信息系统安全规划方案

来源：哗拓教育

信息系统安全规划方案

信构企业信用信息管理系统安全规

划建议书

信息系统安全规划建议书

1. 总论 ..................................................................................................................................................... 4 1.1. 项目背景 ..................................................................................................................................... 4 1.2. 项目目标 ..................................................................................................................................... 4 13 依据及原则 ................................................ 错误！未定义书签。

1.3.1. 原则 .............................................. 错误！未定义书签。

1.32 依据 ..................................................... 错误！未定义书签。

1.4.项目范围 ......................................................................................................................................... 8 2. 总体需求 ........................................................................................................................................... 8 3. 项目建议 ............................................................................................................................................. 9 3.1. 信构企业信用信息管理系统安全现状评估与分析 ............................................................. 9 3.1.1. 评估目的 ............................................................................................................................ 9 3.1.2. 评估内容及方法 ........................................................................................................... 10 3.1.3. 实施过程 ......................................................................................................................... 15 3.2. 信构企业信用信息管理系统安全建设规划方案设计 ...................................................... 24 3.2.1. 设计目标 ......................................................................................................................... 24 3.2.2. 主要工作 ........................................................................................................................ 25 3.2.3. 所需资源 ......................................................................................................................... 28 3.2.4. 阶段成果 ......................................................................................................................... 28 4. 附录 .................................................................................................................................................. 28

4 / 34-

信息系统安全规划建议书

4.1.项目实施内容列表及报价清单 ............................................................................................... 28

5 / 34-

信息系统安全规划建议书

1. 总论

1.1. 项目背景

******************

以下简称“ ******** ）隶属

***********

，主

要工作职责是根据

权，负责 .......................... ；负责 ........................................... 等工作。

的授

******** *********

部门，在印前，需要

在整个 ................ 业务流程中信构企业信用

信息管理系统起了关键的作用

1.2. 项目目标

以国家信息安全等级保护相关文件及

IS027001/GBT22080为指导，结

合******** 信构企业信用信息管理系统安全现状及未来发展趋势，建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估，积极采取各种安全管理和安全技术防护措施，落实信息安全等级保护相关要求，提高信构企业信用信息管理系统安全防护能力。

6 / 34-

信息系统安全规划建议书

从技术与管理上提高 ******** 网络与信构企业信用信息管理系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止企业信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信构企业信用信息管理系统安全稳定运行，确保业务数据安全。

7 / 34-

信息系统安全规划建议书

1.3.依据及原则

1.3.1.原则

以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务、信构企业信用信息管理系统，在方案设计中遵循以下的原则：

＞适度安全原则

从网络、主机、应用、数据等层面加强防护措施，保障信构企业信用信息管理系统的机密性、完整性和可用性，同时综合成本，针对信构企业信用信息管理系统的实际风险，提供对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

＞重点保护原则

根据信构企业信用信息管理系统的重要程度、业务特点，通过划分不同安全保护等级的信构企业信用信息管理系统，实现不同强度的安全保护, 集中资源优先

保护涉及核心业务或关键信息资产的信构企业信用信息管理

系统。

＞技术管理并重原则

把技术措施和管理措施有效结合起来，加强*卅枠材信构企业信用信息管理系统的整体安全性。

＞标准性原则

信息安全建设是非常复杂的过程，在规划、设计信息安全系统时，单纯依赖经验是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准, 从更全面的角度进行差异性分析。

同时，在规划、设计********信息安全保护体系时应考虑与其他标准

8 / 34-

信息系统安全规划建议书

的符合性，在方案中的技术部分将参考IATF安全体系框架进行设计，在管理方面同时参考27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性。

＞动态调整原则

信息安全问题不是静态的，它总是随*********的安全组织策略、组织架构、信构企业信用信息管理系统和操作流程的改变而改变，因此必须要跟踪信构企业信用信息管理系统的变化情况，调整安全保护措施。

＞成熟性原则

本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。

＞科学性原则

在对********信构企业信用信息管理系统进行安全评估的基础上，对其面临的威胁、弱点和风险进行了客观评价，因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决********信息网络中存在的安全问题，满足特性需求。

1.3.2.依据

1.3.2. 1.文件

＞关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知（中办[2003]27号文件）

关于印发《信息安全等级保护工作的实施意见》的通知（公

9 / 34-

通字 [2004]66 号文件）关于印发《信息安全等级保护管理办法》的通知（公通字 [2007]43 号文件）

《信息安全等级保护管理办法》（公通字 [2007]43 号）《关于开展全

国重要信构企业信用信息管理系统安全等级保护定级工作的通知》（公信安

[2007]861 号）

《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安 [2009]1429 号）

1.2.1.1. 标准规范

计算机信构企业信用信息管理系统安全保护等级划分准则（GB/T 17859-1999 ）

信息安全技术信构企业信用信息管理系统安全等级保护实施指南信息安全技术信构企业信用信息管理系统安全保护等级定级指南（ GB/T

22240-2008 ）

信息安全技术信构企业信用信息管理系统安全等级保护基本要求（ GB/T

22239-2008 ）

信息安全技术信构企业信用信息管理系统安全等级保护测评要求信息安全技术信构企业信用信息管理系统安全等级保护测评过程指南信息安全技术信构企业信用信息管理系统等级保护安全设计技术要求

1.3. 项目范围

按照国家有关规定和标准规范要求，坚持管理和技术并重的原则，将技术措施和管理

信息系统安全规划建议书

措施有机结合，建立信构企业信用信息管理系统综合防护体系，提高信构企业信用信息管理系统整体安全保护能力。依据《信构企业信用信息管理系统安全等级保护基本要求》（以下简称《基本要求》），落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

根据 ******** 现状和 ******** 规划，确定本项目主要建设内容包括：网络结构调整、物理安全建设、主机及应用系统安全建设、数据存储与备份安全建设、终端安全建设、运行及优化等。

2. 总体需求

******** 在充分利用现有信息化成果的基础上，进一步将信息化技术深入应用于管理、

设计、协同等各方面，建立和完善以信息和网络技术为支撑，满足 ************ 服务等所需的信息网络体系和协同工作平台，满足公司运营管控的信息化平台，实现技术、人力、资金、设备、知识资源的共享。

目前 ******** 随着业务不断增加信息化建设的进度必须满足业务发展的需要。

******** 信构企业信用信息管理系统安全建设，旨在从技术与管理上加强公司网络与信

构企业信用信息管理系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止 ******** 信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信构企业信用信息管理系统安全稳定运行，确保业务数据安全。

针对 ******** 信构企业信用信息管理系统安全现状及未来的需求分析，亟需建立一整套完善的安全体系。该体系包括信构企业信用信息管理系统的安全管理体系和技术产品的

11 / 34-

信息系统安全规划建议书

技术体系。通过两个体系的建立，实现 ******** 信构企业信用信息管理系统的所有信息资产以及与 ****** 之间进行安全的管理和技术保护。同时通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。整个安全体系包括网络平台安全、应用安全、系统平台安全以及物理和环境的安全等内容。

3. 项目建议主要完成两项工作，一是信构企业信用信息管理系统安全现状调查

与分析；二是信构企业信用信息管理系统安全建设规划方案设计。

3.1. 信构企业信用信息管理系统安全现状评估与

分析

3.1.1.

评估目的

为了准确把握 *********** ****** 当前现状，了解当前存在的缺陷和

不足，完善信构企业信用信息管理系统整体安全。以信构企业信用信息管理系统安全等级保护标准为基础，对信构企业信用信息管理系统安全进行符合性分析，作为

********************** 信构企业信用信息管理系统安全规划的原始标准和改进依据。

3.1.2. 评估内容及方法

3.1.2.1. 评估内容

结合信构企业信用信息管理系统安全等级保护基本要求标准，对

******** 的信构企业信用信息管理系统进行测试评估，应包括两个方面的内容：一是安全控

12 / 34-

信息系统安全规划建议书

制评估，主要评估信息安全等级保护要求的基本安全控制在信构企业信用信息管理系统中的实施配置情况；二是系统整体评估，主要评估分析信构企业信用信息管理系统的整体安全性。其中，安全控制评估是信构企业信用信息管理系统整体安全评估的基础。

对安全控制评估的描述，使用评估单元方式组织。评估单元分为安全技术评估和安全管理评估两大类。安全技术评估包括：物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制评估；安全管理评估包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估。具体见下图：

信息系统等级保护测谀

安全控制测评系统整体测评 \" 厂宝全技术测评物理安全 T L 、网络安全工主机安全工应用安全数据安全

、、 \\ ~1 安全管理测评” A - 气安全管理机构安全管理制度' 人员安全管理系统建设管理 ~T 系统运维管理 H 安全拦制冋层［Hl fsJ 、区域间 ” 整体结构安全「 ~r 1 不同信绘紊统间龍体左伞性 T 1 ,, 整体架构/局部架构由于********在信构企业信用信息管理系统安全规划建议是基于信构企业信用信息管理系统安全等级保护基本要求标准（二级）之上，因此，共需要对技术与管理两大方面、十个层面的行安全评估。

66个控制项、175个控制点进

、 32221

技术部分

13 / 34-

信息系统安全规划建议书

技术部分将对********的物理安全、网络安全、主机安全、应用安全、数据安全及备份的五个层面进行安全控制评估。

32222

管理部分

安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估

3.122.

评估方法

评估实施阶段的工作主要是进入评估现场以后，依据《信构企业信用信息管理系统安全等级保护实施指南》和评估计划和方案的要求，通过各种评估方式对涉及信构企业信用信息管理系统安全各个层面进行评估。评估的主要方式包括：

3・1・2・2・1文档审核

文档审核的对象主要是与被评估信构企业信用信息管理系统安全性有关的各个方面的文档，如：安全管理制度和文件、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料等等。通过对这些文档的审核与分析确认评估的相关内容是否达到了等级的要求。

3・1・2・2・2现场访谈

评估人员与被评估信构企业信用信息管理系统的相关人员进行交谈和问询，了解信构企业信用信息管理系统技术和管理方面的一些基本信息，并对一些评估内容及其文档审核的内容进行核实。

人员访谈是通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点，对客户的信息安全管理体系、信息安全运维过程等方面，对比等级要求进行测试。

评估人员通过与信构企业信用信息管理系统有关人员（个人

14 / 34-

/群体）进

信息系统安全规划建议书

行交流、讨论等活动，获取证据以证明信构企业信用信息管理系统安全等级保护措施是否有效，评估中使用各类调查问卷和访谈大纲。

评估方法人员访谈 15 / 34-

信息系统安全规划建议书

简要描述根据系统定级，对安全管理制度的制定及执行情况进行检杳达成目标主要内容了解甲方安全管理制度的制定情况、落实情况安全组织和管理，安全策略和程序，应用安全管理，数据安全管理，操作系统安全管理，网络安全管理，访问控制管理，物理安全控制，业务连续性管理（含备份）实现方式管理制度和程序文件的收集和分析分析和现场检查管理过程记录问卷和现场访谈

工作结果甲方安全管理制度访谈结果 3・1・2・2・3现场检查

现场检查主要是对一些需要在现场上机进行实际检查与确认的信息进行核实，以及对某些访谈和文档审核的内容进行核实。

评估人员通过对评估对象进行观察、查验、分析等活动，获取证据以证明信构企业信用信息管理系统安全等级保护措施是否有效的一种方法，评估过程中使用各种检查表和相应的安全调查工具。

人工审计对实施人员的安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的安全领域经验，这样才能对技术评估对象中物理层、网络层、主机层、数据层和客户层的所有安全对象目标进行最有效和最完整的安全检查，并提供最合理和最及时的安全建议。

评估方法简要描述人工审计作为漏洞扫描的辅助手段，通过登陆系统控制台的方式人工核查和分析系统的安全配置情况达成目标

检测系统的安全配置情况，发现配置隐患系统控制台配置审计利用安全配置审计脚本、安全配置核查系统及手工配置检查对评估对象的安全配置情况进行审计、核查 16 / 34-

主要内容实现方式

信息系统安全规划建议书

工作结果甲方系统人工审计结果报告 3・1・2・2・4工具测试

工具测试主要是根据被评估信构企业信用信息管理系统的实际情况，评估人员使用某些技术工具对信构企业信用信息管理系统进行测试。一般包括漏洞扫描（仅限于终端）、性能测试、配置检查、日志与记录分析等内容。

在本次差距评估服务项目实施中，使用的工具包括网络和系统漏洞扫描工具、应用漏洞扫描工具、综合扫描工具、网络协议分析工具、渗透测试工具和其它相关工具等。

漏洞扫描

漏洞扫描是通过自动化的评估工具（安全评估系统或扫描器），根据其内置的评估内容、测试方法、评估策略及相关数据库信息，从系统内部、外部对系统进行一系列的脆弱性检查，发现潜在安全风险问题，如易猜出的密码、用户权限、用户设置、关键文件权限设置、路径设置、密码设置、网络服务配置、应用程序的可信性、服务器设置以及其他含有攻击隐患的可疑点等。使用漏洞扫描工具的优点是能够明显降低评估工作量，且其报表功能较为强大，有的还具备一定的智能分析和数据库升级功能。

评估方法简要描述利用漏洞扫描工具从网络的不同接入点对甲方网络内的网络设备、主机、应用和数据库等系统进行脆弱性检查和分析

漏洞扫描达成目标发掘甲方信构企业信用信息管理系统的安全漏洞，提出 17 / 34-

信息系统安全规划建议书

漏洞修补建议主要内容实现方式

以多种漏洞扫描工具实施漏洞扫描利用安全扫描器等多种漏洞扫描工具进行安全评估甲方系统漏洞扫描分析结果报告工作结果安全测试

安全测试包括功能测试、性能测试及渗透测试。主要针对应用系统的功能及性能方面进行测试，验证应用系统的功能及性能是否符合要求；以及从操作系统、数据库系统、应用系统及网络设备等方面可能存在的漏洞及弱点出发，对网络系统进行渗透性测试，验证网络系统的安全防护是否有效。

评估人员通过对评估对象进行探测、分析、测试及验证等活动，获取证据以证明信构企业信用信息管理系统安全等级保护措施是否有效，评估过程中会使用到各种专业的测试工具。

评估方法简要描述安全测试作为人工审计及安全检查的辅助手段，通过对设备及系统的功能、性能、安全性等进行测试和验证，核查设备及系统的安全防护情况达成目标主要内容实现方式检测系统的安全防护情况，发现深度的安全隐患设备及系统的功能、性能及安全性测试主要通过人工方式，并配合使用多种评估工具对设备及系统的功能、性能及安全性方面进行测试

工作结果甲方系统安全测试结果报告 3.13 实施过程

信构企业信用信息管理系统安全等级保护差距评估的全过程以项目管理理论为基础，整个评估过程共分评估准备、现场评估、评估分析和整改规划四个阶段。

18 / 34-

信息系统安全规划建议书

3.1.3.1. 评估准备 3.1.3.1.1 阶段主要工作

在本阶段的主要工作包括：编制基于等级保护基本要求标准的差距评估实施计划，明确差距评估小组成员及其职责、分工、沟通的流程，明确 ****** 及用户双方的工作分工、权利和义务，进行相关数据信息的收集，召开差距评估启动，获取资料信息等工作。各方的主要职责分工如下：

****** ・

1. 负责编制基于等级保护基本要求标准的差距评估实施计划； 2. 确定实施人员、工作职责、实施时间和具体内容； 3.

准备评估工具（表单、技术工具等）。用户方：

确定用户方的参与人员及工作职责；双方共同：

1. 召开基于等级保护基本要求标准的差距评估启动会；

讨论并确定本差距评估与风险分析实施计划。

3.1.3.1.2 所需资源

需要用户方提供以下必要的资料及信息：

1. 资产清单及信构企业信用信息管理系统拓扑图； 2. 涉及资产的配置情况。 3.

规章制度相关文档

19 / 34-

信息系统安全规划建议书

3.1.3.1.3 阶段成果

在本阶段， ****** 将整理并向用户方提交以下服务资料：

《项目实施计划》《评估表单》《会议纪要》

3.1.3.1.4 阶段目标

评估准备阶段的主要目标是获取用户方的信构企业信用信息管理系统基本信息，确定评估范围，共同讨论确定现场评估计划为目标，确保双方在差距评估工作能够达成共识。

3.1.3.2. 现场评估 3.2.2.2.1 阶段目标

进行信构企业信用信息管理系统信息的收集、分析，对信构企业信用信息管理系统进行合理分解，然后进入标准符合性检查测试评估阶段，任务是全面获取与验证当前的信构企业信用信息管理系统，组织，信息安全管理，系统威胁、脆弱性、安全控制措施等信息。以此为基础，结合标准、专业的安全知识及经验对安全的概况进行补充与调整，为最终的整改实施阶段方案的编制提供依据。获取当前信构企业信用信息管理系统与等级保护相应级别标准要求之间的差距情况。

3.2.2.2.2 阶段主要工作

在本阶段的主要工作包括：标准符合性评估阶段的主要工作有人员调查、资产调查、安

20 / 34-

信息系统安全规划建议书

全威胁调查、安全需求调查、安全技术水平调查等，采用文档收集、问卷调研、人员访谈、现场检查、技术测试（如漏洞扫描分析）等多种手段进行差距性分析。主要工作安排如下：

调查和统计 ******** 涉及的所有信息资产（包含物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等），明确其现有状况、配置情况和管理情况。

其中拓扑结构调查工作包括对 ******** 的 TCP/IP 网络的拓扑结构进行实地查验，核实拓扑结构图；现有安全系统调查工作包括现有安全设备（包括防火墙、防病毒系统、入侵检测系统、安全扫描系统使用情况。

结合等级保护基本要求标准（二级），对 ******** 的信构企业信用信息管理系统进行全面分析面临的威胁，评估现有系统的技术和管理、组织结构等方面的标准符合偏差，明确所有网络及应用系统标准符合偏差。

）的部署情况和

21 / 34-

信息系统安全规划建议书

现场评估阶段的具体工作安排如下:

序产号评估评估内容控制项物理安全（0.5天）机房现场环境《物理安全调查表》工具/作业指导书配合备注人员机房管理员如果有机房建设、验收材料，请提供。 1 机房检查网络安全（3天）《网络安全调查需要协助网络管理员交换交换机/路由器安全配置检查表》《交换机检查表》《路由器检查表》登录并操作，可提供配置文件机/路由器防火墙/VPN/网闸 2 《网络安全调查防火墙安全配置检查表》《VPN检查表》《网闸检查表》《网络安全调查安全管理员/网络管理员需要协助登录并操作，可提供配置文件安全需要协助登管理员/网络管理员 IPS/I DS/防病毒 IPS/IDS/ 防火表》《IDS检查表》墙安全配置检查录并操作，可提供配置文件提供访问边界分析《网络安全调查表》网络管理员网络控制策略文件。配合解答评估问题。结构网络分析对网络结构进行现场排查及分析 3

主机安全（2天） 22 / 34-

信息系统安全规划建议书

《主机安全调查表-li nux/unix 操作系统服务器操作系统安全配置检查》系统管理员需要协助登录并操作《主机安全调查表 -windows》《WINDOW主机评估项》《Domi no数据库核查表》数据库系统数据库安全配置检查《SQL SERVEf数据库数据库管理员需要协助登录并操作核查表》《O RACL数据库核查表》应用安全（3天）应用系统调研应用 4 安全检查业务应用系统安全检查业务应用系统安全测试（漏洞扫描等）表》漏洞扫描《应用安全调查应用需要协助应用安全验证测试系统管理员、登录应用系统开发人员并操作演示数据安全（0.5天）检查系统在数据5 应用系《数据安全及备份恢复调查表》需要协助数据完整性、保密性、备份恢复等安全功能和配置统管理员、开登录并操作演发人员、数据库管理员示安全检查工具测试（3天）网络 6 需要将专用扫描设备接入网络主机扫描主机操作系统漏洞扫描及渗透管理员、系测试系统统管理员、系统扫描

23 / 34-

信息系统安全规划建议书

数据库系统扫描网络、应用漏洞扫描网络、WEB应用攻击渗透测试管理体系检查（3天）安全管理制度安全管理机构人员安全管理系统建设、运维管理管理执行记录检查体系执行及执行状况访谈情况结果汇总分析及确认（1.5天）数据库管理员需要将专用扫描设备接入网络远程渗透性测试网络管理员、应用管理员从 internet 网远程接入对应用进行渗透测试制定、发布、评审、修订等方面岗位设置、人《安全管理制度检杳表》《安全管理机构》员配置等方面人员录用、离《人员安全管理》岗、考核等方面文档管理员及相关管环境、资产、变更、备份恢复、安全事件、应急预案《系统建设管理》理负责人提供相关管理制度文件、记录。若能提供系统建设时的设计、验收资料请提供。 7 《系统运维管理》可能需要数据分析汇总 8 进行补充评估评估数据确认配合人员

各方的主要职责分工如下:

24 / 34-

信息系统安全规划建议书

****** .

1. 2. 3. 4. 5. 6. 7.

进行现场评估与分析（访谈、检查、测试）；现场评估工作的部署；

对服务器及应用系统进行漏洞扫描等安全测试；

访谈用户方相关人员（技术、管理角色），了解当前现状；对设备进行实地检查；

对管理情况进行现场访谈、检查，检查管理制度文件和记录；汇总整理现场评估数据。用户方：

1. 2.

协助进行必要的技术操作；

协调差距评估过程中所需要的相关的资源（人员资源、技术

资源、设备资源、文件资源等）。

双方共同：

1. 进行现场评估小结，初步确认评估结果。

在本阶段中，各方应对当前信构企业信用信息管理系统的现状情况作出客观、直观的分析和说明。

3.2.2.2.3 所需资源

需要用户方提供以下资源、资料及信息：

需要用户方提供对信构企业信用信息管理系统资产的访问权限；协调各信构企业信用信息管理系统的相关管理人员（或设备供货商、服务商等）作为接口人员（需要配合完成访谈、检查与测试）；

25 / 34-

信息系统安全规划建议书

需要用户方提供所有信构企业信用信息管理系统安全管理制度文件及记录文件。

3.2.2.2.4 阶段成果

在本阶段， ****** 将整理并向用户方提交以下服务资料：

《调查评估记录（技术、管理）》《信息资产调查表》《漏洞扫描报告》《技术访谈记录》《管理访谈记录》《会议纪要》

3.1.3.3. 评估分析 3.2.2.2.1 阶段目标

从技术和管理两个层面对 ****** 进行综合分析，找出信构企业信用信息管理系统安全方面，存在的缺陷和不足。为下一步信构企业信用信息管理系统安全建设规划提供现状上的依据。

3.2.2.2.2 阶段主要工作

本阶段的主要工作包括：整理现场评估数据材料，对现场评估结果进行综合分析，找出现状与标准之间的差距情况，并为整改规划提供数据参考。

各方的主要职责分工如下：

****** ・

26 / 34-

信息系统安全规划建议书

2. 整理现场评估数据材料； 3.

分析评估情况，编制评估分析报告。用户方：

无

双方共同：

1. 讨论确认评估分析结论报告。

3.2.2.2.3 所需资源

无

3.2.2.2.4 阶段成果

在本阶段， ****** 将整理并向用户方提交以下服务资料：

《现状评估分析报告》

3.2. 信构企业信用信息管理系统安全建设规划方案

设计

结合 3.1 部分的工作，最终为用户设计出一套整体安全建设方案，这个方案中要包含系统现状与差距的分析、具体的安全建设（整改）内容等。

3.2.1. 设计目标

以信息安全等级保护相关文件及 ISO27001/GBT22080 为指导，结合

27 / 34-

信息系统安全规划建议书

******** 信构企业信用信息管理系统安全现状及未来发展趋势，建立一套

完善的安全防护体系。通过体系化、标准化的信息安全风险评估，积极采取各种安全管理和安全技术防护措施，落实信息安全等级保护相关要求。

从技术与管理上提高 ******** 网络与信构企业信用信息管理系统安全防护水平，防止信息网络瘫痪，防止应用系统破坏，防止业务数据丢失，防止 ****** 航海测绘信息泄密，防止终端病毒感染，防止有害信息传播，防止恶意渗透攻击，确保信构企业信用信息管理系统安全稳定运行，确保业务数据安全。

3.2.2.

3.2.2.1.

主要工作

信构企业信用信息管理系统安全规划设计建议

网络访问控制策略

3.2.2.2.1

网络访问控制策略如下：

核心服务器区 / 非核心服务器区只允许业务网终端访问；

不允许业务网终端到达以及更低的安全区域；不允许终端到达业务网以及更高的安全区域；允许终端访问前置服务区；允许终端访问因特网服务器区；允许终端访问因特网并对所有终端用户访问行为，如邮件、网页访问等进行监控；

因特网服务器区允许因特网公众访问特定服务（如

SMTP POP3 DNS等）;

Http、

同一应用系统的前置服务器与内部核心服务器、非核心服务器之间建立特定的数据交换通道。

28 / 34-

信息系统安全规划建议书

3.2.2.2.2 物理安全

物理安全策略针对以下三个方面进行改造和设计：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准 GB50173－ 93《电子计算机机房设计规范》、国标GB288产《计算站场地技术条件》、GB936仁88《计算站场地安全要求》

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；

媒体安全：包括媒体数据的安全及媒体本身的安全。

3.2.2.2.3

主机安全

主机安全包括服务器的主机安全及终端用户的主机安全，其系统加固和优化是实现

******** 信构企业信用信息管理系统安全的关键环节。通过主机系统安全加固，可以对 ******** 各应用系统的网络层、系统层、应用层及终端用户等层次设置合理的安全状态，并

以此作为保证 ******** 信构企业信用信息管理系统安全的起点。

主机系统安全加固的主要内容包括：

正确的安装操作系统和应用软件；安装全部最新的OS应用软件的安全补丁；操作系统和应用软件的安全配置；

29 / 34-

信息系统安全规划建议书

系统安全风险防范；应用系统功能测试；系统完整性备份；终端安全管理；终端病毒防护；终端准入控制。

主机系统加固是有一定风险的 , 一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起，因此在系统加固前应做好系统备份。

3.2.2.2.4

应用安全

目前

*********** *****

和 ****** ****** 相关应用系统的安全目前往

往依赖于基础设施、操作系统、数据库的安全，对于访问用户不同的应用系统，应分别制定相应的安全防护策略。应用系统的基本安全防护主要应该依靠身份鉴别、内部审计和管理策略，实现内部控制的合规性；对于需要对开放的应用系统，应在增设前置服务器，还需要考虑访问控制和代码安全。

针对 ******** 网站的应用系统，主要的安全措施有：

严格的安全审查和测试应用系统安全的定义应用系统中软件和硬件的配合需要访问的应用系统，应采取业务分离方式设置前置机制订严格的应用系统安全使用制度

配置应用系统的安全备份系统，特别是数据库系统

制订应用系统的应急响应制度，和配置响应的安全人员对不同的数据接口处采用入侵监测和身份认证等多方位安全方式

30 / 34-

信息系统安全规划建议书

323. 所需资源

需要用户方提供以下资源、资料及信息：

协调各信构企业信用信息管理系统的相关管理人员（或设备供货商、服务商等）作为沟通接口人员（讨论整改思路）。

3.2.4. 阶段成果

在本阶段，******将整理并向用户方提交以下服务资料：

《信构企业信用信息管理系统安全建设规划方案》

4.附录

4.1.项目实施内容列表及报价清单

信息安全系统规划作业计划表序评估控制项号评估内容评估周期费用（元）工具/ 作业指导书配合人员备注物理安全 1 （0.5 天） 31 / 34-

信息系统安全规划建议书

机房机房现场环境检杳 .5 0 《物理安全调查表》机房管理员如果有机房建设、验收材料，请提供。网络安全（2.5 天）《网络安全调查表》交换机/路由器交换机/路由器安全配置检杳 1 《交换机检杳表》《路由器检查表》《网络防火 2 防火墙/VPN/ 网闸墙安全配置检杳 .5 0 安全调查表》安全需要协助登录并操作，可提供配置文件网络管理员需要协助登录并操作，可提供配置文件《VPN 管理员/ 网检杳表》《网闸检杳表》络管理员 IPS/I IPS/IDS/ 防病毒 DS/防火墙安全配置检杳 .5 0 《网络安全调查表》安全管理员/ 网需要协助登录并操作，可提供配置文件提供访问控制策略文《IDS 检杳表》 0 《网络安全调查表》络管理员网络结构边界分析 .5 网络管理员 32 / 34-

信息系统安全规划建议书

对网络网络分析结构进行现场排查及分析件。配合解答评估问题。主机安全（2 天）《主机安全调查表 -li nux/uni 服务器操作系统安操作系统全配置检杳 .5 x》 1 《主机安全调查表 -win dows》系统管理员操作需要协助登录并《WIND 3 OWS主机评《Domi no数据库核查表》数据库数据库系统安全配置检杳 .5 0 需要数据库管理员协助登录并操作《SQL SERVERS 库核查表》《O RAC LE数据库核应用安全（3 天） 4 应用系统调 1 33 / 34-

信息系统安全规划建议书

业务应用安全检查应用系统安全检杳 2 业务应用应用安全验证测试系统安全测试（漏洞扫描等）《应用安全调查表》应用系统管理员、开发人员需要协助登录应用系统并操作演示漏洞扫描数据安全（0.5 天）检杳系5 数据安全检查统在数据完整性、保密性、备份恢复等安全功能和配置应用《数据安全及备份恢复调查表》系统管理员、开发人员、数据库管理员 0 .5 需要协助登录并操作演示工具测试（3 天）需要主机操6 主机系统扫描数据库系统扫描 1 漏洞扫描及渗透测 0 .5 试系统作系统扫描网络管理员、系统管理员、数据库管理员将专用扫描设备接入网络需要将专用扫描设备接入网络 34 / 34-

信息系统安全规划建议书

网络、应用漏洞远程渗透性测试网络、 WEB应用攻击渗透测从 in ternet 1 网络管理员、应用管理网远程接入对应用进行渗透测试扫描员 0 .5 试管理体系检查（2天）需要收集整理并安全管理制度 7 制定、发布、评审、修订等方面 2 《安全管理制度检查表》文档管理员及相关管理负责人提供相关管理制度文件、记录。若能提供系统建设时的设计、验收资料也请一并提供。安全管理机构岗位设置、人员配置等方面《安全管理机构》人员安全管人员《人员 35 / 34-

信息系统安全规划建议书

理录用、离岗、考核等方面环境、资产、变系统建设、运更、备份恢复、安全事件、应急预案安全管理》《系统建设管理》维管理执行记管理体系执行情况录检杳及执行状况访谈《系统运维管理》结果汇总分析及确认（1.5天）数据分析汇总 8 《数据汇总分析表》可能需要进行补充评估对分 1 0 数据确认 .5 评估配合人员析数据进行确认、补充和说明差距分析报告（6.5天） 9 编写标准符合性分析报告《等级 6 保护标准符合性分析报告》 36 / 34-

信息系统安全规划建议书

部门标准符合性分析报告会 .5 0 负责人、评估配合人员对差距分析报告进行确认信构企业信用信息管理系统建设规划（6天）编写信构企业信用信息管理 0 系统建设规划《信构 6 企业信用信息管理系统建设规划》信构企业信用信息管理系统建设规划报告会人工小计部门 0 .5 负责人、评估配合人员对差距分析报告进行确认 27.5 费用总价 37 / 34-

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文