网站等保测评整改方案(V1.1)

时间：2020-10-08 12:04:14 来源：蒲公英阅读网 本文已影响人

相关热词搜索：测评 整改方案 网站

　等保测评整改方案 2017 年 9 月

　一、 概述 ...................................................................... 1 1.1 、 概述 ......................................................................

　 1 1.2 、 整龄景 ---------------------------------------------------------------------

　 1 13 目标读者

　 ................................................. I 二、 系统现状 .................................................................. 1 三、 整改方案 .................................................................. 5 3.1 、 物理安全 .................................................................. 5 3.2 、 网络安全 ................................................................... 6 3.3 、 应用安全 .................................................................. 6 3.4 、 主机安全 .................................................................. 7 3.5 、 数据安全及备阪复 ..........

　................................................ 7 3.6 、 安全管脚度 ---------------------------------------------------------------- 7 3.7 、 安全管理机构 .......

　...................................................... 8 3.8 、 人员安全管理 .......

　...................................................... 8

　3.9 、 系统建设管理 ............................................................... 8 3.10 、 系统融管理........ ....................................................

　9 四、 整改方案总结 ............................................................... 9 4.1 、 管理制度的建设和修订 .........

　.........................................

　 10 4.2 、 管理机构和人员的设置 ..

　.................................................. 11 4.3 、 人员安全技能啣 1| -------------------------------------------------------------------------------- 11 4.4 、 技术修补 ................................................................. 11 4.5 、 日常安全管理控制 ......................................................... 12 五、 整改需求 ................................................................. 14 5.1 技术需求 ................................................................... 14 5.2 安全服务 f 资质要求 .......................................................... 14 5.3 项目预算报价 ------------------------------------------------------------------- 15

　概述 1.1. 概述 信息安全等级保护是国家在国民经济和社会信息化的发展过程中，提高信息安 g 力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化健康 发展的基本策略。信息化发展的不同阶段和不同的信息系统有着不同的安全需求， 必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。

　要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息 系统。

　1.2. 整改背景 本文档主要描述广东省在职职工互助保障管理信息系统 （2 级系统 ）

　的现状， 依照《信息安全技术信息系统安全等级保护基本要求》和系统现状进行了比对，分 析出系统的不足之处 ， 为达到系统安全等级 2 级的要求提岀整改方案。

　通过此方案的实施提高**信息系统的安全防护水平。

　L3. 目标读者 本文档的目标读者是**信息安全相关的决策人员、规划人员、管理人员和执行 人员。

　二,系统现状 广东省在职职工互助保障管理信息系统由基础网络、运营环境、服务器、计算

　机及其相关的配套设备、设施构成。信息网络系统位于**为此项目独立建设安全区 域内,是**信息化建设的重要业务组成部分。

　测评中发现的问题如下：

　序 号 系统中存在的问题 问题类别 具体描述 1 物理安 全 物理访问控制 1. 机房没有专人值守 2. 来访人员进入机房没有申请和审批流程 2 防盗窃与防破坏 1. 系统主要设备均未设置标签标记 2. 未对存储介质进行分类标识 3 防水和防潮 无法自动调节机房湿度 4 温湿度控制 机房未配备专用精密空调对温湿度进行控制 5 网络安 全 结构安全 1. 当前网络拓扑图较为老旧 2. 未根据实际业务情况设置 ACL 6 访问控制 未严格设置网络访问控制策略 7 边界完整性 系统未采取措施防止非授权设备私自联到内部 网络 8 入侵防范 目标网络中未部署入侵检测设备 9 网络设备防护 1. 登录身份鉴别只有账号密码且未定期修改 2. 部分设备未对登录地址进行限制 3. 设备采用 Telnet 方式进行访问

　10 应用安 全 身份鉴别 无登录失败处理功能 11 访问控制 1. 无访问控制功能 2. 用户权限不清，存在权限过大情况 12 安全审计 系统无审计功能 13 通信保密性 系统采用 HTTP 方式进行访问，未对会话过程 逬行加密 14 软件容错 系统未提供自动保护功能,未提供自定义错误 页面 15 资源控制 1. 未设置最大并发连接数 2. 未限制单个帐号并发会话 16 主机安 全 身份鉴别 1. 系统口令复杂度不够完善 2. 未启动登陆失败处理措施 17 访问控制 1. 系统默认账户未重命名 2. 未设置审计员账户 3. 操作系统和数据库管理员为同一人 18 安全审计 操作系统的日志审计功能未开启 19 恶意代码防范 未安装防恶意代码软件 20 资源控制 1. 未限制终端接入地址 2. 未开启屏幕翩聞 21 ^5 数据完整性 系统采用 http 方式访问，无法对数据进行加

　 全及备 钢复

　密 22 数据保密性 系统采用 http 方式访问 ， 无法对数据进行加 密 23 备份和恢复 1. 未对操作系统数据进行备份 2. 网络结构及服务器存在单点故障 24 理制度 管理制度 缺乏部分管理制度 25 评审和修订 未定期评审安全管理制度体系 26 安全管 理臓 授权和审批 部门和岗位授权审批不明确 27 沟通和合作 各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通不完善 28 人员安 全管理 人员离岗 未及时终止离岗员工权限 29 人员考核 人员安全考核不到位 30 安全意识教育和 培训 1. 安全意识教育和培训不完善 2. 安全教育和培训缺乏书面规定 31 系勰 设 WS 系统定级 系统定级不完善 32 安全方案设计 安全方案设计不完善 33 产品采购和使用 缺少相关的产品采购和使用记录 34 外包软件开发 外包软件开发不完善 35 工程实施 工程实施瓣不完善 36 测试验收 测试验收不完善 37 系统交付 系统交付不完善

　38

　安全服务商选择 安全服务商选择管理不完善 39 系统运 维瓣 介质饒 介质管理不兄善 40 踽管里 设备管理制度不完善 41 网络安全管理 未建立网络安全管理相关制度 42 系统安全管理 未建立系统安全管理相关制度 43 恶意代码防范管 理 没有防病毒安全专员进行跟进，以及未制定相 关管理制度 44 备份与恢复管理 未建立备份恢复管理制度 45 安全事件处置 安全事件报告和处置管理制度不完善 46 应急预案管理 应急预案管理不兄善

　三.整改方案 3.1. 物理安全 立即执行: 1）

　完善机房设备标签，及时对未打标签的设备进行设备唯一标识管理; 2）

　机房部署精密空调对温湿度进行监控及调节； 3）

　完善机房申请、审批流程。

　持续改进：

　1）

　安排专人对机房进行值守；

　2）

　定期检查机房防水防潮以及温湿度状况,确保机房环境条件符合要求； 3.2 、 网络安全 立即执行：

　1）

　加强网络可用性，实现重要设备的高可用性，圈晔点故障风险； 2）

　按照目前实际情况更新网络拓扑图； 3）

　在网络边界部署入侵检测设备或在边界防火墙上添加入侵防御模块； 4）

　部署运维审计系统对网络设备的操作进行审计； 5）

　部署网络准入控制系统，完善对非法内联行为和非法卜联行为増加有效的 阻断措施； 6）

　优化防火墙访问控制策略； 7）

　对设备访问地址进行限制，修改设备访问方式为 ssh; 持续改进：

　1）

　定期更新网络设备口令 ， 为网络设备增加超时断连和登录失败处理的设置。

　3.3. 应用安全 立即执行: 1）

　修改应用访问方式为 https; 2）

　限制应用系统的最大并发连接数及会话数； 持续改进：

　1）

　増加应用系统的身份鉴别模块；

　2）

　进行用户权限控制，保持用户权限的最小化原则； 3）

　提供软件自动保护容错能力。

　3.4 、 主机安全 立即执行：

　1）

　开启服务器的密码复杂度要求功能； 2）

　开启系统审计功能； 3）

　对服务器及终端安装防恶意代码软件，虚拟化平台上可部署虚拟化无 代理安全防护系统，以提高系统的威胁防护能力； 4）

　限制终端接入地址，开启屏幕保护程序； 5）

　部署堡垒机以对主机进行审计。

　持续改进：

　1）

　部署并及时更新服务器补丁管理系统，在更新系统补丁前，先在测试 环境中测试，并对重要文件进行备份。

　3.5 、 数据安全及备份恢复 立即执行：

　1）

　定期对重要数据进行备份和恢复； 3.6 、 安全管理制度 持续改进：

　1）

　完善安全管理制度；

　8

　2）

　建立安全管理制度的评审、修订等工作流程 3.7 、 安全管理机构 持续改进：

　1）

　制定规章制度规定人员岗位及明确相应职责； 2）

　制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求 3）

　建立单位联系表，每个负责人提供名单汇总 ； 4）

　完善部门间、行业间等的沟通和合作； 5）

　聘请信息安全专家作为常年安全顾问。

　3.8 、 人员安全管理 立即执行：

　1）

　完善人员安全管理制度； 2）

　明文规定信息中心要求离岗员工需回收访问权限及资料 ； 3）

　制定明确的培训计划与制度； 持续改进：

　1）

　定期组织安全技能与安全认知的考核，制定人员考核制度,并落实。

　3.9 、 系统建设管理 持续改进：

　1）

　完善单位系统定级事宜； 2）

　完善单位信息安全方案设；

　 3）

　完善系统验收及交付相关资料及流程。

　3.10. 系统运维管理 立即执行：

　1）

　编制相关巡检或维护制度及操作手册； 2）

　设立集中监控中心或系统，统一负责安全事件的联动监控、分析和管 理； 3）

　制定全面的网络安全管理制度。

　4）

　建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日 常操作流程等方面作出规定； 5）

　建立服务器、网络设备等维护手册，进行维护操作时详细记录维护日 志； 6）

　编制安全事件的细则处理预案； 7）

　对系统管理员和系统数据库管理员权限进行区分； 8）

　对服务器及终端主机部署防病毒客户端； 持续改进：

　1）

　定期进行主机漏洞扫描； 2）

　编制相应备份及恢复制度及操作手册，并定期恢复测试； 3）

　完善安全事件处置流程、准确的系统计算机安全事件进行等级划分、 ［定安全事件报告和响应处理程序，确定事件的报告流程 ， 响应 和处置的范围、程度，以及处理方法等；明:

　10

　整改方案总結 根据与《信息安全技术信息系统安全等级保护基本要求》 2 级安全防护要求的 对比分析结果，参考《信息系统安全保护等级实施指南》建议系统从管理制度的建 设和修订、管理机构和人员的设置、人员安全技能培训、技术修补、日常安全管理 控制和成熟产品的使用方面进行安全防护。

　4.1 、管理制度的建设和修订 1）

　建立《方针策略文件》，对机构信息安全管理工作的各个方面进行分类。

　是对各类别工作的规范性要求，如网络安全管理制度、机房安全管理规范 等。管理制度制定完成后，需要通过评审，确认文件的合理性与适用性后 再 IES 发布。

　2）

　《人员安全管理规定》规定人员离岗过程，规定终止离岗员工的所有访问 权限；规定安全技能考核内容、考核范围、考核周期，并有效执行。

　3）

　根据系统等级防护要求建立系统的《安全建设规划文件》，包含系统建设 的总体安全策略、安全技术建设要求、安全管理要求、系统总体建设规划 和详细设计方案，并且安排评审、确定。

　4）

　建立资产《安全管理制度》，规定信息系统资产管理的责任人员或责任部 门，并规范资产管理和使用的行为，按照要求维护《资产清单》。

　5）

　完善规定终端计算机、工作站、便携机、系统和网络设备的使用操作。

　6）

　建立《网络安全管理制度》和《系统安全管理制度》，对系统安全配置、 日志管理、安全策略、口令更新周期、日常操作流程、定期进行漏洞检査、 修复和版本更新等方面做出具体规定，包括网络设备（路由器、交换机、 流量控制设备、负载均衡设备 ）

　、主机设备 （ 服务器、 PC 机、负载均衡 设备 ）

　、安全产品（防火墙、防火墙

　11

　等 ）

　、存储设备（磁帯、磁阵、带库、 移动存储设备）＜, 7）

　应完善系统安全管理的《维护操作手册》，明确系统维护，操作日志记录, 重要的日常操作、运行维护记录、参数的设置和修改等内容。是否明确说 明严禁进行未经授权的操作。

　8）

　建立整体的安全《应急预案》，包含以下内容：启动应急预案的条件、应 急处理牖、系统恢复流程、事后教育和培训等，并对应急预案进行培训、 演练，保留培训记录。

　4.2 、 管理机构和人员的设置 1）

　系统管理员、网络管理员、安全管理员等各岗位明确划分各部分工作的职 责与指定工作的负责人员。

　2）

　设定一名安全管理员，安全管理员不可兼任系统管理员或网络管理员,安 全管理员的主要职责就是负责以信息安全为主的管理工作，一般负责日常 技术作。

　4.3 、 人员安全技能培训 1）

　针对不同岗位设置不同的《培训计划》，包括培训的频度,包括安全基础 知识和岗位操作规程等内容,并有她行。

　2）

　对应急预案进行培训、演练，保留培训记录。

　12

　4.4. 技术修补

　保证网络的畅通，将核心冗余的核心交换设备上的配置保持一致。

　2）

　为系统中每个人设立单独的账号避免账号共用。。

　3）

　进行网络设备安全加固 ， 对网络设备逬行密码加密存储（使用 enable secret）

　。

　4）

　进行网络设备安全加固，远程管理维护使用 SSH 加密。

　5）

　进行安全加固，设置系统登录验证失败 6 次，账号锁定。

　6）

　进行安全加固，系统默认账号如果不使用则锁定，或修改默认的口令。

　7）

　当对服务器进行远程管理时，应采取必要措施 ， 防止鉴别信息在网络传输 过程中被窃听，使用 SSH 管理主机，关闭 TELNET. 8）

　关闭不必要的服务 Rexecd 、 Dtspcd 、 Tooltalk. RPC Statd 、 Send mail 、 RPC cmsd 、Snmp 、 login（rlogin）

　、 RPC nlockmgr 、 telnet, 并 保持系统补丁及时得到更新，首先确认以上 0 艮务是否是应用依赖的服务。

　9）

　进行安全加固，设置系统登录超时锁定策略 180 秒。

　10）

　应设置 ACL 管理远程接入，限制远程登录范围，可在主机上设置 host allow 、 host deny ,或在防火墙上逬行限制。

　11）

　采用密码技术保证通信过程中数据的完整性，对通信过程中的整个报文或 会话过程进行加密，至少对登录认证部分进行加密。

　12）

　开启资金系统的登录失败处理功能，非法登录 6 次后将锁定该账号，如此 模块不能满足要求，则需要增加此模块。

　1) 对核心交换上的配：

　彳亍检査，保证设备的冗余，在发生安全事件时能够

　13

　4.5. 日常安全管理控制 1）

　对制定的安全管理制度进行改进、论证和审定。

　2）

　对外部人员访问受控区域进行书面的申请、登记备案，形成《人员访问审 批记录》和《登记备案记录》。

　3）

　对开发的软件进行安全测试 ， 审查源代码中是否包括漏洞或后门，例如网 站系统则可以对其进行防 SQL 注入等脆弱性的安全测试。

　4）

　软件开发需要提供《软件的需求分析报告》、《系统概要设计》、《系统 详细设计》、《测试报告》、《用户手册》这几个文件。《测试报告》需 要包括安全方面、功能方面、性能方面。

　5）

　增加运行日志、网络监控记录的日常维护和报警信息分析和处理工作。

　6）

　定期对网络设备、系统主机等进行漏洞检查、修复和版本更新，在补丁修 补前需要在测试环境中测试，选择在业务空闲时先备份后修复。

　7）

　对设备上的服务进行备案 ， 关闭不必要的服务 ， 尤其需要关注漏洞扫描结 果中的高危服务漏洞。

　8）

　当系统发生安全事件，进行分析处理输岀《安全事件分析及处理过程记录》 9）

　机房出入口应安排专人值守并记录进入的人员和携带的物品。

　10）

　进行安全域划分，按照等级保护安全区域。

　11）

　使用成熟的产品。

　12）

　部署审计系统对各种事件以及用户行为进行审计。

　13）

　部署日志分析系统，定期对运行日志和审计数据进行分析，输出《系统审

　14

　me 录》. 14）

　增加系统的恶意代码防护，安装防护软件或部署网络病毒防范，并统一管 理。

　五,整改需求 5.1 技术需求

　5.2 安全服务厂商资质要求 「序号］ 内容 评审标准 1 项目负责人团队资质 要有高级项目经理和项 H 经理认证相关证书。

　2 技术服务人员情况 服务商在广州的稳定的技术服务人员情况（提供社保证明）。

　 物理 设备标签 网络安全等设备及网线上添加对应的标签 釆用普通空调 部署精密空调进行温湿度控制 网络 网络拓扑未更新 更新现有网络拓扑 网络安全配置 进行网络安全设备进行相关安全配置 重要冋络设备未设置冗余 对核心交换机设备采取冗余措施 缺少入侵检测系统 在网络出口部署行为入侵检测系统 上网行为管理系统 针对用户上网行为进行管理、控制 IT 运维管理系统 针对单位的网络设备等进行统一运维管理 主机 主机安全配置 按照等保服务内容进行整改 数据库安全 按照等保服务内容进行整改 应用 应用系统漏洞 针对应用安全问题进行整改 安全管理 缺少相关安全管理制度 完善相关安全管理制度 安全扫描 定期对单位内部网络进行 漏洞扫描 通过定期的主机漏洞扫描服务，及时对发 现的问题进行整改 渗透测试服务 针对应用系统及时发现应 用问题 利用各种主流攻击技术对客户授权指定的 应用系统和网络设备做模拟攻击测试（提 供服务方案模板）

　问■项 整改叔

　15

　j 序号 内容 评审标准 3 信息冋络安全专业技术 人员认证情况 提供信息网络安全专业技术人员认证（信息安全等保类）资 质。（以提供证书复印件和社保证明为准）

　4 服务商项目团队具有 CISP 或风险评估类认证 （提供社保证明）

　服务商项目团队具有 CISP 或风险评估类认证。（以提供证 书复印件和社保证明为准）

　5 服务方案 考査有效投标人的服务方案，针对采购人的服务要求，有具 体实施方案及详细计划，很好理解招标方需求。

　6 企业综合能力 注册资金 ＞ ＞3000 万元，得 3 分； 3000 万元〉注册资金 ＞ ＞1000 万元，得 2 分：

　注册资金 500 万元以下的，得 1 分 7 投标人资质及诚信情况 投标人通过 IS09001 质量管理体系认证证书：

　投标人具有计算机信息系统集成企业的资质证书会级或以上：

　获得工商部门颁发的《守合同重信用》企业称号：

　行业协会等第三方机构颁发的有关企业诚信的证明材料得 1 分（提供有效期内证书复印件）：

　获得国家高新技术企业证书：

　具有广东省计算机信息系统安全服务证书或备案证：

　8 2016 年经营业绩情况 （提供独立审计机构审 计报告复印件）

　营业额 ＞ ＞1000 万，得 2 分：

　＞ ＞500 万， V1000 万， 1.5 分：

　＞ ＞100 万, V500 万, 1 分； V100 万， 0 分。

　5.3 项目预算报价 |序、| 产品名称 | 产品介绍 |价格（元）

　1 入侵检测系统 在网络出口部署行为入侵检测系统 120000. 00 2 上网行为管理系统 针对用户上网行为进行管理、控制 168000. 00 3 IT 运维管理系统 针对单位的网络设备等进行统一运维管理 280000. 00 4 等保整改服务 主机安全整改、数据库安全整改、应用系统漏洞， 内部网络进行漏洞扫描 50000. 00 5 渗透测试服务 利用各种主流攻击技术对客户授权指定的应用系 统和网络设备做模拟攻击测试（提供服务方案模 板）

　20000. 00 6 F5 负载均衡（可选）

　用于大并发的负载均衡，可以解决集中单据上传 引起的系统访问慢等问题。

　230000

　16