编者按:一个企业,倘若没有口号的话,似乎就不能生存。“安全生产”便是口号中的经典。时过境迁,它的含义也有了很大变化:人身安全、财产安全还不够,网络也要安全。下文详细阐述了企业网络安全的规划与实施策略,值得CIO一读。
建立安全项目指导思想
企业在进行安全项目的规划前,应该结合企业现有的网络、应用系统及人员配置等情况。从整体考虑,从实际的需要入手,技术上不超前,按需布置,分步实施。
1.首先对企业现有资源进行评估和分析以确认企业的安全需求,做到有理有据,杜绝拍脑袋的想法和市场宣传的干扰。
2. 在明确企业的需求后,根据安全需要的轻重进行筛选,解决80%以上的安全问题,而不求100%的安全。
3. 进行相关安全产品的选型,包括技术交流、现场演示以及案例咨询。
4. 根据安全需求确定技术方案。
5. 安全项目实施。
6. 项目总结,重新进行企业的整体安全评估。定义企业的安全基线,定期进行安全评估。
项目的实施与组织
各方共同组建项目组2
集成商:任命相关人员组成项目组核心开展工作,并将公司的任命通知、项目组的核心人员名单及其分工,及时传真给客户方工程负责人。
客户:确定客户方项目组负责人员和分工,并向集成商提供名录。
注意:企业在信息安全系统方面的专业人员本身比较薄弱,因此在布置自身人员的时候,应以配合熟悉企业应用和网络技术背景技术型的人员为主,信息管理部主管或网络部主管协调相关人员为辅。
第一次工程协调会
为双方开展工作提供指导性文件。
集成商: 提供工作计划、技术方案、测试方案纲要、培训计划、双方协调方式、联络人等资料。
客户:提供配套工程进展报告,共同审定技术方案和实施计划确认工作安排。
注意:双方应以会议纪要方式认可会议中双方达成的协议和工作安排,就项目中双方的工作计划、技术方案、测试方案纲要、培训计划、双方协调方式、联络人等达成协议。会议纪要本身作为项目文档的一部分需要双方项目负责人签字盖章。
第一次工程协调会对于整个的项目非常的关键,企业应该从技术和应用两方面入手,重视技术人员和一线操作人员的建议。
工程前期准备
集成商: 制订、落实项目计划、设计与审核安全集成的技术实施方案,明确项目人员工作量及分工、跟踪落实机房现场条件是否具备,及时处理突发情况、制定项目的现场实施计划。
客户:配合集成商对企业应用环境和网络环境的了解。
注意:工程前期准备应该以第一次会议纪要为指导原则,若有不符合会议纪要的改变,需要双方项目组成员以文本的方式协商解决。
设备到货与运输
集成商:完成设备进货和清点工作,提供设备清单和设备到货验收报告。
客户: 完成设备的清点入库工作。
注意:企业在清点集成商设备的时候,应根据集成商提供的设备清单进行验收,验收报告需要双方签字盖章认可。并配合本企业的保管人员进行设备的入库。若有设备缺少,应书面汇报双方项目组负责人处理。
系统集中联调
集成商:在现场安装前,测试安全产品在网络平台上的互通性和功能实现情况.模拟环境的建立;安全软件系统安装;安全硬件系统配置测试;安装和配置文档提交。
客户:协助集成商进行系统的测试和联调,尽可能提供实际环境。
注意:系统集中联调是集成商实力表现的展示平台。联调不应该只是集成商的事情,企业项目组的技术人员可以通过技术联调,对整个安全系统有一个初步的了解,并借此了解集成商项目组技术人员的水平。
施工前工程协调会
集成商:针对工程现场实施的有关事项与客户交流和协商,提交现场实施计划,单点测试方案。
客户:与集成商协调工程实施过程,根据自身情况对测试方案提出建议。
注意:双方应就现场施工中必须的单点测试方案进行讨论,确认测试方案并签字。测试方案应与企业的实际安全需求相符合,不要求大而全,但是一定要按用户的需求解决实际问题。
现场安装调测
集成商:现场安装调试,并进行单点测试工作;与节点系统管理员进行现场技术交流及培训;用户对现场施工情况的确认(书面)。
客户:参与施工全过程,完善施工条件,监督施工进程;节点人员应积极配合,协助完成单点测试工作;参与部分系统的施工工作。
注意:现场安装调试是整个项目中最关键的一环,企业的技术人员应做到不耻下问,集成商的技术人员应做到有问必答,并积极培训企业方的技术人员。如果有条件,可以对企业技术人员和操作人员进行集中的培训和单独上机操作考核,这样才能避免因为使用不当而带来的安全问题。
项目测试与验收
在单点测试的基础上,依据事先已认可的测试方案对安全项目进行功能测试;测试结果经协议各方确认,形成测试结果报告。测试工作原则上按测试方案顺序进行,但也可根据实际准备情况作相应调整。
集中测试在协议各方认为测试条件已经具备后进行,测试内容按事先双方认可的集中测试方案进行,由各方工程师共同参加。测试结果写入验收测试报告,经协议各方工程负责人签字确认。客户方应配合完善测试条件,参与测试工作,共同确认测试报告。
集成商应与客户协商制定验收计划(包括验收日期、形式和参与人员),组织或配合客户方工程负责人组织工程验收。并配合客户签署验收报告和备忘录,向客户提交系统/设备口令、《系统管理员手册》和《售后服务手册》,双方共同确认系统正式进入运行。
注意:在项目验收后,客户的技术人员需要更改所有项目涉及的安全设备口令账号,取消为了配合集成商测试的临时账号。
对项目涉及的安全设备专人管理,网线、网络端口进行编号归类。
系统运行支持与安全紧急响应
集成商:负责处理解决故障,为系统运行提供技术支持。定期随访客户,检查并询问安全系统运行情况及存在的问题,以便随时发现并解决问题。同时定期提供客户报告,像客户报告对系统的支持情况以及新的安全漏洞信息,加强与客户间的沟通。建立一整套客户支持档案,以利于有针对性地进行技术支持。
客户:及时记录和报告系统故障,并配合解决系统故障。
注意:企业技术人员应根据集成商提供的FAQ(常见问题解答),参考自身应用系统的情况建立本企业的FAQ文档。集成商各安全设备的技术联系人的电话、手机、邮件地址与安全设备做到如影随形。对于企业的关键系统的紧急响应,做到即使不能够马上解决问题也能在屏蔽安全设备的情况下恢复系统的运行。
项目总结
依据工程项目评审标准,集成商应从工程进度、质量、成本、技术、管理以及客户满意度等多方面,对项目进行考核与评审。并同时向用户提交相应工程总结报告。
