"景先生毕设|www.jxszl.com

人寿保险公司安全性等级保护检查方案的设计与实现

2021-02-26 16:56编辑: www.jxszl.com景先生毕设
2017年03月14日摘要:在如今这个信息技术飞速发展的今天,人们越发的不能离开网络和信息系统,如果信息系统被入侵,被破坏。小则是公民利益受损,大则是国家安全受到了威胁。面对这种严峻的问题,信息系统安全逐渐被人们说关注。而安全性等级测评就是人们对信息系统安全重视的产物,是对信息系统进行分等级保护,是中国信息安全的里程碑。摘要: 2
目 录
一、引言 1
二、测评项目概述 2
(一)测评检查工作组织 2
(二)测评方法 3
(三)测评对象 3
三、测评系统情况 5
(一)信息系统结构 5
(二)信息系统构成 5
(三)单位整体分析 8
四、安全测试 10
(一)主机风险等级列表(如图11): 10
(二)漏洞信息(如图12): 10
(三)高危漏洞分析: 11
五、安全威胁分析 12
六、整改方案 16
1.物理安全 16
2.网络安全 16
3.主机安全 16
4.应用安全 18
5.数据安全与备份恢复 18
6.安全管理制度 18
七、总结 19
八、致谢 20
九、参考文献 21
一、引言
在当今信息技术的快速发展中,我们越来越多的信息泄露,导致了我们生活受到了的干扰。而保险行业就好比一家非常大的公民信息收集站,对公民的身份、住在、通讯方式和财产状况进行了收集。如果一旦保险公司发生信息泄露的事件,将会造成身份巨大的安全隐患,大量的公民信息的泄露,导致公民可能面对垃圾信息骚扰、诈骗电话和个人账户前失踪等问题。所以对保险公的信息系统安全的保护就变得尤为的重要。
二、测评项目概述
为了保证信息系统的安全稳定运行,人寿保险有限责任公司对核心业务系统进行了信息安全等级保护评估。希望通过在安全技术和安全管理的评价指标体系,发现目标系统的安全技术和安全管理和信息系统的差距分析相应的安全等级保护要求,识别风险。
人寿保险公司的评估将根据信息安全保护的要求,根据评估
 

 *51今日免费论文网|www.jxszl.com +Q: ¥351916072¥ 
结果,结合单位实际情况作出优先排序,安全改革项目,通过安全整改,提高安全信息系统的整体水平。
(一)测评检查工作组织
此次测评本信息系统测评中心有限公司共投入测评人员3人,检查了1个机房、2台网络设备、1台安全设备、2台服务器、1个应用系统,调阅各类管理文档18份,进行了5多人次访谈。
公司成立了负责进行安全评估工作的项目安全小组,凌工安全团队担任团队负责人,负责项目实施总体规划,安排,协调和沟通工作; 工作组1名系统工程师凡立辉,负责具体的信息系统资料的收集、物理机房查看、安全配置检查等工作
具体如下表:
表211
安全测评小组成员
姓名
职务
负责工作
联系方式
凌工
项目经理
现场组织、协调,管理评估
N/A
凡立辉
系统工程师
物理、网络安全评估、主机评估、应用评估
N/A
人寿保险公司项目组成员
姓名
岗位角色
负责工作
联系方式
周先生
网络管理员
网络管理
N/A
孙先生
系统管理员
系统管理
N/A
(二)测评方法
1.本次安全测评分为五个阶段:
准备阶段
信息安全评估是实施安全评估的先决条件。 为了确保安全评估过程的可控性和安全评价结果的客观性,信息安全评估应充分准备和规划;组建安全测评小组、指定现场实施计划和双方签订保密协议。
资产统计
资产识别是安全测评中最先进行的一步,安全测评的现场工作主要是收集资产信息;
安全性测试
安全性测试分为,渗透测试和系统漏洞扫描,对被测评的信息系统进行脆弱性分析, 发现信息系统安全薄弱的地方, 最主要的目的就是为看看被测评的信息系统是否存在潜在的安全隐患,是否可以抵挡黑客的攻击手段(如DDOS、sql注入等网络黑客攻击手段)
单位整体分析
对信息系统设备所在的机房环境、网络全局、主机配置、应用系统功能和安全管理制度五个方面,由检查人员按照对着五个方面的检查结果各进行一次整体的评估描述;
安全威胁分析
对信息系统中所存在的安全问题进行进行收集,安全测评人员通过科学的方法与工具确定安全问题导致安全事件发生的可能性,综合安全事件的资产价值和安全问题的严重性,确定安全隐患。
制定整改方案
根据安全风险的严重性和整改难易度,制定合理的风险处置计划。
(三)测评对象
测评对象种类主要考虑以下几个方面:
1.主机房(包括其环境、设备和设施等),如果在整个信息系统中担当重要角色的设备或者设施,信息系统的安全性被放置在辅助室中,也可以作为评估对象;
2.存储被测系统重要数据的介质的存放环境;
3.整个系统的网络拓扑结构;
4.安全设备,包括防火墙、入侵检测设备、防病毒网关等;
5.边界网络设备(可能包含安全设备),包括路由器、防火墙、负载均衡和入侵检测等;
6.对于整个信息系统或网络的设备对本地安全性起决定作用,如核心交换机,汇聚层交换机,核心路由器等;
7.承载被测系统的核心或重要业务和数据的服务器(包括其操作系统和数据库);
8.重要管理终端;
9.能够代表被测系统主要使命的业务应用系统;
10.信息安全主管人员、各方面的负责人员;
11.与信息系统安全有关的所有管理系统和记录。 在信息系统评估中,信息系统安全配置设备,同一边界网络设备,网络互联设备,服务器,终端和备份设备,每类应至少检查两台作为评估对象。
三、测评系统情况

原文链接:http://www.jxszl.com/jsj/wljs/48675.html
最新推荐
热门阅读
随机阅读

相关阅读
点击排行
更多推荐....