网络信息系统安全建设规划指南
某某石油管理局企业标准
网络信息系统安全建设、规划指南
1适用范围
本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。
2规范解释权
规范解释权归某某油田管理局信息中心所有。
3网络信息系统安全建设、规划的概述:
网络信息系统安全建设和规划所要解决的主要问题是,如何在现有法规政策的允许下,综合考虑当前网络信息系统的安全要求,长远规划,以及公司或者单位的物力、财力等因素,设计和实施网络信息安全工程。以及在系统工程过程中设计和实施网络信息系统安全模块。
4网络信息安全工程过程描述
网络信息系统安全工程主要实施于以下情况:
?描述信息保护需求;
?根据系统工程的前期需要产生信息保护的具体需要;
?在一个可以接受的信息保护风险下满足信息保护需求;
?根据需求,构建一个信息保护需要的逻辑结构;
?根据物理结构和逻辑结构分派信息保护的具体功能;
?设计系统用于实现信息保护的结构;
?从整个系统的耗费、规划和执行效率综合考虑,在信息保护风险与其它问题之间进行权衡;
?参与涉及其它信息保护和系统学科的综合研究;
?将网络信息安全工程与其它系统工程相结合;
?以验证信息保护设计方案并确认信息保护的需求为目的,对系统进行测试;
?根据用户需要对整个过程进行扩充和裁减,以此支持用户使用。为
确保信息保护被纳入整个系统,必须在系统工程最开始进行设计时
便考虑网络信息系统的安全。另外,要针对具体的情况,综合考虑
信息保护的目标、需求、功用、结构、设计、测试和实际应用中所
出现的系统工程设计情况。
5发掘信息保护需求
实施网络信息系统安全工程首先调查对用户需求、相关政策、规则、标准以及系统工程所定义的用户环境中的信息所面临的威胁。然后识别信息系统中的具体用户和信息,以及他们在信息系统中的相互关系、规则及其在信息保护生命周期各阶段所承担的责任。信息保护允许用户有自己的观点,不能局限于特定的设计或者应用。
在信息保护政策中,应该使用通用语言来描述如何在一个综合的信息环境中获得所需要的信息安全保护。当系统发现需要这种信息安全保护时,信息保护将成为一个必须同时考虑的系统模块。下图解释了系统任务、威胁和政策如何影响信息保护需求以及如何进行分析。
图()系统任务、信息安全威胁和政策对确定信息保护需求的影响
任务的信息保护需求
信息和信息系统在一个大型任务或特定组织中的作用应当受到足够的重视。实施网络信息系统安全工程必须考虑组织元素(人和系统)的任务
可能受到的影响,即:无法使用所依赖的信息系统或信息,尤其是丧失保密性、完整性、可用性、不可否认性及其组合。在此意义上开始探讨用户信息保护需求问题。
为发现用户信息保护需求,必须了解遗漏、丢失或者修改什么信息会对总体任务造成危害。实施工程应该做到以下几点:
?帮助用户对自己的信息管理建模;
?帮助用户定义信息威胁;
?帮助用户确立信息保护需求的优先次序;
?准备信息保护策略;
?获得用户许可。
工程中提供了识别用户需求的界面,以确保任务需求包含信息保护需求,并且保证系统功能包含信息保护功能。工程将安全规则、技术、机制相结合,并将其应用于解决用户信息保护的时间需求,从而建立了一个信息保护系统。该系统包含信息保护体系结构和机制,并能够依据用户所允许的耗费、功能和计划获得最佳的信息保护性能。
实施网络信息系统安全工程在设计信息系统时必须遵循用户的层次设置,这样才能使整个系统的性能达到预期指标。信息和信息系统在支持系统任务方面必须满足如下要求:
?对信息的记录进行观察、更新、删除、初始化或者处理(机密信息、金融信息、产权信息、个人隐私信息等)。
?授权谁观察、更新、删除、初始化和处理信息记录
?经授权的用户如何履行其责任
?经授权的用户使用何种工具(文档、硬件、软件、固件或者规程)履行其职责
?清楚地知道个人发送或者接收的一则消息或一个文件这件事具有怎样的重要性
工程小组和系统用户将精诚合作,使信息系统更好的满足用户总任务要
求。
信息管理面临的威胁
从系统的组成上应能够识别信息系统的功能和它与外界系统边界的接口。该系统组成要明确信息系统的物理边界和逻辑边界,以及系统输入/输出的一般特性。它描述系统与环境之间或者系统与其它系统之间信号、能量和物质的双向信息流。必须考虑系统与环境之间或者系统与其它系统之间有以设定的或自行存在的接口。其中,针对后者的部分描述涉及环境和信息系统所面临的“威胁”(指某些人采取某种行动,可能造成某个结果的事件或对系统造成危害的潜在实事)。
对系统威胁的描述涉及到:
?信息类型;
?合法用户和用户信息;
?威胁者的考虑、能力、意图、自发性、动机、对任务的破坏。
信息保护政策的考虑
对一个机构而言,在制定本组织的信息保护政策时必须考虑所有现有的信息保护策略、规则和标准(如国家政策,执行级别的政策等)。
必须定义下面的信息保护最重要的内容:
?为什么需要信息保护
?需要什么样的保护
?怎样获得保护
必须定义一个机构信息策略的以下最重要内容:
?机构需要保护的资源/资产;
?需要和这些资产发生关系的个人的角色和责任;
?授权用户用到这些资产的合适方法。
为制订一个有效的信息保护策略,需要设立一个由系统工程专家、工程施工小组、用户代表、权威认证机构、设计专家组成的小组。该
小组成员要共同合作,保证政策的正确性、全面性以及和其它政策的
连续性。
高层管理机构要颁布信息保护策略。该策略必须时明确的,应该使下级机构易于制订各自的制度,并且便于机构所有成员的理解。需
要一个能够确保在机构内部实施该策略的流程,并让机构成员认识到
如果不实施该策略将会出现怎样的后果。尽管必须依据具体情况的改
变及时更新机构安全策略,高层策略却不应该经常变动。
6定义信息保护系统
在信息保护系统行为中,用户对信息保护需要和信息系统环境的描述被解释为对象、要求和功能。这种行为将定义信息保护系统将要做什么,信息保护系统执行其功能的情况怎么样,以及信息保护系统的外部接口。
信息保护目标
信息保护目标要求具有有效性检查的特性,而且对信息保护需求是明确的、可测量的、可验证的、可跟踪的。每个目标的基本原理必须解释为:?信息保护对象所支持的任务目标;
?驱动信息保护目标的与任务相关的威胁;
?未实现的目标的结果;
?支持目标的信息保护指导或策略
系统上下文环境
技术系统的环境确定系统的功能和接口与系统边界外部元素的相互作用。在信息保护系统的情况下,任务对象、信息的本质、任务信息处理系
统、威胁、信息保护策略和设备极大影响着系统环境。信息保护系统的环境应该在其与任务信息处理系统、其它系统、环境之间界定逻辑和物理边界。这种环境包含信息的输入和输出、系统与环境之间或与其它系统之间的信号和能量的双向流动和描述。
信息保护需求
网络信息系统安全工程需求分析行为作为系统工程的一部分包括回顾和更新前一个分析(任务、威胁、对象、系统上下文环境)。由于信息保护需要从用户需要演变为更加精确的系统规范,必须对其进行合理定义,以便系统结构概念能够在集成的、一致的系统工程过程中得以开发。工程小组将和其它信息保护系统成员一起检查以下一系列信息保护需求:正确性、完善性、一致性、互依赖性、冲突和可测性。信息保护功能、执行、接口、互操作性和生发出的要求与设计约束一样将进入系统的使用手册
功能分析
网络信息系统安全工程实施中应理解功能并将功能分配给各种信息保护配置项。工程必须理解信息保护子系统如何成为整个系统的一部分,如何支持整个系统。
7设计信息保护系统
在这个行为中,工程将构造系统的结构,详细说明信息保护系统的设计方案。当工程在进行设计信息保护系统时,我们应继续:
?使要求与威胁评估的基本原理精练、有效并对其进行检查;
?确保一系列底层要求满足高层要求;
?支持系统层结构、配置项和接口定义;
?支持长研制周期和前期采办决策;
?定义信息保护的验证与生效步骤和战略;
?考虑信息保护操作和生命周期支持问题;
?继续跟踪、精炼信息保护相关资料和工程管理计划、策略;
?继续系统特定的信息保护风险回顾和评估;
?支持认证和批准过程;
?融入系统工程过程。
功能分配
信息保护功能应该被分配给人员、硬件、软件、固件。由于功能被分配给这些组件,组件不仅要满足问题空间中整个系统约束条件的子集,也要满足相应的功能和性能要求。必须检验各个不同的信息保护系统体系结构。工程小组将与系统所有者协商一项在概念上、物理上都可行的信息保
护系统体系结构协定。
初步的信息保护设计
开始初步的信息保护设计的条件是:针对信息保护要求具有一个最小而且稳定的协定和一个在配置管理下的稳定的信息保护体系结构。一旦定义了该体系结构并将其列为基准,系统和网络信息系统安全工程师将产生一些规范,这些规范将细化到怎样构造至配置项层。产品和高层规范的回顾应位于初步设计评审之前。安全工程的这种行为包括:
?对挖掘需求和定义系统阶段的产物进行回顾并改进,尤其是配置项层和接口规范的定义;
?对现有解决方案进行调查,使之与配置项层要求相匹配;
?检查所提出的初步设计中采取的解决办法的基本原理;
?检查验证配置项规范是否适合高层信息保护要求;
?支持认证和批准过程;
?支持信息保护操作开发和生命周期管理决策,及加入系统工程过程;
初步设计评审后将产生各个配置最初要求。
详细的信息保护设计
详细的信息保护设计产生低层产品规范,或者完成开发中的配置项的设计,或者规定并调整所购买的配置项的选择。这种行为将包括对完全性、冲突、兼容性(与接口系统)、可验证性、信息保护风险、对需求的可跟踪性的每个详细的配置项规范的回顾。网络信息系统安全工程行为中详细的信息保护设计包括:
?对前面的初步设计的产物进行回顾和改进;
?通过对可行的信息保护解决方案提供输入并回顾具体的设计资料,来支持系统层设计和配置项层设计;
?检查边界设计层解决方案的基本技术原理;
?支持、产生、检验信息保护测试和评估要求及步骤;
?追踪和应用信息保障机制;
?检验配置项设计是否适合高层信息保护要求;
?完成对生命周期安全支持方法的大部分输入,包括对训练和紧急事件训练材料提供信息保护的输入;
?回顾和更新信息保护风险和威胁计划以及对要求集的改变;
?支持认证和批准过程;
?加入系统工程过程。
8实施信息保护系统
这种行为的目的是构造、购买、集成、验证组成信息保护子系统的配
置项集合并实质生效。这些子系统满足系统所有的信息保护要求。
该过程除了满足一般系统工程的要求外,它所执行的用于信息保护系统的实施与测试的其它功能包括:
?依据系统当前运行状态对系统信息保护的威胁评估进行更新;
?验证系统信息保护要求和所实现的信息保护解决方案的约束条件,以及相关的系统验证与确认机制和发现;
?跟踪和参与与系统实施和测试实践相关的信息保护保障机制的应用;
?对变化中的系统操作流程与生命周期支持计划提供进一步的输入和回顾,例如,基础设施支持中的通信安全密钥发布和释放控制问题,
即操作系统和维护培训材料中的信息保护相关元素;
?为安全验证评审所准备的正式的信息保护评估;
?证书与批准过程行为所要求的输入;
?参与对系统所有问题的集体式、多学科的检查。
上述行为及其所产生的结果均支持安全验证调查。在安全验证调查总结后,通常很快产生安全批准许可。
采办
决定在采办系统组件中采取哪种选择一般是基于对商业现货硬件、软件和固件的熟悉或者偏好。在进行采办决策时需要进行权衡分析。为确保最佳体系结构能够基于操作、性能、代价、进度和风险的相互平衡,网络信息系统安全工程组必须确保所有分析都包括相关的安全因素。为支持购买系统组件的决策,网络信息系统工程必须调查现存的产品目录,以此决定某些现有产品是否能够满足系统组件要求。在所有可能的情况下,必须对一系列潜在的可行选项进行验证,而不仅仅验证单一选项。此外,为确保系统实施之后依然具有较强的生命力,网络信息系统安全工程组必须适当的考虑采用新技术和新产品。
构建
该行为的目的是确保设计必要的保护机制并使该机制在系统实施中得以实现。与多数系统相同,信息保护系统也受到能够加强或者削弱其效果的变量的影响。在一个信息保护系统中,这些变量扮演重要的角色。它们决定了信息保护对系统的适宜程度。这些变量包括:
?物理完整性:产品所用组件能够正确的防干扰。
?人员完整性:建造或者装配系统的人员要有足够的知识去按照正确的装配步骤构建系统。这些人员要拥有足够的安全可信任度,以确
保系统的可信性。
测试
网络信息系统安全工程将开发与信息保护相关的测试计划和流程。同
时也必须开发测试实例、工具、硬件、软件以便充分试用该系统。安全工程的测试行为包括:
?对设计信息保护系统阶段的结果进行回顾并加以改进;
?检验系统和配置顶层的信息保护要求、实现方法的约束条件、相关系统的验证、有效机制和发现;
?跟踪和运用与系统实现和测试实践相关的信息保护保障机制;
?为所开发的生命周期安全支持计划提供输入,包括基础设施保障、维护和训练;
?继续风险管理行为;
?加入系统工程过程。
9评估有效性
网络信息系统安全工程强调信息保护系统的有效性。强调为系统所处理的或任务所要求的信息提供必要的保密性、完整性、可用性和不可否认性的系统能力。如果信息保护系统不能完全满足这些要求,则顺利完成任务将比较危险。这些重点包括:
?互操作性:系统能否通过外部接口正确的保护信息;
?可用性:用户是否能够利用系统保护信息和信息资产;
?训练:为使用户能够操作和维护信息保护系统需要进行何种程度的指导;
?人机接口:人机接口是造成用户所犯错误的一个原因。信息保护机制可通过该接口被篡改。
?代价:构造和维护信息保护系统在财政上是否可行。
10生效日期
涉密信息安全体系建设方案
涉密信息安全体系建设方案 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。 安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。 1.2设计方案 智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。
1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。 保密原则: 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。 完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源 规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。 质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。 1.2.3体系建设内容 (1)安全管理体系
医疗信息系统安全实施方案
医疗信息系统安全实施方案 随着数字化医院建设的不断发展和深入,医院的数字化应用越来越多,目前我院已实现了区域HIS、LIS、PACS等系统的应用,主要业务实现了电子化,处方、医嘱、病历、慢病等已实现了无纸化。医院信息系统在医院运行中占据了非常重要的地位,但随之而来系统安全管理的重要性也越来越突出,系统的稳定性和安全性关系到医院各项业务能否顺利开展,关系到患者就诊信息的安全性及连续性,为保障信息系统的安全和运行,特制订以下方案: 一、成立领导小组 医院主任为组长,各副主任为副组长,各科室科长为成员,医院办公室为具体执行科室。 二、建立健全规章制度 建立各项规章制度,如医疗服务档案管理制度、信息管理制度、网络系统管理制度、计算机使用和管理制度等,据统计90%以上的管理和安全问题来自终端,提高各部门人员的安全意识非常重要,我院由分管主任负责组织协调有关人员,加强培训与安全教育,强化安全意识和法制观念,提升职业道德,掌握安全技术,确保这些措施落实到位,责任到人。 三、保证网络的安全 我院采用的是区域HIS、LIS、PACS系统,服务器设在市卫生局,故服务器的安全问题不用我们考虑,目前需要我们解决的是医院网络的安全问题,为了保障单位内部信息安全,规范职工上网行为、降低泄密风险、防止病毒木马等网络风险,我院将统一安装上网行为管理器及管理软件,通过此方法可实现以下主要功能: 通过制定统一的安全策略,限制了移动电脑和移动存储设备随意接入内网;杜绝内网电脑通过拨号、ADSL、双网卡等方式非法外联;保证了医院内网与外界的隔离度,从而大大提高了医院内网的安全性。 通过网络流量控制模块,实时地临控网络终端流量,对异常网络行为,如大流量下载、并发连接数大、网络垃圾广播等行为可以进行自动预警、阻断和事件源定位,极大减少网络拥堵事件,大大提高了网络利用率。
信息系统建设管理制度
信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等; 5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:
网络信息安全系统加固方案设计
XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT系统已经成为XXX整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多,因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要,更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见、WEB应用安全事件层出不穷、,黑客攻击行为几乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着XXX运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。
二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统,(因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患: 1.随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经 无法满足信息安全防护的需要,部署了×XX的安全保障体系仍需要进一步完善, 防火墙系统的不足主要有以下几个方面(略) 2.当前网络不具备针对X攻击专项的检测及防护能力。(略) 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用
信息系统安全方案(加密机制)
物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。
制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。 本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技
信息系统安全规划方案
信构企业信用信息管理系统安全规 划建议书
目录 1.总论 (3) 1.1. 项目背景 (3) 1.2. 项目目标 (3) 1.3. 依据及原则 (4) 1.3.1. 原则 (4) 1.3.2. 依据 (5) 1.4. 项目范围 (7) 2.总体需求 (7) 3.项目建议 (8) 3.1. 信构企业信用信息管理系统安全现状评估与分析 (8) 3.1.1. 评估目的 (8) 3.1.2. 评估内容及方法 (9) 3.1.3. 实施过程 (14) 3.2. 信构企业信用信息管理系统安全建设规划方案设计 (23) 3.2.1. 设计目标 (23) 3.2.2. 主要工作 (24) 3.2.3. 所需资源 (27) 3.2.4. 阶段成果 (27) 4.附录 (27) 4.1. 项目实施内容列表及报价清单 (27)
1.总论 1.1.项目背景 ******************(以下简称“********”)隶属***********,主要工作职责是根据…………………………………………………………的授权,负责………………;负责…………………………等工作。 ********作为*********部门,在印前,需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。 1.2.项目目标 以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合********信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。 从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。
XXX学校信息安全实验室建设方案
XXX 学校信息安全实验室 设计方案
北京网御星云信息技术有限公司 2014-03-30 目录 一、概述 ..................................................... - 4 - 二、设计目的.................................................. - 6 - 三、总体架构.................................................. - 6 - 3.1、所需软硬件............................................ - 7 - 3.2 、培训 ................................................. - 8 -
3.3、实验教材............................................... - 8 - 3.4、产品报价............................................... - 8 - 四、实验和演练................................................. - 8 - 4.1 、网御安全综合网关技术实验................................ - 8 - 4.2 、网御入侵检测技术实验................................... - 9 - 4.3、网御漏洞扫描系统实验................................... - 10 -
电子政务系统信息安全建设方案
电子政务系统信息安全建设方案 概述 电子政务作为国家信息化建设的重点工程,按敏感级别和业务类型,可划分为:涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为提供协同办公、信息传输交互和业务数据处理的网络平台;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。 2安全建设内容 为了保障政府的管理和服务职能的有效实现,需要为电子政务网络建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在电子政务系统的建设中实施信息安全工程,保证电子政务三大网络的安全。电子政务安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 3安全管理体系 安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 4技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 4.1局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境
信息安全规划综述
信息安全体系框架 (第一部分综述)
目录 1概述 (4) 1.1信息安全建设思路 (4) 1.2信息安全建设内容 (6) 1.2.1建立管理组织机构 (6) 1.2.2物理安全建设 (6) 1.2.3网络安全建设 (6) 1.2.4系统安全建设 (7) 1.2.5应用安全建设 (7) 1.2.6系统和数据备份管理 (7) 1.2.7应急响应管理 (7) 1.2.8灾难恢复管理 (7) 1.2.9人员管理和教育培训 (8) 1.3信息安全建设原则 (8) 1.3.1统一规划 (8) 1.3.2分步有序实施 (8) 1.3.3技术管理并重 (8) 1.3.4突出安全保障 (9) 2信息安全建设基本方针 (9) 3信息安全建设目标 (9) 3.1一个目标 (10) 3.2两种手段 (10) 3.3三个体系 (10) 4信息安全体系建立的原则 (10) 4.1标准性原则 (10) 4.2整体性原则 (11) 4.3实用性原则 (11)
4.4先进性原则 (11) 5信息安全策略 (11) 5.1物理安全策略 (12) 5.2网络安全策略 (13) 5.3系统安全策略 (13) 5.4病毒管理策略 (14) 5.5身份认证策略 (15) 5.6用户授权与访问控制策略 (15) 5.7数据加密策略 (16) 5.8数据备份与灾难恢复 (17) 5.9应急响应策略 (17) 5.10安全教育策略 (17) 6信息安全体系框架 (18) 6.1安全目标模型 (18) 6.2信息安全体系框架组成 (20) 6.2.1安全策略 (21) 6.2.2安全技术体系 (21) 6.2.3安全管理体系 (22) 6.2.4运行保障体系 (25) 6.2.5建设实施规划 (25)
信息安全体系建设方案设计.doc
信息安全体系建设方案设计1 信息安全体系建设方案设计 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。 安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统,其设备为:
1.2设计方案 智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。 1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的 《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。 保密原则: 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三
医院信息安全系统建设方案设计
***医院 信息安全建设方案 ■文档编号■密级 ■版本编号V1.0■日期 ? 2019
目录 一. 概述 (2) 1.1项目背景 (2) 1.2建设目标 (3) 1.3建设内容 (3) 1.4建设必要性 (4) 二. 安全建设思路 (5) 2.1等级保护建设流程 (5) 2.2参考标准 (6) 三. 安全现状分析 (7) 3.1网络架构分析 (7) 3.2系统定级情况 (7) 四. 安全需求分析 (8) 4.1等级保护技术要求分析 (8) 4.1.1 物理层安全需求 (8) 4.1.2 网络层安全需求 (9) 4.1.3 系统层安全需求 (10) 4.1.4 应用层安全需求 (10) 4.1.5 数据层安全需求 (11) 4.2等级保护管理要求分析 (11) 4.2.1 安全管理制度 (11) 4.2.2 安全管理机构 (12) 4.2.3 人员安全管理 (12) 4.2.4 系统建设管理 (13) 4.2.5 系统运维管理 (13) 五. 总体设计思路 (14) 5.1设计目标 (14) 5.2设计原则 (15) 5.2.1 合规性原则 (15) 5.2.2 先进性原则 (15) 5.2.3 可靠性原则 (15) 5.2.4 可扩展性原则 (15) 5.2.5 开放兼容性原则 (16) 5.2.6 最小授权原则 (16) 5.2.7 经济性原则 (16)
六. 整改建议 (16) 6.1物理安全 (16) 6.2网络安全 (17) 6.3主机安全 (19) 6.3.1 业务系统主机 (19) 6.3.2 数据库主机 (21) 6.4应用安全 (22) 6.4.1 HIS系统(三级) (22) 6.4.2 LIS系统(三级) (24) 6.4.3 PACS系统(三级) (26) 6.4.4 EMR系统(三级) (27) 6.4.5 集中平台(三级) (29) 6.4.6 门户网站系统(二级) (31) 6.5数据安全与备份恢复 (32) 6.6安全管理制度 (33) 6.7安全管理机构 (33) 6.8人员安全管理 (34) 6.9系统建设管理 (34) 6.10系统运维管理 (35) 七. 总体设计网络拓扑 (38) 7.1设计拓扑图 (38) 7.2推荐安全产品目录 (39) 八. 技术体系建设方案 (41) 8.1外网安全建设 (41) 8.1.1 抗DDos攻击:ADS抗DDos系统 (41) 8.1.2 边界访问控制:下一代防火墙NF (43) 8.1.3 网络入侵防范:网络入侵防御系统NIPS (46) 8.1.4 上网行为管理:SAS (48) 8.1.5 APT攻击防护:威胁分析系统TAC (50) 8.1.6 Web应用防护:web应用防火墙 (54) 8.2内外网隔离建设 (58) 8.2.1 解决方案 (59) 8.3内网安全建设 (61) 8.3.1 边界防御:下一代防火墙NF (61) 8.3.2 入侵防御 (62) 8.3.3 防病毒网关 (63) 8.3.4 APT攻击防护 (67) 8.4运维管理建设 (68) 8.4.1 运维安全审计:堡垒机 (68) 8.4.2 流量审计:网络安全审计-SAS (70) 8.4.3 漏洞扫描:安全评估系统RSAS (75)
集团公司网络安全总体规划方案
集团公司网络安全总体规划方案 信息安全建设规划建议书昆明睿哲科技有限公司xx 年11 月目录第 1 章综述、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 1、1 概述、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 1、2 现状分析、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 1、3 设计目标、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 第 2 章信息安全总体规划、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 2、1 设计目标、依据及原则、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 2、1、1 设计目标、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。
2、1、2 设计依据、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 2、1、3 设计原则、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 2、2 总体信息安全规划方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 2、2、1 信息安全管理体系、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 2、2、2 分阶段建设策略、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 第 3 章分阶段安全建设规划、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 3、1 规划原则、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。 3、2 安全基础框架设计、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、错误 !未定义书签。
企业信息安全总体规划方案
企业信息安全总体规划方 案 Prepared on 22 November 2020
XXXXX公司 信息安全建设规划建议书 YYYY科技有限公司 201X年XX月
目录 综述 概述 信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效
的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。 企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。 与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑,应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。 本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。 现状分析 目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部
信息系统安全建设方案
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络
网络安全体系建设方案(2018)
... 网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)
根据《网络安全法》《信息安全等级保护管理办法》的相关规范 及指导要求,参照GB/T22080-2008idtISO27001:2005 《信息技术- 安全技术- 信息安全管理体系要求》,为进一步加强公司运营系统及办 公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭 受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本 网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公 司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自2018 年XX 月XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
信息安全建设方案和实施计划
信息安全建设方案和实施计划 一、安全建设内容 为了建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在系统的建设中实施信息安全工程,保证网络的安全。系统安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 二、安全管理体系 安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为系统网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 三、技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 3.1 局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境保护所关注的问题是:在用户进入、离开或驻留于用户终端与服务器的情况下,采用信息保障技术保护其信息的可用性、完整性与机密性。 3.1.1 主机防护 主机保护与监控系统用于保护电子政务内部局域网用户的主机,针对连接到Internet上的个人主机易受外部黑客和内部成员攻击的特性,提供对个人主机操作(文件、注册表、网络通讯、拨号网络等方面)的实时监测,有效保障个人主机数据的完整性和真实性。
3.1.2 非法外联监控 物理隔离网内经常出现私自拨号等非法上网行为,导致物理隔离措施形同虚设,泄密、非法入侵事件时有发生。就需要拨号监控系统可以实时地对这些行为进行监控与报警,并记录操作者的主机名、主机IP以及拨号时间。 3.2 边界安全 保卫边界的目的就是要对流入、流出边界的数据流进行有效的控制和监督,包括基于网络的入侵检测系统、脆弱性扫描器、局域网上的病毒检测器等。综合应用以构成完整的动态防御体系,从而对边界内的各类系统提供保护。 3.2.1 入侵检测 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中存在安全风险的地方。 3.2.2 脆弱性检查 网络漏洞扫描系统能够测试和评价系统的安全性,并及时发现安全漏洞,包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,发现安全隐患。 4.2.3 网络防毒 网络防病毒系统加强对服务器进行保护,提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也安装防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。再加上防病毒制度与措施,就构成了一套完整的防病毒体系。 3.3 网络与网络基础设施安全 保卫系统和基础设施的总的策略是,使用安全性较高的专线和密码技术来传输系统网络节点之间的机密数据,加密方式采用国家相关部门批准的算法。
信息安全等级保护建设方案
信息安全等级保护(二级)建设方案 2016年3月 目录 1.?项目概述 ............................................................................................................................................................. 41.1.?项目建设目标?4 1.2.?项目参考标准 (4) 1.3.?方案设计原则 ............................................................................................................................................... 6
2.系统现状分析7? 2.1.系统定级情况说明..................................................................................................................................... 72.2.?业务系统说明 .............................................................................................................. 错误!未定义书签。 2.3.?网络结构说明 (7) 3.1.?物理安全需求分析8? 3.?安全需求分析 (8) 3.2.?网络安全需求分析?错误!未定义书签。 3.3.主机安全需求分析?错误!未定义书签。 3.4.应用安全需求分析9? 3.5.数据安全需求分析9? 3.6.安全管理制度需求分析9? 4.?总体方案设计 ............................................................................................................................................................ 9 4.1.总体设计目标 ............................................................................................................................................ 94.3.?总体网络架构设计 .. (12) 4.2.?总体安全体系设计10? 4.4.?安全域划分说明?12 5.?详细方案设计技术部分?13 5.1.物理安全13? 5.2.?网络安全 .................................................................................................................................................. 13 5.2.1.?安全域边界隔离技术 (13) 5.2.2.?入侵防范技术13? 5.2.3.网页防篡改技术14? 5.2.4.链路负载均衡技术14? 5.2.5.?网络安全审计 .......................................................................................................................................... 14 5.3.?主机安全 (15) 5.3.1.数据库安全审计................................................................................................................................... 15 5.3.2.?运维堡垒主机?15 5.4.?应用安全 ..................................................................................................................................................... 16 5.3.3.?主机防病毒技术1?6 6.详细方案设计管理部分 (16) 6.1.总体安全方针与安全策略 (17) 6.2.信息安全管理制度18? 6.3.安全管理机构 (18) 6.4.?人员安全管理 .......................................................................................................................................... 18 6.5.系统建设管理19? 6.6.?系统运维管理1?9 6.7.安全管理制度汇总21? 7.?咨询服务和系统测评 (22) 7.1.系统定级服务22? 7.2.风险评估和安全加固服务?22 7.2.1.?漏洞扫描2?2 7.2.2.渗透测试2?2 7.2.3.配置核查....................................................................................................................................... 22 7.2.4.?安全加固?22 7.2.5.安全管理制度编写 (24)
信息系统安全建设整改方案要素
信息系统安全建设整改方案要素 6信息系统安全建设整改方案要素 以下整改方案的设计要素主要是针对单个信息系统的,也可参照进行针对整个单位或多个信息系统的整改方案设计。 6.1 项目背景 简述信息系统概况,信息系统在等级保护工作方面的进展情况,例如定级备案情况和安全现状测评情况。 6.2 开展信息系统安全建设整改的法规、政策和技术依据。 列举在建设整改工作中所依据的信息安全等级保护有关法规、政策、文件和信息安全等级保护技术标准。 6.3 信息系统安全建设整改安全需求分析 从技术和管理两方面描述信息系统建设情况、系统应用情况及安全建设情况。结合安全现状评估结果,分析信息系统现有保护状况与等级保护要求的差距,结合信息系统的自身安全需求形成安全建设整改安全需求。 6.4 信息系统安全等级保护建设整改技术方案设计 根据安全需求,确定整改技术方案的设计原则,建立总体技术框架结构,可以从物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应用和数据的安全要求的技术路线。 6.5 信息系统安全等级保护建设整改管理体系设计
根据安全需求,确定整改管理体系的建设原则和指导思想,涉及安全管理策略和安全管理制度体系及其他具体管理措施。 6.6 信息系统安全产品选型及技术指标 依据整改技术设计,确定设备选型原则和部署策略,给出各类安全产品的选型指标和部署图,为设备采购提供依据。 6.7 安全建设整改后信息系统残余风险分析 安全整改可能不能解决所有不符合项目的问题,对于没有解决的问题,分析其可能的风险,提出风险规避措施。 6.8 信息系统安全等级保护整改项目实施计划 安全整改项目的实施需要制定相应的实施计划,落实项目管理部门和人员,对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。 6.9 信息系统安全等级保护项目预算 根据本单位信息化的中长期发展规划和近期的建设投资预算,将等级保护安全整改建设工作纳入整体规划,可以分期分批、有计划地实施建设整改,因此需要对建设项目进行费用预算,预算项目不仅包括安全设备投入,还应根据需要考虑集成费用、等级测评费用、服务费用和运行管理费用等。 面对强大的对手,明知不敌,也要毅然亮剑,即使倒下,也要化成一座山