【正文】 鋼鐵集團公司信息安全建設規(guī)劃建議書鋼鐵集團公司信息安全建設規(guī)劃建議書目錄第1章 綜述 3 概述 3 現(xiàn)狀分析 4 設計目標 8第2章 信息安全總體規(guī)劃 依據(jù)及原則 10 10 10 11 12 12 18第3章 分階段安全建設規(guī)劃 20 規(guī)劃原則 20 安全基礎框架設計 21第4章 初期規(guī)劃 23 建設目標 23 建立信息安全管理體系 23 建立安全管理組織 25第5章 中期規(guī)劃 28 建設目標 28 建立基礎保障體系 28 建立監(jiān)控審計體系 28 建立應急響應體系 30 建立災難備份與恢復體系 34第6章 三期規(guī)劃 37 建設目標 37 建立服務保障體系 37 保持和改進ISMS 38第7章 總結(jié) 39 綜述 39 效果預期 39 后期 39第1章 綜述 概述信息技術(shù)革命和經(jīng)濟全球化的發(fā)展，使企業(yè)間的競爭已經(jīng)轉(zhuǎn)為技術(shù)和信息的競爭，隨著企業(yè)的業(yè)務的快速增長、企業(yè)信息系統(tǒng)規(guī)模的不斷擴大，企業(yè)對信息技術(shù)的依賴性也越來越強，企業(yè)是否能長期生存、企業(yè)的業(yè)務是否能高效的運作也越來越依賴于是否有一個穩(wěn)定、安全的信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。因此，確保信息系統(tǒng)穩(wěn)定、安全的運行，保證企業(yè)知識資產(chǎn)的安全，已經(jīng)成為現(xiàn)代企業(yè)發(fā)展創(chuàng)新的必然要求，信息安全能力已成為企業(yè)核心競爭力的重要部分。企業(yè)高度重視客戶及生產(chǎn)信息，生產(chǎn)資料，設計文檔，知識產(chǎn)權(quán)之安全防護。而終端，服務器作為信息數(shù)據(jù)的載體，是信息安全防護的首要目標。與此同時，隨著企業(yè)業(yè)務領域的擴展和規(guī)模的快速擴張，為了滿足企業(yè)發(fā)展和業(yè)務需要，企業(yè)的IT生產(chǎn)和支撐支撐系統(tǒng)也進行了相應規(guī)模的建設和擴展，為了滿足生產(chǎn)的高速發(fā)展，市場的大力擴張，企業(yè)決定在近期進行信息安全系統(tǒng)系統(tǒng)的調(diào)研建設，因此隨著IT系統(tǒng)規(guī)模的擴大和應用的復雜化，相關的信息安全風險也隨之而來，比如病毒、蠕蟲、垃圾郵件、間諜軟件、流氓軟件、數(shù)據(jù)截獲、嗅探、監(jiān)聽、肆意泛濫，內(nèi)部機密數(shù)據(jù)泄漏、辦公系統(tǒng)受到影響等等，因此為了保證企業(yè)業(yè)務正常運營、制卡系統(tǒng)的高效安全的運行，不因各種安全威脅的破壞而中斷，信息安全建設不可或缺，信息安全建設必然應該和當前的信息化建設進行統(tǒng)一全局考慮， 應該在相關的重要信息化建設中進行安全前置的考慮和規(guī)劃，避免安全防護措施的遺漏，安全防護的滯后造成的重大安全事件的發(fā)生。本次企業(yè)信息安全體系建設規(guī)劃主要考慮采用各種被證明是行之有效的各種信息安全產(chǎn)品和技術(shù)，幫助企業(yè)建設一個主動、高效、全面的信息安全防御體系，降低信息安全風險，更好的為企業(yè)生產(chǎn)和運營服務。 現(xiàn)狀分析目前企業(yè)已經(jīng)在前期進行了部分信息安全的建設，包括終端上的一部分防病毒，網(wǎng)絡邊界處的基本防火墻等安全軟件和設備，在很大程度上已經(jīng)對外部威脅能有一個基本的防護能力，但是如今的安全威脅和攻擊手段日新月異，層出不窮，各種高危零日漏洞不斷被攻擊者挖掘出來，攻擊的目標越來越有針對性，目前的企業(yè)所面臨的全球安全威脅呈現(xiàn)如下幾個新的趨勢：l 惡意攻擊數(shù)量快速增加，攻擊手段不斷豐富，最新的未知威脅防不勝防：如何防范未知威脅，抵御不同攻擊手段和攻擊途徑帶來的信息安全沖擊?l 高級、有針對性的高危持續(xù)性攻擊APT已蔓延至各類規(guī)模企業(yè)：如何阻止不同的攻擊手段？不僅僅是防病毒！需要服務器，終端，網(wǎng)絡，數(shù)據(jù)等各方面多層次的防護，增加威脅防范能力l 復雜混亂的應用與外接設備環(huán)境：如何確保應用和設備的準入控制？l 繁瑣枯燥的系統(tǒng)維護和安全管理：如何更有效利用有限的信息人力資源？l 工具帶來的新問題：如何保證安全策略的強制要求，統(tǒng)一管理和實施效果？l 終端接入不受控：如何確保終端滿足制定的終端安全策略終端準入控制l 網(wǎng)頁式攻擊(Webbased Attack) 已成為最主流的攻擊手法：如何確保訪問可靠網(wǎng)站？l 內(nèi)外部有意無意的信息泄露將嚴重影響企業(yè)的聲譽和重大經(jīng)濟損失從目前大多數(shù)企業(yè)的信息安全建設來看，針對以上的目前主流的新形勢的信息威脅，企業(yè)在安全建設上還面臨安全防護需要進一步依靠國際先進技術(shù)增強主動防御，縱深防御的能力，目前大多數(shù)企業(yè)在安全防護上還有如下的欠缺： 目前信息安全存在的問題在信息系統(tǒng)安全評估中我們對網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、網(wǎng)絡掃描、安全管理等等方面進行了安全評估，發(fā)現(xiàn)主要有如下的問題：網(wǎng)絡設備安全：訪問控制問題 l網(wǎng)絡設備安全漏洞 l設備配置安全系統(tǒng)安全： l補丁問題 l運行服務問題 l安全策略問題 l弱口令問題 l默認共享問題 l防病毒情況應用安全： lexchange郵件系統(tǒng)的版本問題 lapache、iis、weblogic的安全配置問題 lservU的版本問題 lradmin遠程管理的安全問題數(shù)據(jù)安全： l數(shù)據(jù)庫補丁問題 lOracle數(shù)據(jù)庫默認帳號問題 lOracle數(shù)據(jù)庫弱口令問題 lOracle數(shù)據(jù)庫默認配置問題 lMssql數(shù)據(jù)庫默認有威脅的存儲過程問題網(wǎng)絡區(qū)域安全： l市局政務外網(wǎng)安全措施完善 l市局與分局的訪問控制問題 l分局政務外網(wǎng)安全措施加強安全管理： l沒有建立安全管理組織 l沒有制定總體的安全策略 l沒有落實各個部門信息安全的責任人 l缺少安全管理文檔通過安全評估中的安全修復過程，我們對上述大部分的的安全問題進行了修補，但是依然存在殘余的風險，主要是數(shù)據(jù)安全（已安排升級計劃）、網(wǎng)絡區(qū)域安全和安全管理方面的問題。 所以當前信息安全存在的問題，主要表現(xiàn)在如下的幾個方面：1. 在政務外網(wǎng)中，市局建立了基本的安全體系，但是還需要進一步的完善，例 如政務外網(wǎng)總出口有單點故障的隱患、門戶網(wǎng)站有被撰改的隱患。另外分局并沒有實施任何的防護措施，存在被黑客入侵的安全隱患；2. 在政務內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴散的 可能。另外，如果黑客入侵了分局的政務內(nèi)網(wǎng)后，可能進一步的向市局進行滲透攻擊。3. 原有的信息安全組織沒有實施起來，沒有制定安全總體策略；沒有落實信息 安全責任人。導致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實處。4. 通過安全評估，建立了基本的安全管理制度；但是這些安全管理制度還沒有 落實到日常工作中，并且可能在實際的操作中根據(jù)實際的情況做一些修改。5. 沒有成立安全應急小組，沒有相應的應急事件預案；缺少安全事件應急處理 流程與規(guī)范，也沒有對安全事件的處理過程做記錄歸檔。6. 沒有建立數(shù)據(jù)備份與恢復制度；應該對備份的數(shù)據(jù)做恢復演練，保證備份數(shù) 據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進行恢復操作。7. 目前市局與分局之間的政務內(nèi)網(wǎng)是租用天威的網(wǎng)絡而沒有其它的備用線路。 萬一租用的天威網(wǎng)絡發(fā)生故障將可能導致市局與分局之間的政務內(nèi)網(wǎng)網(wǎng)絡中斷。通過信息安全風險評估，對發(fā)現(xiàn)的關于操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等等方面的漏洞，并且由于當時信息安全管理中并沒有規(guī)范的安全管理制度，也是出現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等漏洞的原因之一。為了達到對安全風險的長期有效的管理，我們建議建設ISMS（信息安全管理體系），對安全風險通過PDCA模型，輸出為可管理的安全風險。 常見的信息系統(tǒng)面臨的風險和威脅大致如下：根據(jù)目前的安全威脅，企業(yè)的信息安全面臨的問題是v 信息安全僅作為后臺數(shù)據(jù)的保障v 前端業(yè)務應用和后端數(shù)據(jù)庫信息安全等級不高v 信息安全只是建立在簡單的“封、堵”上，不利提升工作效率和協(xié)同辦公因此，對于企業(yè)來說，在新的IT環(huán)境下，需要就如下的安全考慮，根據(jù)合理的規(guī)劃進行分期建設。v 業(yè)務模式正在發(fā)生改變，生產(chǎn)、研發(fā)等系統(tǒng)的實施，信息安全應全面面向應用，信息安全須前置，以適應業(yè)務的安全要求。v 用戶終端的多樣化也應保持足夠的安全。v 數(shù)據(jù)集中化管控和網(wǎng)絡融合后所需的安全要求。v 數(shù)據(jù)中心業(yè)務分區(qū)模塊化管理及災備應急機制 設計目標為企業(yè)設計完善的信息安全管理體系，增強企業(yè)信息系統(tǒng)抵御安全風險的能力，為企業(yè)生產(chǎn)及銷售業(yè)務的健康發(fā)展提供強大的保障。1. 通過對企業(yè)各IT系統(tǒng)的風險分析，了解企業(yè)信息系統(tǒng)的安全現(xiàn)狀和存在的各種安全風險，明確未來的安全建設需求。2. 完成安全管理體系規(guī)劃設計，涵蓋安全管理的各個方面，設計合理的建設流程，滿足中長期的安全管理要求。提供如下安全管理項目：216。 人員管理216。 規(guī)劃制訂和建設流程規(guī)劃216。 安全運維管理及資產(chǎn)管理3. 完成安全技術(shù)體系規(guī)劃設計，設計有前瞻性的安全解決方案，在進行成本/效益分析的基礎上，選用主流的安全技術(shù)和產(chǎn)品，建設主動、全面、高效的技術(shù)防御體系，將企業(yè)面臨的各種風險控制在可以接受的范圍之內(nèi)。針對整體安全規(guī)劃計劃，在接下來的幾年內(nèi)分期建設，最終滿足如下安全防護需求：216。 網(wǎng)絡邊界安全防護216。 安全管理策略216。 關鍵業(yè)務服務器的系統(tǒng)加固，入侵防護，關鍵文件監(jiān)控和系統(tǒng)防護216。 網(wǎng)絡和服務器安全防護及安全基線檢查與漏洞檢測216。 增強終端綜合安全防護216。 強化內(nèi)部人員上網(wǎng)行為管理216。 建設機密數(shù)據(jù)防泄漏和數(shù)據(jù)加密，磁盤加密216。 網(wǎng)絡信任和加密技術(shù)防護216。 建設，強化容災和備份管理4. 加強企業(yè)內(nèi)部的IT控制與審計，確保IT與法律、法規(guī)，上級監(jiān)管單位的要求相符合，比如：216。 需要滿足國家信息系統(tǒng)安全系統(tǒng)的安全檢查要求216。 需要滿足國家《信息系統(tǒng)安全等級保護基本要求》第2章 信息安全總體規(guī)劃、依據(jù)及原則電子政務網(wǎng)是深圳市電子政務業(yè)務的承載和體現(xiàn)，是電子政務的重要應用，存儲著的重要的數(shù)