集团公司网络安全总体规划方案

昆明钢铁集团公司

信息安全建设规划建议书

昆明睿哲科技有限公司

2013年11月

综述

概述

现状分析

设计目标

信息安全总体规划

设计目标、依据及原则2.1.1设计目标

2.1.2设计依据

2.1.3设计原则

总体信息安全规划方案2.2.1信息安全管理体系2.2.2分阶段建设策略

分阶段安全建设规划

规划原则

安全基础框架设计

初期规划

建设目标

建立信息安全管理体系

建立安全管理组织

中期规划

建设目标

5.

5.

6.

1.0 . .12

12

12

12 1. 3 15

15

22 24 2.4 . 2.5 . 2.7 . 27.

27 3.0 . 33.

33.

目录第1章

1.1 1.2 1.3

第2章

2.1 22

第3章3.1 3.2

第4章

4.1 4.2 4.3

第5章5.1

建立基础保障体系 (33)

建立监控审计体系 (33)

建立应急响应体系 (36)

建立灾难备份与恢复体系 ........................................................ 4.1 ......

三期规划 ....................................................................... 45 ...........

建立服务保障体系

保持和改进ISMS ........................................................................................ 47 .........

总结 ................................................................ 48 ........... 综述 ............................................................... 48 ............

效果预期 ........................................................... 48 ............

5.2 5.3 5.4 5.5

第6章

6.1

6.2 6.3

第7章

7.1 7.2 7.3

建设目标 ..................................................................................................................... 45 ..........

.4.5.

后期............................................................................................................................. 48 ...........

第1章综述

1.1概述

信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息

的竞争，随着企业的业务的快速增长、企业信息系统规模的不断扩大，企业对信息技术的依赖性也越来越强，企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，确保信息系统稳定、安全的运行，保证企业知识资产的安全，已经成为现代企业发展创新的必然要求，信息安全能力已成为企业核心竞争力的重要部分。

企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。

与此同时，随着企业业务领域的扩展和规模的快速扩张，为了满足企业发展和业务需要，企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展，为了满足生产的高速发展，市场的大力扩张，企业决定在近期进行信息安全系统系统的调研建设，因此随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、制卡系统的高效安全的运行，不因各种安全威胁的破坏而中断，信息安全建设不可或缺，信息安全建设必然应该和当前的信息化建设进行统一全局考虑，应该在相关的重要信息化建设中进行安全前置的考虑和规划，避免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生

本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信

息安全产品和技术，帮助企业建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。

1.2现状分析

目前企业已经在前期进行了部分信息安全的建设，包括终端上的一部分防病毒，网络边界处的基本防火墙等安全软件和设备，在很大程度上已经对外部威胁能有一个基本的防护能力，但是如今的安全威胁和攻击手段日新月异，层出不穷，各种高危零日漏洞不断被攻击者挖掘出来，攻击的目标越来越有针对性，目前的企业所面临的全球安全威胁呈现如下几个新的趋势：恶意攻击数量快速增加，攻击手段不断丰富，最新的未知威胁防不胜防：如何防范未知威胁，抵御不同攻击手段和攻击途径带来的信息安全冲击？

高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业：如何阻止不同的攻击手段？不仅仅是防病毒！需要服务器，终端，网络，数据等各方面多层次的防护，增加威胁防范能力

复杂混乱的应用与外接设备环境：如何确保应用和设备的准入控制？

繁琐枯燥的系统维护和安全管理：如何更有效利用有限的信息人力资源？工具带来的新问题：如何保证安全策略的强制要求，统一管理和实施效果？终端接入不受控：如何确保终端满足制定的终端安全策略-终端准入控制网页式攻击(Web-based Attack) 已成为最主流的攻击手法：如何确保访问可靠网站？

内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失