优质资料:大型制造企业等级保护安全建设整改依据,系统现状分析,网络安全风险分析

news2024/11/25 6:30:06

第1章 项目概述

XX 大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团,为了落实国家及集团的信息安全等级保护制度,提高信息系统的安全防护水平,细化各项信息网络安全工作措施,提升网络与信息系统工作的效率,增强信息系统的应急处置能力,确保信息系统安全稳定运行,集团参照国家等级保护标准的要求,找出系统现有安全措施的差距,为安全整改建设提供依据。

本方案针对 XX 大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。

1.1 项目目标

本方案将通过对集团网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动网络信息系统安全整改工作的进行。

根据 XX 大型制造型企业集团信息系统目前实际情况,综合考虑信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高信息系统的安全防护水平,完善安全管理制度体系。

资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。

因此资产的评估是企业网络安全的一个重要的步骤,它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用为资产进行估价。

根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,明确各业务系统的关键资产,确定安全评估和保护的重点对象。

1.2 项目范围

本文档适用于指导 XX 大型制造型企业集团网络信息系统安全整改加固建设工作。

1.3 整改依据

主要依据:

  • 《信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239-2008 )

  • 《信息安全技术 信息系统通用安全技术要求》( GB/T20271-2006 )

  • 《信息安全技术 信息系统等级保护安全设计技术要求》( GB/T25070-2010 )

  • 《信息安全技术 信息系统安全管理要求》( GB/T20269-2006 )

  • 《信息安全技术 信息系统安全工程管理要求》( GB/T20282-2006 )

  • 《信息安全技术 信息系统物理安全技术要求》( GB/T21052-2007 )

  • 《信息安全技术 网络基础安全技术要求》( GB/T20270-2006 )

  • 《信息安全技术 信息系统安全等级保护体系框架》( GA/T708-2007 )

  • 《信息安全技术 信息系统安全等级保护基本模型》( GA/T709-2007 )

  • 《信息安全技术 信息系统安全等级保护基本配置》( GA/T710-2007 )

  • GBT 20984 信息安全风险评估规范

  • GBT 22239 信息安全技术信息系统安全等级保护基本要求

  • GBZ 20985 信息技术安全技术信息安全事件管理指南

第 2 章 安全整改原则

保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;

标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护基本要求,进行分等级分安全域进行安全设计和安全建设。

规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便于项目的跟踪和控制;

可控性原则:服务所使用的工具、方法和过程都会与集团双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性;

整体性原则:服务的范围和内容整体全面,涉及的 IT 运行的各个层面,避免由于遗漏造成未来的安全隐患;

最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。

体系化原则:在体系设计、建设中,需要 充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。

先进性原则:为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。

服务细致化原则:在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合,结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。

第 3 章 系统现状分析

3.1 系统定级情况说明

综合考虑信息系统的业务信息和系统服务类型,以及其受到破坏时可能受到侵害的客体以及受侵害的程度,已将系统等级定为等级保护第三级、根据就高不就低的原则,整体网络信息化平台按照三级进行建设。

3.2 业务系统说明

本次参加整改的共有 3 个信息系统,分别是 OA 系统、物流查询系统、智能制造系统,其中比较重要的是物流查询系统,具体情况介绍如下:

物流查询电子化管理系统(网络版)历经系统开发、模拟测试、网络、硬件设备安装部署,已经正式启动试运行工作,在试点和实施过程当中发现系统仍有不足之处,需要对系统进行深入完善和改进,其具有应用面广、用户规模大,并涉及到财政性资金的重要数据信息,以及基于公众网上部署的特性,因此系统自身和运行环境均存在一定的安全风险,在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。

3.3 安全定级情况

信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:

图片

第 4 章 现网安全风险分析

4.1 网络安全风险

4.1.1 互联网出口未采用冗余架构

通过网络架构分析,我们发现现网出口网络:互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。

4.1.2 缺少安全防护功能

通过网络架构分析和安全基线核查,我们发现现有的网络:互联网出口的下一代防火墙,入侵防御、 web 应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。

4.1.3 弱资源控制

通过网络架构分析和安全基线核查,我们发现现网网络:链路负载、下一防火墙未设置网络的最大链接数,存在资源耗尽的风险。

4.1.4 弱设备安全

通过网络架构分析和安全基线核查,我们发现现网网络:网络设备和安全设备存在共享账号,无法实现有效的身份鉴别,未实现双因素鉴别,存在弱口令,未周期修改密码,部分网络设备未启用登录设备失败功能和密码复杂度要求,存在口令爆破的风险;未对网络设备和安全设备可管理地址进行限制,交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。

4.1.5 弱安全审计

通过网络架构分析和安全基线核查,我们发现现网网络:未配置专业日志审计设备,无法对审计记录进行有效的保护,无法定期日志长期保存和有效审计。

4.1.6 缺少安全管理中心

通过网络架构分析和安全基线核查,我们发现现网网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。

4.2 主机安全风险

4.2.1 存在高风险安全漏洞

通过漏洞扫描,我们发现 OA 系统主机上存在高风险安全漏洞:OpenSSH < 7.0 存在多个漏洞等,极易引发安全事件。

通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。

4.2.2 弱身份鉴别能力

通过安全基线核查,我们发现物流查询系统主机上:操作系统的密码策略、账户锁定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别,无法实现有效的身份鉴别。

通过利用弱身份鉴别能力,攻击者可以对业务系统主机进行口令爆破,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。

4.2.3 弱访问控制能力

通过安全基线核查,我们发现系统主机上:操作系统管理使用 root 账户,数据库和主机是同一人管理,未能实现操作系统和数据库系统特权用户的权限分离;数据库系统开启 XDB 危险服务;存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标记;未限制登录终端的操作超时锁定时间;未设定终端接入方式、网络地址范围等条件限制终端登录。

通过利用弱访问控制能力,在攻击者拿到一部分系统访问权限后可实现越权。

4.2.4 弱安全审计能力

通过安全基线核查和网络架构分析,我们发现 OA 系统未部署专业的日志审计设备或软件,审计日志仅保存在主机本地,无法生成审计报表和自动告警。

这类弱安全审计能力,会导致系统安全事件时无法有效的记录和保存日志,影响安全事件的溯源。

4.2.5 缺少入侵防范能力

通过安全基线核查和漏洞扫描,我们发现现网系统未能够对重要程序的完整性进行检测,数据库系统和操作系统软件和补丁未及时更新,主机扫描存在漏洞。缺少入侵防范能力,攻击者会较容易利用漏洞进行入侵攻击,系统容易遭到破坏。

4.2.6 缺少恶意代码防范能力

通过安全基线核查,我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。

4.2.7 缺少资源控制能力

通过安全基线核查,我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度;未有措施对服务器进行监视,包括监视服务器的 CPU 、硬盘、内存、网络等资源的使用情况;未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS (分布式拒绝攻击)的侵害。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1669701.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

win7 phpstudy 多站点无法保存hosts的原因

1、先找到hosts文件位置 C:\Windows\System32\drivers\etc hosts文件不是txt的后缀&#xff0c;它是一个系统文件 2、如果不显示需要查找隐藏文件 组织-》文件夹和搜索选项-》查看-》取消隐藏文件夹的的√ 3、文件无法编辑 属性不要勾选只读

架构设计之学新而知故

缘由 因为一些特殊的机缘&#xff0c;接触到洋葱架构等一些新架构设计概念。 尝试理解了一段时间&#xff0c;就想简单梳理下对它们的理解&#xff0c;以达到学新而知故 &#x1f603; 信息增益 以前计算机专业并不设置通信领域的信息论的专业课程&#xff0c;但是&#xf…

单片机智能灯控制系统源程序仿真原理图与论文全套资料

目录 1、设计描述 2、仿真图 3、程序 4、资料内容 资料下载地址&#xff1a;单片机智能灯控制系统源程序仿真原理图与论文全套资料下载 1、设计描述 设计了一款智能控制系统。 AT89C51LCD1602DS1302按键LED组成了这样一个完整的设计。 P2.0-P2.3 4个LED等代表庭院内的4…

拥抱智能物联新场景,畅享4G智能插座的领先优势!

在智能化浪潮席卷全球的今天&#xff0c;智能插座作为智能家居、智能办公、智能工业、智能校园、智能实验室等领域的核心设备&#xff0c;正逐渐受到人们的关注和青睐。近期&#xff0c;一款全新的4G智能插座正式上市&#xff0c;凭借其独特的优势和创新功能&#xff0c;已经迅…

防火墙技术基础篇:网络地址转换(NAT):防火墙技术的核心机制

防火墙技术基础篇&#xff1a;网络地址转换&#xff08;NAT&#xff09;&#xff1a;防火墙技术的核心机制 网络地址转换&#xff08;NAT&#xff09;是现代网络架构中不可或缺的一个组成部分&#xff0c;尤其在防火墙技术的实现中扮演着重要角色。本文旨在全面解读NAT的工作机…

20-LINUX--网络编程

一. 主机字节序列和网络字节序列 主机字节序列分为大端字节序和小端字节序&#xff0c;不同的主机采用的字节序列可能不同。大 端字节序是指一个整数的高位字节存储在内存的低地址处&#xff0c;低位字节存储在内存的高地址 处。小端字节序则是指整数的高位字节存储在内存的高…

【Linux系统编程】第十七弹---进程理解

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】【C详解】【Linux系统编程】 目录 1、进程的基本概念 2、描述进程-PCB 2.1、什么是PCB 2.2、为什么要有PCB 3、task_ struct 3.1、启动进程 3.2、创建进程…

Qt之QMqtt 发送图片数据

简述 MQTT(消息队列遥测传输)是ISO标准下基于发布/订阅范式的消息协议;它工作在TCP/IP协议族上,是为硬件性能低下的远程设备以及网络状况糟糕的情况下而设计的发布/订阅型消息协议,为此,它需要一个消息中间件; MQTT是一个基于客户端-服务器的消息发布/订阅传输协议;MQT…

Spring Security 复盘

1、什么Spring Security&#xff1f; Spring Security 是一种强大的框架&#xff0c;它在 Spring 生态系统中扮演着保护应用安全的关键角色。Spring Security 基于 Spring 框架&#xff0c;提供了一套 Web 应用安全性的完整解决方案。 2、认证 和 授权 1.什么是认证&#xff1…

电子合同怎么加盖电子章?

加盖电子章在电子合同上的过程通常涉及以下几个步骤&#xff0c;这里提供一个较为通用的流程&#xff0c;但请注意&#xff0c;具体操作可能会因不同的电子签名平台或软件而有所差异&#xff1a; 准备电子合同&#xff1a; 将合同内容编辑完成后&#xff0c;通常会保存为PDF格式…

解锁得物搬砖秘籍:实现稳定收益的秘诀大公开

01、项目介绍 目前比较常用的平台是淘宝&#xff0c;京东&#xff0c;拼多多&#xff0c;唯品会这些为主&#xff0c;以各品牌APP&#xff0c;小程序为辅。 从这些电商平台通过抢购&#xff0c;折扣等方式购买到相对低价的鞋子衣服等&#xff0c;货到手检查没有问题后&#x…

python绘制圣诞树 如何用python绘制一个圣诞树

欢迎关注我👆,收藏下次不迷路┗|`O′|┛ 嗷~~ 目录 一.前言 二.代码 三.使用 四.总结 一.前言 圣诞树,是指用灯烛和装饰品把枞树或洋松装点起来的常青树。作为是圣诞节重要的组成元素之一,近代圣诞树起源于德国,后来逐步在世界范围内流行起来

掌握 Spring Boot 观察者模式:打造松耦合事件驱动应用程序

掌握 Spring Boot 观察者模式&#xff1a;打造松耦合事件驱动应用程序 观察者模式是一种常用的设计模式&#xff0c;用于解决事件驱动编程中的问题。该模式定义了一对多的依赖关系&#xff0c;其中一个对象&#xff08;主题&#xff09;向一组依赖它的对象&#xff08;观察者&a…

供应商管理库存用什么软件

库存的管理是一个非常重要的话题&#xff0c;不管是企业还是个人&#xff0c;在日常工作中多多少少都会涉及到库存的管理&#xff0c;那么作为供应商&#xff0c;也是需要对库存进行管理的&#xff0c;因为需要对分销商进行出货&#xff0c;所以库存的有效管理非常重要。 供应商…

【cocos creator】2.4.0 import android.support.v4.app.ActivityCompat;失败的解决方案

时间是2024年5月&#xff0c;某cocos creator项目用的是2.4.0编辑器。需求是获取录音权限&#xff0c;需要import ActivityCompat。但是失败&#xff0c;提示Cannot resolve symbol app。 尝试了一些方案失败之后&#xff0c;决定升级cocos creator编辑器版本。升级到2.4.10。…

矿用光缆型号和规格

管道矿用光缆生产厂家&#xff0c;矿用光缆特点是什么&#xff0c;矿用通信光缆 矿用光缆 MGTS光缆的结构是将250 m光纤套入高模量材料制成的松套管中&#xff0c;松套管内填充防水化合物。缆芯的中心是一根金属加强芯&#xff0c;对于某些芯数的光缆来说&#xff0c;金属加强…

vue3 自定义国际化、elementPlus 国际化

自定义国际化 1. 引入 vue-i18n 插件 pnpm install vue-i18nnext 2. 页面添加语言文件目录&#xff0c;添加自定义的语言文件 3.语言目录里添加 index.ts&#xff0c; 内容如下 import { createI18n } from "vue-i18n";// 自定义语言文件 import zhCN from "…

灾备建设中虚拟机备份自定义数据块大小应用

灾备建设中&#xff0c;传输备份数据时&#xff0c;自定义数据块大小可以帮助优化数据传输和存储效率。 确定数据块大小&#xff0c;首先&#xff0c;需要确定合适的数据块大小。这可以根据备份数据量和网络带宽来决定。通常情况下&#xff0c;较小的数据块可以更好地适应网络…

Python构建网络控制和管理应用程库之使用详解

概要 POX是一种广泛使用的Python开发工具,主要用于构建网络控制和管理应用程序。作为一个灵活的软件平台,POX支持快速开发网络通信协议,尤其是在软件定义网络(SDN)领域中得到了广泛应用。本文将全面介绍POX库的安装、主要特性、基本与高级功能,并结合实际应用场景,展示…

惊叹!蚓链数字化平台:助你拥有数据能力,打造数字资产!

在数字时代&#xff0c;数据能力成为打造宝贵数字资产的关键&#xff01;而蚓链数字化平台&#xff0c;就是那个能让你实现这一目标的神奇工具&#xff01;想知道它是如何做到的吗&#xff1f;让我们一起来揭开这个谜底吧&#xff01; 1.蚓链数字化平台为你提供丰富的数据资源&…