《2022年电子政务终端安全护理实施方案.doc》由会员分享,可在线阅读,更多相关《2022年电子政务终端安全护理实施方案.doc(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息平安风险评估需求方案一、工程背景(放进建议)二、工程目的通过开展信息“平安风险评估”, 完善平安治理机制;通过平安效劳的引入,进一步建立健全平安治理策略,实现平安风险的可知、可控和可治理;通过建立信息平安风险评估机制,实现信息平安风险的动态跟踪分析,为信息平安整体规划提供科学的决策依照,进一步加强网络的整体平安防护才能,全面提升我信息系统整体平安防备才能,极大提高网络与信息平安治理水平;通过深化挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息平安治理制度和技术措施的有效性进展评估,不断加强系统的网络和信息系统抵御风险平安风险才能,促进平安治理水平的提高,加强信息平安风险
2、治理认识,培养信息平安专业人才,为各项业务提供平安可靠的支撑平台。三、工程需求(一)效劳要求1根本要求 “平安风险评估效劳”全过程要求有据可依,并在产品使用有据可查,并保持工程之后的持续改良。针对用户单位网络中的IT设备及应用软件,需要有软件产品识别所有设备及其平安配置,或以其他方式搜集、保存设备明细及平安配置,进展资产搜集作为建立信息平安体系的根底。平安评估的过程及结果要求通过软件或其他方式进展展示。关于风险的处理包括:协助用户制定平安加固方案、在工程建立及日常运维中提供平安值守、征询及支持效劳,通过平安产品处理已经知道的平安风险。在日常平安治理方面提供平安支持效劳,并依照国家及行业标准制定
3、信息平安治理体系,针对平安治理员提供平安培训,遇有可能的平安事件发生时,提供给急的平安分析、紧急响应效劳。2平安评估评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络构造、应用系统、数据库、效劳器及网络平安设备的平安性、平安产品和技术的应用情况以及治理体系是否完善等等;同时对治理风险、综合平安风险以及应用系统平安性进展评估;评估采纳专业工具(破绽、数据库采纳产品必须为商业化产品)、人工评估、浸透测试三种相结合的方式,对各种操作系统进展评估,包括:帐户与口令平安、网络效劳平安、内核参数平安、文件系统平安、日志平安等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些
4、威胁,依照应用系统所存在的威胁,来确定需要到达哪些系统平安目的才能保证应用系统能够抵挡预期的平安威胁。其他评估内容应至少包括以下几方面:l 信息探测类l 网络设备与防火墙l RPC效劳l Web效劳l CGI征询题l 文件效劳l 域名效劳l Mail效劳l Windows远程访征询l 数据库征询题l SQL 注入l 跨站脚本攻击l 后门程序l 其他效劳l 网络回绝效劳(DOS)l 其他征询题平安评估效劳范围应包括但不只限于协助用户完成2010年度信息平安专项检查工作。 3平安加固每次对用户单位网络信息系统进展全面评估后应立即制定平安加固方案,另外如用户单位有紧急需求时可随时安排制定平安加固方案
5、。平安加固方案应覆盖用户单位IT系统中所有效劳器和网络设备,以及不同类别的操作系统、数据库和应用系统。平安加固方案不能妨碍用户单位各项业务的正常进展,假如加固过程需要临时中断业务,须设计详细的处理方案。同时,随着信息技术的开展,当新的破绽出现时,评估单位有责任和义务告知用户,并配合用户断定是否进展相应的加固工作;4紧急响应 当用户单位信息系统出现平安事件后,用户可立即启动紧急响应效劳,效劳应包括远程紧急响应和现场紧急响应;紧急响应均要求724小时提供。 紧急响应要求在响应恳求发出2小时内由工程师到达事故现场,协助用户进展处理; 响应效劳完成后评估单位需整理详细的事故处理报告,内容至少包括事故缘
6、故分析、已造成的妨碍、处理方法、处理结果、预防和改良建议;5平安征询评估单位应依照ISO17799等多个标准的相关要求对平安策略、平安制度、平安流程进展审计,提供改良建议,建立信息平安的“统一”策略治理机制,并对用户单位信息平安体系建立规划、信息平安治理体系、信息平安治理制度建立、平安域划分等相关内容提出符合国家及行业标准的合理化建议,并制定完好的处理方案。关于新建信息化工程应从业务需求分析、系统设计、部署施行、测试验收等全周期提供技术征询支持。6 平安事件通告 评估单位应具备专门的平安研究人员以跟踪最新平安技术开展、搜集业界发布的最新平安信息及时通告用户单位最新的平安动态、平安技术的开展趋势
7、,以及时效性非常强的破绽、攻击手法、病毒码的预先通知; 评估单位至少每月提供一次汇总的平安通告信息,当厂商或平安组织发布紧急平安通告后评估单位应在三天之内提供给人保相关通告信息; 及时提供最新的设备补丁,随时依照用户需求,提供相应平安破绽与响应的平安系统晋级代码;及时向招标人提供国家颁发的最新平安制度与法规。7平安巡检包括不限于以人工方式检查主机系统和网络设备的日志信息、平安配置以及审计信息等,提出平安策略建议;如发觉异常现象或平安征询题,及时向用户单位反应,并提供后续技术支持,配合征询题的查处和处理。要求每月对平安防护产品进展一次巡检效劳,并生成巡检报告;每季度对所有主机、数据库、网络、平安
8、产品进展一次全面巡检,并生成巡检报告。8平安值守效劳要求评估单位在严重节假日及特别时期安排技术人员提供平安值守效劳(包含在用户单位值守及远程值守)。9平安培训效劳要求每年安排两次信息平安治理及技术培训(培训只负责提供师资及培训教材,培训教材可为电子版),同时,要求提供四人次专业技术认证培训(含食宿)。10应急演练效劳要求配合用户制定信息系统风险应急响应方案,并每年至少安排一次信息系统风险应急演练。(二)效劳原则 为保障平安风险评估工作的有序进展,特提出以下原则:1.保密性原则要求评估单位与用户签订保密协议,在进展信息平安风险评估的过程中,严格遵照保密原则,评估过程中采取严格的治理措施,确保所涉
9、及到的任何用户保密信息,不会泄露给第三方单位或个人,不得利用这些信息损害用户利益。2.最小妨碍原则要求从工程治理和技术应用的层面,在风险评估工作施行过程对现有信息系统和网络的正常运转所可能的妨碍降到最低程度;要求制定风险评估过程中的风险躲避方案及应急措施。3.标准性原则要求评估机构在充分总结多年开展信息系统平安风险评估实践经历的根底上,确定标准的方案;在此次信息平安风险评估任务执行过程中,通过标准的工程治理,在人员、工程施行环节、质量保障和时间进度等方面进展严格管控。4.标准化原则风险评估工作要求严格恪守国家和行业的相关法规、标准,并参考国际的标准来施行。5.完好性原则完好性原则包含以下两个层
10、次的内容:评估内容的完好性要求在风险评估工作中,要综合考虑所评估信息系统的技术措施、人员、业务及运转维护等方面,含盖信息平安风险评估合同要求。评估流程的完好性要求信息平安评估过程应遵照科学性、标准性、严谨性原则。6.互动性原则在进展信息平安风险评估过程中,要求必须有用户单位人员参与,双方共同组成工程施行部门,进展工程施行,从而保证工程执行的效果并提高受的整体平安技能和平安认识。(三)评估内容1.信息系统平安治理情况检查 评估各种平安制度的建立情况,包括:对终端计算机访征询互联网的相关制度;对终端计算机接入内网的相关制度;使用挪动存储介质的制度;系统的业务应用人员、系统的开发、维护、治理人员、系
11、统开发、维护人员相关平安治理制度等。2.网络架构、网络平安设备评估范围包括:业务办公内网、业务外网、办公外网、外部单位联网等;分析网络拓扑构造是否明晰划分网络边界;评估网络的平安区域划分以及访征询操纵措施。3.对资产本身存在的脆弱性进展搜集和整理物理环境, 包括 UPS、变电设备、空调、门禁等。交换机,包括核心交换机20台,接入交换机20台。检查平安破绽和补丁的晋级情况,各VLAN间的访征询操纵策略;口令设置和治理,口令文件的平安存储方式;配置文件的备份。路由器,包括核心路由器5台,接入路由器10台。检查操作系统是否存在平安破绽;配置方面,检测端口开放、治理员口令设置与治理、口令文件平安存储方
12、式、访征询操纵表;是否能对配置文件进展备份和导出;关键位置路由器是否有冗余配置。平安设备,包括防火墙、入侵检测系统、网闸、防病毒、桌面治理、审计、加密机、身份鉴别等;共约20台。查看平安设备的部署情况。查看平安设备的配置策略;查看平安的日志记录;通过破绽系统对平安进展。通过浸透性测试检平安配置的有效性。4.重要效劳器的平安配置小型机约60台、效劳器约200台。登录平安检测;用户及口令平安检测;共享资源平安检测;系统效劳平安检测;系统平安补丁检测;日志记录审计检测;木马检测。5.核心业务系统的平安性对核心业务信息系统,在需求分析和设计阶段是否充分识别平安需求;是否能确保系统文件的平安;是否能采取
13、措施保护应用系统开发和维护过程中的信息平安。核查重要业务系统数据访征询操纵情况,敏感文档材料、效劳器、用户终端、数据库等数据加密保护才能。对门户网站进展浸透性测试;对网上报税等核心业务系统进展浸透性测试;对网络边界进展浸透性测试;对内网进展浸透性测试。(四)评估的应用系统1.应用系统2.数据库3.外部数据交换4.操作系统应用系统和数据库涉及到的主机操作系统。5.配电系统(1)供电系统(2)UPS(3)应急供电系统6.机房环境系统(五)质量操纵为保证信息平安风险评估工程质量,要求在风险评估过程中就风险评估过程操纵、风险评估过程监视、风险评估结果的验证等方面严格相关标准。四、效劳周期信息平安风险评
14、估效劳自2010年9月1日2011年8月31日。信息平安风险评估是从风险治理角度,运用定性、定量的科学分析方法和手段,依照有关信息平安技术与治理标准,对信息系统及由其处理、传输和存储的信息的保密性、完好性和可用性等平安属性进展评估的过程。风险评估的根本要素包括:需保护的信息资产、信息资产的脆弱性、信息资产面临的威胁、存在的可能风险、平安防护措施等。风险评估通过识别资产相关要素的关系,从而推断资产面临的风险大小,主要内容有:一是对资产进展识别并对资产的价值进展赋值;二是对威胁进展识别,描绘威胁的属性,并对威胁出现的频率赋值;三是对资产的脆弱性进展识别并对详细资产脆弱性的严峻程度赋值;四是依照威胁
15、及威胁利用弱点的难易程度推断平安事件发生的可能性;五是依照脆弱性的严峻程度及平安事件所作用资产的价值计算平安事件的损失;六是依照平安事件发生的可能性以及平安事件的损失,计算平安事件一旦发生对组织的妨碍,即风险值。电子政务终端平安护理施行方案信息平安征询题是所有国家在电子政务开展中都十分关怀和注重的征询题。随着政府信息化进程的加速,电子政务网络环境日益复杂,平安情势也日趋严峻。敏感信息被泄露、政府门户网站被篡改,非法用户入侵、恶意软件攻击等平安事件屡见不鲜。传统的平安网关、防火墙、VPN等技术已经不能完全有效地保障政务网络的平安。据有关材料统计,网络的平安事件有80%源自个人终端。终端已经成为新
16、的平安征询题,是电子政务平安治理所面临新的挑战。目前国家机关中网络都具有相当的规模,网络中大量使用计算机终端设备,这些设备带来高效应用的同时,本身确实存在着平安风险和隐患,因而应该加强终端平安防护以保障整个电子政务网络的平安运转。由国家信息中心指导设计,中国信息平安测评中心,微软中国、北信源自动化技术、北京瑞星信息技术等众多行业优势部门和领先企业开发的政务终端平安护理整体处理方案,是面向各级政府部门的计算机终端,提供全面,强大易于治理的平安护理功能。政务终端平安护理整体处理方案采纳分布式体系构造,由全国级联部署的终端平安护理平台、系统补丁验证测试实验室、终端平安护理软件和杀毒软件构成,可为全国
17、各级政府部门提供全方位的平安护理效劳。终端使用者不再需要任何平安方面的操作就能够确保本人的计算机一直处于平安状态。一、电子政务终端平安治理的重要性和功能要求(一)政务终端平安治理的重要性我们强调终端平安治理的重要性,一是终端平安是平安治理工作中最薄弱的环节,由于终端的使用不断是个人行为,每一个人的平安观念、知识水平和法规认识不同,决定着终端的平安状态,使用单位关于大量终端的平安又难于全面掌控;二是终端已成为进展网络攻击的工具,攻击者借助终端攻击政府部门的信息系统,窃取国家的敏感信息,传播黑客和木马病毒,给整个信息系统造成危害。终端平安平安配置治理是关键。终端是信息加工、处理和存储的重要根底设备
18、,其平安性会严峻妨碍整个网络的平安,而平安破绽的大量存在是终端脆弱性的主要缘故。因而通过限制用户权限、关闭部分效劳功能等平安配置治理可有效减少系统破绽,提高终端防护才能。(二)政务终端平安治理的必要性2009年中国网民网络信息平安情况调查系列报告显示52%的网络终端曾遭遇过网络平安事件。平安事件造成的损失主要是时间本钱,平均每人需要花费约10个小时处理平安事故。其次是经济方面的损失,2009年终端用户在处理网络系统、操作系统瘫痪、数据、文件等丧失或损坏等平安事件所支出的效劳相关费用共计153亿元人民币。实行终端平安配置统一化和标准化,不仅有利于降低系统风险、方便信息平安防备措施的统一部署和施行
19、效率,还可有效降低终端平安治理的复杂性和维护本钱。因而,推进终端平安护理的施行。关于降低政府信息化平安本钱有着重要作用。可实现终端平安配置和治理的自主化,有利于推进系统软件的晋级改造和自主创新,也是利用政府应用推进国产化的一个契机。(三)政务终端平安治理的要求在终端平安治理上实际工作中存在许多困难,一方面由于多数终端用户缺乏必要的计算机平安治理知识,不能及时下载终端操作系统补丁,并对补丁进展必要的平安测试。用户对病毒等恶意软件不能及时有效地查杀和去除,而过多地依赖杀毒软件妨碍了终端系统的使用效率。另一方面信息系统治理者,不能及时理解计算机终端的平安状态,无法配置计算机终端的平安策略,也缺乏对终
20、端上网行为、挪动设备使用、终端访征询权限操纵等诸多妨碍整个信息系统平安行为的有效治理。上述征询题的存在也就产生了对计算机终端平安的功能要求。目前,我国电子政务将网络按其功能区分为:政务内网、政务专网、政务外网三个架构。其不同的电子政务网络系统,关于信息平安要求是不同的,但是对政务终端的根本平安要求却是一致的,主要集中在以下几个方面:身份认证、访征询操纵、特权治理、平安审计、免疫机制、文件保护、平安传输、软件治理、设备治理。(三)政务终端平安治理的功能政务终端平安治理主要针对个人计算机的操作系统、阅读器、办公软件、邮件系统和其他常用软件制定相关的平安配置,对终端进展平安和功能双层加固。其功能主要
21、表如今以下几个方面:加强系统平安(口令治理、身份认证、系统审核);杜绝平安隐患(禁用高危效劳端口、非法程序脚本执行、非受权程序安装);限制非法操作(用户权限治理、进程内存配额治理);启用平安保护(数字签名、进程保护);减低资源浪费(系统资源占用治理)。二、政务终端平安标准框架内容政务终端平安核心配置标准框架从总体上可分为三大类:(一)总体标准主要依照平安需求制定终端所有到达的要求。1、政务终端平安核心配置标准。账户治理配置。此类平安配置用于保护用户的登录信息,增加账户信息被窃取的复杂度。主要包括账户策略和密码策略;系统平安配置。此类配置有利于加固操作系统本身的平安性,降低由于权限、破绽、监控等
22、征询题带来的风险。配置内容主要包括审核策略、平安选项、用户权限分配和事件日志;终端组件配置。主要加强用户安装的软硬件治理,对可能造成危害的情况施行操纵或限制使用范围。主要包括IE治理、附件治理、电源治理、显示治理、聊天工具、会话治理、终端效劳治理、网络会议等配置内容;另外还有域配置和用户等配置等标准。2、政务终端等级保护平安配置要求。依照计算机信息系统平安保护等级划分准则和信息系统平安等级保护根本模型,针对自主保护级、指导保护级、监视保护级、强迫保护级和专控保护级五种平安保护等级,从物理平安、系统平安、网络平安和应用平安四个层面,专门对政务终端平安核心配置提出等级保护要求。(二)技术指标类主要
23、为各配置项设定详细内容,通过不同的策略值满足不同的层次要求。1、操作系统平安基线。依照网络和信息系统等级保护的要求,要到达的平安配置,保证即平安又有良好的使用性。包括账户策略、本地策略、系统策略、网络策略和操作系统组件。其分为五个级别:用户自主保护、系统审计保护、平安标记保护、机构化保护和访征询验证保护。2、阅读器平安基线。包括更新治理、站点治理、脚本操纵、开发语言权限、阅读器进程治理和控件治理等内容。主要配置为:权限治理、历史记录、操纵面板、高级页面、互联网平安页和限制站点治理。3、办公软件平安基线。为了减少办公软件使用时给终端带来的危险,规定其平安配置要求。主要包括文字处理、表格处理、图片
24、处理和阅读器等办公软件的加密处理、打开或存储文件格式治理、信任方式操纵治理、超级链接收理、不可信文件处理、晋级治理和宏操纵等方面的配置限定。4、邮件系统平安基线。规定了邮件系统平安配置的最低要求,降低对终端所造成的平安风险。内容包括附件治理、自动下载附件、可信邮件查收、设定信任等级、密码治理、邮件许可仅变更、内容连接操纵、邮件加密、上载附件治理和图片下载治理等。5、常用软件平安基线。加强终端常用软件的平安治理,减少平安威胁。规定了网络下载、媒体播放和即时通讯等应用软件在使用权限、流量操纵、自动启动、自动下载和晋级治理等方面的内容。(三)应用支撑类主要为了加强标准的有用性和可用性,制定了相关的要
25、求标准。1、政务终端平安核心配置目录。包括配置标识、配置名称、配置值、策略途径和策略描绘等。2、政务终端平安配置格式标准。用来规定描绘平安配置格式,以XML语言的树形构造来描绘数据,主要包括平安配置版本信息、基线配置分组、标准配置值检查和有关配置解释。3、政务终端平安配置施行指南。从标准的研制、验证、治理、分发、部署、检测六个方面,系统地描绘政务终端平安核心配置标准的施行过程。主要包括策略制定、策略治理、策略分发、策略配置和策略检查。三、政务终端平安建立施行计划(一)政务终端平安部署计划依托国家政务外网(省公务外网)根底设备,建立省、市、县三级,覆盖全省11个设区市和140个县(市)的政务终端
26、平安核心配置标准应用支撑平台。在国家信息中心建立的政务终端标准应用平台中心节点的支撑下,在省政府办公厅公务外网中心机房建立省级节点。依照平台技术要求装备必要的效劳器和存储设备,首先在省政府办公厅和部分省直部门部署政务终端平安护理。(二)组织政务终端平安护理平台技术推行队伍政务终端平安护理平台的推行将采取市场化运作的方式进展,选择省内具有丰富信息平安施行经历,并得到国家权威部门认可的专业信息技术公司,做为专业技术维护队伍,进展技术支持与应用推行工作。(三)组织市级节点应用试点和验证工作扩大应用范围,完成全省所有市级节点的部署工作,选择一个设区市展开政务终端平安核心配置标准示范应用,进展试点单位终
27、端护理平台统一的平安配置策略部署。省政府办公厅依托指定的政务终端平安护理应用推行技术支持公司,会同省保密局和省平安测评中心,对全省的政府采购终端设备强迫执行配置预装方式。(四)政务终端平安护理培训政务终端平安护理技术推行将组织一系列的应用培训工作。1、标准培训。针对机关工作人员,主要介绍政务终端平安配置的根底内容和框架,加强培训人员对使用平台重要性和必要性的认训。2、工具培训。与省平安测评中心和软件测试中心合作,聘请有关技术专家,针对为政府部门提供给用软件支持的单位组织培训,主要内容有:虚拟机用于测试软件与政务终端平安护理环境的兼容性,协助信息技术人员熟悉政务终端平安护理标准,方便软件的测试、
28、移植和开发工作;评估和规划工具主要用于评估当前信息技术根底设备情况,从而确定可满足需求的系统移植技术方案;应用程序兼容性测试工具评估操作系统部署、系统晋级的妨碍、与网站的兼容性等;微软部署工具将桌面和效劳器部署所需的工具和过程集成为一个通用部署操纵台,创立映像和自动安装,提供端到端导游减少部署时间、缩减技术支持效劳本钱,提高平安性和持续的配置治理。组策略部署工具能够自动生成平安配置部署所需的所有组策略对象,提供使用导游指导策略部署。3、效劳培训。针对全省各级技术维护队伍,通过学习有效监测和分析政府网络终端的平安状态,及时向终端分发通过平安测评的破绽补丁和更新信息,配置统一的平安策略,定期对终端
29、进展病毒、黑客软件去除、垃圾软件清理等平安护理效劳,保护政府网络终端正常、高效地运转。4、治理培训。组织省直各部门信息化部门主官进展平台应用推行治理培训,采取请进来和走出去学习先进省市经历。培养治理者的先进理念和认识,实现全省政府公务外网终端平安防护系统的统一规划、统一治理。(五)成立政务终端应用推行专家征询组组织成立政务终端平安护理应用推行专家征询组,由省内有关信息平安方面的权威人员组成,提供政策、技术征询和决策支撑。发挥专家组的团队优势,为政务终端平安护理治理提供智力支持。充分发挥个人专人和所在单位的技术和政策优势,为平台应用推行工作献计献策。关于加强省政府电子政务网风险评估和终端平安防护的建议信息平安征询题是所有国家在电子政务开展中都十分关怀和注重的征询题。随着政府信息化进程的加速,电子政务网络环境日益复杂,平安情势也日趋严峻。敏感信息被泄露、政府门户网站被篡改,非法用户入侵、恶意软件攻击等平安事件屡见不鲜。传统的平安网关、防火墙、VPN等技术已经不能完全有效地保障政务网络的平安。