北京金钻芯科技北京业大学安全风险评估项目综述.docxVIP

北京工业大学安全风险评估项目综述 北京工业大学项目背景 随着近年来信息技术的高速发展，信息安全风险也日益加大，北京工业大学作为代表性教育机构，面对严峻的信息安全形势，对如何有效的防范网络安全风险高度重视，多年中联合专业的安全服务厂商提供的安全服务来保证系统的稳定运行，构建了一个基本的边界安全防护体系；由于网络安全受关注程度较高，加强推进北京工业大学的安全基础建设和安全管理工作不仅能够解决许多信息安全问题，同时也能成功的规避一定的安全风险。从目前北京工业大学信息化的整体发展和信息安全的整体态势角度观察，北京工业大学信息系统仍然存在一些问题和安全隐患有待解决。 从相关要求和北京工业大学自身业务的需求出发，迫切要将目前的信息安全保障水平进一步提高，需要进一步进行安全组织、安全制度、安全管理和技术方面的安全建设工作，增强系统的可靠性，根据信息安全的动态性特点更深层次引入专业安全服务，结合深度防御体系充分保障北京工业大学整个系统的安全、正常运行。 为切实有效的提高北京工业大学信息中心各系统的稳定运行，持续不断的发现系统安全风险并及时进行纠正。保证甲方网络资源不会被一些别有用心的组织和个人利用或破坏，提升应急保障能力，提升北京工业大学信息中心相关人员信息安全技术水平以及应急响应速度，特提出《北京工业大学应用系统安全建设方案》。 项目分析 紧随相关部门下发的“关于深入开展教育行业网络与信息化系统安全检查工作的通知”的要求，北京工业大学将全面对学校信息化建设的网络架构、服务器系统、存储系统、业务信息化管理系统、数据库系统以及公共服务系统等进行科学的检查、漏洞分析，并进行风险评估和处置，使信息系统风险程度处于可控可接受之内。 根据现有30多个业务系统信息化的安全程度和系统服务等级的不同，制定并落实符合《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范的安全管理制度。设计符合学校信息化建设的信息安全保障体系，选择适合的信息安全技术措施和管理措施，以指导信息安全等级保护建设，完成北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。 建立一个信息安全的保障机制和运行机制，提供基本的扫描、检测、审计和系统加固的系统平台。主要内容包括漏洞和威胁扫描、分析、日志审计和系统安全加固工具、日志审计与WEB相关防火墙等产品，最终给相关人员进行产品培训。 北京工业大学在2009年已经完成对20多个信息系统的定级工作，并在市公安部门备案，但是目前信息安全基础建设还比较薄弱，与当前严峻的信息安全形势相比还有较大的差距。目前我校已经成功备案的信息系统有环境与能源工程学院网站、北京工业大学制冷与低温工程系、环境与能源工程学院化学化工系网页、教育部传热强化与过程节能重点实验室，传热与能源利用重点实验室、北京工业大学室内环境检测中心信息系统、北工大化学实验教学中心实验室信息管理系统、校两办主页、财务信息系统等30多个信息系统。 ??? 项目范围 1.???对现有北京工业大学内重要业务系统及网络进行规范化的资产与威胁识别、风险分析等工作。 2.???部署相应的基本的扫描、检测、审计和系统加固的软件或系统平台。 3.???编写北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。 4.???协助完善制定学校的信息安全规章制度、规范等建议书。 5.???对北京工业大学综合信息支撑平台（包括统一身份认证、统一门户平台和公共数据库平台）、校主页、网站群平台、一卡通等主要校级应用系统进行等级保护服务。 主要工作内容 通过风险评估、安全保障体系的设计以及等级保护安全保障体系设计，达到下述需求： 风险评估 差距分析 技术分析 根据国家信息安全等级保护相应级别的技术要求，通过访谈、调研问卷、技术测试、查阅资料等多种手段，逐项分析信息系统安全防护水平与等级保护相应级别技术要求的差距。 ? 管理分析 根据国家信息安全等级保护相应级别的管理要求，通过访谈、调研问卷、查阅资料、要求客户举证等多种手段，逐项分析信息系统安全防护水平与等级保护相应级别技术要求的差距。 ? 资产识别 资产识别 对信息系统业务及其关键资产进行识别，并合理分类；在资产识别过程中，需要详细识别核心资产的安全属性，重点视别出资产在遭受泄密、中断、损害等破坏时所遭受的影响。 ? 威胁识别 威胁识别 通过威胁调查、取样等手段识别被评估信息系统的关键资产（主机、服务器、网络、应用系统等）所面临的威胁源，及其威胁所常采用的威胁方法，对资产所产生的影响。 ? 脆 弱 性 识 别 基础环境脆弱性识别 对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别。 ?