<nav id="guskm"></nav>
  • <menu id="guskm"><strong id="guskm"></strong></menu>
    首页 解决方案 典型案例 行业新闻 资质荣誉 产品中心 关于我们
    您所在位置 > 首页 > 解决方案 > 教育行业解决方案
    解决方案 / Solutions
    教育行业解决方案
    北京工业大学安全风险评估项目综述 点击下载

          北京工业大学项目背景

    随着近年来信息技术的高速发展,信息安全风险也日益加大,北京工业大学作为代表性教育机构,面对严峻的信息安全形势,对如何有效的防范网络安全风险高度重视,多年中联合专业的安全服务厂商提供的安全服务来保证系统的稳定运行,构建了一个基本的边界安全防护体系;由于网络安全受关注程度较高,加强推进北京工业大学的安全基础建设和安全管理工作不仅能够解决许多信息安全问题,同时也能成功的规避一定的安全风险。从目前北京工业大学信息化的整体发展和信息安全的整体态势角度观察,北京工业大学信息系统仍然存在一些问题和安全隐患有待解决。

    从相关要求和北京工业大学自身业务的需求出发,迫切要将目前的信息安全保障水平进一步提高,需要进一步进行安全组织、安全制度、安全管理和技术方面的安全建设工作,增强系统的可靠性,根据信息安全的动态性特点更深层次引入专业安全服务,结合深度防御体系充分保障北京工业大学整个系统的安全、正常运行。

    为切实有效的提高北京工业大学信息中心各系统的稳定运行,持续不断的发现系统安全风险并及时进行纠正。保证甲方网络资源不会被一些别有用心的组织和个人利用或破坏,提升应急保障能力,提升北京工业大学信息中心相关人员信息安全技术水平以及应急响应速度,特提出《北京工业大学应用系统安全建设方案》。

    项目分析

    紧随相关部门下发的“关于深入开展教育行业网络与信息化系统安全检查工作的通知”的要求,北京工业大学将全面对学校信息化建设的网络架构、服务器系统、存储系统、业务信息化管理系统、数据库系统以及公共服务系统等进行科学的检查、漏洞分析,并进行风险评估和处置,使信息系统风险程度处于可控可接受之内。

    根据现有30多个业务系统信息化的安全程度和系统服务等级的不同,制定并落实符合《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级;せ疽蟆返裙芾砉娣兜陌踩芾碇贫。设计符合学校信息化建设的信息安全保障体系,选择适合的信息安全技术措施和管理措施,以指导信息安全等级;そㄉ,完成北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。

    建立一个信息安全的保障机制和运行机制,提供基本的扫描、检测、审计和系统加固的系统平台。主要内容包括漏洞和威胁扫描、分析、日志审计和系统安全加固工具、日志审计与WEB相关防火墙等产品,最终给相关人员进行产品培训。

    北京工业大学在2009年已经完成对20多个信息系统的定级工作,并在市公安部门备案,但是目前信息安全基础建设还比较薄弱,与当前严峻的信息安全形势相比还有较大的差距。目前我校已经成功备案的信息系统有环境与能源工程学院网站、北京工业大学制冷与低温工程系、环境与能源工程学院化学化工系网页、教育部传热强化与过程节能重点实验室,传热与能源利用重点实验室、北京工业大学室内环境检测中心信息系统、北工大化学实验教学中心实验室信息管理系统、校两办主页、财务信息系统等30多个信息系统。

        项目范围

    1.   对现有北京工业大学内重要业务系统及网络进行规范化的资产与威胁识别、风险分析等工作。

    2.   部署相应的基本的扫描、检测、审计和系统加固的软件或系统平台。

    3.   编写北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。

    4.   协助完善制定学校的信息安全规章制度、规范等建议书。

    5.   对北京工业大学综合信息支撑平台(包括统一身份认证、统一门户平台和公共数据库平台)、校主

    页、网站群平台、一卡通等主要校级应用系统进行等级;し。

    主要工作内容

    通过风险评估、安全保障体系的设计以及等级;ぐ踩U咸逑瞪杓,达到下述需求:

    风险评估

    差距分析

    技术分析

    根据国家信息安全等级;は嘤侗鸬募际跻,通过访谈、调研问卷、技术测试、查阅资料等多种手段,逐项分析信息系统安全防护水平与等级;は嘤侗鸺际跻蟮牟罹。

     

    管理分析

    根据国家信息安全等级;は嘤侗鸬墓芾硪,通过访谈、调研问卷、查阅资料、要求客户举证等多种手段,逐项分析信息系统安全防护水平与等级;は嘤侗鸺际跻蟮牟罹。

     

    资产识别

    资产识别

    对信息系统业务及其关键资产进行识别,并合理分类;在资产识别过程中,需要详细识别核心资产的安全属性,重点视别出资产在遭受泄密、中断、损害等破坏时所遭受的影响。

     

    威胁识别

    威胁识别

    通过威胁调查、取样等手段识别被评估信息系统的关键资产(主机、服务器、网络、应用系统等)所面临的威胁源,及其威胁所常采用的威胁方法,对资产所产生的影响。

     

    基础环境脆弱性识别

    对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别。

     

    安全管理脆弱性识别

    从以下几方面分析信息系统:策略、组织架构、校方人员、安全控制、资产分类与控制、系统接入控制、网络与系统管理、业务可持续性发展计划、应用开发与维护及可适应性。

     

    技术脆弱性识别(工具)

    采用扫描工具软件对评估工作范围内的主机、服务器、网络设备、操作系统、关键软件进行系统脆弱性评估以及对Web服务器的脆弱性评估。主要包含:安全管理、审计、服务、系统漏洞、拒绝服务等各方面的脆弱性。

     

    技术脆弱性识别(手工)

    采用手动检查、问卷调查、人工问询等方式对评估工作范围内的主机、服务器、网络设备、操作系统和关键软件进行系统脆弱性评估。主要包含:安全管理、审计、服务、系统漏洞、拒绝服务等各方面的脆弱性。

     

    安全措施识别

    安全措施

    识别

    通过问卷调查、人工检查等方式识别被评估系统的有效对抗风险的防护措施(包含技术手段和管理手段)。

     

    风险

    分析

    资产分析

    分析系统及其关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响。并进行赋值量化。

     

    威胁分析

    分析系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法。并依据其发生的可能性和成功后所产生的影响进行赋值量化。

     

    脆弱性分析

    分析系统及其关键资产所存在的各方面脆弱性即基础环境脆弱性、安全管理脆弱性、技术脆弱性。并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化。

     

    日志审计

    对主机、服务器、网络的运行日志进行审计,分析可能造成的威胁事件、恶意攻击的源节点进行分析、查找等。

     

    安全措施有效性分析

    对安全措施所采取后的有效性进行分析,分析其安全措施对防范威胁、降低脆弱性的有效性。

     

    综合风险

    分析

    分析系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,同时将风险量化。

     

    风险

    处理

    风险处理

    计划

    根据系统安全风险大小、客户能够接受的风险程度,分析不同风险的处理方式和方法,如接受、转移或降低等。

     

     

    风险的处理措施

    部署相应的基本的扫描、检测、审计和系统加固的软件或系统平台

     

    安全保障体系的设计

    1、基于信息系统级别,根据差距分析和风险评估结果,依据国家信息安全等级;ぜ际跻蠛凸芾硪,设计符合学校信息化建设的信息安全保障体系,选择适合的信息安全技术措施和管理措施,以指导信息安全等级;そㄉ,完成北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。

    2、协助完善制定学校的信息安全规章制度、规范等建议书。

     

    等级;

    安全保障

    体系设计

    对北京工业大学综合信息支撑平台(包括统一身份认证、统一门户平台和公共数据库平台)、校主页、网站群平台、一卡通等主要校级应用系统进行等级;し。具体需求如下:

    1)等保定级:协助学校对信息系统进行划分,确定等级,完成或完善;さ燃侗赴腹ぷ,2013年完成一卡通系统、综合信息支撑平台等级;すぷ。

    2)等保评估:对上述系统进行全面评估,根据评估结果和确定的;さ燃,结合信息系统安全等级;せ疽中对各级别信息系统的技术和管理要求,协助学校调整相应的安全;ご胧,等保管理整改:根据等级;せ竟芾硪,结合学校实际需求,协助学校建设相应的组织体系、策略体系、运行体系,从全面提升用户安全管理的层次和能力。

    3)制定详细的等级;ぜ际跽姆桨;

    4)协助学校完成等级;げ馄啦牧,在测评过程中提供技术支持服务。

     
     
     

     

     安全服务项目方案设计

    根据实施工作的具体内容不同,我们设计了不同的服务方案,并针对不同的方案进行逐一说明:

     风险评估

     评估内容

          本次项目的风险评估的主要对象对现有网络结构、网络设备、防火墙等硬件及30于台业务服务器操作系统、数据库、网络机房物理安全的基础评估工作。

           评估结果分析

       根据评估结果得到的相关信息网络或服务器上需要哪些安全风险问题进行关联分析。首先,根据现有的网络结构、网络设备漏洞、操作系统漏洞、数据库安全等安全问题,结合使用中的已存在安全风险的安全点上进行有效的风险控制,通过网络结构的调整、防火墙的策略调整等方式给出最佳评估解决方案,以及如何避免以后系统添加新功能、新业务的时候改动时需要遵循的安全建议。

         交付成果

    提交关于北京工业大学信息化建设安全管理的规章制度、规范等建议书在本项目中,应急预案内容将包含制定相应应急响应组织、预防预警机制、事件定义分类、应急响应程序、事件上报处理机制、后期处理机制等内容。具体将分为不同预案。

    主机安全检查

                北京工业大学主机安全检查是对现有30于台业务服务器系统进行的安全审计检查,并对结果进行分析,包括Windows、Unix、类Linux等操作系统检查策略配置等安全项。检查操作系统、常用中间件、常用数据库各配置项的设置是否安全。

         日志分析对操作系统、常用中间件、常用数据库的日志进行初步分析,判断系统是否存在异常,根据判定情况,及时发现最新漏洞隐患及入侵痕迹,可以向信息中心申请开展进一步的主机安全检查和应急相应,确保各类主机系统日常安全稳定的运行。

         补丁检查升级更新是否及时。对操作系统、常用中间件、常用数据库的升级更新情况进行确认,确认是否存在没有更新补丁和没有升级版本的情况,并确认已更新补丁和升级版本是否存在空窗期过长的现象。

         进程检查:判定可疑程序。对应用系统是否存在可疑可执行程序,包括后门、木马文件、病毒等。根据判定情况,可以向信息中心申请开展进一步的主机安全检查和应急相应。

        实施过程中将根据系统;ざ韵蠹壑档牟煌,分别进行常规安全检查与高级安全检查,分析服务器系统深层次的、更加隐蔽性的安全漏洞、系统配置不当、隐蔽型木马后门等。

        操作系统安全检查

            Linux安全检查

                            版本及补。版本是否为存在安全隐患的版本,内核是否存在脆弱性;系统中是否存在安全漏洞,是否安装必要的安全补;

                  搜索路径:是否存在过大权限而存在隐患;

                  口令安全:检查是否存在未设置口令的帐户、口令强度是否符合安全标准;

                  进程检查:主要检查自启动项及已启动的进程是否存在可以进程;

                  访问安全:包括banner信息、远程登录SSH、Telnet、FTP、ICMP等方式是否设置了安全的配置,包括连接信息、用户、权限、访问限制等;

                  文件安全:默认重要文件安全属性是否配置正确、全局可写的文件或目录等;

                  日志审计:是否开启了日志审计,审计数据是否全面且可使用,系统是否增加FTP、inetd日志并审计日志内容、是否存在安全攻击或威胁记录等;

                  系统服务:被评估的主机中是否系统采用默认值等;Openssh、Tcp_Wrapper系统是否安装openssh替代telnet和做相关的访问控制;

                  账号、角色和设置:系统是否存在许多无关的帐户例如guest、lp等;重要用户的权限是否配置正确,避免出现权限过大;

                  网络参数:是否设定了必要的网路参数,主要包括网络服务、Tcp/ip协议栈等安全检查,应对基于IP协议栈的攻击,例如:SYN FLOOD攻击、ip欺骗、ip spoofing攻击等,AIX采用默认值。

     

                 Windows安全检查

     

                  防病毒、防火墙:是否安装防病毒软件,所有主机防病毒软件的特征码和检查引擎是否保持更新到最新;是否安装第三方防火墙;或者开启Windows本身FW;

                  进程检查:主要检查自启动项及已启动的进程是否存在可以进程;

                  注册表安全设置:大多数主机的的注册表默认配置是否已经修改,例如:允许光盘自动运行;允许自动运行程序调试程序;允许蓝屏后自动重启系统;少数TCP/IP协议栈的安全加固没有做,如TCPMaxHalfOpen;在检查主机注册表配置的基础上,检查该主机时候有被入侵,木马植入等危险行为的痕迹;

                   账号、角色和口令设置:是否设置安全的密码策略;是否有必要的审核配置,利于系统的排错和安全事件处理;

                  不必要的服务:是否开启不必要的服务,例如 Alerter、Messenger、telnet等服务;

                  文件系统:是否使用了较安全的NTFS 文件系统格式;

                  重要文件权限:是否对重要文件权限进行安全设置例如:cmd.exe、tftp.exe、netstat.exe、regedit.exe、format.com等;

                  屏幕;ぃ是否设置屏幕;;关键按键询问操作等;

                  无关的组件、软件:被评估的WINDOWS主机是否存在服务器无关的组件例子如:game、多媒体;

                  日志审计:系统是否设置相关的安全日志审计、日志大小空间分配、日志的具体内容,包括是否存在入侵行为,同时记录正常使用中的误操作以及恶意操作等;

                  默认共享:被评估的主机是否关闭系统默认共享(包括C、D、E、F等盘符);是否存在隐藏共享;

                  补丁审计:首先,检查补丁是否为最新状态,比对当前系统安装补丁时间与微软发布时间的差距,通过统计最新的补丁发布时间和被测主机实际更新的时间的时间差,查找在及时更新补丁之前可能发生的、利用该未修复漏洞发起的攻击和安全威胁;

     

                  数据库安全检查

     

                  版本及补。版本是否为存在安全隐患的版本,内核是否存在脆弱性;系统中是否存在安全漏洞,是否安装必要的安全补;

                  账号、角色和口令设置:是否设置安全的密码策略;是否有必要的审核配置,避免出现空口令,利于系统的排错和安全事件处理;

        权限最小化:帐户及角色权限最小化,操作权限的配置是否合理;

                  日志审计:系统是否设置相关的安全日志审计、日志大小空间分配、日志的具体内容,包括是否存在入侵行为,同时记录正常使用中的误操作以及恶意操作等;

                  通信协议:是否设定了必要的网路参数,主要包括网络服务、Tcp/ip协议栈等安全检查,应对避免IP协议栈的攻击;使用加密通讯协议,避免信息劫持;

                  存储过程:删除不必要的存储过程;

     

                  中间件安全检查

     

                  版本及补。版本是否为存在安全隐患的版本,内核是否存在脆弱性;系统中是否存在安全漏洞,是否安装必要的安全补;

                  账号、角色和口令设置:是否设置安全的密码策略;是否有必要的审核配置,避免出现空口令,利于系统的排错和安全事件处理;

                  权限最小化:帐户及角色权限最小化,操作权限的配置是否合理;

                 日志审计:系统是否设置相关的安全日志审计、日志大小空间分配、日志的具体内容,包括是否存在入侵行为,同时记录正常使用中的误操作以及恶意操作等;

                          通信协议:是否设定了必要的网路参数,主要包括网络服务、Tcp/ip协议栈等安全检查,应对避免IP协议栈的攻击;使用加密通讯协议,避免信息劫持;WEB服务使用SSL加密通讯协议、FTPtelnet使用SSH协议等;

                 存储过程:删除不必要的存储过程;

                 默认端口:变更默认应用端口,避免被工具或病毒进行批量扫描攻击;

                登录时长:设置登录时长,避免出现DDOS及帐户盗用现象;

                错误重定向:WEB默认错误页面重定向,避免被工具或病毒进行批量扫描攻击;

     

    版权所有:北京金钻芯科技有限公司 2007-2027 保留一切权利 京ICP备19056231号-1    网站制作海大科技
    购彩助手 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>