XX智慧园区信息安全体系建设项目立项报告.docx

XX智慧园区信息安全体系建设项目立项报告.docx

《XX智慧园区信息安全体系建设项目立项报告.docx》由会员分享，可在线阅读，更多相关《XX智慧园区信息安全体系建设项目立项报告.docx（39页珍藏版）》请在冰豆网上搜索。

XX智慧园区信息安全体系建设项目立项报告

XX智慧园区信息安全体系建设项目立项报告

1概述

从XX智慧园区信息安全建设的全局出发，通过对信息安全现状评估，充分了解信息安全管理（包括政策、组织和制度、管理、技术等）、网络设计和安全措施、操作系统安全、应用/数据保护、员工安全意识等五个方面存在的威胁、漏洞和风险，给出完备的评估报告；

参考国际、国内相应信息安全法规及标准，在风险评估的基础上，结合当地具体情况，建立全面的信息安全体系，满足XX智慧园区各项业务的持续性发展并满足法律法规等的要求；

在风险评估的基础上，针对安全需求，给出详细的信息安全解决方案。

建立持续改进的信息安全体系。

建立符合国家要求的等级化安全保障体系。

2项目背景

信息安全体系的建设是一项全面、动态的全生命周期的闭环管理体系，信息安全体系规划的成功落地实施，直接影响着XX智慧园区项目建设的成败。

信息网络不安全，可能给XX智慧园区的建设造成重大损失。

因此，在整个信息化进程中，始终要高度重视信息安全工作，从管理、技术等方面采取切实有效的措施，保障信息网络系统的正常运行。

从国家等级保护的要求到国家其他标准和制度的发布，对IT治理提出了强制性的要求，好的IT治理对于企业内部控制、风险管理来说非常重要。

我们建议XX智慧园区按照相关法规指引的要求，通过借鉴国际先进标准和经验，建立自己的IT管理和控制体系。

可信的管理并控制IT系统，促进持续发展。

3项目建设思路

根据国家发改委《关于促进智慧城市健康发展的指导意见》发改高技[2014]1770号文的指导思想和基本原则，构建出XX智慧园区安全整体设计思路：

图:

XX智慧园区安全整体设计思路

XX智慧园区的信息安全体系建设工作应重点关注，网络及信息安全相关标准的要求、建立健全完整的责任机制和上下级反馈汇报机制、以关注重点，保护重点的方式开展信息系统的安全管理工作，全方位提升信息安全的综合保障能力，并关注基础设施建设的全生命周期。

XX智慧园区信息安全的建设和推进依托强有力的支持，自上之下、逐级落实的方法，有利于信息安全设计的统一开展。

信息安全等级保护制度是国家信息安全保障工作的基本制度,开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务，同时也是XX智慧园区必须遵循的制度和标准，在此之外，XX智慧园区的建设过程中还应参考国内国际的其他信息安全标准体系，结合XX智慧园区智慧城市的现状，开展信息安全体系建设工作。

4总体框架设计

图：

XX智慧园区信息安全总体架构设计

通过针对基础设施的评估、信息系统的评估、安全管理的评估、对XX智慧园区进行全面的风险评估，依据评估的结果，参考ISO27000设计XX智慧园区信息安全策略体系、风险管理体系、信息安全审计体系，参考SOC设计XX智慧园区安全运维体系，依据66号文件等标准法规设计XX智慧园区等级保障体系。

体系设计完成后，依据ISO27000的PDCA（Plan-Do-Check-Act）持续改善要求，进行规划的测试以及发布、实施。

5项目建设内容

5.1安全评估

5.1.1资产分析

根据资产识别及分析方法，对XX智慧园区各主要信息系统进行资产划分、识别，统计，并提交完备的资产分析报告。

完备而逻辑清晰的资产分析是企业资产管理必不可少的组成部分，同时也是顺利实施成功的风险评估的前提条件。

5.1.2安全管理评估

基于ISO27000的最新版本，对安全管理相关的11个领域，133个控制点进行评估。

同时，对XX智慧园区信息安全可能用到的相关管理制度进行评估、编制、评审、发布等工作。

我们认为仅仅对安全制度及相关流程的梳理和编制是不够的，需要利用逐级推进的方式，由上而下开展体系的实施落地，逐级落实具体制度的执行情况，并根据反馈进行修订逐步完善，贴合实际。

5.1.3信息安全审计评估

依据ISO27000对于信息安全审计的要求，评估现有的信息安全审计制度、措施和实施情况，并对安全控制情况和安全日志进行检查，在此基础上，对其进行完善。

包括完善审计制度、完善审计人员KPI、完善审计流程等。

信息安全审计评估不仅涉及到内审机制的评估，也涉及到外审机制的评估。

审计范围依据ISO27000第2部分标准，审核4、5、6、7和A.5－A.15条的要求。

IT安全控制措施审计：

在完善审计制度、流程的基础上，我们将会对IT安全控制情况和安全日志进行检察，包括但不限于如下内容：

●系统健康审查

●网络突发异常流量

●防火墙策略审计

●设备配置备份

●远程系统扫描

●防病毒系统运行情况检查

●病毒库代码更新检查

●病毒查杀策略检察

●网络设备登录日志监控

●主机、安全设备口令管理

●服务端口审计

●帐号口令审计

●软件安全补丁审计

●系统及应用安全配置审计

5.1.4访谈及安全意识评估

参考OCTAVE（OperationallyCriticalTreat，Asset，andVulnerabilityEvaluation，可操作的关键威胁、资产和薄弱点评估）评估方法，对管理者、责任这、IT员工、员工进行访谈并评估其安全意识。

全面了解相关人员在安全认识上存在的风险。

明确各层次人员对于企业重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取的保护措施以及其它和保护该资产相关的问题。

依据安全意识评估结果，制定具有针对性的安全意识培训计划和预算。

基于访谈结果，提交分析报告，并进行下一个阶段的风险评估。

●评估方法

访谈及安全意识评估我们参考采用美国卡耐基•梅隆大学开发的OCTAVE评估方法进行。

OCTAVE方法着眼于组织自身并识别出组织所需保护的对象，明确它为什么存在风险，然后开发出技术与实践相结合的解决方案。

●访谈规范

准备工作：

✧明确所有必要的信息

✧确定那些是已有的信息

✧编写收集短缺信息的调查提纲

✧针对被访人组织访谈提纲

✧避免提无用的问题

✧智慧城市名词术语

访谈：

✧做访谈记录

✧注意听并促使被访人多谈

✧允许被访人在计划的面谈提纲基础上扩大范围

✧重视关键用户的意见

Ø访谈提纲范本

安全意识和培训

机构成员对他们的安全角色和职责的理解。

记录和验证。

有足够多的为服务、机制和技术（例如日志、监视或加密）设置的内部专家，包括他们的安全操作。

记录和验证。

为所有职员提供的安全意识、培训和周期性提醒。

安全策略

机构的业务策略与安全考虑相结合。

安全策略和方针考虑到机构的业务策略和目标。

安全策略、目的、目标被核实和回顾、更新，以及与机构进行沟通。

安全管理

管理层为信息安全行为分配足够的资金和资源。

为机构中的所有职员定义安全角色和职责。

机构对员工的雇用和解雇行为考虑到信息安全问题。

机构管理信息安全风险，包括：

对信息安全的风险评估

采取步骤降低信息安全风险

管理层收到和遵照例行报告总结安全相关信息（例如，审计、日志、风险和漏洞评估）

安全方针和规则

机构有一系列完整记录的、目前被周期性回顾和更新的方针。

安全方针管理的过程，包括：

创建

管理（包括周期性回顾和更新）

通信

机构有服从信息安全方针的评估和保证的处理过程，可应用的法律和规则以及保险需求。

机构统一执行安全方针。

协作的安全管理

在与外部机构合作时机构有保护信息的方针和处理程序（例如，第三方、合作者、转包商或合伙人），包括：

保护属于其它机构的信息

理解外部机构的安全方针和处理

通过终止外部人员来停止对信息的访问

机构验证符合自身要求的来自外部的安全服务、机制和技术。

意外计划/灾难恢复

操作系统、应用程序和数据危险程度的分析已经执行。

机构已被记录、回顾和测试

业务连续性或紧急情况操作计划

灾难恢复计划

响应紧急情况的意外事故计划

意外事故、灾难恢复和业务连续性计划考虑物理和电子访问需求和控制。

所有职员

注意意外事故、灾难恢复和业务连续性计划

理解和执行他们的职责

物理安全计划和处理程序

维护房屋、建筑和任何受限区域的设备安全计划和程序被记录和测试。

有管理来访者的记录的方针和程序。

有记录下的对硬件和软件的物理控制的方针和程序。

物理访问控制

有记录下的控制对工作区域和硬件（计算机、通信设备等）以及软件媒体的物理访问的方针和程序。

对工作站和其它允许访问敏感信息的组件进行物理保护以防止未授权访问。

系统和网络管理

有维护系统和网络的记录和测试的安全计划。

有记录和测试的备份软件和数据的数据备份计划。

所有员工在备份计划下理解他们的职责。

有建立和终止对个人或组的信息访问权限的记录的方针和程序。

事件管理

存在记录下的过程来识别、报告和响应可疑的安全事件和妨害。

周期性的测试、验证和更新事件管理过程。

有记录下的方针和过程来与法律执行中介一起工作。

GeneralStaffPractices

全体职员遵循安全制度，例如：

保护可靠信息

不向他人泄漏敏感信息（抵抗社会工程学）

拥有足够能力使用信息技术硬件和软件

使用好的口令制度

理解和遵循安全方针和规则

承认和报告事件

在所有职责级别上的全体职员为信息安全贯彻他们分配的角色和职责。

有记录下的处理过程来批准和检查与敏感信息有关的或者在信息所在区域工作的所有员工（包括来自第三方机构的个人）。

5.1.5关键服务器评估

基于服务器脆弱性评估方法，交叉使用远程脆弱性评估、本地脆弱性评估、Checklist复核等工具，对关键的服务器和小型机进行脆弱性评估。

操作系统包括WINDOWS、SOLARIS、LINUX、AIX等，并且利用经验分析对这些服务器和小型机的系统、数据备份制度和技术上存在的问题进行评估。

●评估内容

操作系统本身有各种各样的漏洞，很多漏洞都能够被黑客利用进而对系统进行控制或破坏，对操作系统的漏洞评估是整个安全项目中不可缺少的一部分。

应用软件也不可避免存在有漏洞或缺陷，而且应用系统的配置也是一个很关键的因素，没有考虑安全的配置，是很容易被黑客利用的。

如安全配置不严密或操作系统安全漏洞等是入侵者攻击屡屡得手的重要因素。

入侵者通常都是使用一些黑客工具来探测网络中系统中存在的一些安全漏洞，然后通过发现的安全漏洞，采取相应的技术进行攻击。

因此，先于入侵者采用安全风险评估检测其中存在的安全漏洞，并进一步采用相应的措施修补漏洞是服务器评估的主要目的。

我们将根据实际需求，对关键服务器及重要基础设施，根据其类型采取相应的漏洞扫描手段进行扫描；发现系统在安全配置策略上的漏洞和不合理处，提供全面的报表、查询工具，并提供解决解决建议。

●评估项

操作系统安全评估项目及内容

●系统补丁安装情况

系统最新的补丁和相应的HotFix安装情况

●系统服务开放情况

系统往往只需要提供相应的一个或几个服务，服务越多，被入侵的几率越大，所以我们要检查系统服务开放情况，关掉不必要的服务或端口。

●账号和密码策略

缺省的账号和简单的口令都是重大的安全隐患，一些不用的账号也应该及时的Disable。

●商业工具扫描检测系统漏洞

作为主要的手段，漏洞扫描工具能够帮助我们找到系统的从严重到细微的漏洞。

并提出解决方法。

●专业工具扫描检测系统漏洞

同上。

免费的专业工具也可以作为辅助手段。

●安全功能保护

系统是否启用自身的安全功能，安全功能与性能之间的平衡。

●安全审计

安全审计对于入侵分析、事件查证、系统分析有重要的作用，在Windows系统缺省是没有审计的。

●日志设置

应用系统安全评估项目及内容

●商业工具扫描检测应用服务漏洞

漏洞扫描工具能够帮助我们找到应用服务从严重到细微的漏洞。

并提出解决方法。

●专业工具扫描检测应用服务漏洞

同上。

免费的专业工具也可以作为辅助手段。

●应用服务（Web/FTP/Mail/）配置安全评估

多种服务在配置上的安全问题，以及服务相互之间的安全问题评估。

●评估流程

下图为远程脆弱性评估工作流程，本地脆弱性评估以及渗透测试、专家分析流程与此类似。

图:

远程脆弱性评估工作流程

图:

安全修补实施流程

图:

脆弱性扫描服务文档流程

5.1.6应用系统评估

在对重要信息系统利用资产识别的方法进行完备的资产划分和分析，在基础上对各应用系统的重要资产进行评估，发现系统的各个点存在的技术漏洞，在保证系统各个组件安全的基础上，参考CC（CommonCriteria，即IT安全性评估准则，是世界上最为普遍接受的针对IT安全进行评估的标准），并结合其它信息安全评估标准及准则，从系统的角度对各个信息系统进行完备的风险评估。

包括安全功能评估、安全保证评估、安全环境评估、控制措施评估。

●评估工具

应用系统的评估，我们使用TRA-S评估方法。

TRA-S借鉴国际最通用的IT安全性评估准则CC的思想进行评估。

CC源于TCSEC，但已经完全改进了TCSEC。

CC全面地考虑了与信息技术安全性有关的所有因素，以“安全功能要求”和“安全保证要求”的形式提出了这些因素。

CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。

CC的先进性体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备性和实用性四个方面。

CC分为三个部分：

●第1部分“简介和一般模型”，正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保护轮廓”和“安全目标”的基本内容；

●第2部分“安全功能要求”，按“类——子类——组件”的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释；

●第3部分“安全保证要求”，定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并按“类——子类——组件”的方式提出安全保证要求。

1999年，CC成为国际标准ISO/IEC15408-1999“信息技术安全技术信息技术安全性评估准则”，2001年，我国等同采用ISO/IEC15408-1999为GT/T18336。

图:

CC的发展

我们针对核心应用系统的评估将参考CC实现，并通过其他标准弥补CC的不足，与CC互为补充。

●评估方法

基础设施的风险评估是应用系统风险评估的重要基础！

在资产调查阶段，我们对主要信息系统进行了资产划分和识别。

在此基础上，我们将参考CC以及NISTSP800-26《IT系统安全自评估指南》进行评估，借鉴CC来进行安全功能、安全保证以及安全环境的评估，通过NISTSP800-26进行控制措施的验证。

应该考虑到的一些评估项如下图所示：

图：

关键应用系统风险评估

我们认为关键应用系统的风险评估不应只着重于运维阶段的IT系统，而应该贯穿应用系统的整个生命周期，在应用系统的设计阶段，即可以考虑安全功能的评估，开发阶段，可以开始考虑安全保证的评估，实施阶段，可以开始考虑安全环境的评估。

信息系统生命周期的安全保障如下图所示：

图：

SDLC安全保障

5.1.7网络架构评估

基于网络安全评估方法，对现有网络架构安全性进行评估，包括但不限于如下内容：

✧现有网络平台上存在的问题

✧网络设备的安全设置和保护措施

✧网络边界划分

✧网络平台安全控制措施

✧应急措施

5.1.8客户端抽样检查

对常用客户端进行抽查，分析客户端存在的安全漏洞，掌握客户端的安全风险。

并给出详细的检查报告。

5.1.9安全方针及策略分析

根据风险评估结果，结合法律、法规及行业规范，设计XX智慧园区安全策略体系，并对整个信息系统的安全方针和策略进行全局分析。

5.1.10安全需求分析

根据风险评估结果，安全方针和策略建议，我们将全面规划和设计XX智慧园区未来三-五年的信息安全发展规划。

5.2信息安全体系建立

5.2.1建立等级保障体系

基于信息安全等级保护相关制度标准的要求，对XX智慧园区的重要信息系统进行整体定级，并且根据各个子系统安全要求的不同，划分不同的安全保护级别，并进行不同安全保障等级的设计。

包括相应的管理制度、硬件配置标准等，并且建立应用系统安全级别及相应的保护制度。

5.2.2建立信息安全风险管理体系

在充分借鉴国际、国内风险管理标准和模型的基础上，建立信息安全风险管理体系，包括制度和组织。

●风险管理模型

我们将等级保障方法和风险管理理论有效结合，形成等级化风险管理体系，考虑到XX智慧园区的信息系统现状，一些子系统的边界可能不够清晰，我们认为在具体设计保障框架时，不必太过拘泥于系统的安全保护等级。

我们的原则是突出重点，在边界模糊的情况下，采取就高原则。

图：

风险管理模型

我们设计的风险管理体系考虑到了IT保障环境、风险评估、保障措施、信息与沟通、监控五个层面。

从这五个方面入手，切实的保障信息资产的机密性、完整性、可用性。

图：

风险管理体系

IT保障环境包括：

●IT安全意识

IT安全意识具有非常广泛的涵义，包括但不限于下面所列：

●职责分离意识

●敏感行为多人进行

●保密意识

●管理层的关注

●……

信息与沟通包括：

●输入/输出

相关的输入/输出，例如业务部门和IT部门的协作流程、服务外包、系统输出信息的处理等等。

●预警与通告

包括安全事件的预警与通告，违规行为的预警和通告，异常事件的调查和通告等等。

监控包括：

●业务流程监控

针对系统业务流程进行实时监控，及时发现业务流程中的隐患和异常情况以及各种违规行为。

●系统运行监控

及时发现系统运行过程中的异常情况，并对海量数据进行分析、挖掘，找到隐含的系统风险。

●安全策略监控

针对系统内部署的安全策略进行监控，及时发现违规行为，有效的帮助完善安全策略体系，并帮助建立持续改善的安全策略维护体系。

●基础设施监控

对基础设施进行集中监控，确保系统运行在一个可靠、安全的基础设施上面。

●风险管理步骤

我们将等级保障方法和风险管理理论有效结合，形成等级化风险管理体系。

●识别问题/设置背景/范围

确定整个风险评估的范围、识别任何问题和定义参数是关键的第一步。

直到确定了至少以下关键因素，才可进一步完成实施风险评估：

a）识别所有利害关系。

b）清楚地定义评估环境。

c）确定主要优先次序。

d）确定何谓可接受的风险/可接受的风险水平。

e）建议一致的风险评估标准。

风险水平被定义为事件发生可能性和发生事件的影响（后果）之间的关系。

可能性

「可能性」.分配给这些类别中每个类别的措施取决于待评估的实际环境和资产，但举例来说可在以下水平考虑：

不大可能

不太可能发生，约两年或以上才发生一次

偶然，间中

可能，约半年到两年之间才发生一次

很有可能

每六个月发生一次或更频繁

●后果严重性（影响）

分配给这些类别中每个类别的措施取决于待评估的实际环境和资产，但举例来说可在以下水平考虑：

后果

注释

可用性

保密性

完整性

没有影响

恢复、修理并不花费什么金钱或者特别的时间，很容易回复

对承诺服务水平没有任何影响

没有任何带敏感性信息外泄

没有任何重要信息资产失去、损坏

普通

回复和修复花费在可以接纳水平,带来不，对於利润没有带来严重损失。

对承诺服务水平有影响，但仍然在SLA范围里面

所泄露资料的分类界别属於「内部文件」，而非更高敏感性资料

部分需要的资料受破坏，但营运上需要的重要资料没有事，儿资料修复并不困难

严重

重要资产、或者日常业务运作受到影响。

利润有损失，但对机构盈利能力影响短暂（例如损失一个订单的货物）

明显影响服务水平，服务严重受影响，但影响时间在X小时内

信息被界定为」保密性「的外泄

重要资料受损坏，可以修复但需要时间和人力物力

在考虑个别事件的后果严重性时，应额外考虑实现以下情况需要担负的费用：

a）恢复。

b）诊断。

c）更换/修理部件。

d）重新组装。

e）重新调试。

f）恢复所需的数据。

g）性能降级，或应用程序故障（恢复前）。

h）收入损失（直至恢复）。

i）未来收入潜力损失（由于损失市场营销信息、客户信任等）。

j）恢复和收入损失的间接费用（在应用程序外）。

k）信息泄露。

l）竞争优势下降。

●风险评估

实际的风险管理评估过程分成两类：

a）识别风险；

b）分析风险。

识别风险

必须接下来从内部来源和外部来源记录尽可能多的风险。

这样做的最佳方式就是处于一个组当中，尤其对于复杂情况，或因很少有人了解全部关键而促成风险因素的动态和相互关系的情况下。

所以应当将那些对于待审查的政策、计划、过程或活动熟悉的主要利害关系人和参与者包含进来。

确定风险和促成风险因素的主要问题是：

（该过程/活动/任务）哪些地方可能出现了问题？

例如管理，运作，实施环节等等。

为了达到（过程/活动/任务）目标和目的必须做什么？

分析风险

在企业范围评估期间，将风险隔离，以便独立地评估任何内在风险、控制环境和残留风险（即：

在实施控制后，风险已经降低，但仍然有一定的风险水平）。

根据可用的风险信息和数据，取决于情况，风险分析可以是定量的、半定量的或定性的，或这些的组合。

●安全建议

在确定适当的建议方面，必须完成风险评估，其中解决以下问题：

a）何谓可接受的风险水平？

这里需要考虑风险管理评估的结果（确定的风险水平）和过去相似的评估的情况，特别是风险高低的标准，例如机率和严重性的水平。

b）正在处理的每个风险与其它风险相比优先顺序是什么？

为了解决这个问题，必须考虑主要业务目标和目的，以及每个风险可导致的潜在问题或机会。

下图提供一张表，用于帮助确定何谓可接受和不可接受的风险。

图：

风险处理机制

●风险处理

识别每个可接受风险的风险处理方案。

这些可能包括：

（a）避免风险；

（b）减轻风险（通过减轻风险可能性、后果，或风险可能性和后果）；

（c）转移风险给另一方（或共同承担部分风险）；

（d）接受风险。

接着，选择最有利的方案并采取行动。

在选择方案过程中，也必须制定风险处理计划，包括：

（a）谁拥有风险和对风险负责；

（b）期限；

（c）每种风险处理的绩效标准。

●监视

因为很少有风险保持不变，所以监视和审查风险管理过程是必要的。

举例来说，应考虑下面的问题：

a）在最小化风险方面风险处理是否有效？

b）在最小化风险方面风险处理是否有效和节约成本？

c）可以采取什么改进措施？

5.2.3建立安全策略体系

利用ISMS建设方法论，基于ISO27000的要求，结合实际情况，建立适用XX智慧园区的安全策略体系。

Ø建设方法论

图12安全管理体系建设方法论

建立信息安全管理框架，确立并验证管理目标和管理办法时需采取如下步骤：

1.定义信息安全方针

2.定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征

3.进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等

4.根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域

5.从ISO27000第二部分的第四章选出合理的管