集团公司网络安全总体规划方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
集团公司网络安全总体规划方案
信息安全建设规划建议书昆明睿哲科技有限公司XX年11月目录
1 、、、、・、、、、、、、、・・、、、、、、
・、、、、、、、、、、、、、、、、・、、、、、、、
误!未定义书签。
1、1 ・、、・・、、、、、、、、、、・、、、、、、、、、、・・・、、・、、、、、、、、、、、、、、 !
未定义书签。
1、2 力、、、、、、、、、、、、、、、、、、、、、・、・・・、、、、、、、、、、、、、、、、!
未定义书签。
1 \ 3 1十目、、、、、、、、、・、、、、、、、、、、、、、・・・・、、、、、、、、、、、、、、、! 未定义书签。
第 2 章信息安全总体规划、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!未定义书签。
2.1 设计目标.依据及原则、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!未定义书签。
2、1、1 1 十目、、、、、、、、、、、、、、、、、、、、、・、、、、、、、、、、、、、、、・、!
未定义书签。
2、1、2 "Vci十、、、、、、、、、、、、、、、、、、、・、、、、、、、、、、、、、、、、、、、!
未定义书签。
2・ 1、3 1 十贝U、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、!
未定义书签。
2、2 总体信息安全规划方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误!未定义书签。
2、2、1信息安全管理体系.................................. 错误!
未定义书签。
2、2、2分阶段建设策略......... .......................... 错误!
未定义书签。
第3章分阶段安全建设规划、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错
误!未定义书签。
3・ 1 划]贝U、、、、、、、、、・、、、、、、、、、、、、、・・・・、、、、、、、、、、、、、、、!
未定义书签。
3、2安全基础框架设计.. 未定义书签。
第 4 章初期规
划、、、、、、、、、、、、、、、、、、、.、、.、、、、、、、、、、、、、、
、、、、、错误!未定义书签。
4、1 建目步
F、、、、.、、、、、、、、、、、、、、、、、、..、、、、、、、、、、、、、、、、、错 1 天!未定义书签。
4、2建立信息安全管理体系.... ............................. 错误!
未定义书签。
4、3建立安全管理组织.......... .......................... 错误!
未定义书签。
第 5 章中期规划、、、、、、、、、、、.、、、、、、、、、、、、、.、、、、、、、、、、、、、、、、错
误!未定义书签。
5、1 建设目步卜、、、、、、、、、、、、、、、、、、、、、、..、、、、、、、、、、、、、、、、、、错 !
未定义书签。
5、2建立基础保障体系.、、、、、、、、、、、、、八
八.、、、、、、、、、、、、、、、错误!
未定义书签。
5、3建立监控审计体系、、八
未定义书签。
5、4建立应急响应体系、八、
未定义书签。
5、5建立灾难备份与恢复体系、、、、
未定义书签。
第6章三期规划一、误!未定义书签。
6. 1建设目标、、八
未定义书签。
6、2建立服务保障体系、八
未定义书签。
6、3保持和改进ISMS .... 未定义书签。
第7章总结
、、、错误!未定义书签。
7、1综述.未定义书签。
7、2效果预期.未定义书签。
7、3 后期、、、、、
、、、错误!未定义书签。
第1章综述
1、1概述信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。
企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。
而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。
与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛
滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑,应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。
本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。
1、2现状分析目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部威胁能有一个基本的防护能力,但是如今的安全威胁和攻击手段日新月异,层出不穷,各种高危零日漏洞不断被攻击者挖掘出来,攻击的目标越来越有针对性,目前的企业所面临的全球安全威胁呈现如下几个新的趋势:
恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:如何防范未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击?高级、有针对性的髙危持续性攻击APT已蔓延至各类规模企业:如何阻止不同的攻击手段?不仅仅是防病毒!需要服务器,终端,网络,数据等各方面多层次的防护,增加威胁防范能力复杂混乱的应用与外接设备环境:如何确保应用和设备的准入控制?
繁琐枯燥的系统维护和安全管理:如何更有效利用有限的信息人力资源?工具带来的新问题:如何保证安全策略的强制要求,统一管理和实施效果?终端接入不受控:如何确保终端满足制定的终端安全策略based Attack) 已成为最主流的攻击手法:如何确保访问可靠网站?
内外部有意无意的信息泄靂将严重影响企业的声誉和重大经济损失从目前大多数企业的信息安全建设来看,针对以上的目前主流的新形势的信息威胁,企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御,纵深防御的能力,目前大多数企业在安全防护上还有如下的欠缺: