欢迎来到天天文库
浏览记录
ID:16365742
大小:1.07 MB
页数:97页
时间:2018-08-09
《终端安全管理体系设计开发与建设要求》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、终端安全管理体系设计开发与建设要求2010年9月97目录1项目建设背景41.1江苏地税系统内网终端安全管理现状分析41.2《终端安全管理平台》开发的必要性61.3江苏地税系统三级机构情况61.4项目应用范围,实施和招标组织82项目建设目标92.1总体建设目标92.2具体建设目标93项目设计与建设依据114项目建设原则134.1合规性原则134.2安全风险与建设投入平衡原则134.3综合性、整体性原则134.4一致性原则144.5易操作性原则144.6无缝接入原则144.7保护原有投资的原则144.8综合治理原则155项目建设预期效果165.1预期
2、效果165.2尚存隐患176现有产品功能要求187产品研发总体要求238内网终端安全管理体系技术要求258.1终端安全防护平台要求268.1.1终端安全防护平台总体要求268.1.2终端安全防护平台业务需求288.1.2.4终端安全管理风险及风险管理点分析428.2终端安全管理平台要求648.2.1终端安全管理平台总体要求648.2.2总体功能结构设计要求658.2.3终端安全管理平台业务要求678.2.4终端安全管理平台技术要求738.3终端安全防护平台与管理平台整体要求778.3.1行业管理778.3.2终端登记及分类管理778.3.3风险主
3、题及分类管理788.3.4产品安装维护的灵活性要求798.3.5产品数据表项设计与后台展示要求798.3.6产品级联部署要求838.3.7产品兼容性要求848.3.8产品报警体系设计要求84979演示要求8510附件:招标要求必须应答项索引表8611商务部分9111.1产品资质要求9111.2投标方资质要求9111.3开发及推广应用要求9111.3.1项目组织管理要求9111.3.2项目试点和推广应用要求9211.3.3项目验收要求9311.3.4项目培训要求9411.3.5项目运维9411.4质保期服务要求9511.5应急响应9511.6安全性
4、和合法性要求9611.7付款方式9611.8项目报价要求9611.9争议处理9711.10评分标准97971项目建设背景1.1江苏地税系统内网终端安全管理现状分析终端安全是网络与信息安全的重要方面,也是网络与信息安全管理的主要内容。终端安全是容易被忽视的网络边界安全,也是全体终端计算机使用者的行为安全。总体来看,目前内网终端安全主要反映在运行安全与信息安全两方面。运行安全主要以准入控制和桌面管理功能为主。信息安全主要包括边界安全、内网信息防扩散和终端自身安全三个方面。由于终端计算机管理具有点多、面广、量大的特点,加之地税部门安全管理人手少,终端应
5、用和服务事件多,情况复杂,使得目前地税终端安全管理处于一种疲于应付、无序的境况。在内网终端安全管理方面,按照总局信息化安全管理制度相关要求,虽然在安全教育培训、技术防范、规章制度建立、安全检查评估及整改等方面做了大量的工作,取得了很大的成绩,但仍然存在很多问题,一些问题相对还比较严重,归纳起来主要有:一是难以对终端安全问题实施主动防范。如(1)按规定终端和移动存储介质只能专网专用、专人专用,内网终端不能上外网,这些规定难以落实,无法防止借用无线网络、手机、无线上网卡等方式在线上互联网,非认证授权计算机不得上内网,外来计算机授权上内网应全程跟踪审计
6、。(2)对终端计算机上可能存有工作秘密、商业秘密或其他不宜公开的信息等,应依据信息的重要性进行分类管理和采取安全防控措施,否则这些重要信息在内网随意扩散的危险。(3)终端自身使用安全和运行安全状态监控。因目前国内终端安全防护产品功能较弱,大多数产品没有同时将终端运行安全和信息安全整合联动,并满足行业安全态势分析和管理监控,因此现有技术防护手段较弱,同时也难以采取其它有效措施弥补,重视程度也欠缺,造成终端信息安全目前主要依赖于制度和使用者行为信用进行被动式防范,主动防范控制把握较难实施。二是难以有效进行终端信息安全风险管控。97去年虽然在全省已经实
7、行征管数据大集中模式,但在信息安全管理尤其是信息终端安全管理上,尚没有一个能够适应全省大集中需要的,功能强大、系统全面的终端信息安全管理平台,省市局也无法及时掌握所辖地区终端信息安全的现状,及时进行风险排查和处置,还停留在人工方式为主进行风险排查和处置,导致安全风险定位、处置较难,时间较长,终端安全管控无法有效开展,难以满足省级大集中后对终端信息安全风险有效管控的要求。三是组织管理中的人为因素、制度因素导致终端安全隐患严重。(1)工作人员只有一台终端计算机用于内网工作,少数单位虽然因工作需要上外网,但因设备不足,导致终端在内外网交叉使用,存在严重
8、的安全违规行为。(2)对非本单位的外来人员,特别是公司服务人员,在允许上内网工作的前提下,缺少安全管控,一旦发生风险也无法追溯和定位。(
此文档下载收益归作者所有