项目概述
本项目是农业银行计算机安全工程设计项目,要求参照国际标准、国家标准和企业标准,依据国家法律、法规,在充分研究农业银行计算机系统和安全问题的基础上,研究农业银行计算机安全总体需求和各项具体需求,研究提出中国农业银行计算机整体安全策略,确定按相关安全等级保护所有安全防护对象,研究设计安全组织、安全治理和安全技术体系解决方案。
在项目中,通过对农行33家省级分行全部进行普查,并对其中4家分行进行抽样调查,提炼出农行的计算机信息资产保护对象框架;以该框架为基础,通过风险分析,获得农行的计算机信息资产安全需求框架,并在试点行进行风险评估,对风险分析的结果进行检验;根据安全需求框架,分析大量可行的安全控制并选择最佳实施,形成安全对策框架;最后用文档的形式,将安全对策框架转化为本项目的成果,农行计算机安全策略体系和技术解决方案规划。
方案简要描述
在本项目中,了解农行的信息系统现状以及安全现状是要害之一,为了保证既能体现调查的全面性,又能体现调查的深度,采取了普查和调查相结合的方式,对33家省级分行进行信息资产普查,并对其中四家分行进行调查。与调查相比,普查更侧重与了解各家分行的差异情况。
资产调查主要包括拓扑图、资产清单和调研问题三种形式。资产调查阶段的主要成果是农行计算机系统保护对象框架。
在农行计算机系统保护对象框架基础上,进行风险分析。在风险分析中,对弱点严重程度,威胁可能性以及影响的严重性等进行量化分析,结合现有安全控制,获得农行计算机系统的安全风险现状,并最终得出安全需求框架。在风险分析阶段,还实施了风险评估,对安全风险现状进行验证。
根据安全需求框架,选择安全控制,形成安全对策框架。每一条安全对策均包括相应的策略、组织、技术和运作四个要素。
项目的最后阶段是将安全对策框架以文档的形式表现,将框架提炼为相应的策略体系、组织体系、技术体系和运作体系,这四个体系的文档形式分为为农行计算机安全策略制度、农行计算机安全组织及其职责、农行计算机安全技术解决方案和规划、农行计算机安全操作规范。
售后阶段
售后阶段的内容主要包括:
体系推广
维持体系运行
内部审计支持
项目主要特色
企业等级化标准的制订
考虑到农行各分行的计算机应用水平不完全相同,我们在进行安全体系设计时,采取了等级化的设计方法,制订出不同等级的安全体系,以便农行不同分行分别参照。
对敏感信息的保护
在项目过程中,很多环节涉及到农行的敏感信息,不宜泄漏给项目组成员,在这些环节,由农行实施,我们仅提供方法论,并给予必要的支持,通过这种模式,避免将农行的敏感信息泄漏给项目组。
符合国际国内标准
BS7799/ISO17799
ISO15408/CC
IATF
加拿大信息技术安全手册
GB 1785
辽宁省地方税务局安全解决方案
1、项目概述
辽宁地税网络安全系统是覆盖全省14个地市、129个县区局,约10,000多个信息点、883台服务器(HP小型机、Solaris、SCO、DEC、Linux、Windows NT/2000)的地税整体网络安全系统的建设项目,涉及到辽宁地税的公文流转、电子报税、网上报税等业务系统。
部署的技术和产品有防火墙(152台)、入侵检测(15台)、防病毒系统(网关、邮件、服务器、客户端)、漏洞扫描和评估以及相关的安全策略和集中治理技术,并建立了辽宁地税局的防火墙、防病毒安全治理制度以及相应安全策略。
2、方案简要描述
安全域划分
辽宁地税的广域网分为省局、地市局、县(区)局和税务所四级结构,另外还有各级地区政务网、社保网的接入,属于一个大型的网络。根据ISO 17799关于网络安全区域控制,这种大型的网络扩展增加了对使用网络的信息系统的未授权访问的风险,其中有一些网络由于本身的敏感性或重要性,需要对来自其他网络用户的保护。在这种情况下,应考虑在网络边界和内部引入控制措施,来隔离信息服务组、用户和信息系统。
按照域划分和访问控制的原则,共把辽宁地税划分为四级安全域,并制定治理和域之间的访问控制策略。
体系和集成性
辽宁地税网络安全系统建设是一个体系的建设,而不是单纯的产品累积。因此各系统间的无缝集成非常重要,并要体现集成后系统运行和维护的方便性和可治理性。
辽宁地税的安全体系的分系统建设可以分为三个系统和一个安全治理中心的建设。简要情况请见下图:
项目治理与系统可实施性
招标技术方案在实施时的可实现性在安全集成项目中异常重要。同样对项目进行科学有效的项目治理也是保证项目成功、保护用户投资的必要手段。
联想安全集成项目治理方法糅合了PMI的项目治理体系和SSE-CMM系统安全工程成熟度模型,强调分布于整个安全工程生命周期中各个环节的安全工程活动,包括概念定义、需求分析、设计、开发、集成、安装、运行、维护及更新项目,并不断改进安全工程实施的现状,达到提高安全系统、安全产品和安全工程服务的质量和可用性并降低成本的目的。
联想把整个安全项目的实施看作是一个完整的过程,通过这个完整的过程应该能够输出一个完整的结果,并通过这个可预期的安全结果使得联想与客户对于安全集成系统的可信性有一个共同的理解,并在此基础上建立客户的安全信心和安全保证。
在辽宁地税的项目实施过程中,把整个项目分为资源配置与环境调查、确定实施计划与项目启动会、系统部署和试运行、演示和验收以及知识传递等五个阶段和过程,并在各个过程中运用相关质量、风险和进度控制措施,保障项目的成功实施。
安全集成技术服务
服务是安全集成项目中非常重要的一环,尤其是对于大型的安全项目,服务更是保证项目成功以及后期维护运行的保障。联想在辽宁地税项目中提供的安全集成服务有:
集成方案设计服务
专业项目治理服务
安全集成实施服务
安全运营维护服务
-培训服务
-现场技术服务
-7x24小时电话支持服务
-病毒防护服务
-应急响应服务
-用户专用档案服务
-安全事件通知和预警服务
-定期回访服务
-保修和专用备件服务
-产品升级维护服务
