網(wǎng)絡安全的業(yè)務與技術范圍_第1頁
網(wǎng)絡安全的業(yè)務與技術范圍_第2頁
網(wǎng)絡安全的業(yè)務與技術范圍_第3頁
網(wǎng)絡安全的業(yè)務與技術范圍_第4頁
網(wǎng)絡安全的業(yè)務與技術范圍_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

網(wǎng)絡安全的業(yè)務與技術范圍2.1.1網(wǎng)絡安全日常維保近年來隨著互聯(lián)網(wǎng)的高速發(fā)展,電信主管部門對網(wǎng)絡安全要求、安全考核愈發(fā)嚴格。而隨著安全攻防技術的快速發(fā)展,網(wǎng)絡及信息安全漏洞層出不窮,基于IP網(wǎng)絡的安全問題日益突出,主要表現(xiàn)在:物理層面安全、網(wǎng)絡拓撲結構安全、設備安全、網(wǎng)絡邊界安全、網(wǎng)絡系統(tǒng)安全、應用系統(tǒng)安全、網(wǎng)絡管理安全、流量安全、業(yè)務安全、數(shù)據(jù)安全、安全管控等。為切實落實《工業(yè)和信息化部國務院國有資產監(jiān)督管理委員會關于開展基礎電信企業(yè)網(wǎng)絡與信息安全責任考核有關工作的指導意見》(工信部聯(lián)保(2012)551號)相關要求,需在企業(yè)內部常態(tài)化開展網(wǎng)絡安全維保檢查,以檢驗各單位網(wǎng)絡及系統(tǒng)安全防護能力和管理要求落實的有效性,通過積極開展網(wǎng)絡安全日常維保更好的推進全省網(wǎng)絡安全工作的開展,切實做到舉一反三、查缺補漏,有效降低內外部風險。通過實施本項目,及時掌握當前的網(wǎng)絡安全現(xiàn)狀,全面摸清安全隱患和薄弱環(huán)節(jié),規(guī)避考核風險,通過日常安全加固,有效促進甲方整體網(wǎng)絡安全工作水平的提升。2.1.2數(shù)據(jù)安全防護近年來數(shù)據(jù)安全信息泄漏事件高頻發(fā)生,一方面是信息系統(tǒng)本身存在安全漏洞和弱點,外部攻擊者利用這些漏洞和弱點進行惡意攻擊,從而竊取敏感數(shù)據(jù),進行進一步的違法行為,如倒賣客戶信息等,從而非法贏利;另一方面是內部員工利用職權非法竊取敏感數(shù)據(jù),進行如倒賣客戶信息等非法贏利行為,最終導致用戶信息大規(guī)模泄露。將客戶信息安全保護作為年度重點安全工作,要求進行重大應用系統(tǒng)安全漏洞(客戶信息泄露)專項整治工作,引入專業(yè)第三方開展數(shù)據(jù)安全運營管理合規(guī)及安全基線評測服務,建立健全客戶信息防泄露手段和數(shù)據(jù)安全審計系統(tǒng)策略和手段等措施來全面加強和提升客戶信息安全保護工作。2.1.3網(wǎng)絡安全業(yè)務監(jiān)測近年來隨著互聯(lián)網(wǎng)的高速發(fā)展,計算機網(wǎng)絡的資源共享進一步加強,基礎電信業(yè)務運營商,具有網(wǎng)絡規(guī)模大、用戶數(shù)量眾多、業(yè)務系統(tǒng)豐富而復雜等特點,隨之而來的網(wǎng)絡安全的風險日益加大。在一個開放的網(wǎng)絡環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標。計算機網(wǎng)絡組成形式多樣性、終端分布廣和網(wǎng)絡的開放性、互聯(lián)性等特征更為他們提供便利。黑客利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,窺視、竊取、篡改數(shù)據(jù)。其“低成本和高收益”在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。面對嚴峻的網(wǎng)絡安全形勢,甲方通過加強網(wǎng)絡安全業(yè)務監(jiān)測、分析能力,切實提高網(wǎng)絡與信息安全保障水平,增強數(shù)據(jù)資產、應用系統(tǒng)的安全風險監(jiān)測能力。2.3.1網(wǎng)絡安全日常維保內容范圍涵蓋:1、甲方的各類數(shù)據(jù)資產,根據(jù)現(xiàn)場網(wǎng)絡安全日常維保確定。2、系統(tǒng)測試:網(wǎng)絡信息安全系統(tǒng)基本功能測試,系統(tǒng)數(shù)據(jù)準確性、一致性校驗。2.3.2數(shù)據(jù)安全防護內容范圍涵蓋:1s甲方的各類數(shù)據(jù)資產。2、基礎安全:網(wǎng)絡單元定級備案、符合性評測、風險評估及滲透測試。2.3.3網(wǎng)絡安全業(yè)務監(jiān)測內容范圍涵蓋:1、甲方的各類安全設備、安全管控平臺等。2、不良信息集中治理:不良網(wǎng)站監(jiān)測、釣魚網(wǎng)站監(jiān)測、惡意鏈接監(jiān)測、垃圾短彩信治理及策略運營、騷擾及詐騙電話治理及策略運營、安全模型優(yōu)化等、業(yè)務安全審計、業(yè)務安全評估等。3、網(wǎng)絡數(shù)據(jù)安全監(jiān)測:客戶信息安全監(jiān)測、APP客戶信息安全保護及風險評估。4、流程穿越:電話用戶實名登記檢查及暗訪、網(wǎng)上客戶信息售賣釣魚、網(wǎng)站備案稽核及審查等。5、人才專業(yè)提升:網(wǎng)絡安全人員能力提升、安全競賽等。3.1、網(wǎng)絡安全日常維保網(wǎng)絡安全日常維保包括但不限于以下服務:日常巡檢服務、日常維護及故障處理、基礎網(wǎng)絡風險評估工作、重點業(yè)務系統(tǒng)基線檢查和日常安全檢查。3.1,1日常巡檢服務3.1.1.1技術要求按照要求乙方需滿足定期對網(wǎng)絡安全設備(包括但不限于防火墻、IPS、IDS、W'AF等安全設備和安全管控平臺(包括但不限于4A系統(tǒng)、安全威脅分析與預警平臺、網(wǎng)頁防篡改系統(tǒng)等)進行巡檢保障,乙方需滿足定期對包括但不限于對平臺、安全設備的負載、CPU、內存、存儲等運行狀態(tài)進行檢查。3.1.2日常維護及故障處理3.1.2.1技術要求乙方需滿足安全設備系統(tǒng)故障處理能力和日志分析能力,包括但不限于日志解析監(jiān)控、數(shù)據(jù)異常處理、異常問題與故障處理等,同時滿足一級、二級、三級、四級故障響應時間要求。3.1.3基礎網(wǎng)絡風險評估工作3.1.3.1技術要求1、乙方對包括但不限于IT資產主機操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、中間件、WEB應用系統(tǒng)等安全檢查和評估,檢測工具需符合相關安全要求,并使用兩種常見的檢查工具,出具相應的安全報告。2、乙方對安全設備防護策列及安全漏洞進行梳理,并進行整改指導。3、乙方需提供安全風險比壞管理機制。重點業(yè)務系統(tǒng)基線檢查3.1.4.1技術要求乙方參照工信部基線檢查要求、檢查項目、檢查方式對甲方定級備案的基礎網(wǎng)絡單元及重點業(yè)務應用系統(tǒng)進行基線檢查。乙方需提供基線檢查工具,功能需包括但不限于支持檢測操作系統(tǒng)和服務(數(shù)據(jù)庫、服務器軟件、容器等)的弱口令、賬號權限、身份鑒別、密碼策略、訪問控制等安全配置,并提供檢測結果,針對存在的風險配置給出加固建議。3.1.5日常安全檢查3.1.5.1技術要求1、乙方參照上級主管單位安全檢查要求、檢查項目、檢查方式對甲方定級備案的基礎網(wǎng)絡單元及重點業(yè)務應用系統(tǒng)進行日常安全檢查,包括但不限于漏洞掃描,滲透測試,符合性檢查等。2、檢查維度包括但不限于操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用系統(tǒng)等。提供安全漏洞修復、系統(tǒng)補丁升級等。3?2、數(shù)據(jù)安全防護數(shù)據(jù)安全防護包含但不限于以下工作:數(shù)據(jù)安全制度流程建設、數(shù)據(jù)安全評估與動態(tài)分析、數(shù)據(jù)共享合規(guī)性管控、數(shù)據(jù)分類分級\脫敏、敏感數(shù)據(jù)泄露渠道監(jiān)測、數(shù)據(jù)安全風險發(fā)現(xiàn)與處置、涉敏日志常態(tài)化審計、數(shù)據(jù)安全檢查支撐工作。3.2.1數(shù)據(jù)安全制度流程建設說明信息安全合規(guī)檢查矩陣與持續(xù)性檢查機制(如明確內控體系建立思路、控制活動能夠落實到具體崗位),并提交相關示例模板。注:根據(jù)對項目理解,需提供1、《數(shù)據(jù)安全管理體系優(yōu)化流程圖》及詳解:包含對數(shù)據(jù)管理、運營、技術合規(guī)情況進行全面對標情況、具體現(xiàn)狀評估內容、操作流程圖;2、《數(shù)據(jù)安全防護現(xiàn)狀評估矩陣》:包含組織機構、制度建設與保護措施、技術能力、數(shù)據(jù)全生命周期管理4個大類;3、《大數(shù)據(jù)平臺安全的內控矩陣》:包含適用范圍、所涉及業(yè)務流程、子流程、控制點描述字段;4、《安全職責細化示例》:包括管理、技術、執(zhí)行三大體系,拆分出對應領域和控制點,并劃分明細的責任角色;5、《數(shù)據(jù)安全運營管理合規(guī)檢查表》:提供評估場景,以及對應的評估要求、評估辦法。3.2.2數(shù)據(jù)安全評估和動態(tài)分析闡述內容需包括:1、對標的信息安全法律法規(guī)(至少應包括國家信息安全等級保護基本要求三級標準、《網(wǎng)絡安全法》)。2、對標《數(shù)據(jù)安全法》,評估點要求全面。3、結合數(shù)據(jù)安全合規(guī)評估要點,明確數(shù)據(jù)生命周期管控流程要求。注:1、對標國家信息安全等級保護基本要求三級標準,對標《網(wǎng)絡安全法》。2、對標《數(shù)據(jù)安全法》給出敏感信息資產梳理流程圖:包括確定梳理目標及調研、資源申請、檢測工具初始化配置、數(shù)據(jù)資產掃描必要環(huán)節(jié);規(guī)劃數(shù)據(jù)系統(tǒng)基礎調研工作內容:有關鍵數(shù)據(jù)存儲情況調研項、客戶信息流向調研項、數(shù)據(jù)備份調研項、安全防護調研項、安全管理調研項工作內容等。)3.2.3數(shù)據(jù)共享合規(guī)性管控闡述內容需包括:1、包含但不限于第三方業(yè)務梳理、合作風險檢查、管控流程優(yōu)化、對外數(shù)據(jù)共享安全評估等,要求給出《數(shù)據(jù)業(yè)務合作梳理模板》、《合作風險檢查列表》、《數(shù)據(jù)業(yè)務合作流程》示例。2、《數(shù)據(jù)業(yè)務合作梳理模板》:與第三方數(shù)據(jù)業(yè)務合作的信息臺賬,至少包含雙方合作的基本信息如合同信息、合作內容、保密情況,安全審查情況。3、《合作風險檢查列表》:應包含合作方公司風險檢查、安全管理負責人和關鍵崗位的人員進行安全背景審查、數(shù)據(jù)業(yè)務合作安全風險檢查3個方面,提出審查內容、方法和評判標準。4、《數(shù)據(jù)業(yè)務合作流程》:以具體部門舉例,畫出流程流轉圖等。3.2.4數(shù)據(jù)分類分級、脫敏通過提供數(shù)據(jù)分類分級、脫敏服務,實現(xiàn)基于但不限定角色、屬性、強制性訪問控制策略,對數(shù)據(jù)庫進行動態(tài)脫敏,預防數(shù)據(jù)泄露等安全問題。脫敏要求如下:1、支持多種數(shù)據(jù)庫類型的脫敏服務,包括但不限于ORACLE.MYSQL、SQLSERVER.VERTICA、DB2等等。2、身份管理方式應包含哪些,例如應用程序名、IP地址、主機名、操作系統(tǒng)賬戶、XX、XX等等方式。3、支持對生成的脫敏SQL與原始SQL對比,確保結果的正確性。2.5敏感數(shù)據(jù)泄露渠道監(jiān)測敏感數(shù)據(jù)泄露渠道檢測主要包含兩個方面,一個是監(jiān)控、另一個是審計;監(jiān)控應明確包括但不限于:數(shù)據(jù)接口、數(shù)據(jù)采集、數(shù)據(jù)使用、策略識別等,對外傳輸內容審計、系統(tǒng)管理、數(shù)據(jù)下載審批等方面的安全審計。2.6數(shù)據(jù)安全風險發(fā)現(xiàn)與處置1、明確要求在規(guī)定時間內提供數(shù)據(jù)安全的應急預案,應急方案應包括哪些內容,如安全事件的監(jiān)控機制、安全事件的觸發(fā)條件、安全事件級別定義等等。2、明確數(shù)據(jù)安全事件溯源分析能力要求。3、數(shù)據(jù)安全事件處理結束后,在一周內提交完整的《數(shù)據(jù)安全事件分析及處理總結報告》,需明確規(guī)定報告內容包括哪些。2.7涉敏日志常態(tài)化審計至少包含以下內容:審計策略制定、關鍵數(shù)據(jù)審計流程圖、基礎安全審計事項及審計依據(jù)、數(shù)據(jù)安全審計事項及審計依據(jù)。(注:內容詳實,包括四方面要素且基礎安全審計事項及審計依據(jù)不少于6項(例如設備配置合規(guī)審計、系統(tǒng)主機安全審計、訪問控制策略審計、管控平臺接入合規(guī)審計等)、數(shù)據(jù)安全審計事項及審計依據(jù)不少于8項(例如數(shù)據(jù)采集變更審計、數(shù)據(jù)共享詳情審計、主機敏感操作審計、數(shù)據(jù)庫敏感操作審計、業(yè)務應用敏感操作審計等)。2.8數(shù)據(jù)安全檢查支撐工作依據(jù)數(shù)據(jù)數(shù)據(jù)安全評估要點,明確上級單位開展數(shù)據(jù)安全檢查期間相關的支撐工作以及檢查前的監(jiān)督檢查工作內容。網(wǎng)絡安全業(yè)務監(jiān)測網(wǎng)絡安全業(yè)務監(jiān)測包含但不限于以下工作:監(jiān)測對象信息資產收集、安全設備流量監(jiān)測、脆弱性識別、威脅分析、安全措施及安全策略梳理、網(wǎng)絡安全日常應急服務等。3.3.1監(jiān)測對象信息資產收集明確監(jiān)測對象資產清單梳理的內容,資產管理方式及更新周期。3.3.2安全設備流量監(jiān)測對各類安全設備資源安全日志進行統(tǒng)一分析,監(jiān)測分析日志中異常操作訪問行為。明確日志審計范圍(如操作系統(tǒng)日志、數(shù)據(jù)庫日志、應用日志等等),日常審計周期,特殊時期日志審計周期,并明確要求生成報告時間。3.3.3脆弱性識別明確脆弱性檢查要點(例如系統(tǒng)高中危漏洞、基線、弱口令等),檢查對象涉及哪些層面(例如管理層、網(wǎng)絡層、主機層等),脆弱性識別點越細越好,明確風險評估報告輸出時間和要點。3.3.4威脅分析明確每周的安全威脅來源,對IT資產進行威脅分析的方法及工具,例如資產探測識別、分析操作系統(tǒng)配置,交換機VLAN的劃分,路由器配置,安全設備的配置有效性等等。其次是現(xiàn)網(wǎng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論