xx集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)安全評估報告_第1頁
xx集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)安全評估報告_第2頁
xx集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)安全評估報告_第3頁
xx集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)安全評估報告_第4頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、xx集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)安全評估報告xx集團(tuán)信息系統(tǒng)網(wǎng)絡(luò)安全評估報告一、安全評估概述隨著信息化的發(fā)展,企業(yè)對信息系統(tǒng)依賴程度的日益增強(qiáng),信息安全問題受到普遍關(guān)注。對信息系統(tǒng)軟件進(jìn)行安全測評,綜合分析系統(tǒng)測試過程中有關(guān)現(xiàn)場核查、技術(shù)測試以及安全管理體系評估的結(jié)果,對其軟件系統(tǒng)安全要求符合性和安全保障能力作出綜合評價,提出相關(guān)改進(jìn)建議,并在系統(tǒng)整改后進(jìn)行復(fù)測確認(rèn)。以確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)安全等級的基本安全要求。當(dāng)前xx集團(tuán)的主要使用的信息系統(tǒng)有“xx財務(wù)系統(tǒng)”、“風(fēng)險防控系統(tǒng)”、“檔案管理系統(tǒng)”、“考勤管理系統(tǒng)”、“安全管理系統(tǒng)”,這五個信息系統(tǒng)的安全保護(hù)等級均為第一級。(第一級安全保護(hù)等

2、級:應(yīng)能夠防護(hù)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難以及相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害,在自身遭到損害后,能夠恢復(fù)部分功能)。二、安全評估要求根據(jù)運(yùn)維工作經(jīng)驗分析,超過70%的安全漏洞出現(xiàn)在應(yīng)用層,常發(fā)生在操作系統(tǒng)與應(yīng)用程序中,特別是關(guān)鍵的業(yè)務(wù)系統(tǒng)。因此,有必要針對xx集團(tuán)信息系統(tǒng)應(yīng)用軟件進(jìn)行安全風(fēng)險評估,根據(jù)評估結(jié)果,預(yù)先采取防范措施,預(yù)防或緩解各種可能出現(xiàn)的信息數(shù)據(jù)安全風(fēng)險。 確保xx煙草集團(tuán)有限公司(以下簡稱“集團(tuán)公司”)信息系統(tǒng)安全有效管理,確保信息系統(tǒng)全生命周期規(guī)范運(yùn)行,保障數(shù)據(jù)安全,最大限度地減輕信息系統(tǒng)安全事件的發(fā)生。信息系統(tǒng)安全遵循煙草行業(yè)“

3、分級分域、整體保護(hù)、積極預(yù)防、動態(tài)管理”總體安全策略。 三、安全評估與防護(hù)措施根據(jù)安全評估指導(dǎo)原則,為盡量發(fā)現(xiàn)系統(tǒng)的安全漏洞,提高系統(tǒng)的安全標(biāo)準(zhǔn),xx集團(tuán)信息系統(tǒng)的軟件安全評估過程包含以下四項內(nèi)容:(一)軟件需求安全性分析對分配給軟件的系統(tǒng)級安全性需求進(jìn)行分析,規(guī)定軟件的安全性需求,保證規(guī)定必要的軟件安全功能和軟件安全完整性。根據(jù)軟件安全性分析準(zhǔn)備的結(jié)果和系統(tǒng)的初步結(jié)構(gòu)設(shè)計文檔,包括系統(tǒng)分配的軟件需求、接口需求,完成對系統(tǒng)安全性需求的映射,以安全相關(guān)性分析和對軟件需求的安全性評價。xx集團(tuán)五個信息系統(tǒng)的業(yè)務(wù)需求與網(wǎng)絡(luò)需求如下表所示:其中“檔案管理系統(tǒng)”、“考勤管理系統(tǒng)”僅在局域網(wǎng)(內(nèi)網(wǎng))上運(yùn)行

4、, 網(wǎng)絡(luò)安全風(fēng)險較低,而“xx財務(wù)系統(tǒng)”、“風(fēng)險防控系統(tǒng)”、“安全管理系統(tǒng)”需要在互聯(lián)網(wǎng)(外網(wǎng))上運(yùn)行,網(wǎng)絡(luò)安全風(fēng)險較高。 (二)軟件結(jié)構(gòu)設(shè)計安全性分析評價軟件結(jié)構(gòu)設(shè)計的安全性,以保證軟件安全功能的完整性。從安全角度講,軟件結(jié)構(gòu)設(shè)計是制定軟件基本安全性策略的階段,因為這一階段負(fù)責(zé)定義主要軟件部件,以及它們?nèi)绾谓换?,如何獲得所要求的屬性,特別是安全完整性,是軟件安全性需求在結(jié)構(gòu)定義中實現(xiàn)的階段。對結(jié)構(gòu)設(shè)計進(jìn)行安全性分析,根據(jù)軟件的設(shè)計結(jié)構(gòu),分析結(jié)構(gòu)中與安全性相關(guān)的部分,分析軟件的網(wǎng)絡(luò)安全性與防護(hù)重點。xx集團(tuán)五個信息系統(tǒng)的軟件設(shè)計架構(gòu)、網(wǎng)絡(luò)安全性與防護(hù)重點如下表所示:c/s(client/ser

5、ver)又稱客戶/服務(wù)器模式??蛻舳诵枰惭b專用的客戶端軟件支持。每一個客戶端軟件的實例都可以向一個服務(wù)器或應(yīng)用程 序服務(wù)器發(fā)出請求。 b/s(browser/server)又稱瀏覽器/服務(wù)器模式。與c/s結(jié)構(gòu)不同,其客戶端不需要安裝專門的軟件,只需要瀏覽器即可,瀏覽器通過web服務(wù)器與數(shù)據(jù)庫進(jìn)行交互,可以方便的在不同平臺下工作。但在速度和安全性上存在較多安全隱患。xx集團(tuán)的局域網(wǎng)與互聯(lián)網(wǎng)之間有一整套較完善的網(wǎng)絡(luò)安全防護(hù),局域網(wǎng)相對比較安全,其中檔案管理系統(tǒng)、考勤管理系統(tǒng)盡在局域網(wǎng)上運(yùn)行,其網(wǎng)絡(luò)安全性較高;xx財務(wù)系統(tǒng)、風(fēng)險防控系統(tǒng)有互聯(lián)網(wǎng)運(yùn)行需求,但其c/s架構(gòu)提供了較高的網(wǎng)絡(luò)安全保障;安全

6、管理系統(tǒng)是b/s架構(gòu),并在互聯(lián)網(wǎng)運(yùn)行,存在較大的安全隱患,需要完善系統(tǒng)補(bǔ)丁。(三)軟件開發(fā)技術(shù)安全性分析軟件的開發(fā),由于技術(shù)原因從開發(fā)到運(yùn)行中都存在著安全隱患,通常需要隨著技術(shù)的發(fā)展不斷升級,并根據(jù)最新的漏洞隱患持續(xù)更新系統(tǒng)補(bǔ)丁。根據(jù)xx集團(tuán)五個信息系統(tǒng)的數(shù)據(jù)庫開發(fā)到應(yīng)用開發(fā)的開發(fā)軟件版本,對五個信息系統(tǒng)軟件開發(fā)技術(shù)進(jìn)行安全性分析,分析結(jié)果如下表所示: 這五個軟件的開發(fā)技術(shù)都已落后,并無法升級,安全補(bǔ)丁官方也停止更新,軟件的安全性漏洞無法修復(fù),其中安全管理系統(tǒng)暴露在外網(wǎng),從技術(shù)上無法采取有效措施。(四)軟件安全性測試與防護(hù)措施軟件安全性的測試,可以驗證或發(fā)現(xiàn)系統(tǒng)安全方面的問題。采取靜態(tài)分析和功

7、能測試兩種方式發(fā)現(xiàn)系統(tǒng)開發(fā)時存在的安全漏洞。靜態(tài)分析:需通過對需求分析說明書.軟件設(shè)計說明書、源程序作結(jié)構(gòu)檢查、流圖分析等找出軟件的缺陷及安全漏洞。通過nmap自動化檢查工具進(jìn)行靜態(tài)分析,以提高測試的效率和準(zhǔn)確度。功能測試:功能測試屬動態(tài)測試,驗證的是軟件的功能實現(xiàn)。通過功能驗證來檢查我們是否達(dá)到了沒有安全漏洞的要求。xx集團(tuán)五個信息系統(tǒng)的靜態(tài)分析和功能測試測試分析,如下表: 四、總結(jié)對于局域網(wǎng)應(yīng)用軟件(檔案管理系統(tǒng)、考勤管理系統(tǒng)),風(fēng)險主要是客戶端pc的安全防護(hù),防護(hù)措施是:在集團(tuán)局域網(wǎng)辦公電腦全面部署360企業(yè)版防病毒軟件,實現(xiàn)對病毒及惡意軟件的防控;部署天珣內(nèi)網(wǎng)審計系統(tǒng)與網(wǎng)康互聯(lián)網(wǎng)網(wǎng)關(guān),與交換機(jī)聯(lián)動,實現(xiàn)對不當(dāng)上網(wǎng)行為的管控。對于互聯(lián)網(wǎng)客戶端應(yīng)用軟件(xx財務(wù)系統(tǒng)、風(fēng)險防控系統(tǒng)),風(fēng)險主要是互聯(lián)網(wǎng)入口的安全防護(hù),防護(hù)措施是:關(guān)閉互聯(lián)網(wǎng)入口,建立vpn隧道,并采用雙因子認(rèn)證,并在防火墻上建立白名單策略,從ip地址、證書、密碼三方面實施準(zhǔn)入管控。對于互聯(lián)網(wǎng)web端應(yīng)用軟件(安全管理系統(tǒng)),在技術(shù)上的存在嚴(yán)重漏洞,需要全面升級重新開發(fā),防護(hù)措施是:在系統(tǒng)升級開發(fā)前,暫時關(guān)閉互聯(lián)網(wǎng)服務(wù),僅開通局域網(wǎng)服務(wù),并積極聯(lián)系開發(fā)商接洽,研究軟件的升級與安全防護(hù)。從短期看,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論