【上海城建市政工程公司网络安全体系建设论文8400字】

上海城建市政工程公司网络安全体系建设论文目录一.背景及现状 -1-1.1背景 -1-1.2现状 -2-二.网络安全体系建设方案 -4-2.1方案设计 -4-2.1.1设计依据 -4-2.1.2设计原则 -5-2.2方案内容 -5-2.2.1整体方案 -5-2.2.2内容介绍 -6-2.2.3方案实施 -9-三.阶段性成果及亮点 -13-四.未来展望 -15-背景及现状背景近年来，随着各行各业对信息技术的越加依赖，虽然提高了工作效率，加快了市场经济的飞速发展，但是网络安全问题也越加凸显。从爆库门（用户信息泄露事件）到间谍门（单位数据窃取事件）再到棱镜门（数据窃听事件）再到wannacry全球病毒爆发（勒索病毒事件）以及每三天一次的境外组织发起的反共攻击（篡改事件），时时刻刻提醒着我们在信息技术迅猛发展的同时，安全威胁也在不断地发生着演变，如挂马、钓鱼、0Day、APT、病毒等网络威胁正在不断涌现，给企业、政府、医疗、教育等机构或者人民群众带来了经济或者名誉损失。图1勒索病毒事件来源：网络资源整理另一方面，国家非常重视网络与信息安全工作，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化委员会组长习近平2014年2月27日主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。他强调：“没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国”。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，强调做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制。2017年6月1日，《中华人民共和国网络安全法》正式颁布施行，该法明确规定“国家实行网络安全等级保护制度”。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，谁建设谁负责、谁运营谁负责、谁主管谁负责。2019年5月13日，《网络安全等级保护》等保2.0正式版本，同年12月1日正式实施，标志着国家对信息信息安全的重视程度不断加强。图2等级保护1.0标准体系图3《GB/T22239-2019》采用的框架结构来源：兰州网警上海市政府近年来也在落实《关于全面推进上海城市数字化转型的意见》等相关政策，并深入学习贯彻习近平总书记考察上海重要讲话精神。遵循“整体性转变、全方位赋能、革命性重塑”数字化转型发展内涵，抓住新一轮科技革命和数字革命带来的新发展机遇，打通数据瓶颈，激活应用场景，创新治理模式，提升服务品质。在城市数字化转型过程中，网络安全建设更是重中之重。图4全面推进上海城市数字化转型方式来源：网络资料整理现状建筑业是我国国民经济的支柱行业。但是，长期以来建筑业又是一个劳动密集、粗放经营的行业。相比于互联网等高新技术行业，建筑业的信息化相对比较滞后。特别是在信息安全建设层面，存在以下几方面的问题：缺乏安全体系规划由于建筑行业网络安全建设相比其他行业滞后，因此在网络安全建设过程中存在着还没来及规划就进行业务信息系统建设的问题。这样一来就导致安全建设落后于系统建设，存在一定的安全短板，给整个网络的安全运行带来了一定的安全风险。缺少完善的安全管理制度随着信息化建设，企业已运行着大量的网络设备、安全设备等，但存在资产管理混乱，管理制度缺失的问题，导致运行维护工作不能正常、有序、高效的进行，给企业网络的安全运行维护增加了运行成本，降低了工作效率。因此必须针对现有的管理流程和内容制定相应的安全管理制度，实现各项工作的规范化管理。员工安全意识薄弱目前大多企业将充足的成本预算和网络资源投进到网络安全产品/实施方案的布署与基本建设，忽略了“人”的安全意识建设，然而在网络安全问题中,人的因素是第一位的。海外网络安全权威机构曾指出:“在所有的信息安全系统框架中,人这个要素往往是最薄弱的环节。只有革新人们陈旧的安全观念和认知文化,才能真正减少信息安全可能存在的隐患。”在病毒漏洞数量激增、网络攻击愈演愈烈、网络犯罪日益猖獗的网络安全形势下，员工对网络安全重要性的认识不足、网络安全知识缺乏、网络安全技能薄弱、网络安全意识淡薄，极不利于防范网络风险、应对网络威胁。解决建筑行业网络安全挑战风险中的人为因素至关重要。上海城建市政工程（集团）有限公司（以下简称“市政集团”）各级领导近年来也越发重视企业的信息安全建设，并在电信的推荐下和上海热线网络信息有限公司（以下简称“上海热线”）达成了一系列合作，旨在提升市政集团的网络安全建设水平。上海热线是中国电信的三级全资子公司，在网络安全行业耕耘多年，也参加过进博会、建党“100周年”等重大安保活动，有着丰富的行业经验。图5上海城建市政工程（集团）有限公司来源：从2020年开始起，上海热线帮助市政集团在安全基础设施建设、系统安全评估、安全加固和信息安全事件预防处置能力等方面进行逐步加强，现已基本形成了一定的安全保障体系，具备了基础的安全防护能力。但是随着新型威胁爆发频发、APT攻击盛行、新型攻击手段不断复杂多样等背景下，现有的安全防护体系亟需进一步加强，以保障市政集团的安全稳定运行。图6市政集团项目建设行为、建筑全生命期及BIM的关系来源：

网络安全体系建设方案方案设计设计依据基于市政集团的信息化现状，其信息安全保障体系的建设除了要满足系统安全可靠运行的需求，还必须符合国家和行业相关政策和要求。我们国家对信息安全保障工作非常重视，国家相关部门陆续出台了相应的文件和要求，行业监管部门也在信息安全建设方面提出了若干指导意见，因此公司安全建设应当遵从国务院、公安部、行业监管单位等相关机构的要求，参考国际、国内、行业信息安全标准和规范，对信息安全保障体系进行全面、深入的规划和设计，确保市政集团信息系统安全保障体系建设的先进性和规范化。需遵从的国家安全政策和规范包括：《中华人民共和国计算机信息系统安全保护条例》国务院147号令《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号《关于信息安全等级保护工作的实施意见》公通字[2004]66号《信息安全等级保护管理办法》公通字[2007]43号《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号及附件2《信息安全等级保护安全建设整改工作指南》《计算机信息系统安全保护等级划分准则》GB17859-1999《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008《信息安全技术信息系统安全等级保护实施指南》GB/T25058-2010《信息安全技术信息系统等级保护安全设计技术要求》GB/T25070-2010信息安全建设中可参考的其他国内外安全标准包括：GB/T18336（idtISO/IEC15408（CC））《信息技术安全技术信息技术安全性评估准则》GB/T22080-2008（idtISO/IEC27001:2005）《信息技术安全技术信息安全管理体系要求》GB/T22081-2008（idtISO/IEC27002:2005）《信息技术安全技术信息安全管理实用准则》ISO/IEC13335《信息技术安全技术信息技术安全管理指南》IATF《信息保障技术框架》设计原则市政集团网络安全体系的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。因此在方案设计和项目建设遵循以下原则：统一规划、分步实施原则标准性和规范化原则重点保护原则适度安全原则技术管理并重原则先进形和成熟性原则动态调整原则经济性原则方案内容整体方案市政集团和上海热线不断深入探讨网络安全体系建设，提出了阶段性的网络安全建设规划，确定了近期网络安全建设方向，目标是建立一套具备基础防御能力的网络安全体系。整个方案分三年建设，从2020年开始起。序号阶段建设内容12020年1、对市政集团网络安全状况进行详细调研，基本等保2.0，提出安全整改方案；2、对于方案中需要通过产品方式进行整改的，优先进行建设，如安全管理平台、网页防篡改、堡垒机等。22021年1、根据整改方案，制定年度服务计划，包括漏洞扫描、渗透测试、应急响应、应急演练、安全培训、安全策略优化、网络架构优化、安全管理制度梳理等。32022年1、根据网信办、网安、国资委等监管部门要求，在2021年服务基础上新增了重保相关安全服务，包括资产梳理、蓝队测试、病毒查杀、安全值守等。内容介绍方案围绕安全技术、安全管理、人员安全三方面进行建设。安全技术建设安全管理平台安全管理平台是一款安全综合管理的产品，以大数据框架为基础，对安全数据进行智能分析并结合攻防场景模型的分析，提供可视化展示、协助客户建立和完善安全态势的全面监控、安全事故应急响应以及安全管理的能力；对安全威胁事件能及时预警并实时处置。对资产进行分类管控，资产可视化展示；对信息化资产状况进行整体监测，提高安全运营水准；减少在安全项目与安全意识上的管理难度，进行统一化标准管理，打造生态化的信息体系。满足等保2.0中安全管理中心相关要求。网页防篡改网页防篡改系统是专门针对网站篡改攻击精心研发的一款防护产品，系统主要功能是通过文件底层驱动技术对Web站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片等任何类型的文件进行非法篡改和破坏。图7网页防篡改体系来源：网络资料整理堡垒机堡垒机是一种安全运维工具，可以有效阻止终端计算机对网络和服务器资源的管理直接访问，采用协议代理的方式，接管终端计算机对网络和服务器的访问。拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法授权访问行为并告警。核心是通过利用新一代运维堡垒机技术，以一种更智慧的方法来改变运维人员和IT设备交互的方式，以便提高交互的安全性、合规性、效率、灵活性和响应速度。图8堡垒机运作原理来源：网络资料整理漏洞扫描漏洞扫描服务即通过引入外部单位开展漏洞检测服务，充分解决因人力配置和技术能力匮乏所存在的安全隐患，主动发现安全风险，并及时解决或提前制定应对措施，以达“变被动排障为主动服务；变事后应急为事前预警；变自由操作为可控可管”的目标。通过接入客户网络，在授权范围内，发现系统服务类漏洞，如数据库软件漏洞中间件软件漏洞、操作系统内核漏洞、系统软件如Openssl漏洞等，为检验应用系统的基础环境是否存在可被黑客利用的安全漏洞而提供的服务。渗透测试渗透测试服务是通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞，尤其是与代码审计相比，其使用的时间更短，也更有效率。在测试过程中，可以灵活选择渗透测试的强度，例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行，并同时准备充分完善的系统恢复方案。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。图9渗透测试来源：网络资料整理应急响应应急响应是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发事件则是指影响一个系统正常工作的情况。在第一时间内对信息系统面临的紧急安全事件进行应急响应。紧急安全事故包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应服务的目标通常包括采取紧急措施和行动，恢复业务到正常服务状态；调查安全事件发生的原因，避免同类安全事件再次发生；在需要司法机关介入时，提供法律认可的数字证据等。网络架构优化通过对市政集团的网络架构调研，根据安全现状分析，按照等级保护2.0要求，对市政当前网络架构进行重新规划，分析网络架构中存在安全风险的不合理的地方，并且协助市政集团进行优化。资产梳理对相关系统的外网进行资产情报的搜集，梳理出资产的IP（IP详情、数量）、端口信息（开放的端口及数量）、网络状态、主机应用、各类指纹信息（操作系统、开发语言、Web应用平台/框架及第三方软件等）等资产详情。图10威胁情报与资产治理的结合与互动来源：网络资料整理蓝队测试通过模拟黑客实战攻击的手法，对真实环境开展安全评估，通过对目标的系统、人员、软件、硬件和设备同时执行多混合、基于对抗性的模拟攻击，以发现市政系统、技术、人员和基础架构中存在的网络安全隐患和薄弱环节。病毒查杀对信息系统进行病毒查杀，对发现的病毒文件进行行为分析并提出相应的处理建议，并进行溯源等。安全值守在敏感时间或者其他特殊时期，由高级安全专家提供远程或者现场安全值守，实施监控并处理可能出现的安全事件，保障活动期间的安全运营。安全管理建设应急演练应急演练服务提供实战演练，其中参演人员利用应急处置涉及的设备和物资，针对事先设置的突发事件情景及其后续的发展情景，通过实际决策、行动和操作，完成真实应急响应的过程，从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战演练通常要在特定场所完成。安全策略优化结合行业监管要求和客户安全需求，按照等级保护要求，协助定制安全策略规范，并对现有安全设备策略进行优化。安全管理制度梳理安全管理制度是信息安全保障体系的灵魂，要做到全面、灵活、实用。建议根据国家等级保护要求，参照国际成熟的安全管理标准规范，结合市政集团安全组织架构及实际工作情况，对安全制度体系进行重新规划，重点是确定信息安全工作要求和指标的总体方针，完善信息安全管理规章制度、办法和操作流程，制定安全操作的技术标准和规范等，加强安全管理制度的执行力度，约束和指导信息系统各层管理和使用人员的操作行为，以确保整个网络系统的安全管理处于较高的水平。人员安全建设安全意识培训为培养和加强用户单位职员的安全意识，创造一种自然抵制安全威胁的单位文化，以减少大规模安全事件的发生几率，通过安全意识培训课堂来提升单位员工对网络安全威胁的理解，加强企业单位员工的安全意识。安全技术培训为掌握必备的基本安全技能，针对市政集团相关技术人员进行培训，增强其网络全技能，在突发条件下能够独立处理处置基础的网络安全问题。方案实施2020年上海热线首先针对市政集团的安全现状进行了调研，在安全技术、安全管理、人员安全等三方面均存在着一定程度的不足。安全技术方面：目前安全防护主要依赖于防火墙，缺少事件统一分析展示、安全运维管理、网页防篡改等措施；无安全漏洞检查自查手段，无有效安全应急响应手段，网络架构存在一定隐患等；重要时期安全保障能力不足。安全管理方面：无应急演练机制，已有的安全设备策略部分不符合合规要求妹，安全管理制度大部分缺失。人员安全方面：人员安全意识匮乏，技术人员安全技术水平相对薄弱。针对调研中暴露的安全防护问题，市政集团新增了安全管理平台、堡垒机、网页防篡改等产品进行相应整改。在安全管理区部署一台安全管理平台。通过安全管理平台，实现了：it资产全生命周期管理，安全设备、服务器、网络设备、应用系统的安全日志统一收集与分析，网络安全态势实时展示，安全项目及供应商归档管理，安全设备统一管理等功能；并且，满足了等保2.0安全管理中心集中管控的相关要求。在安全管理区部署一台堡垒机，实现了：对所有设备、所有账号的统一管理，如安全设备、网络设备、服务器等；针对所有登陆和操作行为做到全面监控，一旦发现可疑操作立即通知相关管理员；堡垒机中保留相应的操作记录，方便事后追溯和审计。在服务器区部署一套网页防篡改，实现文件防篡改、文件恢复等功能，同时满足等保2.0中的相关要求。2021年市政集团在2020年针对安全防护措施已经进行了相应整改和加强，本年度市政集团会在安全技术、安全管理、人员安全三方面进行全面性提升。上海热线安排技术专家使用自动化扫描工具，对市政集团进行现场漏洞扫描，每季度一次，范围是市政集团所有主机。同时，上海热线协助市政集团建立了一套漏洞闭环流程，所有扫描出来的中高危漏洞都会通知相应厂商进行整改闭环。上海热线的高级安全专家，从攻击者的视角，模拟黑客所使用的攻击手段对市政的网站进行测试；对系统的任何弱点或技术缺陷进行主动分析、信息收集、利用，以发现其可能存在的安全漏洞；包括认证和授权、命令执行、逻辑攻击、客户端攻击、信息泄露五大类测试内容，发现更深层次的安全漏洞。渗透测试范围为市政集团所有对外的应用系统，每半年一次。同样会按照已建立的漏洞闭环机制通知相应厂商进行漏洞修复工作。市政集团及下属单位出现安全问题时，上海热线会委派安全专家进行应急，协助排查安全事件。2021年6月份，智能交通发生了服务器中毒事件，上海热线安全专家帮助智能交通信息部门找出了中毒原因并对安全事件进行了闭环处置。上海热线组织安全专家根据市政集团的实际情况设计演练场景，模拟突发情况，检验已有的安全措施是否有效，同时演练应急流程。2021年9月份，上海热线设计了服务器中断网络安全事件和数据泄露网络安全事件2个场景进行演练，参与的演练人员有市政集团、上海热线、龙田、泛微等相关人员。上海热线在2021年组织了两场安全培训。一场是应急响应技能为主题的安全技术培训，参与人员为市政集团信息管理部以及第三方运维的技术人员；一场是日常办公安全为主题的安全意识培训，人员安全培训以视频课件的形式提供。上海热线在2021年1月，对市政集团网络架构及安全策略进行了详细的调研及优化。在网络架构方面，发现了运营商线路、服务器区管理、边界防护等方面存在一定问题；在安全策略方面，vpn、防火墙、负载均衡等设备策略需进行进一步优化。针对以上问题，上海热线均提出了详细的解决方案，并协助市政集团进行整改。针对市政集团安全管理制度缺失的情况，上海热线在2021年针对市政集团的实际情况和行业热点，进行了安全管理制度补充和完善，包括《系统运维管理》、《第三方人员管理》《系统建设管理》等制度文件。2022年市政集团根据网信办、网安、国资委等监管部门要求，在2021年服务基础上新增了重保相关安全服务，主要在上海市第十二次党代会期间以及第五届中国国际进口博览会期间进行网络安全保障。在上海市第十二次党代会前夕，上海热线对市政集团外网资产通过技术手段进行了域名及IP资产的摸排。通过对外网边界资产的摸排分析，发现大多数公网IP开放了高危端口，存在被不法分子入侵，使得用户的业务和数据受损的风险。在上海市第十二次党代会前夕，上海热线对市政集团94个ip进行了病毒查杀，未发现安全威胁。在上海市第十二次党代会前夕，上海热线对市政集团18个域名进行了深入的攻防测试，主要侧重点是外网到内网的所有入口的检查工作，发现的相关问题已经反馈至相关技术人员并协助修复。在上海市第十二次党代会前夕，上海热线安全技术专家远程保障市政集团的安全。主要对安全设备的运行状况、安全日志进行实时监测和分析，发现并处理处置可疑的安全事件。在此次值守中，并未发现可疑安全事件。阶段性成果及亮点当前市政集团的安全建设切实解决市政集团的网络安全问题，