《信息系统安全服务资质评审-安全集成之公司信息系统安全集成需求分析规范.pdf》由会员分享,可在线阅读,更多相关《信息系统安全服务资质评审-安全集成之公司信息系统安全集成需求分析规范.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 目的 规范信息系统安全集成项目的需求分析阶段的服务规范,提高信息系统安全集成服务人员的服务水平与服务意识。2 适用范围 适用于 XX 公司信息系统安全集成项目的需求分析阶段的服务工作。3 服务内容 由项目经理负责了解客户背景信息,采集系统建设需求及目标,结合系统建设和安全需求,与客户达成共识,形成需求分析。3.1 需求调研分析的内容包括:1、调研客户背景信息,明确系统功能、性能及安全性要求,风险识别;2、公司技术、资源能否支持;3、依据建设需求,提出产品选型方案和建设预算,风险避免措施;4、相关供应商是否符合客户对安全保密的严格要求;5、与客户达成共识的总体设计方案;6、项目实施的可行性;
2、7、客户的业界信誉(主要指资金信誉);8、公司其他的竞争优势;9、其他需要提供的分析资料。3.2 输出方案 项目需求分析报告,规范模板见附件。附件:XX 单位 XX 工程 需求分析报告(模板)建设单位:承建单位:日期:xxxx 年 xx 月 xx 日 版本控制页 序号 状态 修改描述 版本 日期 作者 1 创建 V1.0 XXXX 年 XX 月 XX 日 状态:创建、修订、作废 目录 1 项目背景.1 2 客户现状.1 2.1 客户基本信息.1 2.2 管理现状.2 2.3 现有信息安全风险.2 3 客户需求.2 3.1 项目功能需求.2 3.2 项目性能需求.2 3.3 项目安全需求.3 3
3、.4 网络设备安全需求.4 3.5 数据安全需求.4 3.6 传输安全需求.4 3.7 备份与恢复需求.5 4 项目需求分析报告.5 4.1 项目需求分析.5 4.2 资源需求分析.6 1 1 项目背景 对项目进行背景介绍,包括系统的现行概况、建设目标、安全评估的类型等。2 客户现状 2.1 客户基本信息 1)单位基本情况调查 XX单位,位于XX地址;主要开展的业务有XXXXXXX等;XX单位高层领导对监控系统建设比较重视,特别设计 XX 单位内部环境的安全防范,网络安全,数据安全等;目前XX 单位建成有XX 系统,XX 服务器系统,但是网络出口的安全设备不足够,网络安全存在漏洞;视频监控方面
4、,部分关键位置存在盲区,需要增加设备进行覆盖。2)相关人员名单 本项目XX 单位,XX 部门 XX 主管是本项目甲方主要联系人及沟通接口。XX主管联系手机号码:;3)外联线路及设备端口 XX单位,网络出口安装有 XX条XXM的宽带,一条是电信,一条是联通;电信出口作为XX单位VPN专线连接用;联通作为日常办公及远程监控使用。(按实际描述)6)信息系统网络结构 XX 单位,建设有独立的机房;内部局域网采用三层星型结构;配置有核心交换机,汇聚层交换机,接入层交换机等(按实际描述)。7)安全设备情况 XX 单位网络出口只配置一台普通的宽带路由器,没有防火墙功能,网络安全存在较大隐患,急需对整体的网络
5、安全系统进行升级优化。2 2.2 管理现状 1)业务管理组织架构 XX 单位内部的信息系统管理,目前有 XX 部门XX 主管负责;XX 部门现配备XX名技术人员;负责日常的网络管理,监控系统设备的维修等工作。2.3 现有信息安全风险 网络出口没有配置相应的安全设备,内部网络没有受到保护。内部的重要商业信息存在较大的安全隐患。(按实际描述)2.4 现有安全保障措施 内部网络及数据缺少相应的安全保障措施。只配置免费的杀毒软件工作;保护能力有限。(按实际描述)3 客户需求 3.1 项目功能需求 客户在本项目中主要的需求有:1.新建一套视频监控系统,对关键通道位置实现监控;2.采用网络安全设备,XX单
6、位网络出口进行安全防护。3.2 项目性能需求 1.视频监控系统达到1080P高清,而且视频存储时长 XX天;2.网络安全设备满足XXX 人同时并发连接,具备日志分析及安全审计功能等。3 3.3 项目安全需求(按实际需求描述,列举了网络安全,数据安全方面的通用需求供参考)3.3.1 客户需求描述 3.3.2 安全技术实现要求 网络建设具有统一全网的安全控制措施和安全监测手段,对内网进行基于IP和设备的安全监管,进一步规范 IP地址的应用,集中网络管理,实施分级维护;对外网实现虚拟通道、虚拟设备、虚拟 IP管理,并具有强的数据交换能力实现环保信息网络的大集成,考虑到环境应急需求,积极开展网络综合应
7、用,在全局逐步开通IP业务和视频监控系统,为环保综合平台发展提供良好的网络环境。各接入节点之间的通讯要经过核心交换设备进行转发,采用按照行政机构组织模式和业务流程组网的方式,实施起来比较容易,管理层次比较清晰,故障容易定位,后期维护工作量较小。整个网络遵循集中监控、统一管理的原则,在网络中实施统一策略的安全防护体系,可以对各应用系统的进行安全隔离、访问控制,对外连接(专线接入、拨号接入等)进行身份认证、访问控制、数据完整性和审计等安全指标审查,提高了应用系统的安全性。3.3.3 网络管理需求 网管平台也要满足如下需求:(1)中文化图形界面,易管理操作;(2)网管系统可分层、分地域、集中或分散设
8、置,问题可以分级处理;(3)应具有配置管理、性能管理、故障管理、计费管理和安全管理;包括通过图形方式监控网络拓扑和节点运行状况、网络信息流量、资源访问以及运行资料的统计与分析,图形化操作一目了然,方便快捷;(4)应具有对其进行二次开发的工具和软件,满足功能扩展的需要;(5)应支持主流网管协议;(6)应保证网管软件的升级及兼容性;4 (7)支持SNMP协议;(8)支持集中和分布网络管理模式,并能灵活设置管理方式,能对各类网络设备进行管理。3.4 网络设备安全需求 监控中心的数据中心网络设备需遵照以下安全规范:1)网络管理员定期查看网络设备软件安全漏洞声明,并及时修补漏洞。2)将网络设备中未使用的
9、端口关闭。3)网络设备需设置双重密码,密码选用需符合密码规则。每台网络设备使用不同密码,且至少 90天改变一次。4)网络设备需禁止以下服务:UDP服务、源路由、以浏览器方式修改设备配置、IP直接广播以及代理地址解析。5)网络设备的网络管理 SNMP共同体名称不得为缺省配置,且符合密码规范。在不需远程配置的网络设备上,只允许 SNMP读方式接入,且需接入列表限制接入的源IP地址。6)在网络设备终端和虚拟终端端口上配置密码和超时限制。7)网络设备需向日志记录服务器发出报警信息。信息需显示在终端窗口或日志纪录服务器。3.5 数据安全需求 对于数据安全的考虑在于防止泄露和人为恶意破坏,此类威胁的对策是
10、采用严格的用户管理机制和统一的防病毒软件。为防止数据丢失,应进行有效的数据备份,其中包括对操作系统、应用软件和数据库定期的停机备份,在线的联机备份,日志备份,升级备份等。3.6 传输安全需求 监控中心可以采用SSL加密传输提高安全性。用户身份认证,采用 Windows集成的域用户身份认证方式。在管理上设置 5 强密码设置,包括必须包含非字母数字、必须定期更改等管理策略。用户数据的访问,与应用系统的权限设置相关,由应用系统的权限管理负责。3.7 备份与恢复需求 监控中心需要每周XX天,一天XX小时运行。相应地设计使用合适的维护或灾难恢复功能,并指定日常的备份计划。并将停机时间和数据损失降至最小。
11、对于监控中心,备份和恢复的主要内容是数据库,其次是应用程序的执行代码、注册表数据、Web应用程序以及相关文档。4 项目需求分析报告 4.1 项目需求分析 1)时间进度描述 项目需在签订合同后,XX个工作日完成设备的供货,上架安装调试完成;2)项目范围描述 项目建设地点在XX单位;本项目客户要求建设监控系统,网络安全设备等;与以上系统或功能实现相关的其他工作,不属于项目范围。3)项目预算描述 客户预算全部内容建设控制在人民币 XX万元以内;4)质量需求描述 全部主要设备三年质保,监控系统相关设备需连接后备电源,保证每天XX小时不间断工作;网络安全设备保证每天 24 小时不DOWN机出现故障,确保
12、XX分钟内恢复正常运作。(按实际需求描述)5)功能需求分析 1.视频监控系统实现关键通道的高清视频监控,记录关键位置的人流情况;6 2.网络安全系统,保障XX单位内部网络得到有效的保护,重要数据传输安全可靠。(按实际需求描述)6)性能需求分析 1)系统运行稳定。(2)系统数据安全。(3)客户端响应快捷,速度能达到业务的基本要求。(4)系统具有一定的容错和抗干扰能力,在非硬件故障或非通讯故障时,系统能够保证终端能正常运行。7)安全需求分析(1)权限控制 根据不同用户角色,设置相应权限,用户的重要操作都做相应的日志记录以备查看,没有权限的用户禁止使用系统。(2)重要数据加密 本系统对一些重要的数据按一定的算法进行加密,如用户口令、重要参数等。(3)数据备份 允许用户进行数据的备份和恢复,以弥补数据的破坏和丢失。8)合规性需求分析 各系统符合相应的建设技术标准;网络安全设备符合网络安全设备抗攻击能力的要求;XX系统满足各系统的相关需求。4.2 资源需求分析 合同签订完成,XX个工作日设备及综合布线材料到位;合同签订后,XX个工作日综合布线完成建设,网络设备,监控设备完成安装调试。