1、深圳市*公司信息安全规划报告书深圳*软件有限公司2010 年 3 月自治区烟草安全规划方案建议书 I目 录1 概述 .12 深圳市*公司业务网络现状及需求分析 .23 信息安全规划思路 .33.1 信息安全目标和工作思路 .33.2 信息安全建设主要任务 .34 第一阶段-迫切阶段 .74.1 加强区公司与地州公司的边界访问控制 .74.2 解决区公司的网页安全问题 .74.3 提升入侵防御能力 .74.4 加强对区公司、地州终端的桌面管理能力 .84.5 解决 VPN 系统的更新并且有效过渡的问题 .94.6 提升区公司及地州公司对网络可管理的能力 .94.7 加强对上网行为审计的能力 .9
2、5 第二阶段信息安全建设方案 .115.1 建设原则 .115.2 遵照的标准或规范 .125.3 安全建设的思路和方法 .135.4 安全域建设 .135.4.1 安全域基本概念 .145.4.2 安全域划分的原则 .145.4.3 安全域理论 .175.5 统一认证授权系统技术方案 .225.6 深圳市*公司网络安全评估 .316 第三阶段信息安全建设方案 .616.1 建设内容 .616.2 建设需求 .616.3 4A 统一管理平台建设方案 .616.3.1 统一日志审计子系统技术方案 .636.3.2 功能概述 .636.3.3 安全日志采集 .646.3.4 安全日志多维分析 .6
3、46.3.5 安全日志实时展现 .656.3.6 报表分析 .676.3.7 审计策略配置 .696.4 系统平台和应用系统安全建设方案 .706.4.1 认证、授权与行为审计的基本概念 .706.4.2 认证、授权与行为审计体系的建设原则 .706.4.3 实施效果 .71自治区烟草安全规划方案建议书II6.5 综合信息安全支撑平台的概念 .726.5.1 综合安全支撑平台的建设原则 .736.5.2 实施效果 .737 第四阶段信息安全建设方案 .777.1 建设内容 .777.2 建设方案 .777.3 信息安全管理体系规划制定 .777.3.1 深圳市 *公司信息安全体系规划建议 .7
4、97.3.2 安全策略体系 .807.3.3 三年规划建设任务 .82自治区烟草安全规划方案建议书 11 概述*行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,深圳市*公司结合本单位实际情况认真落实*行业信息安全保障体系建设指南的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。自治区烟草安全规划方案建议书 22 深圳市*公司业务网络现状及需求分析深圳市*公司业务网络是全省业务办公与通信的基础和支撑平台,整个信
5、息系统目前存在诸多安全隐患:1)没有一个完整的信息安全体系,不能对* 公司信息安全程度进行有效评估。2)缺少完整的安全管理制度规范,一旦发生安全问题,没有解决依据。3)安全域划分不清晰,网络安全边界防护采取的技术比较单一; 防火墙只能基于端口和流量进行控制,却无法防御复杂的攻击和入侵。4)内部信息系统所存在的安全漏洞和隐患,不能及时发现;对于网络而言,内外网互连私接的情况不能进行有效监控。5)终端安全没有保障,缺乏统一终端管理平台。无法有效的对*公司网络进行准入控制,致使网络接入存在一定的风险。6)没有数据安全保障体系,数据的传输和存储都没办法保证不被窃取。7)没有一个统一的员工身份管理系统,
6、无法做到各类内部权限的细分,以及信息安全的加密以及事前、事中、事后的审计。8)缺乏主机和应用系统安全保障机制,没有及时发现和弥补系统的漏洞和弱点,存在大量弱口令等问题。9)没有统一的审计和响应机制,即便是发生攻击事件无法快速定位到源头,并进行针对性的解决。自治区烟草安全规划方案建议书 33 信息安全规划思路3.1 信息安全 目标和工作思路我们应该按照信息安全总体规划,从信息安全管理、信息安全风险控制、信息安全技术等方面入手,采用先进可行的技术手段和管理理念,逐步建成全面、完整、有效的一套信息安全体系。通过系统化的安全技术和安全管理建设,深圳市*公司逐步形成安全管理规范和安全体系架构,逐步有机的
7、融合安全技术和安全管理,使深圳市*公司的安全建设逐渐成熟,为整个业务的正常运行提供强有力的支持和保障。信息化安全体系建设过程中应遵循以下工作思路: “分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。 “三分技术、七分管理”原则:*公司信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。 “内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。 “整体规划,分步实施”原则:需要对*公司信息安全建设进行整体规
8、划,分步实施,逐步建立完善的信息安全体系。 “风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。3.2 信息安全建设主要任务基于企业信息安全逐步建设和节省投资的考虑,深圳市*公司信息安全建自治区烟草安全规划方案建议书 4设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。具体实施步骤如下图所示:安全建设阶段和内容1、第一阶段 紧迫阶段按照本次深圳市*公司安全建设的要求,主要是对深圳市*公司网络中的服务器群
9、区域进行安全防护,尤其是对办公业务网进行安全防护。1.1 建设要求本次网络基础安全建设主要考虑安全域划分和加强安全边界防护措施,优先考虑办公业务网出口的安全问题。办公业务网中有深圳市*公司网络中重要的服务器群,保证这些服务器的安全是保障深圳市*公司网络安全的基础。因此在办公业务网与核心交换区的边界处,应采用多种安全技术和手段来防范外来的威胁。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全等方面。1.2 第二阶段加强阶段自治区烟草安全规划方案建议书 51.2.1 建设内容安全建设第一阶段成功结束后,网络状态可以达到相对安全的状态。在第二阶段的安全建设中需要考虑加强手
10、段。主要从安全日志审计、系统平台和应用系统安全两个方面展开。1.2.2 建设方案(1)安全日志审计系统第一阶段部署了大量的安全产品。这些安全产品和大量的网络产品以及应用系统产生海量的日志和事件,尤其是入侵检测之类的安全产品,每天的事件量巨大,靠人工的方式很难检索所有的事件,如漏掉重要事件很可能会带来较大损失,鉴于此,需要部署统一的日志审计管理平台。这个平台能够收集所有网络产品、安全产品、主机以及应用系统的日志和安全事件,对其进行规范化处理,根据审计规则发现真正有价值的事件后及时告警,并能够存储海量事件,能够提供事后取证.(2)系统平台和应用系统安全在第一阶段建设了安全评估体系,定期进行评估和加
11、固,已经有效地增强主机和应用的安全,第二阶段需要进一步加强系统平台和应用系统的安全管理,考虑从完整性管理和脆弱性管理两个方面进行加强。结合安全日志审计功能,就可以针对各业务系统的帐号级的信息安全审计和追踪。1.3 第三阶段管理阶段1.3.1 建设内容待安全建设一、二阶段建设完成后,深圳市*公司的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化。此时进行安全管理建设,主要从安全管理中心、安全管理体系着手完善。1.3.2 建设方案(1)安全管理中心自治区烟草安全规划方案建议书 6建设安全管理统一平台,将全网的安全管理通过该平台进行。通过该平台可以及时准确地获知网
12、络安全体系的效果和现状,帮助安全管理员进行正确的决策分析。该平台应该具备风险管理、策略中心、事件中心、响应中心、知识中心等功能模块,并且应具备很好的开放性和可定制性。(2)安全管理体系安全管理建设应该自始至终,并且对安全建设和运维起到指导作用。主要从安全策略制定、组建安全管理队伍、安全评估、资产鉴别和分类、安全认证等多种管理领域开展,最终形成管理和技术相融合,共同形成真正的安全体系架构。信息化安全建设规划方案基于企业信息安全逐步建设和节省投资的考虑,我省信息安全建设采用分阶段实施的方式,按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。安全建设第一阶完成后,网络状态可以达到相对
13、安全的状态。请结合深圳市*公司信息安全建设,考虑第二阶段的安全建设将如何进行。以及待深圳市*公司的全网安全基本达到了系统化的程度,各种安全产品充分发挥作用,安全管理也逐步到位和正规化,即可考虑第三阶段和第四阶段将如何开展。自治区烟草安全规划方案建议书 74 第一阶段- 迫切阶段4.1 加强区公司与地州公司的边界访问控制目前,深圳市*公司已经全疆范围内部署了防火墙与 VPN 系统,但是由于时间已经很长,设备在性能与功能上都不能适应现在的网络与业务的发展。在本次项目中,我们建议更换防火墙系统,加强网络边界防御工作。从节省资金的角度出发,在本次的防火墙选型中,直接选用带有 VPN 功能的防火墙系统,
14、便于操作与管理。4.2 解决区公司的网页安全问题当前国际、国内的政治形势和经济形势比较特殊,又正值 7. 5 事件发生后期,网站安全问题越来越复杂,Web 服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。针对网站,各类安全威胁正在飞速增长。2008 年,CNCERT/CC 监测到中国大陆被篡改网站总数累积达 61228个,比 2007 年增加了 1.5 倍。Google 最新数据表明,过去 10 个月中,Google 通过对互联网上几十亿 URL 进行抓取分析,发现有 300 多万个恶意URL。其中,中国的恶意站点占到了总数的 67%。传统的边界安全设备,如防火墙,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对 Web 应用攻击完善的防御能力。因此,深圳市*公司网站有必要采用专业的安全防护系统,有效防护各类攻击、降低网站安全风险。4.3 提升入侵防御能力防火墙作为深圳市*公司安全保障体系的第一道防线,已经得到了非常好的应用效果,但是各式各样的攻击行为还是被不断的发现和报道,这就意味着有一类攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。