信息安全防护方案初稿
编号编号 1. 概要 项目名称项目名称 计划日期计划日期 客户方项目负责人客户方项目负责人 密级密级 信息安全防护方案信息安全防护方案 一期实施计划书一期实施计划书 xxxxxx 有限公司有限公司 二〇一六年十一月二〇一六年十一月 软件实施人员软件实施人员 实施规划书重要说明实施规划书重要说明 1.本实施规划书编制的目的是为接下来的南京交通厅信息安全防护项目实施 培训工作提供指导性的文件,以便使该项目的实施工作更有计划性与条理性; 2.实施日程的具体计划,xxx 有限公司将在软件购销及服务协议签署之后做详 细调研(不超过 3 个工作日)后提供,经双方负责人同意确认之后,严格执 行;xxx 有限公司不允许由于软件公司实施工程师工作延误的原因导致实际 项目实施结案时间超过本实施规划十个工作日。过此期限,导致实施结案延 误,其责任归软件公司自行承担;xxx 有限公司必须就此南京交通厅信息安 全防护实际实施完毕并得到客户方确认方可结案; 3.本实施规划书是一份对双方均有约束力的一份文件,对双方的工作内容有明 确的规定,请详细阅读,各步骤完成之后需相关人员签字确认,将作为项目 结案文档重要文件,作为实施进度及工作评估的最重要依据,并成为xxx 有 限公司南京交通厅信息安全防护项目实施结案及收取合同相关协议款项的 依据。 2.问题阐述 2.1 数据安全 通常,机构的用户数据都存储在数据库中。而信息泄露的主要途径是对数据 库以及运行数据库的各类访问行为。随着企业信息化进程不断深入,企业的业务 系统变得日益复杂, 由内部员工违规操作导致的数据泄露问题变得日益突出起来。 机构在发展的过程中, 因为战略定位和人力等诸多原因,越来越多的会将非核心 业务外包给设备商或者其他专业代维公司。 如何有效地规范设备厂商和代维人员 的操作行为,是各类机构面临的一个关键问题。 2.2 日志管理 1、数据库重要数据增删改操作 2、应用系统操作 2.3 服务器异地备份 1、服务器异常 2、网络节点异常 3.解决方案 3.1 数据安全 通常业内对信息安全防护的思路有两个 一、控制; 二、审计; 1)控制通常采用的是安全边界、身份认证、访问控制、攻击防护等技术手段。 控制技术应用于产品,产生了防火墙、防病毒、入侵检测系统等安全产品。这些 产品虽可以解决一部分安全问题,但对于违规操作数据库等行为却无能为力。 2)审计通常采用的是记录、分析等技术。侧重于事后追溯。通过对事件的追根 溯源, 完善业务流程与机制, 最终形成安全的闭环管理。 针对数据库的安全防护, 审计技术成为最佳实践。 针对数据库审计的技术分具体分为以下三类针对数据库审计的技术分具体分为以下三类 1、数据库自身审计 多数的商用数据库都提供自身审计功能,但是在实际应用中,开启此功能的实际 案例较少。主要原因为 1 审计结果不直观,读懂日志需要资深技术人员的支持。 2 难以集中管理,用户通常应用了多个数据库的后,需要分别登录到各数 据库中进行查看。 3 更为关键的原因是,自身审计并非第三方审计。能提供对操作审计结果 的人,往往是操作人员自己。审计结论不够权威。 2、安装监控软件 此种技术是在数据库服务器上安装监控软件,并且将审计日志进行统一管 理。该技术虽属第三方的审计技术,在实际环境中仍较少。主要原因为 安装软件之后会占用数据库服务器的计算资源,导致数据库性能下降。再 者,其软件的兼容性是产品是否成功较为关键的因素。软件需要与多种数据 库、多种服务器应用软件、多种操作系统的各种版本兼容,需要进行海量的研 发与测试工作。稍有不慎,会对数据库的运行造成严重影响。 3.网络监听技术 这类技术通常采用部署网络侦听设备的方式,收集网络中传输的访问数据 进行分析并存储。此种技术在实际应用中被较多采用。其主要原因在于 1此种技术属于第三方的审计技术,审计结果可信赖; 2设备的部署对原有网络、应用无影响 3设备所侦听到的信息较为完整,除了针对数据库的访问之外,还可侦听 到访问服务器操作系统的操作行为。该技术能使用户更全面的了解到网络中的 业务状态。 神州信源采用。。。。(未知) 3.2 日志管理 开发日志管理应用系统, 实现用户操作可视化, 数据修改可视化。 实现以下目标 1、日志集中管理。 2、日志管理查询分析平台。 3、日志异常报警。 4、日志安全机构1).远程备份。2).日志锁(日志信息不允许修改) 3.3 服务器异地备份 1、服务器备份(将应用系统与数据库服务器分开利于维护与资源合理利用) 1)应用系统服务器 保持应用系统与常用服务器应用系统一致, 定期维护检查状态, 防止 异常终止导致切换服务器时出现无法连接现象。 2)数据库服务器 按天备份数据 (根据客户要求) , 常用服务器数据结构如果有所变化 应及时更改备用服务器数据库信息,定期维护检查状态。 2、异常应对措施 1)服务器问题(1.服务器损坏 2.服务器异常终止无法连接)。 2)网络节点(1.断网、断电 )。 当出现以上问题时及时切换备用服务器,保证用户访问应用系统。 4. 实施规划总体流程图 一、项目启动、动员大会 二、成立项目小组 三、提交并确认系统实施规划 四、静态基础数据准备 五、项目定制 六、业务流程模拟运行 七、安装系统、设置参数 八、动态数据准备 九、系统客户化修改与设置 十一、系统调优 十、数据导入 十二、正式运行 十三、建立系统作业指导书 十四、维护培训、系统交接 5. 实施控制要点简述 5.1 实施步骤 实施南京交通厅信息安全防护项目需要经过的大致步骤 1、项目调研,需求分析,目标确定; 2、实施小组成立; 3、数据库分析 4、项目定制 5、软件安装; 6、软件系统初始化资料及参数设置; 7、系统各方位培训; 8、数据准备,包括商品资料、客户资料、会计资料、库存资料等; 9、试运行; 10、 系统切换与实际业务对接; 5.2 软件部署 服务器用 WINDOWS 2008 SERVER 或 centos6.5操作系统; 5.3 用户验收测试 南京交通厅信息安全防护项目的运行依赖于数据的准确、及时和完备。企业 原有的各种管理信息, 一般需要经过收集、 整理、 转换才能符合系统运行的要求。 因此南京交通厅信息安全防护项目实施过程需要一个数据准备阶段。 数据准备是在充分理解了南京交通厅信息安全防护项目原理、 使用方法和软 件应用培训的基础上进行的。只有经过培训,理解了南京交通厅信息安全防护项 目,才能正确地理解各项数据的定义、概念、作用和要求,减少由于理解错误造 成的返工。 5.4 产品培训 培训分为两部分 1.根据企业的实际情况,对相关人员、电脑操作员进行必要的计算机使用 培训,如 WINDOWS 的操作等。这部分培训由企业自行培训。 2.南京交通厅信息安全防护项目的培训一般分为以下几个步骤 1 项目基本概念和原理讲解、以图让企业员工更好理解项目的协助关系; 2 项目产品基本操作讲解。 对操作人员进行南京交通厅信息安全防护项目的 操作使用培训,对系统维护操作的培训; 3 让操作人员及系统管理员依照企业实际业务进行全体模拟操作, 并对不理
个人主页