信息安全防護(hù)方案初稿

1、編號(hào):密級(jí)信息安全防護(hù)方案一期實(shí)施計(jì)劃書xxx有限公司二。一六年十一月1.概要項(xiàng)目名稱：計(jì)劃日期：客戶方項(xiàng)目負(fù)責(zé)人軟件實(shí)施人員：實(shí)施規(guī)劃書重要說明:1,本實(shí)施規(guī)劃書編制的目的是為接下來的南京交通廳信息安全防護(hù)項(xiàng)目實(shí)施培訓(xùn)工作提供指導(dǎo)性的文件，以便使該項(xiàng)目的實(shí)施工作更有計(jì)劃性與條理性；2.實(shí)施日程的具體計(jì)劃，xxx有限公司將在軟件購(gòu)銷及服務(wù)協(xié)議簽署之后做詳細(xì)調(diào)研（不超過3個(gè)工作日）后提供，經(jīng)雙方負(fù)責(zé)人同意確認(rèn)之后，嚴(yán)格執(zhí)行；xxx有限公司不允許由于軟件公司實(shí)施工程師工作延誤的原因?qū)е聦?shí)際項(xiàng)目實(shí)施結(jié)案時(shí)間超過本實(shí)施規(guī)劃十個(gè)工作日。過此期限，導(dǎo)致實(shí)施結(jié)案延誤，其責(zé)任歸軟件公司自行承擔(dān)；xxx有限公司

2、必須就此南京交通廳信息安全防護(hù)實(shí)際實(shí)施完畢并得到客戶方確認(rèn)方可結(jié)案；3,本實(shí)施規(guī)劃書是一份對(duì)雙方均有約束力的一份文件，對(duì)雙方的工作內(nèi)容有明確的規(guī)定，請(qǐng)?jiān)敿?xì)閱讀，各步驟完成之后需相關(guān)人員簽字確認(rèn)，將作為項(xiàng)目結(jié)案文檔重要文件，作為實(shí)施進(jìn)度及工作評(píng)估的最重要依據(jù)，并成為xxx有限公司南京交通廳信息安全防護(hù)項(xiàng)目實(shí)施結(jié)案及收取合同相關(guān)協(xié)議款項(xiàng)的依據(jù)。2 .問題闡述2.1 數(shù)據(jù)安全通常，機(jī)構(gòu)的用戶數(shù)據(jù)都存儲(chǔ)在數(shù)據(jù)庫(kù)中。而信息泄露的主要途徑是對(duì)數(shù)據(jù)庫(kù)以及運(yùn)行數(shù)據(jù)庫(kù)的各類訪問行為。隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的數(shù)據(jù)泄露問題變得日益突出起來。機(jī)構(gòu)在發(fā)展的過程中，

3、因?yàn)閼?zhàn)略定位和人力等諸多原因，越來越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地規(guī)范設(shè)備廠商和代維人員的操作行為，是各類機(jī)構(gòu)面臨的一個(gè)關(guān)鍵問題。2.2 日志管理1、數(shù)據(jù)庫(kù)重要數(shù)據(jù)增刪改操作2、應(yīng)用系統(tǒng)操作2.3 服務(wù)器異地備份1、服務(wù)器異常2、網(wǎng)絡(luò)節(jié)點(diǎn)異常3 .解決方案3.1 數(shù)據(jù)安全通常業(yè)內(nèi)對(duì)信息安全防護(hù)的思路有兩個(gè)：一、控制；二、審計(jì)；1）控制通常采用的是安全邊界、身份認(rèn)證、訪問控制、攻擊防護(hù)等技術(shù)手段?？刂萍夹g(shù)應(yīng)用于產(chǎn)品，產(chǎn)生了防火墻、防病毒、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品。這些產(chǎn)品雖可以解決一部分安全問題，但對(duì)于違規(guī)操作數(shù)據(jù)庫(kù)等行為卻無能為力。2）審計(jì)通常采用的是記錄、分析等

4、技術(shù)。側(cè)重于事后追溯。通過對(duì)事件的追根溯源，完善業(yè)務(wù)流程與機(jī)制，最終形成安全的閉環(huán)管理。針對(duì)數(shù)據(jù)庫(kù)的安全防護(hù),審計(jì)技術(shù)成為最佳實(shí)踐。針對(duì)數(shù)據(jù)庫(kù)審計(jì)的技術(shù)分具體分為以下三類：1、數(shù)據(jù)庫(kù)自身審計(jì)多數(shù)的商用數(shù)據(jù)庫(kù)都提供自身審計(jì)功能，但是在實(shí)際應(yīng)用中，開啟此功能的實(shí)際案例較少。主要原因?yàn)椋?）審計(jì)結(jié)果不直觀，讀懂日志需要資深技術(shù)人員的支持。2）難以集中管理，用戶通常應(yīng)用了多個(gè)數(shù)據(jù)庫(kù)的后，需要分別登錄到各數(shù)據(jù)庫(kù)中進(jìn)行查看。3）更為關(guān)鍵的原因是，自身審計(jì)并非第三方審計(jì)。能提供對(duì)操作審計(jì)結(jié)果的人，往往是操作人員自己。審計(jì)結(jié)論不夠權(quán)威。2、安裝監(jiān)控軟件此種技術(shù)是在數(shù)據(jù)庫(kù)服務(wù)器上安裝監(jiān)控軟件，并且將審計(jì)日志進(jìn)行

5、統(tǒng)一管理。該技術(shù)雖屬第三方的審計(jì)技術(shù)，在實(shí)際環(huán)境中仍較少。主要原因?yàn)椋喊惭b軟件之后會(huì)占用數(shù)據(jù)庫(kù)服務(wù)器的計(jì)算資源，導(dǎo)致數(shù)據(jù)庫(kù)性能下降。再者，其軟件的兼容性是產(chǎn)品是否成功較為關(guān)鍵的因素。軟件需要與多種數(shù)據(jù)庫(kù)、多種服務(wù)器應(yīng)用軟件、多種操作系統(tǒng)的各種版本兼容，需要進(jìn)行海量的研發(fā)與測(cè)試工作。稍有不慎，會(huì)對(duì)數(shù)據(jù)庫(kù)的運(yùn)行造成嚴(yán)重影響。3.網(wǎng)絡(luò)監(jiān)聽技術(shù)這類技術(shù)通常采用部署網(wǎng)絡(luò)偵聽設(shè)備的方式，收集網(wǎng)絡(luò)中傳輸?shù)脑L問數(shù)據(jù)進(jìn)行分析并存儲(chǔ)。此種技術(shù)在實(shí)際應(yīng)用中被較多采用。其主要原因在于：1）此種技術(shù)屬于第三方的審計(jì)技術(shù)，審計(jì)結(jié)果可信賴；2）設(shè)備的部署對(duì)原有網(wǎng)絡(luò)、應(yīng)用無影響3）設(shè)備所偵聽到的信息較為完整，除了針對(duì)數(shù)據(jù)庫(kù)的

6、訪問之外，還可偵聽到訪問服務(wù)器操作系統(tǒng)的操作行為。該技術(shù)能使用戶更全面的了解到網(wǎng)絡(luò)中的業(yè)務(wù)狀態(tài)。神州信源采用。（未知）3.2 日志管理開發(fā)日志管理應(yīng)用系統(tǒng)，實(shí)現(xiàn)用戶操作可視化，數(shù)據(jù)修改可視化。實(shí)現(xiàn)以下目標(biāo):1、日志集中管理。2、日志管理查詢分析平臺(tái)。3、日志異常報(bào)警。4、日志安全機(jī)構(gòu)：1）.遠(yuǎn)程備份。2）.日志鎖（日志信息不允許修改）3.3 服務(wù)器異地備份3.4 務(wù)器備份（將應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)服務(wù)器分開利于維護(hù)與資源合理利用）1）應(yīng)用系統(tǒng)服務(wù)器保持應(yīng)用系統(tǒng)與常用服務(wù)器應(yīng)用系統(tǒng)一致，定期維護(hù)檢查狀態(tài)，防止異常終止導(dǎo)致切換服務(wù)器時(shí)出現(xiàn)無法連接現(xiàn)象。2）數(shù)據(jù)庫(kù)服務(wù)器按天備份數(shù)據(jù)（根據(jù)客戶要求），常用服

7、務(wù)器數(shù)據(jù)結(jié)構(gòu)如果有所變化應(yīng)及時(shí)更改備用服務(wù)器數(shù)據(jù)庫(kù)信息，定期維護(hù)檢查狀態(tài)。2、異常應(yīng)對(duì)措施1）服務(wù)器問題（1.服務(wù)器損壞2.服務(wù)器異常終止無法連接）。2）網(wǎng)絡(luò)節(jié)點(diǎn)（1.斷網(wǎng)、斷電）。當(dāng)出現(xiàn)以上問題時(shí)及時(shí)切換備用服務(wù)器，保證用戶訪問應(yīng)用系統(tǒng)。4,實(shí)施規(guī)劃總體流程圖5.實(shí)施控制要點(diǎn)簡(jiǎn)述5.1 實(shí)施步驟實(shí)施南京交通廳信息安全防護(hù)項(xiàng)目需要經(jīng)過的大致步驟：1、項(xiàng)目調(diào)研，需求分析，目標(biāo)確定；2、實(shí)施小組成立；3、數(shù)據(jù)庫(kù)分析4、項(xiàng)目定制5、軟件安裝；6、軟件系統(tǒng)初始化資料及參數(shù)設(shè)置；7、系統(tǒng)各方位培訓(xùn)；8、數(shù)據(jù)準(zhǔn)備，包括商品資料、客戶資料、會(huì)計(jì)資料、庫(kù)存資料等；9、試運(yùn)行；10、系統(tǒng)切換與實(shí)際業(yè)務(wù)對(duì)接；1.

8、2 軟件部署服務(wù)器用WINDOWS2008SERVERcentos6.5+操作系統(tǒng)；1.3 用戶驗(yàn)收測(cè)試南京交通廳信息安全防護(hù)項(xiàng)目的運(yùn)行依賴于數(shù)據(jù)的準(zhǔn)確、及時(shí)和完備。企業(yè)原有的各種管理信息，一般需要經(jīng)過收集、整理、轉(zhuǎn)換才能符合系統(tǒng)運(yùn)行的要求。因此南京交通廳信息安全防護(hù)項(xiàng)目實(shí)施過程需要一個(gè)數(shù)據(jù)準(zhǔn)備階段。數(shù)據(jù)準(zhǔn)備是在充分理解了南京交通廳信息安全防護(hù)項(xiàng)目原理、使用方法和軟件應(yīng)用培訓(xùn)的基礎(chǔ)上進(jìn)行的。只有經(jīng)過培訓(xùn)，理解了南京交通廳信息安全防護(hù)項(xiàng)目，才能正確地理解各項(xiàng)數(shù)據(jù)的定義、概念、作用和要求，減少由于理解錯(cuò)誤造成的返工。1.4 產(chǎn)品培訓(xùn)培訓(xùn)分為兩部分：1,根據(jù)企業(yè)的實(shí)際情況，對(duì)相關(guān)人員、電腦操作員進(jìn)行

9、必要的計(jì)算機(jī)使用培訓(xùn)，如WINDOWS操作等。這部分培訓(xùn)由企業(yè)自行培訓(xùn)。2,南京交通廳信息安全防護(hù)項(xiàng)目的培訓(xùn)一般分為以下幾個(gè)步驟：1）項(xiàng)目基本概念和原理講解、以圖讓企業(yè)員工更好理解項(xiàng)目的協(xié)助關(guān)系；2）項(xiàng)目產(chǎn)品基本操作講解。對(duì)操作人員進(jìn)行南京交通廳信息安全防護(hù)項(xiàng)目的操作使用培訓(xùn)，對(duì)系統(tǒng)維護(hù)操作的培訓(xùn)；3）讓操作人員及系統(tǒng)管理員依照企業(yè)實(shí)際業(yè)務(wù)進(jìn)行全體模擬操作，并對(duì)不理解的概念及不清楚的操作記錄下來；4）對(duì)模擬操作過程中遇到的各種問題進(jìn)行進(jìn)一步的培訓(xùn)。1.5 售后服務(wù)保障為使客戶能夠享受到周到、完美、技術(shù)專業(yè)、形象親和的公司服務(wù)，為客戶享有的服務(wù)提供有力保障，xxx有限公司制定了完美的服務(wù)保障措施

10、，包括服務(wù)質(zhì)量監(jiān)控、服務(wù)報(bào)告制度、客戶滿意度調(diào)查制度、異常情況處理措施，全方位保障客戶享受的服務(wù)質(zhì)量。1,服務(wù)質(zhì)量監(jiān)控xxx有限公司建立了完備的服務(wù)質(zhì)量監(jiān)控體系，加強(qiáng)服務(wù)項(xiàng)目的嚴(yán)格管理，從主動(dòng)監(jiān)控和被動(dòng)監(jiān)控兩方面進(jìn)行服務(wù)質(zhì)量的控制。主動(dòng)監(jiān)控主要是通過定期提供服務(wù)報(bào)告，發(fā)現(xiàn)問題，及時(shí)督促改進(jìn)。被動(dòng)監(jiān)控主要是建立總經(jīng)理投訴專線，并借助成熟的公司級(jí)客戶滿意度調(diào)查體系進(jìn)行監(jiān)控。2 .服務(wù)報(bào)告制度為確保項(xiàng)目工程的服務(wù)質(zhì)量，并讓客戶更清晰的了解服務(wù)實(shí)施情況，公司技術(shù)支持中心將定期提供服務(wù)實(shí)施報(bào)告（具體時(shí)間按雙方協(xié)商確定）。內(nèi)容包括該時(shí)間段的實(shí)施服務(wù)的類型、數(shù)量、解決方案、安全策略建議，使客戶可以全面的了解

11、設(shè)備的運(yùn)行狀況，以便做出正確的決策。3 .客戶滿意度調(diào)查制度xxx有限公司擁有完善的服務(wù)質(zhì)量監(jiān)控體系，每季度均由總裁室直屬的中立部門，采取電話回訪客戶、上門拜訪等方式，對(duì)公司各個(gè)部門的工作質(zhì)量進(jìn)行客戶滿意度調(diào)查。4 .異常情況處理xxx有限公司建立總經(jīng)理投訴專線，按照公司客戶服務(wù)的投訴處理流程準(zhǔn)確及時(shí)的處理客戶的投訴；如果一線服務(wù)機(jī)構(gòu)提供的服務(wù)不能滿足客戶需求，客戶有權(quán)要求調(diào)整。6.具體實(shí)施工作與時(shí)間計(jì)劃表廳p實(shí)施任務(wù)名稱工作天數(shù)與時(shí)間段具體工作內(nèi)容工作交付結(jié)果雙方參與人員1數(shù)據(jù)調(diào)研15天2016年11月23日-12月13日1,明確實(shí)施力工作內(nèi)容。2 .啟動(dòng)整個(gè)信息化項(xiàng)目3 .評(píng)估項(xiàng)目實(shí)施規(guī)劃與風(fēng)險(xiǎn)控制4 .基礎(chǔ)環(huán)境準(zhǔn)備5,現(xiàn)有系統(tǒng)數(shù)據(jù)庫(kù)結(jié)構(gòu)分析2帝求aE制26天2016年12月14日-2017年01月16日1,根據(jù)現(xiàn)有結(jié)構(gòu)建立基本數(shù)據(jù)倉(cāng)庫(kù)2 .系統(tǒng)接口改造3 .界面制3軟件部署5天2017年01月17日-02月23日1 .環(huán)境確認(rèn)2 .審計(jì)系統(tǒng)部署3 .備份系統(tǒng)部署4 .審計(jì)系統(tǒng)配置優(yōu)化5,備份系統(tǒng)配置優(yōu)化4