【文章摘要】 为提升信息系统安全管控能力,提高信息系统运行维护水平,保障信息系统安全稳定运行,开展信息系统和基础设施的开发建设、实施部署、运行维护、安全防护、日常工作、应急措施等工作。对当前的信息系统进行梳理,诊断,加固。 【关键词】 信息系统安全 ;梳理 ;诊断 ;加固 从信息系统入手,对信息系统按等级保护要求科目进行梳理,具体步骤是,第一步列出信息系统清单,第二步列出等级保护要求列表,第三步以每个系统为单位对照等级保护要求列表逐一进行核对,第四步根据核对情况找出存在问题,第五步针对问题分析原因制订整改方案。从资产类别入手,对网络、机房、主机、系统软件等基础设施按等级保护要求科目进行梳理,具体步骤是,第一步列出资产设备清单,第二步列出等级保护要求列表,第三步以每项资产为单位对照等级保护要求列表逐一进行核对,第四步根据核对情况找出存在问题,第五步针对问题分析原因制订整改方案。从运维流程入手,对运行监测、日常巡检、事件处理、应急措施、形式研判等环节规范进行梳理,具体方法是,第一步列出运维事项清单,第二步列出运维操作流程,第三步以运维事项为单位对照运维操作流程逐一进行核对,第四步根据核对情况找出存在问题,第五步针对问题分析原因制订整改方案。 1 梳理情况 从应用系统、信息资产、基础架构、规章制度、应急保障等五个维度,对信息系统部署、运行、应用和维护工作进行了全面的梳理。 通过全面梳理,进一步完善了信息化基础资料,发现的问题如下 : 1)应用系统情况梳理过程中发现缺 少对系统的定级备案;缺少应用系统业务运行情况方面的数据,下一步需要对各系统的业务特点进行统计,从而形成科学全面的认识。 2)信息资产梳理过程过发现个别设备过于老旧,应考虑替换或者报废,安全策略方面有较大空缺,应进一步完善(入侵防御及防篡改方面较弱、数据库及服务器的操作日志没有同意的审计平台进行审计)。 3)基础架构梳理过程中发现发现网络布线方面少部分线路缺少标签或者标签不准确,一旦发生故障容易,会增加无谓的维修时间。缺少系统对应的数据流程图,应进行完善。 4)规章制度梳理过程中发现制度欠缺较多,应该先制定制度总体的规划,并明确制度格式,对制度发布,修订作出规定,并严格监督制度的执行情况。 5)应急保障梳理过程中发现应急预案为真个信息系统预案,缺乏修订,部门制定的有针对性的预案和演练方案缺少文件号,未正式发布。应该对预案管理如同制度一样,对发布和修订作出规定。 2 诊断情况 对信息系统进行了全面梳理后,将梳理中遇到一些问题以及全面诊断情况进行归纳。全面诊断工作主要内容为:①等保达标情况、②五防能力分析、③信息内容保护能力分析、④支撑环境保障能力分析、⑤安全运行监控能力分析、⑥安全管理机制及、⑦运维管理机制分析。主要问题如下 : 1)制度方面的问题。没有制定信息安全总体方针和政策性文件,没有明确安全工作的总体目标、范围、方针、原则、信息安全框架和责任等。信息安全制度没有建立有效的发布、修订以及落实情况的管理办法。软件开发管理制度不完善。应定期对应急预案进行修订、完善。 2)人员方面的问题。未明确设置安全管理员、机房管理员、数据库管理员、网络管理员、存储管理员等岗位,岗位职责存在兼任情况。应对相关人员进行教育培训并保留记录。 3)运维管理问题。没有明确变更的管理,应该制定软硬件变更管理办法,在变更前先评估风险在负责领导同意后,再进行变更并对变更内容进行记录存档。应该加强对备份数据有效性的检查,并进行数据恢复测试。应该定期进行应急预案的学习。有运维监控平台,但是监控数据还需要进一步整合,并设置合理的阀值。告警方式还需要进一步优化,以更加及时准确。 4)基础环境及线路方面的问题,应该针对机房精密空调、UPS、以及网络线路制定保养和检查计划。对关键服务器进行续保。目前有部分弱电线路存在端口号和配线架编号以及到桌面的点位不符的情况,应进行梳理。 5)应用安全问题。多数员工使用默认密码和弱密码,增加了潜在的风险。应该对密码的复杂度进行要求。员工和管理员的操作缺少日志审计。应加强对恶意代码的防范同时注意数据传输过程中的保密。数据库中的重要表未进行加密处理,主机和数据库没有密码复杂度限制,也没有定期进行密码更改,存在弱口令。缺乏对操作日志的收集和审计。 6)网络安全。缺少入侵防御与入侵检测设备,没有漏洞扫描和网页防篡改设备。网络日志保存时间较短,不符合安全要求。 3 加固方案 对信息系统进行了全面梳理和全面诊断工作,更加深入和细致的了解了信息系统中存在的薄弱环节和隐患。根据梳理和诊断结果,制定加固方案如下 : 1)组织机构建设 应该建立长期机制来保障信息安全,并进一步确定工作目标、范围、方针、原则、信息安全框架和责任等。同时应制定信息安全的总体方针和安全策略文件,应该明确信息安全相关人员的职责。 2)信息安全制度建设与落实 制定信息安全制度的发布、修订办法。对现有制度进行定期评审,确定其是否需要修订,如需修订续订后使用。对于已颁布的制度需严格执行并检查。 3)应急预案与演练方案管理 应急预案应该进行定期的修订,制定针对不同内容的演练方案,在通过论证后以公文形式发布并组织相关人员进行论证学习,确定遇到突发事件时能妥善有条理的处置。 4)变更管理 对于程序更新、网络配置更改、硬件更换、数据库升级等操作应该制定变更流程,需要变更时先进行申请并评估风险,经过同意后按照变更方案进行变更。 5)基础环境及线路方面 应该针对机房精密空调、UPS、以及网络线路制定保养和检查计划。对关键服务器进行续保。目前有部分弱电线路存在端口号和配线架编号以及到桌面的点位不符的情况,应进行梳理,建立对应关系。并在以后的改造中注意其关联性。 6)运维监控方面 运维监控不具有连续性,监控数据不全面、准确性也有待提高。H3C智能管理中心目前只用到部分功能,应该深入应用以便加强对关键设备的监控。应该进一步优化监控,制定科学合理的告警阀值,并通过短信、email等方式及时告知运维人员。 7)运维方面 研究制定主机安全策略,对服务器和关键设备的操作权限进行限制,建立并完善操作手册,主要是针对不同的应用系统编制相应的操作手册,明确运维操作的具体要求、步骤、流程和操作方法。系统管理人员的操作日志应该进行收集并定期进行审计。 8)网络安全 需要购置网络入侵防御和入侵检测设备以及漏洞扫描设备等。通过开展梳理、诊断、加固工作,增强了信息系统的防护能力。让每个系统管理人员能做到心中有数,应对有策。用这个指导思想指导工作,可以不断的使信息系统安全防护水平得到提升,让我们的工作更加的舒心顺利。 |