【正文】 術(shù) 開放系統(tǒng)互連開放系統(tǒng)安全框架 GB/T 182372020 信息技術(shù) 開放系統(tǒng)互連通用高層安全 自治區(qū)煙草安全規(guī)劃方案 建議書 13 GB 178591999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T 183362020 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則 ISO/ISE 17799: 2020 /BS7799 ISO/ISE 15408（ CC） AS/NZS 4360: 1999 《風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》 GAO/AIMD0033《信息安全風(fēng)險(xiǎn)評(píng)估》 IATF《信息保障技術(shù)框架》 安全建設(shè)的思路和方法 我們著眼于整個(gè)安全體系建設(shè)以及安全規(guī)劃建設(shè)的長期目標(biāo)，逐步完善 深圳市 **公司 風(fēng)險(xiǎn)管理體系，將安全建設(shè)分解成多個(gè)可實(shí)施性較強(qiáng)的工程階段 ，明確標(biāo)識(shí)出各階段安全建設(shè)內(nèi)容和解決的安全問題，為 深圳市 **公司 提供一個(gè)可供參考的安全建設(shè)遠(yuǎn)景規(guī)劃以及每期工程需要解決的風(fēng)險(xiǎn)管理規(guī)劃，各期工程建設(shè)內(nèi)容都是依據(jù) 深圳市 **公司 所面臨的安全風(fēng)險(xiǎn)級(jí)別和迫切需要解決的安全問題依照從高至低排序 。 10. 統(tǒng)籌規(guī)劃分步實(shí)施原則 技術(shù)方案的部署 不可能一步到位， 所以要 在一個(gè) 全面規(guī)劃 的基礎(chǔ)上 ，根據(jù)實(shí)際 情況 ， 在不影響正常生產(chǎn)的前提下，分步實(shí)施。 8. 區(qū)域 等級(jí)原則 要將 信息系統(tǒng) 按照合理的原則劃分為不同安全等級(jí)，分區(qū)域分等級(jí)進(jìn)行安全防護(hù)。 6. 標(biāo)準(zhǔn)化與一致性原則 在技術(shù)、設(shè)備選型方面 必須遵循一系列的 業(yè)界 標(biāo)準(zhǔn) ，充分考慮不同設(shè)備技術(shù)之間的兼容一致性 。 4. 整體均衡 原則 要 對(duì)信息 系統(tǒng)進(jìn)行 全面均衡 的 保護(hù) ，要 提高整個(gè) 信息 系統(tǒng)的 安全最低點(diǎn) 的安全性能 ，保證各個(gè)層面防護(hù)的均衡 。 3. 完整性原則 深圳市 **公司 網(wǎng)絡(luò)安全建設(shè)必需保證整個(gè)防御體系的完整性。緊密結(jié)合 深圳市 **公司 現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。 自治區(qū)煙草安全規(guī)劃方案 建議書 11 5 第二 階段 信息安全建設(shè) 方案 在 這三年信息安全建設(shè)過程中 ，我們實(shí)現(xiàn)安全信息安全體系框架的規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)，并重點(diǎn)圍繞 深圳市 **公司 當(dāng)前網(wǎng)絡(luò)中存在的問題進(jìn)行解決，而且該安全體系框架的規(guī)劃設(shè)計(jì)，要能夠適應(yīng) 深圳市 **公司 在自身發(fā)展中可 能出現(xiàn)的業(yè)務(wù)調(diào)整和變化。 因此，如何有效地解決這些問題，以便提高用戶 的工作效率，降低安全風(fēng)險(xiǎn)，減少損失，對(duì) 網(wǎng)絡(luò) 進(jìn)行統(tǒng)一管理 ， 調(diào)整網(wǎng)絡(luò)資源的合理利用 ， 已經(jīng)成為 **公司信息中心 迫在眉睫的緊要任務(wù)。 **公司 網(wǎng)絡(luò) 作為一個(gè)開放的網(wǎng)絡(luò)系統(tǒng)，運(yùn)行狀況愈來愈復(fù)雜。 加強(qiáng)對(duì)上網(wǎng)行為審計(jì)的能力 隨著 Inter 接入的普及和 網(wǎng)絡(luò) 帶寬的增加， 使 用戶上網(wǎng)條件得到改善， 同時(shí) 也給 **公司 網(wǎng)絡(luò) 帶來 了 更高的危險(xiǎn)性、復(fù)雜性。 因此，高效的系統(tǒng)與管理已經(jīng)成為 **公司 信息化建設(shè)是否成功的重要條件。 提升區(qū)公司及地州公司對(duì)網(wǎng)絡(luò)可管理的能力 隨著信息化發(fā)展的加速和深入， 深圳市 **公司的 IT 系 統(tǒng)和網(wǎng)絡(luò)越來越復(fù)雜，各級(jí) 分公司 對(duì)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的依賴性逐漸增大， IT 和網(wǎng)絡(luò)應(yīng)用逐漸融入到單位的日常工作中。 解決 VPN 系統(tǒng)的更新并且有效過渡的問題 在本次項(xiàng)目中，我們?cè)诓少彿阑饓r(shí)，就帶有 VPN 模塊，其中支持 IPSEC、SSL 兩種模式，可以根據(jù)應(yīng)用自由選擇，比現(xiàn)有的 VPN 系統(tǒng)速度更快，配置更方便，使用更便 捷。 ? 策略按照（區(qū)域、操作系統(tǒng)、時(shí)間等）進(jìn)行控制和多級(jí)級(jí)聯(lián)。 ? 按照既定策略統(tǒng)一配置客戶端端口策略、注冊(cè)表策略等客戶端安全策略。 ? 安全、方便的將非安全計(jì)算機(jī)阻斷出網(wǎng)。 ? 進(jìn)行外來筆記本電腦以及其它移動(dòng)設(shè)備（如 u 盤、移動(dòng)硬盤等）的隨意接入控制。 ? Usb 移動(dòng)存儲(chǔ)設(shè)備的行為審計(jì)和控制。 ? 網(wǎng)絡(luò)節(jié)點(diǎn)控制。 ? 客戶端統(tǒng)一的端口策略控制。 ? 客戶端軟件黑白名單管理，客戶端軟件統(tǒng)一匯總監(jiān)視。 ? 客戶端進(jìn)程黑白名單控制，防止非法進(jìn)程啟動(dòng)。系統(tǒng)實(shí)時(shí)監(jiān)控和報(bào)警網(wǎng)絡(luò)中存在的客戶端違規(guī)、病毒事件等行為，提供在線客戶端安全狀態(tài)信息；依據(jù)系統(tǒng)報(bào)警信息和客戶端上報(bào)的安全信息，管理人員在控制臺(tái)遠(yuǎn)程對(duì)異常網(wǎng)絡(luò)或者違規(guī)客戶端機(jī)器采取處理措施（如斷網(wǎng)、告警、遠(yuǎn)程協(xié)助等）。 深圳市 **公司 想要實(shí)現(xiàn)完全的入侵防御，就需要 在網(wǎng)絡(luò)上 將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（ IPS）： online 式在線部署，深層分析網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實(shí)施及時(shí)的阻斷。 自治區(qū)煙草安全規(guī)劃方案 建議書 8 深圳市 **公司 想要實(shí)現(xiàn)完全的入侵防御，首先需要對(duì)各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是需要實(shí)時(shí)的阻斷防御與響應(yīng)。 因此， 深圳市 **公司 網(wǎng)站有必要采用專業(yè)的安全防護(hù)系統(tǒng)，有效防護(hù)各類攻擊、降低網(wǎng)站安全風(fēng)險(xiǎn)。 其中，中國的惡意站點(diǎn)占到了總數(shù)的 67%。 2020 年， CNCERT/CC 監(jiān)測(cè)到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228 個(gè)，比 2020 年增加了 倍 。 解決區(qū)公司的網(wǎng)頁安全問題 當(dāng)前 國際、國內(nèi)的政治形勢(shì)和經(jīng)濟(jì)形勢(shì)比較特殊，又正值 7. 5 事件發(fā)生后期，網(wǎng)站 安全問題越來越復(fù)雜， Web 服務(wù)器以其強(qiáng)大的計(jì)算能力、處理性能及所蘊(yùn)含的高價(jià)值逐漸成為主要攻擊的目標(biāo)。在本次項(xiàng)目中，我們建議更換防火墻系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)邊界防御工作。以及待 深圳市 **公司 的全網(wǎng)安全基本達(dá)到了系統(tǒng)化的程度，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化 ， 即可考慮 第三階段 和第四階段 將如何開展。 安全建設(shè)第一階完成后，網(wǎng)絡(luò)狀態(tài)可以達(dá)到相對(duì)安全的狀態(tài)。主要從安全策略制定、組建安全管理隊(duì)伍 、安全評(píng)估、資產(chǎn)鑒別和分類、安全認(rèn)證等多種管理領(lǐng)域開展，最終形成管理和技術(shù)相融合，共同形成真正的安全體系架構(gòu)。該平臺(tái)應(yīng)該具備風(fēng)險(xiǎn)管理、策略中心、事件中心、響應(yīng)中心、知識(shí)中心等功能模塊，并且應(yīng)具備很好的開放性和可定制性。 建設(shè)方案 （ 1）安全管理中心 自治區(qū)煙草安全規(guī)劃方案 建議書 6 建設(shè)安全管理統(tǒng)一平臺(tái)，將全網(wǎng)的安全管理通過該平臺(tái)進(jìn)行。 第三階段 —— 管理階段 建設(shè)內(nèi)容 待安全建設(shè)一、二階段建設(shè)完成后， 深圳市 **公司 的全網(wǎng)安全基本達(dá)到了系統(tǒng)化的程度，各種安全產(chǎn)品充分 發(fā)揮作用，安全管理也逐步到位和正規(guī)化。這個(gè)平臺(tái)能夠收集所有網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、主機(jī)以及應(yīng)用系統(tǒng)的日志和安全事件，對(duì)其進(jìn)行規(guī)范化處理， 根據(jù)審計(jì)規(guī)則發(fā)現(xiàn)真正有價(jià)值的事件后及時(shí)告警，并能夠存儲(chǔ)海量事件，能夠提供事后取證 . （ 2）系統(tǒng)平臺(tái)和應(yīng)用系統(tǒng)安全 在第一階段建設(shè)了安全評(píng)估體系，定期進(jìn)行評(píng)估和加固，已經(jīng)有效地增強(qiáng)主機(jī)和應(yīng)用的安全，第二階段需要進(jìn)一步加強(qiáng)系統(tǒng)平臺(tái) 和 應(yīng)用系統(tǒng)的安全管理，考慮從完整性管理和脆弱性管理兩個(gè)方面進(jìn)行加強(qiáng)。 建設(shè)方案 （ 1）安全日志審計(jì)系統(tǒng) 第一階段部署了大量的安全產(chǎn)品。在第二階段的安全建設(shè)中需要考慮加強(qiáng)手段。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護(hù)、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全等方面。 辦公業(yè)務(wù)網(wǎng)中有 深圳市 **公司 網(wǎng)絡(luò)中重要的服務(wù)器群，保證這些服務(wù)器的安全是保障 深圳市 **公司 網(wǎng)絡(luò)安全的基礎(chǔ)。 具體實(shí)施步驟如下圖所示： 安全建設(shè)階段和內(nèi)容 第一階段 —— 緊迫階段 按照本次 深圳市 **公司 安全建設(shè)的要求，主要是對(duì) 深圳市 **公司 網(wǎng)絡(luò)中的服務(wù)器群區(qū)域 進(jìn)行安全防護(hù)，尤其是對(duì)辦公業(yè)務(wù)網(wǎng)進(jìn)行安全防護(hù)。 “適度安全”原則：沒有絕對(duì)的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點(diǎn)。 ? “整體規(guī)劃，分步實(shí)施”原則：需要對(duì) **公司 信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實(shí)施，逐步建立完善的信息安全體系。 ? “三分技術(shù)、七分管理”原則： **公司 信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。 通過系統(tǒng)化的安全技術(shù)和安全管理建設(shè)， 深圳市 **公司 逐步形成安全管理規(guī)范和安全體系架構(gòu)，逐步有機(jī)的融合安全技術(shù)和安全管理，使 深圳市 **公司 的安全建設(shè)逐漸成熟，為整個(gè)業(yè)務(wù)的正常運(yùn)行提供強(qiáng)有力的支持和保障。 9）沒有統(tǒng)一的審計(jì)和響應(yīng)機(jī)制，即便是發(fā)生攻擊事件無法快速定位 到源頭，并進(jìn)行針對(duì)性的解決。 7）沒有一個(gè)統(tǒng)一的員工身份管理系統(tǒng)，無法做到各類內(nèi)部權(quán)限的細(xì)分，以及信息安全的加密以及事前、事中、事后的審計(jì)。無法有效的對(duì) **公司 網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制，致使網(wǎng)絡(luò)接入存在一定的風(fēng)險(xiǎn)。 4）內(nèi)部 信息 系統(tǒng)所存在的安全漏洞和隱患，不 能及時(shí)發(fā)現(xiàn)；對(duì)于網(wǎng)絡(luò)而言，內(nèi)外網(wǎng)互連私接的情況不能進(jìn)行有效監(jiān)控。 3）安全域劃分不清晰，網(wǎng)絡(luò)安全邊界防護(hù)采取的技術(shù)比較單一 。 自治區(qū)煙草安全規(guī)劃方案 建議書