返回
电子政务终端安全护理实行方案措施探析.doc

电子政务终端安全护理实行方案措施探析.doc

ID:49242913

大小:42.50 KB

页数:20页

时间:2020-02-28

电子政务终端安全护理实行方案措施探析.doc_第1页
电子政务终端安全护理实行方案措施探析.doc_第2页
电子政务终端安全护理实行方案措施探析.doc_第3页
电子政务终端安全护理实行方案措施探析.doc_第4页
电子政务终端安全护理实行方案措施探析.doc_第5页
资源描述:

《电子政务终端安全护理实行方案措施探析.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全风险评估需求方案一、项目背景(放进建议)二、项目目标通过开展信息“安全风险评估”,完善安全管理机制;通过安全服务的引入,进一步建立健全安全管理策略,实现安全风险的可知、可控和可管理;通过建立信息安全风险评估机制,实现信息安全风险的动态跟踪分析,为信息安全整体规划提供科学的决策依据,进一步加强网络的整体安全防护能力,全面提升我信息系统整体安全防范能力,极大提高网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进安全管理水

2、平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为各项业务提供安全可靠的支撑平台。三、项目需求(一)服务要求1基本要求“安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管

3、理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。2安全评估评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估;评估采用专业工具扫描(漏洞扫描、数据库扫描采用产品必须为商业化产品)、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文

4、件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面:l信息探测类l网络设备与防火墙lRPC服务lWeb服务lCGI问题l文件服务l域名服务lMail服务lWindows远程访问l数据库问题lSQL注入l跨站脚本攻击l后门程序l其他服务l网络拒绝服务(DOS)l其他问题安全评估服务范围应包括但不只限于协助用户完成2010年度信息安全专项检查工作。3安全加固每次对用户单位网络信息系统进行全面评估后应立

5、即制定安全加固方案,另外如用户单位有紧急需求时可随时安排制定安全加固方案。安全加固方案应覆盖用户单位IT系统中所有服务器和网络设备,以及不同类别的操作系统、数据库和应用系统。安全加固方案不能影响用户单位各项业务的正常进行,如果加固过程需要暂时中断业务,须设计具体的解决方案。同时,随着信息技术的发展,当新的漏洞出现时,评估单位有责任和义务告知用户,并配合用户判定是否进行相应的加固工作;4紧急响应当用户单位信息系统出现安全事件后,用户可立即启动紧急响应服务,服务应包括远程紧急响应和现场紧急响应;紧急响应均要求7×24小时提供。紧急响应要求在响应请求发出2小时内由工程师到

6、达事故现场,协助用户进行处理;响应服务完成后评估单位需整理详细的事故处理报告,内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议;5安全咨询评估单位应根据ISO17799等多个标准的相关要求对安全策略、安全制度、安全流程进行审计,提供改进建议,建立信息安全的“统一”策略管理机制,并对用户单位信息安全体系建设规划、信息安全管理体系、信息安全管理制度建设、安全域划分等相关内容提出符合国家及行业标准的合理化建议,并制定完整的解决方案。对于新建信息化项目应从业务需求分析、系统设计、部署实施、测试验收等全周期提供技术咨询支持。6安全事件通告评估单位应具

7、备专门的安全研究人员以跟踪最新安全技术发展、收集业界发布的最新安全信息及时通告用户单位最新的安全动态、安全技术的发展趋势,以及时效性很强的漏洞、攻击手法、病毒码的预先通知;评估单位至少每月提供一次汇总的安全通告信息,当厂商或安全组织发布紧急安全通告后评估单位应在三天之内提供给人保相关通告信息;及时提供最新的设备补丁,随时根据用户需求,提供相应安全漏洞与响应的安全系统升级代码;及时向招标人提供国家颁发的最新安全制度与法规。7安全巡检包括不限于以人工方式检查主机系统和网络设备的日志信息、安全配置以及审计信息等,提出安全策略建议;如发现异常现象或安全问题,及时向用户单

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。