XX公司网络安全总体规划设计方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX公司
信息安全建设规划建议书
睿哲科技
2013年11月
目录
第1章综述 (3)
1.1 概述 (3)
1.2 现状分析 (4)
1.3 设计目标 (7)
第2章信息安全总体规划 (9)
2.1设计目标、依据及原则 (9)
2.1.1设计目标 (9)
2.1.2设计依据 (9)
2.1.3设计原则 (10)
2.2总体信息安全规划方案 (11)
2.2.1信息安全管理体系 (12)
2.2.2分阶段建设策略 (18)
第3章分阶段安全建设规划 (20)
3.1 规划原则 (20)
3.2 安全基础框架设计 (21)
第4章初期规划 (22)
4.1 建设目标 (22)
4.2 建立信息安全管理体系 (22)
4.3 建立安全管理组织 (25)
第5章中期规划 (28)
5.1 建设目标 (28)
5.2 建立基础保障体系 (28)
5.3 建立监控审计体系 (28)
5.4 建立应急响应体系 (31)
5.5 建立灾难备份与恢复体系 (36)
第6章三期规划 (40)
6.1 建设目标 (40)
6.2 建立服务保障体系 (40)
6.3 保持和改进ISMS (42)
第7章总结 (43)
7.1 综述 (43)
7.2 效果预期 (43)
7.3 后期 (43)
第1章综述
1.1概述
信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。
企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。
与此同时,随着企业业务领域的扩展和规模的快速扩,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,部数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑,应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。
本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各
种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。
1.2现状分析
目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部威胁能有一个基本的防护能力,但是如今的安全威胁和攻击手段日新月异,层出不穷,各种高危零日漏洞不断被攻击者挖掘出来,攻击的目标越来越有针对性,目前的企业所面临的全球安全威胁呈现如下几个新的趋势:
●恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:如
何防未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击?
●高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业:如何阻止不
同的攻击手段?不仅仅是防病毒!需要服务器,终端,网络,数据等各方面多层次的防护,增加威胁防能力
●复杂混乱的应用与外接设备环境:如何确保应用和设备的准入控制?
●繁琐枯燥的系统维护和安全管理:如何更有效利用有限的信息人力资源?
●工具带来的新问题:如何保证安全策略的强制要求,统一管理和实施效果?
●终端接入不受控:如何确保终端满足制定的终端安全策略-终端准入控制
●网页式攻击(Web-based Attack) 已成为最主流的攻击手法:如何确保访问可
靠?
●外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失
从目前大多数企业的信息安全建设来看,针对以上的目前主流的新形势的信
息威胁,企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御,纵深防御的能力,目前大多数企业在安全防护上还有如下的欠缺:
1.2.1 目前信息安全存在的问题
在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估,发现主要有如下的问题:
网络设备安全:
访问控制问题
网络设备安全漏洞
设备配置安全
系统安全:
补丁问题
运行服务问题
安全策略问题
弱口令问题
默认共享问题
防病毒情况
应用安全:
exchange系统的版本问题
apache、iis、weblogic的安全配置问题
serv-U的版本问题
radmin远程管理的安全问题
数据安全:
数据库补丁问题
Oracle数据库默认问题