滨州住房公积金管理信息系统差距分析整改建议方案.DOC

PAGE PAGE 2 滨州市住房公积金管理信息系统差距分析整改建议方案 目录 TOC \o 1-3 \h \z \u 24162 1 信息系统现状 1 7027 2 安全需求分析 1 24261 2.1 威胁分析 1 14321 2.1.1 外部攻击 1 19191 2.1.2 内部破坏 2 24176 2.2 政策驱动 2 1492 3基于等保三级的差距分析 4 21484 3.1、内外网网络全局 4 8136 3.2、NGFW4000防火墙 4 20730 3.3、路由器 5 6536 3.4、交换机 5 7200 3.5、服务器 6 28032 3.6、oracle数据库 7 25623 4基于等保三级的安全整改方案设计 9 7578 4.1内网网络全局 9 16622 4.1.1 网络准入设备 9 12360 4.1.2 防火墙 9 15203 4.1.3 日志审计 9 7942 4.1.4 杀毒软件 错误!未定义书签。 29682 4.2外网网络全局 9 2468 4.2.1 日志审计 9 3939 4.2.2 应用交付 9 23826 4.3技术整改 10 31981 4.3.1 规范制度规范 10 20887 4.3.2 专业安全服务 10 2583 5 整改方案预算分析 11 PAGE PAGE 15 信息系统现状 根据住房城乡建设部关于加快建设住房公积金综合服务平台的通知（建金[2016]14号）要求，充分利用“互联网＋”技术，加快建设功能齐全、使用便捷、安全高效的住房公积金综合服务平台的网络安全建设，。 安全需求分析 滨州住房公积金新上综合管理服务系统后，中心购置了部分安全设备对公积金内外网各区域进行了基础安全防护，经过本年度的安全测评发现，中心网络仍然存在安全隐患，急需对中心信息化相关软硬件环境和制度进一步整改完善。 威胁分析 外部攻击 外网区的网上服务厅、门户网站与互联网存在直接相连，面向互联网公开发布信息，因此很容易受到黑客的攻击，针对互联网的常见的攻击行为包括： 主页篡改：攻击者渗透政府网站，利用网络上、系统内的弱点，篡改主页内容，使政府形象蒙受很大损失，并且一些攻击者通过政府网站发布虚假信息，引起社会动荡，因此对于主页篡改应当是比较严重的攻击行为； 拒绝服务攻击：攻击者利用TCP/IP协议上的弱点，发动拒绝服务攻击（利用大量非正常的访问请求，或者发起大量异常的连接请求，消耗网站服务器、网站网络设备的资源，最终使网络站无法响应正常的访问请求，对于正常访问者来讲感觉就象在拒绝服务一样），使正常用户无法访问政务网络，破坏政府形象，严重地影响了正常政务的开展； 网络假冒：攻击者发布虚假的政府网站，使访问者误认为是合法的网站，而进行登录和操作，这种攻击行为往往是为何骗走合法用户的身份及口令（比如一些与个人利益相关的业务处理），从而利用其身份和口令进行进一步破坏，其后果是造成正常用户的权益被破坏，破坏政府形象，造成公民的损失； 黑客渗透：攻击者利用政府网站的弱点（包括操作系统、数据库、服务器硬件、网络设备、安全设备的弱策略等），对网站进行渗透，控制网站，严重的还可能利用网站进一步发起对网络的攻击，造成更严重的破坏。 内部破坏 与外部攻击不同，内网区破坏往往由内部合法人员造成，他们具有对内部系统更多的访问权限，因此内部人员的恶意或无意破坏，对信息系统的安全、可靠运行将造成更大的影响，典型的内部破坏行为包括： 内部恶意破坏：内部人员利用自己的帐号访问网络，对业务系统服务器进行攻击，盗取他人的访问权限，越权访问信息，造成一些敏感性文件的泄露；或者直接删除数据，影响业务系统运行； 内部无意破坏：一些内部人员由于操作不当，错误使用外设设备存储和拷贝文件，造成蠕虫病毒的传播；；没有及时更新病毒库，没有正确配置安全设备的策略；没有正确配置网络路由，造成路由堵塞；错误删除数据，造成一些重要数据丢失；这些行为都将对政府网站造成影响； 管理缺陷：对信息系统缺乏良好的管理，或者是有效的监管手段，没有专业的人员进行安全维护；人员安全意识薄弱，没有能力辨别甚至规避自己的危险举动；缺少制度，发现缺少应急响应的能力和手段，发生安全事件后无法及时有效补救等； 技术缺陷：住房公积金业务平台目前正在建过程中，如果在本阶段没有全面地考虑安全问题，未来将在安全防护技术上存在着极大的缺陷，因缺少专业的安全防护技术将使信息系统运行面临各种安全风险的挑战。 政策驱动 为进一步提高信息安全的保障能力和防护水平，维护国家安全、公共利益和社会稳定，保障和促进信息化建设的健康发展，1994年国务院颁布的《中华人民共和国计算机