为以下三个区一般服务区用于存放防护级别较低（资产级别小于等于3），需直接对外提供服务的信息资产，如办公服务器等，一般服务区与外界有直接连接，同时不能够访问核心区（避免被作为攻击核心区的跳板）；重要服务区重要服务区用于存放级别较高（资产级别大于3），不需要直接对外提供服务的信息资产，如前臵机等，重要服务区一般通过一般服务区与外界连接，并可以直接访问核心区；核心区核心区用于存放级别非常高（资产级别大于等于4）的信息资产，如核心数据库等，外部对核心区的访问需要通过重要服务区跳转。20XXXXXXXXXXXXX信息系统安全保障体系规划方案计算域的划分参见下图图2_3计算域划分图221222计算域威胁分析由于计算域处于信息系统的内部，因此主要威胁有内部人员越权和滥用内部人员操作失误软硬件故障内部人员篡改数据内部人员抵赖行为对外服务系统遭受攻击及非法入侵221223计算域的防护针对计算域主要是内部威胁的特点，主要采取以下防护手段应用和业务开发维护安全基于应用的审计身份认证与行为审计同时也辅助以其他的防护手段21XXXXXXXXXXXXX信息系统安全保障体系规划方案对网络异常行为的检测对信息资产的访问控制22123支撑设施域221231支撑设施域的划分图2_4支撑基础设施域划分图如上图所示，将网络管理、安全管理和业务运维（业务操作监控）放臵在独立的安全域中，不仅能够有效的保护上述三个高级别信息系统，同时在突发事件中也有利于保障后备通讯能力。其中，安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中，如果条件允许，还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。221232支撑设施域的威胁分析支撑设施域是跨越多个业务系统和地域的，它的保密级别和完整性要求较高，对可用性的要求略低，主要的威胁有网络传输泄密（如网络管理人员在网络设备上窃听业务数据）22XXXXXXXXXXXXX信息系统安全保障体系规划方案非授权访问和滥用（如业务操作人员越权操作其他业务系统）内部人员抵赖（如对误操作进行抵赖等）221233支撑设施域的防护针对支撑设施域的威胁特点和级别，应采取以下防护措施带外管理和网络加密身份认证和访问控制审计和检测22124网络基础设施域221241网络基础设施域的划分图2_5网络基础设施域划分图221242网络基础设施域的威胁分析主要威胁有网络设备故障网络泄密物理环境威胁23XXXXXXXXXXXXX信息系统安全保障体系规划方案221243网络基础设施域的防护相应的防护措施为通过备份、冗余确保基础网络的可用性通过网络传输加密确保基础网络的保密性通过基于网络的认证确保基础网络的完整性222现有信息技术体系描述2221XXXX公司工业现有网络拓扑2222XXXX公司工业网络结构脆弱性评估22221网络结构层次不清晰当前网络骨干区域，基本形成以两台C6509为核心，多台C2970/C2950等为接入的架构，网络骨干设备性能优异，扩展能力较强。但部分区域仍然存在结构层次不清晰、不合理之处。远程接入区域，包括XXX单位通过专线直接接入到核心交换机C6509上，其24XXXXXXXXXXXXX信息系统安全保障体系规划方案它的上联国家局、XXXX公司工业局、西仓等专线链路也直接接入到核心交换机C6509上，除国家局配臵有防火墙外，其它连接均未经过任何汇聚或访问控制设备。核心交换机C6509同时兼具上述多条专线接入设备的任务，网络逻辑层次结构较为模糊。22222网络单点故障当前网络核心层为冗余设备，下联接入层交换为冗余线路，其它对外连接均为单设备和单线路连接，存在网络单点故障隐患。各远程接入链路均为一条电信专线，没有其它冗余的广域网链路，存在远程接入链路单点故障。外网服务器区的WEB和MAIL服务器的互联网连接和访问均为单线路，存在单点故障。22223网络安全域划分不明公司大多数内网服务器系统分布在10991280/24网段，没有进一步的VLAN划分及其它防护措施的隔离。ERP、一号工程、协同办公、营销等重要系统混杂在一起，与其它服务器都部署在同一个区域，非常不利于隔离防护及后期的安全规划建设。下属卷包、物流、制丝、动力车间存在生产网与办公网络混用的情况。各生产网与办公网未严格隔离，未整合边界，未实施集中安全防护。业务维护人员、网络管理人员、安全管理人员以及第三方运维人员，未划分专门的管理支撑域。当前主要根据办公物理位臵，各自接入到办公网中，未与普通办公人员网络区域隔离。远程接入区域，根据对端可信度及管理职责等，可以划分为四类，1、国家XXXX行业；2、省商业公司链路；3、同城的西仓库接入；4、XXX单位接入。当25XXXXXXXXXXXXX信息系统安全保障体系规划方案前未进行分类隔离，统一安全策略。22224部分节点区域缺乏必要安全防护措施内部终端用户访问内部服务器、互联网络没有有效的控制行为；能够访问互联网的终端不能有效控制访问带宽并进行行为审计。远程接入西仓和XXX单位专线直接接入到核心交换机CISCO3845上，两端均未部署防火墙实施访问控制。XXX单位用户可以任意访问到总部网络，任意访问内网服务器。全网缺乏一套集中的安全运营管理中心，当前网络设备、安全设备、主机及业务系统的日志及安全运行状况监控，仅由各自维护人员手工操作，直接登录设备检查分析。内网服务器区、生产服务器区缺乏业务审计设备，无法记录关键的业务、维护操作行为。22225现有的安全技术防护手段1、在互联网出口部署了东软的NETEYESFW4201防火墙两台，同时设臵访问规则对WEB服务器和内网用户对互联网的访问进行网络层控制；2、在核心交换机上部署了东软的NETEYESIDS2200入侵检测系统，对核心交换上的数据信息进行入侵行为的检测；3、4、5、在邮件系统部署了防垃圾邮件系统，可对垃圾邮件进行过滤；内网部署了趋势的网络防病毒系统，内网部署了圣博润的内网管理系统，可对内部网络终端进行接入管26XXXXXXXXXXXXX信息系统安全保障体系规划方案理、主机维护管理、补丁管理、主机行为审计等。2223XXX单位现有网络拓扑2224XXX单位网络结构脆弱性评估22241网络结构层次不清晰当前网络骨干区域，是以S5516为单核心设备连接上联C2601路由器至XXXX公司工业，下联S3026接入交换机连接终端。网络骨干设备性能较差，扩展能力很弱。各区域存在结构层次不清晰、不合理之处。网络核心交换S5516如果瘫痪，整个网络通讯将断开；服务器直接连接漏洞交换机，一旦设备出现故障则一号工程、内网管理等业务系统无法正常工作，将引起业务系统网络通讯的中断。27XXXXXXXXXXXXX信息系统安全保障体系规划方案22242网络单点故障核心设备、上联线路为单条线路，存在网络单点故障隐患。上联链路仅为一条电信专线，没有其它冗余的广域网链路，存在远程接入链路单点故障。一号工程、内网管理服务器仅单线连接在楼层交换机上，楼层交换本身为单线连接核心交换，连接和访问均为单线路，存在单点故障。22243网络安全域划分不明XXX单位一号工程、内网管理服务器系统分布在10991340/24网段，仅简单的通过VLAN与办公网其他主机划分，并未采取其它防护措施的隔离，非常不利于隔离防护及后期的安全规划建设。22244部分节点区域缺乏必要安全防护措施内部终端用户访问内部服务器、互联网络没有有效的控制行为；能够访问互联网的终端不能有效控制访问带宽并进行行为审计。此问题可与XXXX公司工业解决建议方案同时及解决。全网缺乏一套集中的安全运营管理中心，当前网络设备、安全设备、主机及业务系统的日志及安全运行状况监控，仅由各自维护人员手工操作，直接登录设备检查分析。此问题可与XXXX公司工业解决建议方案同时解决。内网服务器区、生产服务器区缺乏业务审计设备，无法记录关键的业务、维护操作行为。22245现有的安全技术防护手段1、互联网访问通过专线到达XXXX公司工业后访问，因此防护技术手段28XXXXXXXXXXXXX信息系统安全保障体系规划方案与XXXX公司工业相同；2、3、内网部署了趋势的网络防病毒系统，内网部署了圣博润的内网管理系统，可对内部网络终端进行接入管理、主机维护管理、补丁管理、主机行为审计等。23技术体系规划主要内容231网络安全域改造建设规划2311XXXX公司工业网络系统规划建议改造建议说明1、新增管理支撑域，作为整个网络的设备和系统管理中心。2、新增汇聚层网络设施域，部署四台三层交换机，核心部件采用冗余配臵，作为整个网络的汇聚层，这样既便于接入区和服务区的访问控制，又将生产区和办公区进行了区分，并分担了核心交换机的负担。29XXXXXXXXXXXXX信息系统安全保障体系规划方案3、在核心交换和新增的汇聚交换间部署防火墙进行服务域的访问控制；4、将原有的服务器使用VLAN方式划分为核心服务域和一般服务域；5、更换互联网出口防火墙为安全网关，采用双机冗余方式部署，并启用IPS检测、AV检测功能，为对外提供服务的WEB和MAIL服务器制定保护策略；6、在互联网安全网关后增加上网行为管理系统，采用双机冗余方式部署，对访问互联网的流量和访问进行控制和审计；7、将互联网出口替换下的防火墙部署到单独划分的财务服务域前端，进行必要的访问控制保护；8、将XXX单位和西仓连接线路由原来的连接核心C6509改为连接新增加的汇聚层防火墙上，增加外部访问的访问控制。30XXXXXXXXXXXXX信息系统安全保障体系规划方案2312XXX单位网络系统改造建议1、建议将核心交换更改为双机冗余方式，可采取主备模式或者一台设备冷备的方式；2、单独部署服务器交换机，可采取主备模式或者一台设备冷备的方式，其中冷备设备可与核心备用机器为同一台设备；3、可考虑新增一条备用通讯线路，例如选用ADSL线路作为应急通讯线路，通过VPN方式与XXXX公司工业网络进行通讯；4、对于办公网内接入交换上联核心的线路可考虑部署双线路方式，实现线路冗余，这样可避免因为意外状况造成线路中断后的网络中断，接入交换设备可增加12台冷备设备；5、可在网络边界部署防火墙设备进行访问控制。31XXXXXXXXXXXXX信息系统安全保障体系规划方案232网络安全设备建设规划网络安全设备分为边界保护类，入侵检测/防御类，终端保护等多种。网络安全产品的类型是由网络安全技术决定的，为了实现全面的安全防护，以不同的实体出现的安全设备要在技术上覆盖所有的安全领域，也就是所有安全设备功能的总和在技术层面应该能够防御目前网络环境下所有安全威胁的总和。安全产品虽然不是安全防护体系的决定因素，却是安全防御体系的基石。是实现系统化全方位网络安全防护的必要条件。在充分分析目前XXXX公司工业已经部署的网络安全设备的前提下，又结合了风险评估的结果，以及安全域划分和网络改造的具体需求，得出了最终需要新增的网络安全设备需求。此过程保证在设备层面实现安全技术体系。部署完成后，XXXX公司工业所有安全设备防护功能的总和在技术层面上将能够满足防护和应对目前已知安全威胁。同时满足XXXX行业行业信息安全保障体系建设指南中在技术体系建设方面对网络安全部分的要求。结合规划的安全域，在新的安全环境下，规划的安全设备部署示意图如下32XXXXXXXXXXXXX信息系统安全保障体系规划方案2321防火墙设备23211部署位臵防火墙部署在核心层和汇聚层之间。如下图所示。23212安全功能防火墙系统是进行安全域边界防护的有效手段。需要部署防火墙将网络分割成不同安全区域，并对核心业务系统形成纵深保护体系。在新增的汇聚网络层和核心网络层之间冗余部署四台防火墙设备，实现生产接入域、办公接入域和其他区域访问的控制，生产接入域和办公接入域之间的访问控制。通过此次安全域的划分和网络改造，使防火墙主要可以起到如下几类作用限制各个接入网络对网络设备的访问。限制接入网络穿过的源。限制接入网络能访问的目的。限制接入网络穿过的应用端口。限制能提供的应用端口。33XXXXXXXXXXXXX信息系统安全保障体系规划方案2322安全网关设备23221部署位臵一体化安全网关部署在互联网出口处，做互联网边界综合防护。如下图所示。23222实现安全功能访问控制IP地址过滤、MAC地址过滤、IPMAC绑定、用户认证、流量整形、连接数控制等IPS防御体系通过继承的IPS功能，精确抵御黑客攻击、蠕虫、木马、后门；抑制间谍软件、灰色软件、网络钓鱼的泛滥；并可有效防止拒绝服务攻击。网络防病毒能够有效抵御文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。34XXXXXXXXXXXXX信息系统安全保障体系规划方案抗DOS攻击采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性，阻断绝大多数的DOS攻击行为。2323上网行为管理设备23231部署位臵上网行为管理部署在互联网出口处。如下图所示。23232安全功能P2P流量控制目前几乎在所有组织中都存在着带宽滥用和浪费的现象。尤其是在P2P技术出现之后，此问题更加严重和突出。XXXX公司工业也不例外，存在着P2P泛滥，35XXXXXXXXXXXXX信息系统安全保障体系规划方案带宽滥用等现象。各种P2P应用占用了大量网络带宽如BITTORRENT，KAZZA，EMULE等，消耗了网络中的大量带宽，随之而来的是，由网络链路拥塞引发的应用性能下降问题也日益严重，极大地影响了组织正常业务的开展及用户正常网络应用的服务质量。因此必须对P2P的应用加以控制，例如提供最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能，最终可实现禁止使用P2P软件或限制P2P软件的可用带宽，从而达到控制P2P流量的目标，将宝贵的、有限的带宽资源保留给组织中关键的应用和业务。服务分级服务分级是一种带宽管理的理解方式。也可以理解为某种程度上QOS。服务分级处理可以比喻为一个多车道并行的高速公路，其中各种不同的车辆都按照一定的规则行驶在不同的车道上，带宽管理设备在这里就相当于分流的路口。比如，视频点播业务需要很高的带宽，并且要保证数据流的连续性，要达到这样的要求，必须为其预留出单独的高带宽通道；而一般的邮件服务和聊天等占据很少带宽的业务，可能会被分配为较低的优先级，使用一个窄带传输。同样的，针对不同访问需求的用户也可以进行服务的分级处理，对带宽要求高的人员可以获得较多的带宽，从而保证其访问的需求。关键应用保障目前XXXX公司工业在应用方面已经建立基于互联网的WEB和MAIL系统，需要在应用层加以优先保证。上网行为管理设备可以基于应用的重要程度进行带宽资源的合理分配，从而保证重要的、时效性高的应用能够获得较多的带宽，最终能够保障关键应用的正常运行。2324业务安全审计设备23241部署位臵网络安全审计设备主要部署在核心业务区域，按照XXXX公司工业安全域的36XXXXXXXXXXXXX信息系统安全保障体系规划方案规划，需要部署业务审计系统的位臵为服务域（核心服务域一般服务域），生产服务域（卷包中控、物流中控、制丝中控、动力中控），重点审计内容是人为通过网络对各服务器系统、数据的访问行为审计和控制，部署示意图如下服务域审计系统部署示意图生产服务域审计系统部署示意图23242安全功能满足合规要求目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求；而银行业则面临BASEL协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保37XXXXXXXXXXXXX信息系统安全保障体系规划方案护的合规性要求。XXXX公司工业面也面临着合规性的要求。一是等级保护的要求；二是行业规范的要求。在国烟办的147号文件中，明确要求部署网络审计设备。有效减少核心信息资产的破坏和泄漏对企业的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上（如数据库服务器、应用服务器等），通过使用网络安全审计系统，能够加强对这些关键系统的审计，从而有效地减少对核心信息资产的破坏和泄漏。追踪溯源，便于事后追查原因与界定责任一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（例如掌握DBA帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。试用网络安全审计系统提供基于角色的审计，能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。直观掌握业务系统运行的安全状况业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说，网络环境的安全状况事关重大。网络安全审计系统提供业务流量监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况。实现独立审计与三权分立，完善IT内控机制从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。网络安全审计系统基于网络旁路监听的方式实现独立的审计与三权分立，完善了IT内控机制。38XXXXXXXXXXXXX信息系统安全保障体系规划方案2325漏洞扫描设备23251部署位臵漏洞扫描系统部署在管理支撑域，通过一个二层接入交换机接入到核心交换机，示意图如下图所示23252安全功能通过对网络设备，操作系统，应用系统的扫描，有效了解系统弱点，为实施安全防护方案和制定安全管理策略提供依据和参考。制定周期性扫描计划，实现周期性的安全自评，为有效的风险管理提供参考和支持。23253补充设备部署由于系统已经规划部署了业务审计系统，为了防止各系统时间不同步，从而导致审计数据记录时间不同，进而影响审计系统数据的参考价值，因此需要在内网部署时间同步服务器。由于该服务器架设比较简单，在WINDOWS操作系统下即可轻松搭建NTP服务器，此处不再给出具体方案。39XXXXXXXXXXXXX信息系统安全保障体系规划方案233CA认证体系建设2331现状XXXX公司工业目前暂无CA认证系统，但按照国家总局的统一建设要求，已经将CA认证系统作为即将开始的项目。2332建设规划目标通过建设CA认证体系，为业务应用系统提供稳定可靠的信息安全服务，切实保障系统使用人员身份的真实性、信息传输的保密性、数据交换的完整性、发送信息的不可否认性，为信息化建设和发展奠定安全基础。按照国家XXXX行业专卖局办公室关于印发XXXX行业行业CA认证体系建设方案的通知国烟办综2008116号文件要求，结合自身实际情况，建立XXXX公司工业CA，是XXXX行业行业的二级CA，为本企业所属范围内的行业内人员，或者与本单位有业务联系的单位及人员提供数字证书的发放和管理服务。2333建设规划内容23331CA认证体系平台建设按照XXXX行业行业CA认证体系建设方案规范，XXXX公司工业行业CA认证体系项目由数字证书签发服务平台标准版、数字证书应用支撑平台和数字证书系综合监管平台组成，如下图所示。40XXXXXXXXXXXXX信息系统安全保障体系规划方案参考上图，本次建设的企业级数字证书签发服务平台标准版，主要建设内容包括CA、RA、KMC系统；数字证书应用支撑服务平台，主要建设内容包括签名服务器、SSL安全代理服务器、身份认证系统、时间戳服务器；数字证书综合监管平台，主要建设内容包括数字证书备案系统、数字证书安全审计系统。如下图所示23332CA认证体系应用建设1、应用系统身份认证利用CA认证体系同现有应用系统的身份认证方式相结合，针对重要业务系41XXXXXXXXXXXXX信息系统安全保障体系规划方案统或重要岗位，进行身份验证，保留登录记录，落实责任，方便管理。2、综合应用平台单点登录对已建设的信息系统进行整合和数据交流，并提供统一身份验证平台，实行信息门户单点登录。CA认证体系建设和该平台相结合，使单点登录系统更安全，并便于管理。3、远程VPN访问身份认证由于营销人员等分布全国各地，需要远程访问公司服务器。CA认证系统和VPN远程访问控制相结合，更能保障身份唯一性，并大幅提高互联网访问的安全性。234数据安全保障2341建设规划目标23411知识产权保障知识产权就是现代企业的生命，现在的企业越来越重视知识产权的保护，根据国家知识产权局的统计，每年知识产权相关的案件数量在以30以上的速度进行递增。保证知识产权，就相当于保障企业的生存空间。通过部署电子文档安全系统，使得企业成为电子数据的真正所有者，保证企业知识产权。有效提高企业在市场上的竞争力。23412电子文档管理流程优化通过部署电子文档安全系统，优化文档安全管理工作的效率，从前需要人工42XXXXXXXXXXXXX信息系统安全保障体系规划方案审核的部门由计算机网络取代，提高了工作效率。同时，在服务器上备份所有的文件审查日志。数据的完整性、可靠性都得到了极大的提升，也减免了传统的纸质备份保密资料给企业带来的成本。2342建设规划内容23421建议部署结构在进行文档保护系统部署结构时，考虑到必须保证业务的高可用性。因此，采用了双服务端热备设计，此举能够保证，在一台服务器出现故障的时候，另一台会接管故障服务器的工作，保证业务的可用性。如果XXX单位和分支机构的网络和总部的链路稳定，那么可使分支结构客户端直接联入总部的服务端；如果分公司的网络和总部的链路不稳定，则可在分支机构架设二级服务器，使用“区域自治，集中管理”的模式来使得分支机构客户端能够正常运行。23422建议权限划分建议根据XXXX公司工业用户角色不同，初步将用户权限规划为如下43XXXXXXXXXXXXX信息系统安全保障体系规划方案针对不同的用户，可以随时灵活的变更权限，保证安全性和易用性两不误。23423系统使用在正常使用的过程中，最终用户一般感受不到电子文档的存在，除非用户需要将文件解密；带电脑离开公司的网络环境；希望产生的文档不加密；需要把机密文档中的文字复制到特定的网站。44XXXXXXXXXXXXX信息系统安全保障体系规划方案235终端安全管理2351建设规划目标XXXX公司工业现已经部署了一套综合的终端安全管理系统，实现了对网络终端进行主动的管理和控制、补丁分发、强制安全策略、远程帮助等主要功能。通过该系统，实现终端主动防护能力和有效的管理，形成整体的安全准入控制体系。如下图2352实现安全功能终端准