<form id="j1z55"><th id="j1z55"></th></form>

      <span id="j1z55"><span id="j1z55"><track id="j1z55"></track></span></span>

      <form id="j1z55"></form>
        <em id="j1z55"></em>
        首頁 解決方案 典型案例 行業新聞 資質榮譽 產品中心 關于我們
        您所在位置 > 首頁 > 解決方案 > 教育行業解決方案
        解決方案 / Solutions
        教育行業解決方案
        北京工業大學安全風險評估項目綜述 點擊下載

              北京工業大學項目背景

        隨著近年來信息技術的高速發展,信息安全風險也日益加大,北京工業大學作為代表性教育機構,面對嚴峻的信息安全形勢,對如何有效的防范網絡安全風險高度重視,多年中聯合專業的安全服務廠商提供的安全服務來保證系統的穩定運行,構建了一個基本的邊界安全防護體系;由于網絡安全受關注程度較高,加強推進北京工業大學的安全基礎建設和安全管理工作不僅能夠解決許多信息安全問題,同時也能成功的規避一定的安全風險。從目前北京工業大學信息化的整體發展和信息安全的整體態勢角度觀察,北京工業大學信息系統仍然存在一些問題和安全隱患有待解決。

        從相關要求和北京工業大學自身業務的需求出發,迫切要將目前的信息安全保障水平進一步提高,需要進一步進行安全組織、安全制度、安全管理和技術方面的安全建設工作,增強系統的可靠性,根據信息安全的動態性特點更深層次引入專業安全服務,結合深度防御體系充分保障北京工業大學整個系統的安全、正常運行。

        為切實有效的提高北京工業大學信息中心各系統的穩定運行,持續不斷的發現系統安全風險并及時進行糾正。保證甲方網絡資源不會被一些別有用心的組織和個人利用或破壞,提升應急保障能力,提升北京工業大學信息中心相關人員信息安全技術水平以及應急響應速度,特提出《北京工業大學應用系統安全建設方案》。

        項目分析

        緊隨相關部門下發的“關于深入開展教育行業網絡與信息化系統安全檢查工作的通知”的要求,北京工業大學將全面對學校信息化建設的網絡架構、服務器系統、存儲系統、業務信息化管理系統、數據庫系統以及公共服務系統等進行科學的檢查、漏洞分析,并進行風險評估和處置,使信息系統風險程度處于可控可接受之內。

        根據現有30多個業務系統信息化的安全程度和系統服務等級的不同,制定并落實符合《信息安全技術信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范的安全管理制度。設計符合學校信息化建設的信息安全保障體系,選擇適合的信息安全技術措施和管理措施,以指導信息安全等級保護建設,完成北京工業大學安全保障系統的整體規劃、實施方案、經費預算和預期的目標。

        建立一個信息安全的保障機制和運行機制,提供基本的掃描、檢測、審計和系統加固的系統平臺。主要內容包括漏洞和威脅掃描、分析、日志審計和系統安全加固工具、日志審計與WEB相關防火墻等產品,最終給相關人員進行產品培訓。

        北京工業大學在2009年已經完成對20多個信息系統的定級工作,并在市公安部門備案,但是目前信息安全基礎建設還比較薄弱,與當前嚴峻的信息安全形勢相比還有較大的差距。目前我校已經成功備案的信息系統有環境與能源工程學院網站、北京工業大學制冷與低溫工程系、環境與能源工程學院化學化工系網頁、教育部傳熱強化與過程節能重點實驗室,傳熱與能源利用重點實驗室、北京工業大學室內環境檢測中心信息系統、北工大化學實驗教學中心實驗室信息管理系統、校兩辦主頁、財務信息系統等30多個信息系統。

            項目范圍

        1.   對現有北京工業大學內重要業務系統及網絡進行規范化的資產與威脅識別、風險分析等工作。

        2.   部署相應的基本的掃描、檢測、審計和系統加固的軟件或系統平臺。

        3.   編寫北京工業大學安全保障系統的整體規劃、實施方案、經費預算和預期的目標。

        4.   協助完善制定學校的信息安全規章制度、規范等建議書。

        5.   對北京工業大學綜合信息支撐平臺(包括統一身份認證、統一門戶平臺和公共數據庫平臺)、校主

        頁、網站群平臺、一卡通等主要校級應用系統進行等級保護服務。

        主要工作內容

        通過風險評估、安全保障體系的設計以及等級保護安全保障體系設計,達到下述需求:

        風險評估

        差距分析

        技術分析

        根據國家信息安全等級保護相應級別的技術要求,通過訪談、調研問卷、技術測試、查閱資料等多種手段,逐項分析信息系統安全防護水平與等級保護相應級別技術要求的差距。

         

        管理分析

        根據國家信息安全等級保護相應級別的管理要求,通過訪談、調研問卷、查閱資料、要求客戶舉證等多種手段,逐項分析信息系統安全防護水平與等級保護相應級別技術要求的差距。

         

        資產識別

        資產識別

        對信息系統業務及其關鍵資產進行識別,并合理分類;在資產識別過程中,需要詳細識別核心資產的安全屬性,重點視別出資產在遭受泄密、中斷、損害等破壞時所遭受的影響。

         

        威脅識別

        威脅識別

        通過威脅調查、取樣等手段識別被評估信息系統的關鍵資產(主機、服務器、網絡、應用系統等)所面臨的威脅源,及其威脅所常采用的威脅方法,對資產所產生的影響。

         

        基礎環境脆弱性識別

        對信息系統所處的物理環境即機房、線路、客戶端的支撐設施等進行脆弱性識別。

         

        安全管理脆弱性識別

        從以下幾方面分析信息系統:策略、組織架構、校方人員、安全控制、資產分類與控制、系統接入控制、網絡與系統管理、業務可持續性發展計劃、應用開發與維護及可適應性。

         

        技術脆弱性識別(工具)

        采用掃描工具軟件對評估工作范圍內的主機、服務器、網絡設備、操作系統、關鍵軟件進行系統脆弱性評估以及對Web服務器的脆弱性評估。主要包含:安全管理、審計、服務、系統漏洞、拒絕服務等各方面的脆弱性。

         

        技術脆弱性識別(手工)

        采用手動檢查、問卷調查、人工問詢等方式對評估工作范圍內的主機、服務器、網絡設備、操作系統和關鍵軟件進行系統脆弱性評估。主要包含:安全管理、審計、服務、系統漏洞、拒絕服務等各方面的脆弱性。

         

        安全措施識別

        安全措施

        識別

        通過問卷調查、人工檢查等方式識別被評估系統的有效對抗風險的防護措施(包含技術手段和管理手段)。

         

        風險

        分析

        資產分析

        分析系統及其關鍵資產在遭受泄密、中斷、損害等破壞時對系統所承載的業務系統所產生的影響。并進行賦值量化。

         

        威脅分析

        分析系統及其關鍵資產將面臨哪一方面的威脅及其所采用的威脅方法。并依據其發生的可能性和成功后所產生的影響進行賦值量化。

         

        脆弱性分析

        分析系統及其關鍵資產所存在的各方面脆弱性即基礎環境脆弱性、安全管理脆弱性、技術脆弱性。并依據其脆弱性被利用的難易程度和被成功利用后所產生的影響進行賦值量化。

         

        日志審計

        對主機、服務器、網絡的運行日志進行審計,分析可能造成的威脅事件、惡意攻擊的源節點進行分析、查找等。

         

        安全措施有效性分析

        對安全措施所采取后的有效性進行分析,分析其安全措施對防范威脅、降低脆弱性的有效性。

         

        綜合風險

        分析

        分析系統及其關鍵資產將面臨哪一方面的威脅及其所采用的威脅方法,利用了系統的何種脆弱性,對哪一類資產,產生了什么樣的影響,并描述采取何種對策來防范威脅,減少脆弱性,同時將風險量化。

         

        風險

        處理

        風險處理

        計劃

        根據系統安全風險大小、客戶能夠接受的風險程度,分析不同風險的處理方式和方法,如接受、轉移或降低等。

         

         

        風險的處理措施

        部署相應的基本的掃描、檢測、審計和系統加固的軟件或系統平臺

         

        安全保障體系的設計

        1、基于信息系統級別,根據差距分析和風險評估結果,依據國家信息安全等級保護技術要求和管理要求,設計符合學校信息化建設的信息安全保障體系,選擇適合的信息安全技術措施和管理措施,以指導信息安全等級保護建設,完成北京工業大學安全保障系統的整體規劃、實施方案、經費預算和預期的目標。

        2、協助完善制定學校的信息安全規章制度、規范等建議書。

         

        等級保護

        安全保障

        體系設計

        對北京工業大學綜合信息支撐平臺(包括統一身份認證、統一門戶平臺和公共數據庫平臺)、校主頁、網站群平臺、一卡通等主要校級應用系統進行等級保護服務。具體需求如下:

        1)等保定級:協助學校對信息系統進行劃分,確定等級,完成或完善保護等級備案工作,2013年完成一卡通系統、綜合信息支撐平臺等級保護工作。

        2)等保評估:對上述系統進行全面評估,根據評估結果和確定的保護等級,結合信息系統安全等級保護基本要求中對各級別信息系統的技術和管理要求,協助學校調整相應的安全保護措施,等保管理整改:根據等級保護基本管理要求,結合學校實際需求,協助學校建設相應的組織體系、策略體系、運行體系,從全面提升用戶安全管理的層次和能力。

        3)制定詳細的等級保護技術整改方案;

        4)協助學校完成等級保護測評材料,在測評過程中提供技術支持服務。

         
         
         

         

         安全服務項目方案設計

        根據實施工作的具體內容不同,我們設計了不同的服務方案,并針對不同的方案進行逐一說明:

         風險評估

         評估內容

              本次項目的風險評估的主要對象對現有網絡結構、網絡設備、防火墻等硬件及30于臺業務服務器操作系統、數據庫、網絡機房物理安全的基礎評估工作。

               評估結果分析

           根據評估結果得到的相關信息網絡或服務器上需要哪些安全風險問題進行關聯分析。首先,根據現有的網絡結構、網絡設備漏洞、操作系統漏洞、數據庫安全等安全問題,結合使用中的已存在安全風險的安全點上進行有效的風險控制,通過網絡結構的調整、防火墻的策略調整等方式給出最佳評估解決方案,以及如何避免以后系統添加新功能、新業務的時候改動時需要遵循的安全建議。

             交付成果

        提交關于北京工業大學信息化建設安全管理的規章制度、規范等建議書在本項目中,應急預案內容將包含制定相應應急響應組織、預防預警機制、事件定義分類、應急響應程序、事件上報處理機制、后期處理機制等內容。具體將分為不同預案。

        主機安全檢查

                    北京工業大學主機安全檢查是對現有30于臺業務服務器系統進行的安全審計檢查,并對結果進行分析,包括Windows、Unix、類Linux等操作系統檢查策略配置等安全項。檢查操作系統、常用中間件、常用數據庫各配置項的設置是否安全。

             日志分析對操作系統、常用中間件、常用數據庫的日志進行初步分析,判斷系統是否存在異常,根據判定情況,及時發現最新漏洞隱患及入侵痕跡,可以向信息中心申請開展進一步的主機安全檢查和應急相應,確保各類主機系統日常安全穩定的運行。

             補丁檢查升級更新是否及時。對操作系統、常用中間件、常用數據庫的升級更新情況進行確認,確認是否存在沒有更新補丁和沒有升級版本的情況,并確認已更新補丁和升級版本是否存在空窗期過長的現象。

             進程檢查:判定可疑程序。對應用系統是否存在可疑可執行程序,包括后門、木馬文件、病毒等。根據判定情況,可以向信息中心申請開展進一步的主機安全檢查和應急相應。

            實施過程中將根據系統保護對象價值的不同,分別進行常規安全檢查與高級安全檢查,分析服務器系統深層次的、更加隱蔽性的安全漏洞、系統配置不當、隱蔽型木馬后門等。

            操作系統安全檢查

                Linux安全檢查

                                版本及補。版本是否為存在安全隱患的版本,內核是否存在脆弱性;系統中是否存在安全漏洞,是否安裝必要的安全補;

                      搜索路徑:是否存在過大權限而存在隱患;

                      口令安全:檢查是否存在未設置口令的帳戶、口令強度是否符合安全標準;

                      進程檢查:主要檢查自啟動項及已啟動的進程是否存在可以進程;

                      訪問安全:包括banner信息、遠程登錄SSH、Telnet、FTP、ICMP等方式是否設置了安全的配置,包括連接信息、用戶、權限、訪問限制等;

                      文件安全:默認重要文件安全屬性是否配置正確、全局可寫的文件或目錄等;

                      日志審計:是否開啟了日志審計,審計數據是否全面且可使用,系統是否增加FTP、inetd日志并審計日志內容、是否存在安全攻擊或威脅記錄等;

                      系統服務:被評估的主機中是否系統采用默認值等;Openssh、Tcp_Wrapper系統是否安裝openssh替代telnet和做相關的訪問控制;

                      賬號、角色和設置:系統是否存在許多無關的帳戶例如guest、lp等;重要用戶的權限是否配置正確,避免出現權限過大;

                      網絡參數:是否設定了必要的網路參數,主要包括網絡服務、Tcp/ip協議棧等安全檢查,應對基于IP協議棧的攻擊,例如:SYN FLOOD攻擊、ip欺騙、ip spoofing攻擊等,AIX采用默認值。

         

                     Windows安全檢查

         

                      防病毒、防火墻:是否安裝防病毒軟件,所有主機防病毒軟件的特征碼和檢查引擎是否保持更新到最新;是否安裝第三方防火墻;或者開啟Windows本身FW;

                      進程檢查:主要檢查自啟動項及已啟動的進程是否存在可以進程;

                      注冊表安全設置:大多數主機的的注冊表默認配置是否已經修改,例如:允許光盤自動運行;允許自動運行程序調試程序;允許藍屏后自動重啟系統;少數TCP/IP協議棧的安全加固沒有做,如TCPMaxHalfOpen;在檢查主機注冊表配置的基礎上,檢查該主機時候有被入侵,木馬植入等危險行為的痕跡;

                       賬號、角色和口令設置:是否設置安全的密碼策略;是否有必要的審核配置,利于系統的排錯和安全事件處理;

                      不必要的服務:是否開啟不必要的服務,例如 Alerter、Messenger、telnet等服務;

                      文件系統:是否使用了較安全的NTFS 文件系統格式;

                      重要文件權限:是否對重要文件權限進行安全設置例如:cmd.exe、tftp.exe、netstat.exe、regedit.exe、format.com等;

                      屏幕保護:是否設置屏幕保護;關鍵按鍵詢問操作等;

                      無關的組件、軟件:被評估的WINDOWS主機是否存在服務器無關的組件例子如:game、多媒體;

                      日志審計:系統是否設置相關的安全日志審計、日志大小空間分配、日志的具體內容,包括是否存在入侵行為,同時記錄正常使用中的誤操作以及惡意操作等;

                      默認共享:被評估的主機是否關閉系統默認共享(包括C、D、E、F等盤符);是否存在隱藏共享;

                      補丁審計:首先,檢查補丁是否為最新狀態,比對當前系統安裝補丁時間與微軟發布時間的差距,通過統計最新的補丁發布時間和被測主機實際更新的時間的時間差,查找在及時更新補丁之前可能發生的、利用該未修復漏洞發起的攻擊和安全威脅;

         

                      數據庫安全檢查

         

                      版本及補。版本是否為存在安全隱患的版本,內核是否存在脆弱性;系統中是否存在安全漏洞,是否安裝必要的安全補;

                      賬號、角色和口令設置:是否設置安全的密碼策略;是否有必要的審核配置,避免出現空口令,利于系統的排錯和安全事件處理;

            權限最小化:帳戶及角色權限最小化,操作權限的配置是否合理;

                      日志審計:系統是否設置相關的安全日志審計、日志大小空間分配、日志的具體內容,包括是否存在入侵行為,同時記錄正常使用中的誤操作以及惡意操作等;

                      通信協議:是否設定了必要的網路參數,主要包括網絡服務、Tcp/ip協議棧等安全檢查,應對避免IP協議棧的攻擊;使用加密通訊協議,避免信息劫持;

                      存儲過程:刪除不必要的存儲過程;

         

                      中間件安全檢查

         

                      版本及補。版本是否為存在安全隱患的版本,內核是否存在脆弱性;系統中是否存在安全漏洞,是否安裝必要的安全補;

                      賬號、角色和口令設置:是否設置安全的密碼策略;是否有必要的審核配置,避免出現空口令,利于系統的排錯和安全事件處理;

                      權限最小化:帳戶及角色權限最小化,操作權限的配置是否合理;

                     日志審計:系統是否設置相關的安全日志審計、日志大小空間分配、日志的具體內容,包括是否存在入侵行為,同時記錄正常使用中的誤操作以及惡意操作等;

                              通信協議:是否設定了必要的網路參數,主要包括網絡服務、Tcp/ip協議棧等安全檢查,應對避免IP協議棧的攻擊;使用加密通訊協議,避免信息劫持;WEB服務使用SSL加密通訊協議、FTPtelnet使用SSH協議等;

                     存儲過程:刪除不必要的存儲過程;

                     默認端口:變更默認應用端口,避免被工具或病毒進行批量掃描攻擊;

                    登錄時長:設置登錄時長,避免出現DDOS及帳戶盜用現象;

                    錯誤重定向:WEB默認錯誤頁面重定向,避免被工具或病毒進行批量掃描攻擊;

         

        版權所有:北京金鉆芯科技有限公司 2007-2027 保留一切權利 京ICP備19056231號-1    網站制作海大科技
        赢彩