《大型制造企业等级保护安全建设整改方案 附勘察设计集团企业网络安全等级保护制度的建设.docx》由会员分享,可在线阅读,更多相关《大型制造企业等级保护安全建设整改方案 附勘察设计集团企业网络安全等级保护制度的建设.docx(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【摘要】本方案针对某大型制造型企业网络信息系统的安全问题,进行安全整改加固建 议。可以为广大同行提供完备的思路。第1章项目概述大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团,为了落实国 家及集团的信息安全等级保护制度,提高信息系统的安全防护水平,细化各项信息网络安全 工作措施,提升网络与信息系统工作的效率,增强信息系统的应急处置能力,确保信息系统 安全稳定运行,集团参照国家等级保护标准的要求,找出系统现有安全措施的差距,为安全 整改建设提供依据。本方案针对大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。1.1 项目目标本方案将通过对集团网络信息系统的安全现状进行分
2、析工作,参照国家信息系统等级保 护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动网络信 息系统安全整改工作的进行。根据大型制造型企业集团信息系统目前实际情况,综合考虑信息系统现有的安全防护措 施,存在的问题和薄弱环节,提供完善的安全整改方案,提高信息系统的安全防护水平,完 善安全管理制度体系。资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中,风险的所有重要 因素都紧紧围绕着资产为中心,威胁,、脆弱性以及风险都是针对资产而客观存在的。威胁利 用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发 生,将对资产甚至是整个系统都将造成一
3、定的影响。因此资产的评估是企业网络安全的一个重要的步骤,它被确定和估价的准确性将影响着 后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的 资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用为资 产进行估价。根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较, 以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,明确各业务系统的关 键资产,确定安全评估和保护的重点对象。1.2 项目范围本文档适用于指导大型制造型企业集团网络信息系统安全整改加固建设工作。1.3 整改依据主要依据:信息安全技术信息系统安全等级
4、保护基本要求(GB/T22239-2008)信息安全技术信息系统通用安全技术要求(GB/T20271-2006)信息安全技术信息系统等级保护安全设计技术要求(GB/T25070-2010)信息安全技术信息系统安全管理要求(GB/T20269-2006)信息安全技术信息系统安全工程管理要求(GB/T20282-2006)信息安全技术信息系统物理安全技术要求(GB/T21052-2007)信息安全技术网络基础安全技术要求(GB/T20270-2006)信息安全技术信息系统安全等级保护体系框架(GA/T708-2007)信息安全技术信息系统安全等级保护基本模型(GA/T709-2007)信息安全技术
5、信息系统安全等级保护基本配置(GA/T710-2007)GBT20984信息安全风险评估规范GBT22239信息安全技术信息系统安全等级保护基本要求GBZ20985信息技术安全技术信息安全事件管理指南1.4 .3网络安全防护管理网络访问控制是防止对网络服务的未授权访问,根据安全域划分和访问控制策略在信息 网络接入边界、核心边界实施访问控制;网络入侵检测(NIDS)是对信息系统的安全保障 和运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入 侵检测系统,监控所有进出服务器网段的流量,并对核心信息系统中的安全事件进行实时监 控,发现和对各种攻击企图、攻击行为或者攻击结果
6、进行告警,从而使整个信息系统的网络 入侵防范更为完善;终端准入控制机制从终端层到网络层,再到应用层和边界层,提供了客 户端准入、网络准入和应用准入等多种准入控制手段,确保只有通过身份验证和安全基线检 查的办公终端才能接入内网并进行受控访问,对非法的或存在安全隐患的办公终端进行隔离 和修复,构建出完善的“内网安检系统”,从源头上有效减少内网安全漏洞。边界出口处采用防火墙技术进行严格的链路访问控制,并能承载高会话数转发和会话状 态控制。核心计算域的访问控制通过核心交换机进行区域划分,然后通过防火墙或ACL机制进 行对进出的数据流进行严格的访问管控,细化到IP+端口细粒度的级别。在出口增加防火墙加网
7、络病毒检测防护,提升网络边界的恶意代码的防护。7.3 终端主机安全管理相关的安全接入基线要求为日常管理提供必要的安全底线,避免裸机运行或带“病”运 行。应用系统主机安全在其相关的章节中描述。应监控办公终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的 运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更 新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的安全基线 不能满足要求的情况,该办公终端的网络访问将被禁止。此时启动自动修复机制,或提示终 端用户手工进行修复。待修复完成后,办公终端将自动得到重新访问网络的授权。终端安全加固通
8、过禁用系统Autorun(自动播放)、禁用终端的账号和共享的匿名枚举、禁用终端的可 匿名的共享、禁用Windows系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows远程桌面、禁用启用系统自带的DEP功能(数据执行保护)、并可禁止对终端网卡 属性进行修改,避免用户违规修改网卡的IP、MAC、网关地址等属性,对终端操作系统进 行安全加固,防止终端用户误操作,并有效预防蠕虫病毒和木马对办公终端带来的攻击。除此之外,还提供丰富多样的自定义安全策略,可以用于对终端进行安全加固。例如可 以通过检测特定文件或指定程序是否存,来检查终端是否有隐藏的木马或病毒;通过检测指 定注册表项、指定注
9、册表值或指定的注册表项和值得匹配关系是否存在,来检查终端是否存 在隐藏的木马或病毒的可能,并可以通过对指定注册表项,进行保护,防止被木马或病毒恶 意对其进行修改,从而达到控制终端的可能。还可以根据公司内网要求,检查终端是否按照要求加入或登录指定的AD域,如果没有 按照要求加入或登录域,还可以将其进行安全隔离,使其无法访问网络,保证单位域管理的 有效实施。进程红白黑名单管理在现网网络环境中,办公终端软件环境的标准化能为桌面运维管理带来多方面的效益: 能够降低桌面维护的复杂程度,确保关键软件在办公终端的强制安装与使用,同时通过禁止 运行某些软件来提高工作效率。进程管理通过定义办公终端进程运行的红、
10、白、黑名单,实现自动、高效的进程管理功 能,完全覆盖用户对进程管理的要求。进程管理,无论是进程红名单、黑名单还是白名单, 都可以通过设置MD5码校验的方式检查进程名,防止用户对程序改名逃避安全检查。在进程管理中所定义的红名单、白名单和黑名单的详细定义如下:进程红名单:办公终端必须运行的进程清单,是“进程白名单”的子集;进程白名单:办公终端能够运行的进程清单;进程黑名单:办公终端禁止运行的进程清单。7.4 核心应用系统安全保护核心应用系统的安全应从安全预警、安全管控和安全溯源三个方面来的保障,具体来说 应做到事前的安全漏洞的检查、安全配置基线核查的安全风险预警,事中的严格边界访问控 制、事后的网
11、络业务审计、综合日志审计在内的业务溯源。漏洞扫描及配置核查据“全球信息安全调查”的数据,当前面临的最大安全挑战是“预防安全漏洞的出现”, 在日益复杂的网络环境和层出不穷的安全威胁面前,手工的漏洞管理工作几乎是不可想象 的,尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具来识别和 修补漏洞。应根据“发现一扫描一定性一修复一审核”的安全体系构建法则,综合运用多种国际最 新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞, 清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱 点全面评估的基础上实现安全自主掌控。由于服务和
12、软件的不正确部署和配置造成安全配置漏洞,入侵者会利用这些安装时默认 设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和各种安全威胁事件的不断发 生,越来越多的安全管理人员已经意识到正确进行安全配置的重要性。但是随着业务系统网 络结构越来越复杂,重要应用和服务器数量及种类繁多,很容易发生安全管理人员的配置操 作失误造成极大的影响。基于安全配置最低标准的安全配置基线检查就应运而生。通过安全配置核查管理系统对于设备入网、工程验收、日常维护、合规检查等方面展开 合规安全检查,找出不符合的项并选择和实施安全措施来控制安全风险。检查范围包括主流 的网络设备、安全设备、数据库、操作系统和应用系统等,检查
13、项包括:账号、口令、授权、 日志、IP协议和设备专有配置等内容。核心边界业务访问控制在核心的网络边界部署访问控制设备启用访问控制功能,根据会话状态信息为数据流提 供明确的允许/拒绝访问的能力,控制粒度为端口级,应对进出网络的信息内容进行过滤, 实现对应用层HTTP、FTP、TELNET等协议命令级的控制;在会话处于非活跃一定时间或 会话结束后终止网络连接,限制网络最大流量数及网络连接数,对业务服务的重要次序来指 定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要应用系统主机。运维审计因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限 划分混乱,高权限账号(比如r
14、oot账号)共用等问题一直困扰着网络管理人员,高权限账 号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高 权限的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账 号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间 的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性, 系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部 门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶
15、意操作,无法追 查到责任人。业务数据审计信息网络的急速发展使得数据信息的价值及可访问性得到了提升,同时,也致使数据库 信息资产面临严峻的挑战。数据库的安全威胁主要来自两个方面,一方面来自外部的非法入 侵,黑客针对业务系统或者数据库漏洞,采取各种攻击手段,篡改或者盗取数据。这部分威 胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防。而另一方面的威胁 来自内部,内部员工的恶意破坏、违规操作和越权访问,往往会带来数据的大量外泄和严重 损坏,甚至导致数据库系统崩溃。而且,这些操作往往不具备攻击特征,很难被普通的信息 安全防护系统识别出来,就更加防不胜防,迫切需要一种行之有效的手段来进行防
16、护。围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA 们关注的焦点:管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作, 严格监控第三方维护人员的操作。技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS等),还需要专 门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发 生时及时告警,事故发生后精确溯源。不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有 不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软 件内建的审计能力不能满足独立性的基本要
17、求,还会降低数据库性能并增加管理费用。网络安全审计系统(业务网审计)是针对业务环境下的网络操作行为进行细粒度审计的 合规性管理系统。在网络层通过对业务人员访问系统的访问行为进行解析、分析、记录、汇 报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪 溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正 常运营。7.5 数据安全建设健全现有数据备份平台系统,并着手建立异地备份平台。数据安全及备份恢复建设目标根据等级保护前期调研结果,结合对三级系统数据安全及备份的要求,从数据完整性、 数据保密性和备份与恢复等儿个方面提出相应的整改方案,进行
18、数据安全和备份安全等级保 护建设与改造。数据完整性、数据保密性三级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应完善以下几点:系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密,确保信息在传输过 程中的完整性和保密性;系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密,保证信息在存储过 程中的完整性和保密性,存储过程中检测到完整性错误时需采取必要的恢复措施。建设方案:采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在 传输过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进 行恢复。加密技术需满足以下要求:密钥的安全
19、管理:需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护, 确保密钥明文不能被其他进程和程序非相关组件访问到。证书验证:数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别,且 不接受或继续使用非法的或者无效的证书。备份和恢复三级系统数据备份和恢复与等级保护要求存在一定的差距,应完善以下几点:需提供本 地数据备份与恢复功能,完全数据备份需每天一次,备份介质场外存放;必须提供异地数据 备份功能,关键数据需定时批量传送至备用场地。建设方案:健全现有数据备份平台系统,完善备份系统运行管理制度内容,在现有内容上,需 增加对三级系统备份周期要求(本地备份需每天一次)。备份介质场外存放
20、,本地备份数据 需提供恢复功能,并定期进行恢复测试。建立异地备份中心,定期对各业务系统数据进行异地备份,对于重要的业务系统应进行 实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密 性,加密方案使用数据完整性和保密性相关措施。第8章详细方案管理设计安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安 全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施 真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包 括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。8.1 总体安全方
21、针与安全策略总体安全方针与安全策略是指导集团所有信息安全工作的纲领性文件,是信息安全决策 机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息 安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。本次项目中 将协助集团确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责以及 安全策略,建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落实性。本次设计的总体安全方针与安全策略将具备以下特性:安全策略紧紧围绕行业的发展战略,符合实际的信息安全需求,能保障与促进信息化建 设的顺利进行,避免理想化与不可操作性。总体安全方针与安全策
22、略中将明确阐述所有信息化建设项目在规划设计、开发建设、运 行维护和变更废弃等各阶段,应遵循的总体原则和要求。安全策略在经过信息安全决策机构批准之后,将具备指导和规范信息安全工作的效力。安全策略中将规定其自身的时效性,当信息系统运行环境发生重大变化时,我方将协助 及时对总体安全策略进行必要的调整,并将调整后的策略提交信息安全决策机构批准。8.2 安全策略和管理制度根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主 文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办 法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。制定严格的制定
23、与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制; 发布方式需要正式、有效并注明发布范围,对收发文进行登记。8.3 安全管理机构和人员根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行 人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领 导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和 技能要求。建立授权与审批制度;建立内外部沟通合作渠道;定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。人员安全管理主要包括人员录用、
24、离岗、考核、教育培训等内容。一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗 位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、 严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相 关权限等措施。只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因 此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括 单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最 新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。8.4 安全建设管
25、理系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务 方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之 进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、 软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理 内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。8.5 安全运维管理1、环境和资产安全管理制度环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的 责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、
26、物品进出和环境 安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理, 而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息 系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识, 编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据标准基本要求中系统运维管理,同时可以参照信息系统安全管理要求 等。2、设备和介质安全管理制度明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件 设备采购、发放、领用、维护和维修等过程进行
27、控制,对介质的存放、使用、维护和销毁等 方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。3、日常运行维护制度明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管 理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、 业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统 安全管理相配套的规范和操作规程并落实执行;正确实施为信息系统可靠运行而采取的各种 检测、监控、审计、分析、备份及容错等方法和措施,对运行安全进行监督检查。4、集中安全管理制度第三级以上信息系统应按照统一的安全策略、安全管理要求,统一管理
28、信息系统的安全 运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进 行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。5、事件处置与应急响应制度按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护等级,制定 信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术 支撑部门,建立应急协调机制。落实安全事件报告制度,第三级以上信息系统发生较大、重 大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的 公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。6、灾
29、难备份制度要对第三级以上信息系统采取灾难备份措施,防止重大事故、事件发生。识别需要定期 备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份 与恢复管理相关的安全管理制度。7、安全监测制度开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为 和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安 全事件,以便及时对安全事件进行响应与处置。8、其他制度对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。按国家 密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。8.6 安全管理制度汇总制
30、定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况, 并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信 息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一 步开展整改。第9章项目实施9.1 项目工程组织架构为了保证在这种复杂环境中的实施成功,真正达到预定目标,工程实施将进行严格管理。完善的组织机构是项目管理体系的基础,集成商将根据外网等保安全体系建设项目的目 标,对项目组织结构进行定义,赋予各级部门、各个岗位适当的质量责任和相应权限,并安 排合适的资源和人员以及工作程序。大型制造型企业等保安全体系建设项目上的
31、组织结构如下:项目领导小组外网等保安全体系建设项目:1人集成商公司:1人领导小组由大型制造型企业等保安全体系建设项目、集成商相关领导人员组成。其职责 为:监督项目的进度、工程实施质量,听取项目经理的汇报,提出指导及建设性意见,在人 财物上给予支持,进行质量把关,进行项目重大问题的决策。项目经理受集成商公司委托,直接领导项目的工作,监督工程实施的质量,是集成工作具体开展 的负责人。其职责如下:完成对工程的协调与控制,协调各方之间的工作;负责与设备厂商及相关第三方厂商的联系和交流工作,控制各方的工作进度;最后批准各个工程技术文件并对此负责;监督、支持系统集成的工作,给予指导和必要的提示;对研发工作
32、提供全面的支持和协调;定期如实向质量监督组汇报工作;负责协调会的主持和工作简报的总结,对当前工程实施状况作出说明;对有争议和分歧的问题从工程角度做最后的决断,并对此负责。工程质量监督组大型制造型企业等保安全体系建设项目:1人集成商:1人对系统建设进行监督审核,工程质量监督组在工程管理过程中的具体职责是:根据工程实施进度,对工程实施过程进行全方位的监督(包括从设备到货开始的工程实 施全过程,设备的保管,文档管理控制等);定期或不定期召集质量监督小组会议,商讨工程实施中的质量问题,听取小组成员对当 前质量状态的观点及质量监督工作的建议,提交工程质量报告给项目经理;及时向项目经理反映质量问题,向其提
33、出改进质量的建议与计划。系统集成及维护小组组长:资深系统工程师负责完成系统集成的实施,定期向项目经理提交工程实施报告。系统集成组的职责:完成设备的到货清点、测试和初验(或称设备到货验收)。负责提出测试计划(或要求 厂家提供测试计划并审查接受),制定测试实施方案和进度安排,和厂家技术人员一道参与 测试工作,并填写到货验收报告,填写测试记录,经项目经理审核后才能投入工程实施,经 审核的文档交由文档管理员保管;对到货检验中的不合格设备,填写退货/更换设备备忘录;设备到货验收完毕后,与用户签订验货报告;负责系统实施方案制定,在工程实施前提出系统实施方案;负责在工程实施前,同用户协调提出工程进度计划,并
34、明确本组人员配备;在工程实施前,负责督促和检查机房环境建设;在工程实施前,负责检查外网等保安全体系建设项目提供的系统状况;在工程实施前,负责从库中提取设备,并检查测试;完成软硬件设备的现场施工、调试,认真填写日志,测试报告;在工程结束时,提交有关设备管理维护的报告。工程测试小组组长:资深测试工程师职责:负责测试人员的协调、组织;提出测试配备人员要求;明确测试工作量及人员配 备和工作进度;划分测试功能任务,具体落实各任务的系统测试工作;配置测试环境,并负 责具体落实;编写测试方案和测试报告。安全集成小组组长:资深安全工程师职责:负责本项目所有安全产品的安装、调试;制定安全产品使用策略及网络安全管
35、理 规划;提供网络安全技术咨询服务。商务及后勤支持小组组长:资深商务经理职责:负责落实合同产品的订购与国内运输;跟踪订购设备的到货情况,确保设备按期、 准确、全部到达;设备到货后出现的故障及时联系厂家处理,对返修设备要紧密跟踪厂商, 确保尽快到达;完成整个工程期间的后勤支持,减少项目组的无效投入。文档管理组组长:资深文档管理工程师文档管理组是工程实施过程中重要的环节之一,文档管理组由项目经理直接领导,负责 所有文档(技术文件,质量记录,合同,技术资料等)的控制管理工作。其职责如下:接收、 保存各种内部文档(包括书面文档和电子文档);当项目有关成员需要借阅相关文档时,负 责按照完善的借阅手续提供
36、文档;有责任保证文档的完整性;有责任在接收文档时检查文档 的规范性,对不规范的文档可以拒绝接收;管理各种外部文档,如设备厂商提供的资料和文 档,对外部文档进行编号。9.2 项目实施管理计划921总体考虑本次项目实施范围涉及面较广。考虑到这些方面的要求,我们为本项目的实施拟定了项 目实施指导思想:细心规划、充分沟通、谨慎实施、详尽测试。根据这种指导思想,将整个项目的实施过程划分为五个主要阶段,在其中再划分成若干 细小而便于操作的阶段,在每一阶段集中解决一个关键问题。在每一个阶段结束时根据阶段 目标进行检查,以保证项目的持续可控。这一部分详细内容将在中标后的项目实施计划书 内进一步展开。此处着重描
37、述重点的阶段划分及各阶段的目标与主要项目工作。922项目启动阶段项目的实施启动阶段,此阶段将进行实施前的工程调研和所有相关的准备工作。主要工 作为以下几个方面:成立项目组根据等保安全体系建设项目的具体情况组建相应的项目团队。将采用熟悉等保安全体系 建设项目业务流程以及办公方式的工程师,为本项目服务建设项目的工程技术人员。将最大 限度提高与客户的沟通效率,使项目能顺利高效的进行。项目交接在公司下达项目实施任命通知书后,完成项目前期技术人员与工程实施人员的交接,和 各项申请准备工作。施工前技术协调会为了保证工程实施的顺利进行。在项目施工开始之前,项目指导管理小组、技术工程小 组将进行一次技术协调会
38、。通过协调会让各有关接口人员了解产品相关知识、详细的实施步 骤、各阶段中的注意事项、大致的项目进度安排以及技术工程小组实施人员的联系方式等内 容。工程调研进一步的对用户网络和系统进行详细的工程调研,力求项目实施计划的全面性、完整性 和可操作性。防止项目实施过程中风险因素的增加。编制项目管理计划编制详细的工程项目管理计划,设计项目的组织结构,赋予每一位项目成员具体的任务 与职责。根据合同要求,编制项目的总体进度安排和详细的进度计划;编制执行项目的详细预算 计划,控制项目的执行成本;编制项目的风险管理计划,尽可能早的预见项目执行过程中可 能出现的各种风险,并提出相应的应对措施。采购计划根据中标的设
39、备和系统内容,以及本工程的进度计划、质量目标,制定本工程设备采购 计划,其重点要满足工程工期安排,工程质量要求,制定一个符合工程特点,满足项目施工 要求的设备采购策略。设立专门的商务组完成设备采购计划的制定。其工作范围包括以下内容:1、设备采购计划应确保满足项目实施的工期安排,计划安排应充分考虑设备的生产周 期以及运输周期,不得影响工期需求。2、设备采购计划应明确设备型号,产地,规格生产厂家等内容。3、设备采购计划应包含运输计划安排,运输计划要明确专人负责以及各区域设备临时 仓储地点及保管人员名单。4、保证按时供货至用户指定地点。923项目实施规划阶段本阶段将成立项目组,完成项目设计人员与实施
40、人员间的项目交接工作、编写项目计划、 实施方案、与用户作沟通调研以及集中培训的工作。编制项目实施计划派遣资深的网络系统工程师与用户沟通编制切实可行的详细工程实施计划方案,工程实 施组会根据对客户的调研情况制定详细工程实施方案。充分考虑当地现有状况以及人员状 况,评估施工难度作出合理的施工安排与执行方案。到货验收到货验收将完成以下工作。设备到货通知设备到达用户指定地点前,我公司将向用户项目负责人员提供设备供货清单,由用户确 认。外包装验收用户与集成商工程师、厂商工程师按照订货合同及交货单检查包装箱外观,点验包装箱 件数。外观检查和箱数点验时,检查到发货单和包装箱是否相符,外包装有无损坏和碰伤。开
41、箱验收依照设备清单,详细清点到货设备的数量是否正确;查验到货设备的附/配件是否齐全; 设备的随机文档是否完整;同时在设备到货验收报告中记录到货设备序列号或服务号。加电验收开箱验收合格后对所有到货设备进行加电测试,观察其工作状态是否正常,设备的配置 是否与设备采购合同中的规定一致,设备中运行的软件版本是否与采购合同的规定相符。加 电验收合格后,我公司工程师与用户实施工程师、当地负责人员共同签署设备到货验收报 告。确认相关计划书和需求此阶段必须完成各种项目实施的准备工作,签署相关计划书和确认具体需求等事宜。如: 签署项目管理计划书、签署项目实施计划书、需求确认,设备验收等。924项目实施阶段项目实
42、施的工作主要包括设备到货验收、调试安装、软件开发、测试、初验、现场培训I。任务分配通过任务分解后,依据项目实施组织结构和实际用户情况,指定相应的负责人。安装调试根据工程实施方案以及提出的具体要求对到货设备进行调试安装,并按照合同要求,对 整体安全工作进行集成。集成商在对项目涉及的设备进行安装、配置与调试时,应对整个安 装、配置与调试的每一步骤以及在安装调试过程中出现的各种问题及解决方法详细地记录到 现场安装调试记录中,同时对系统中可能出现的问题及其解决方法形成注意事项向建设方的 技术工程师进行详细讲解。安装、调试完成之后,按照建设方对工作环境恢复的要求,恢复 工作环境,梳理机柜内和设备之间的连
43、接线缆,使之美观、整齐,利于维护。现场培训为了使用户方的技术工程师能尽快的熟悉和掌握新建的系统,希望用户方负责该项目人 员全程参与到系统的安装与调试中,对于安装与调试中的各种问题,集成商公司的现场工程 师将会进行现场解答与现场培训指导。单项测试在整个系统集成完成后,必须对整个网络的连通性和可靠性进行严格的测试。网络基本 功能(连通性、可靠性)的测试是网络系统建设中的重要组成部分,是对前面的系统集成任 务完成状况的一个综合评判。对于网络工程系统,我们将着眼于系统的建设目标,所进行的 技术测试与本网络系统的技术要求相一致,使得建成的系统能够真正满足用户的需求,达到 系统的建设目标。在项目实施前,根
44、据系统安装调试记录的有关要求,工程师将与用户协商集成工作的测 试时间、测试组组成人员、测试内容以及测试步骤和接收条件等,制定系统测试计划, 系统测试计划需经用户方项目负责人签字认可并作为项目测试的测试依据,同时形成测 试记录。测试组成员按系统测试计划中要求的测试时间进入测试现场,根据计划中规定的测 试内容及测试步骤对系统性能指标进行逐项测试,得出测试结果,形成系统测试记录并 由测试组成员签字确认。根据系统测试记录得出的测试结果和合同书中规定的功能及性能指标要求及系统接 收准则,由测试组出具系统测试报告,并由测试组成员会签认可。全网系统综合测试在整个实施工作结束后,将进行全网的整体联调工作。1、
45、检验实施后的设备的运行情况。2、检验实施后的设备的系统整体情况。3、测试网络安全系统。4、测试用户关键业务的运行状况。5、依据测试、检测结果和数据,对整个系统作出综合分析,并生成相应的报告。6、测试安全产品和系统的功能及性能是否满足要求。具体测试内容和规范,待项目实施过程中,在测试计划中详细描述。项目完工报告全网系统综合测试完成后,代表所有的实施工作基本完成,整个项目实施进入系统试运 行、项目培训、文档整理等收尾阶段。关键里程碑为签署项目完工报告。项目收尾阶段系统试运行在初验合格后系统进入试运行期。试运行期将进行以下工作:试运行调查记录:在系统试运行期间,项目执行人员要对系统的功能、性能、稳定
46、性以 及系统的运行效果等各项关键因素进行全面的监测与记录,对出现的问题及时处理并形成系 统试运行记录。得出试运行结论:试运行期满后,项目经理根据系统试运行记录得出的系统试运行结果, 写出系统试运行报告,做出系统试运行结论,并经甲乙双方签字确认。提交终验申请:系统均通过测试与试运行后,项目经理根据系统测试报告及系统 试运行报告向建设方提出项目验收申请。进行终验工作:甲方同意项目验收申请后,根据合同的要求组织项目验收。验收的时间 及安排需经用户方、监理单位以及我公司协商确定。得出终验结论:按照合同的要求对项目中设备的到货情况、系统功能的实现、项目文档 的完整性以及项目的系统培训等重要项目进行验收,
47、用户方与我公司签署系统终验报告, 自三方签字之日起系统进入售后服务期。顾客满意度调查:验收后要请用户协助填写顾客满意度调查表,了解顾客对项目的 满意程度和存在的问题及顾客进一步的希望,以便不断改进我们的工作。项目培训I为使用户能够更方便、更熟练地管理安全设备及软件,更好地发挥网络系统的作用,提 高工作效率,保障系统安全可靠运行,技术培训至关重要。必须把培训看作是实施信息系统 的关键,特别注重对使用人员在网络管理、安全运行和维护等知识、技术和管理经验方面的第2章安全整改原则保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露 给任何单位和个人,不会利用此数据进行任何侵害客
48、户权益的行为;标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保 护基本要求,进行分等级分安全域进行安全设计和安全建设。规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便于项 目的跟踪和控制;可控性原则:服务所使用的工具、方法和过程都会与集团双方认可的范围之内,服务进 度遵守进度表的安排,保证双方对服务工作的可控性;整体性原则:服务的范围和内容整体全面,涉及的IT运行的各个层面,避免由于遗漏 造成未来的安全隐患;最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显 著影响。体系化原则:在体系设计、建设中,需要充分考虑到各个层面的安全风险,构建完整的 立体安全防护体系。先进性原则:为满足后续