XX项目信息安全规划方案

XX系统信息安全防护

规划方案

2020年5月

目录

1系统基本情况 (2)

1.1XX系统服务器情况 (2)

1.2XX系统服务器情况 (4)

1.3XX系统服务器情况 (4)

2安全规划设计思路 (5)

2.1测试优先原则 (5)

2.2相对独立原则 (5)

2.3远近结合原则 (5)

3信息安全初步规划 (5)

3.1网络安全要求 (5)

3.2主机安全要求 (6)

3.2.1主机安全主要要求 (6)

3.2.2服务器防病毒软件规划 (7)

3.3应用安全 (10)

3.4数据库安全 (10)

3.5终端安全 (10)

1系统基本情况1.1 XX系统服务器情况

1.2 XX系统服务器情况

1.3 XX系统服务器情况

2安全规划设计思路

2.1 测试优先原则

为了保证生产服务器安全，必须优先在测试环境中进行防病毒软件部署测试，测试通过后，再在生产环境中部署。

2.2 相对独立原则

生产环境与测试环境之间有相互依赖关系，但区域相对独立，尽可能避免生产环境与测试环境服务器交叉。

XX系统、XX系统、XX系统生产环境与XX集团其他系统之间根据需求开放互联端口。

2.3 远近结合原则

针对需要长期的建设才能实现而又迫切需要改进的需求，设计近期改进与远期建设相结合的措施。

本方案主要用于近期安全建设。

3信息安全初步规划

3.1 网络安全要求

1、根据XX系统、XX系统、XX系统需求，进行各自系统区域划分，比如：

XX系统、XX系统、XX系统之间仅开放需要访问的端口。

2、系统测试环境与生产环境服务器分离。

3、XX系统、XX系统、XX系统设置独立网段，仅开放必要的端口与集团其他系统通信。

4、XX系统、XX系统、XX系统均不提供外网（Internet）访问，与外网（Internet）物理隔离。

3.2 主机安全要求

3.2.1主机安全主要要求

1、XX系统、XX系统、XX系统的生产服务器运维通过指定的跳板机，该跳板机优先安装防病毒软件。

2、XX系统生产环境和测试环境服务器防病毒软件应同步部署，在服务器上线运行后，及时部署防病毒软件，同时，进行全盘病毒查杀和高危漏洞修复。

3、根据XX系统、XX系统、XX系统需求，生产系统服务器之间通信仅开放必要端口。

4、XX系统生产环境和测试环境主机账户口令复杂度要求，在服务器上线运行后，进行设置，要求帐号口令长度至少为8位以上，口令必须由字符、数字、符号组成，不能使用默认口令、容易猜解的口令、相同口令，并且至少每季度更新一次。

5、XX系统生产环境主机应开启操作日志记录，操作日志记录要求包含每个用户的操作，且应对用户的操作事件、安全事件、数据操作进行记录，对数据的编辑和修改可溯源。（不管成功还是失败）。

6、XX系统生产环境主机管理员权限不允许远程登录，应使用普通用户登录后再切换到管理员权限。

7、定期进行XX系统生产环境主机的快照备份，发生故障时，应保证能立即从快照备份中恢复主机。

8、XX系统、XX系统、XX系统测试环境可以通过内网终端运维。

3.2.2服务器防病毒软件规划

3.2.2.1 服务器情况汇总

1、XX系统现有服务器39台，全为linux服务器，国内系统尚未安装防病毒软件，其中27台为生产服务器，12台为测试和备份服务器。

2、XX系统现有服务器7台，全为windows服务器，国内系统现已安装360天擎和瑞星防病毒软件，其中4台生产服务器，3台备份服务器。

3、XX系统现有服务器6台，国内为AIX系统，尚未安装防病毒软件，迁移到海外规划为Linux服务器，全部为生产服务器。

服务器情况如下表3-1所示：

3.2.2.2 防病毒软件安装规划

将目前XX系统、XX系统、XX系统的服务器分为生产服务器和测试服务器二大类，根据分类进行以下服务器防病毒软件安装规划：

首先，XX系统测试环境完成迁移后，立即由相应的责任人进行防病毒软件安装和病毒查杀及漏洞修复，安装完成后由安全负责人进行确认，安装完成后，由安全负责人进行扫描策略和升级策略设置，并进行病毒查杀和漏洞修复结果验证。然后，由系统负责人进行系统测试。

XX系统、XX系统正式服务器完成迁移后，立即由相应的责任人进行防病毒软件安装和病毒查杀及漏洞修复，安装完成后由安全负责人进行确认，安装完成后，由安全负责人进行扫描策略和升级策略设置，并进行病毒查杀和漏洞修复结果验证。然后，由系统负责人进行系统测试。

测试完成后，XX系统生产服务器上正式开始部署防病毒软件，并定期进行防病毒软件安装、病毒查杀、漏洞修复。

最后，对XX系统、XX系统、XX系统所有服务器的防病毒软件部署情况进行核对和验收，设置病毒扫描、查杀策略、病毒库、漏洞库升级时间。

3.2.2.3 服务器病毒防护时间计划

服务器病毒防护时间总体计划为2020.4-2020.8，目标是完成XX系统、XX 系统、XX系统服务器防病毒软件的全覆盖。时间计划表如表3-2所示

3-2 信息安全防护初步计划

注：以上计划根据XX项目的进度进行调整。

3.3 应用安全

1、XX系统、XX系统、XX系统生产环境和测试环境应用系统、中间件、软件帐号口令复杂度应满足长度至少为8位以上，口令必须由字符、数字、符号组成，不能使用默认口令、容易猜解的口令、相同口令，并且至少每季度更新一次。

3.4 数据库安全

1、XX系统、XX系统、XX系统数据存储应通过云平台保存，设置安全备份机制，建议所有数据一天一备，数据至少保存一年以上。

2、XX系统、XX系统、XX系统生产环境和测试环境数据库系统帐号口令复杂度应满足长度至少为8位以上，口令必须由字符、数字、符号组成，不能使用默认口令、容易猜解的口令、相同口令，并且至少每季度更新一次。

3、数据库系统权限管理，数据库系统超级管理员帐户应避免应用于应用系统，数据库系统帐户应至少分为超级管理员、管理员、普通用户等角色，分别由不同人员担任。

3.5 终端安全

1、XX系统、XX系统、XX系统运维终端和业务终端应安装防病毒软件，且制定定期病毒查杀计划，及时修复高危漏洞。

2、XX系统、XX系统、XX系统运维终端和业务终端帐号口令复杂度应满足长度至少为8位以上，口令必须由字符、数字、符号组成，不能使用默认口令、容易猜解的口令、相同口令，并且至少每季度更新一次。

4工作计划

XX项目信息安全部分进度表如图4-1所示：