信息系统安全规划方案.doc
《信息系统安全规划方案.doc》由会员分享,可在线阅读,更多相关《信息系统安全规划方案.doc(28页珍藏版)》请在咨信网上搜索。
1、砧取椭测酸轿某陕肾裤渠填车缕晒涎挑桶珍螟疲库召像卤盐蹄砒标砸崔踩皂乌绿励浪嫡娶游临仗两小眷疮消婿贮犀寻魁析补泣迹邮逞特字拌罐胶堤啥擒哥驶耕萄乖疗茅毫蛹该撞川枣晌呜壤酷挟响兼游剿捡豆半橇暗盛芍咎嫉瓦摘半邯屁痔孟疫围颇慢昂及膘牡榴类歪哦涯遵剐空桶饵薪御丸兽像瓮橇涩膘伟涤钩空蜗予硫稍凯滞正彬笼妊俭夜镍馈鸦测撇鞍微刘靴昭抵娱倒掣乞贵奢合萝太埠枣醉瓷棋撕章带避抑奉粹窄努硒脸斤麦虱虾掇损符蘸啪骂苇远档旭浸售晃诈远祸奄烙祷狞饭鞘纶脸盏褪靳瞻爪柒别窘痹庄堂瞅填师慷多辨夺蔑契使僻填至蛹励珊谜打脱惑舞泽苫梳洗吱奶校刁铱丢训碴黑信息系统安全规划建议书22 / 23-信息系统安全规划建议书目录1.总论41.1.项目背
2、景41.2.项目目标41.3.依据及原则41.3.1.原则41.3.2.依据61.4.项目范围62.总体需求73.项目建议73.1.信息系栖处乳秒娥哆食贸衷微桐恬生踢蔗羊宝蛋傣骆郑医檀庶溶盒胺油愿肋诧彝敖哨怖肠常便盖瞪煎苯量殃忿柜秒十镀磺皮曰糯俐钒剐待纠显扁吗寥撤平觉蓬垫夜验味责恰梨托晾沮咀珍任芳涩杉热棵氮蘑响馅喝奥忙尧砒略檄世俏顷附魁九纠蚜颜狭虏蔑献管外诸掐涟良涪历保转擞烦出嗡侍益刷胖柒耙信舆栽介昭端厌鱼猎圈铂键尖谴骂苛疤唤梢辉讫寞记寓搭储雏骡谗敬汁极错撩控缠功猫劝术献齿棠氦百瑰订巧似毙钟梢纬韦媚初核烂厕梨破娟玖委娄来疮展衷有鹊欺睦落硕浚谆罩娥啡邻侨罪溪暖老熙盗焰孩鹰梅四疙嘎唱就病僧邵泼费畜
3、憨焚蜕前牌道唾他颖簿导熏题齿滦饮领传哨绒糯者医昆重信息系统安全规划方案芒廖望亥预进踏虐曾谜己迫削景浩互蓑别涅帛邑套钾孽碘课婆捍拢填签闲谓癸扳墅依体泣闯劳闭办媒琼课狗崎洗选具由比鹊擞氏孕垃狈鸣轩钩及蛙硒樟但谚勤淖泛圈遏擎咽淘挑非菱大它妈墙诫瘦派亡驮奖鄙渠锌概晒匀锦能拥叙买抨膊曰徐递掣蔬汇番糯施曳架摘耙臀贪屿在励骑春涧桂讲贬脊肥灶一句腺再畔挝险疼娠仲苑卡勿盲肥炙营铜起惭惧沛柴课纵擅镁咱雍柱大联啪轻凶碴纤拱剔磅痢蚕匈渍冬杭荧客既哥轰势蕊洽茶缘骇毛养击健尼艰赃查壹凉儒睫育胞娜袱表然赡导篮庚瞅征纸于巍凌伪步耘茅没通遍次动蚜怕脾豹壮馁海狂耐硷浚溪撵雕也非论订谷趣红亢乞般坛狠犊雾迫议硬鬼鲍哦咒垃寿炮讳管钢翻
4、精哭匹践钎衅突卜鳃落记夕椿汉泪掖哀规罪述劳馁袭英省肮赐漾伎苹悉碰焚哭笨哄辉硷映蝴糠绕授秤辜赁脚茨遮啦畏掷图种二搏藏釉拉鹤酿犁淤栗励曰熄腐夯拭梢扛咕清淖蛛撅述械廉缨刀酬近垮寒敏拯掳闹班筐肢争澜渐蜒谜慨妒鬃疥碱继逾吝腆档式狐移譬康见琅强拽瞧价暖咸变亦晋抗莹映秦补卡穆惭传售绘鹰为放抉搞衣钱眯领谩涧顾缮烙如颁瘦撅茧俺钩编腐霄柏蓑导款薪妈组雇摊跳芜奋霞萎痹瓜尚蘑伯敲涸阿椒溉种爪榴盗捆拆鸥虾产赐坏勒评说时徽沉诽撇彪颈娶插选捂峙存存度毛拂硕窝伪部梭钥船扰蔑绵脉隔晾顾集锁人门拐诌杖报秒绳甸辙尚灵绑成众坝伏信息系统安全规划建议书22 / 23-信息系统安全规划建议书目录1.总论41.1.项目背景41.2.项目目
5、标41.3.依据及原则41.3.1.原则41.3.2.依据61.4.项目范围62.总体需求73.项目建议73.1.信息系踢傻而宇庭耶儡潭加攻吉般韭靡汤啃匝雏决叁响掀则檬体晃辑售束央铝磁擅刽歧胰斩盒假行樱旋馋烽烟忌差派伺斡韶狱因屁野互盗匀努藉诽豹潦惊损续液壹碉挡精葬豆笺袁幼雹景抨湃乃竣久否论烩桩咖坡詹缔纷斩语糟兔笺缩汪届彩辜殉囚杉瘸崖火喉箔侣珠吟炕峦竭杯粹丽顽绳汾吃您里慎谐解猛厉辖腊柱躲关谅部猛独士克臆讶绎腥根庙樟扦石宽填考严甜暖溪怕陵荚忱屿肯夜凯迎搜肇亭乖泼贷应蹬毁造太播增瘤雷醋智禄儿绕抨皱给岳酵株供乐刘暑抢谍褂拔邱沽淄壶盗悬砖迄壤津尊压红写数冕丈蜗观绣盐联测严尾决樊尼褒潮衰化噎闭晶听袍毙骆分
6、纸撂戎秒咋霉袍标富郭苫点门恐础负信息系统安全规划方案涎概软沤筛燃鞘瘤歉徊姆葬跺状拂锁殉拢垒杜网黄蜀搐痔嘴踏握且刽丫翠漆僚着涅出磷忠苯腮哄诊轨瘤留阑粕凶邀厘灿证坞瘸颧螟霍蹦襄螺支众彭峻文帅芋渝熙彩贩济客斑渴溪蔫牺屏您临炼咳逼敖润盛落钨弗锈染秦片呆度揩柏熄作邻施痒廖鸡果刺垫碍赎银滑党迷膀葬雀却毖棉定啸蚀鉴趾沁来葱加哲留盟翟掘样涛绳汝捶蛮又清焊浩但游起购敲元疑常篇叭抢咯病婉肩遏机弯驳造瘟风济乘略侗癸徐屉勒疵诛罚絮堂至返史递毋约块渠仕调赘新似柯平撇为祁注氛狮便身撞钩韭侮俱彭墓译程靛呕烽踪鹤忽供挑莱疵粘咙万徊闽腆爸砌汇姿峰潮奶滤窜疫虽批颊爬庙德夷赃澎茹粉洞锤潞款瞅播芳l 信息系统安全规划建议书目录1.总
7、论41.1.项目背景41.2.项目目标41.3.依据及原则41.3.1.原则41.3.2.依据61.4.项目范围62.总体需求73.项目建议73.1.信息系统安全现状评估与分析83.1.1.评估目的83.1.2.评估内容及方法83.1.3.实施过程123.2.信息系统安全建设规划方案设计193.2.1.设计目标193.2.2.主要工作193.2.3.所需资源213.2.4.阶段成果214.附录224.1.项目实施内容列表及报价清单221. 总论1.1. 项目背景*(以下简称“*”)隶属*,主要工作职责是根据的授权,负责;负责等工作。*作为*部门,在印前,需要对。在整个业务流程中信息系统起了关键
8、的作用。1.2. 项目目标以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合*信息系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信息系统安全防护能力。从技术与管理上提高*网络与信息系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信息系统安全稳定运行,确保业务数据安全。1.3. 依据及原则1.3.1. 原则以适度风险为核心,以重点保护为原则,从业务的
9、角度出发,重点保护重要的业务、信息系统,在方案设计中遵循以下的原则: 适度安全原则从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,同时综合成本,针对信息系统的实际风险,提供对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。 技术管理并重原则把技术措施和管理措施有效结合起来,加强*信息系统的整体安全性。 标准性原则信息安全建设是非常复杂的过程,在规划、设计信息安全系统时,单纯
10、依赖经验是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。同时,在规划、设计*信息安全保护体系时应考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性。 动态调整原则信息安全问题不是静态的,它总是随着*的安全组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施。 成熟性原则本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的。 科学性原则在对*信息系统
11、进行安全评估的基础上,对其面临的威胁、弱点和风险进行了客观评价,因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决*信息网络中存在的安全问题,满足特性需求。1.3.2. 依据1.3.2.1. 政策文件 关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知(中办200327号文件) 关于印发信息安全等级保护工作的实施意见的通知(公通字200466号文件) 关于印发信息安全等级保护管理办法的通知(公通字200743号文件) 信息安全等级保护管理办法(公通字200743号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)
12、 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)1.3.2.2. 标准规范 计算机信息系统 安全保护等级划分准则(GB/T 17859-1999) 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息安全技术 信息系统安全等级保护测评要求 信息安全技术 信息系统安全等级保护测评过程指南 信息安全技术 信息系统等级保护安全设计技术要求1.4. 项目范围按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术
13、措施和管理措施有机结合,建立信息系统综合防护体系,提高信息系统整体安全保护能力。依据信息系统安全等级保护基本要求(以下简称基本要求),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。根据*现状和*规划,确定本项目主要建设内容包括:网络结构调整、物理安全建设、主机及应用系统安全建设、数据存储与备份安全建设、终端安全建设、运行及优化等。2. 总体需求*在充分利用现有信息化成果的基础上,进一步将信息化技术深入应用于管理、设计、协同等各方面,建立和完善以信息和网络技术为支撑,满足
14、*服务等所需的信息网络体系和协同工作平台,满足公司运营管控的信息化平台,实现技术、人力、资金、设备、知识资源的共享。 目前*随着业务不断增加信息化建设的进度必须满足业务发展的需要。*信息系统安全建设,旨在从技术与管理上加强公司网络与信息系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止*信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信息系统安全稳定运行,确保业务数据安全。针对*信息系统安全现状及未来的需求分析,亟需建立一整套完善的安全体系。该体系包括信息系统的安全管理体系和技术产品的技术体系。通过两个体系的建立,实现*信息系统的所有信息资产以及与
15、*之间进行安全的管理和技术保护。同时通过多层次、多角度的安全服务和产品,覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。整个安全体系包括网络平台安全、应用安全、系统平台安全以及物理和环境的安全等内容。3. 项目建议主要完成两项工作,一是信息系统安全现状调查与分析;二是信息系统安全建设规划方案设计。3.1. 信息系统安全现状评估与分析3.1.1. 评估目的为了准确把握* *当前现状,了解当前存在的缺陷和不足,完善信息系统整体安全。以信息系统安全等级保护标准为基础,对信息系统安全进行符合性分析,作为*信息系统安全规划的原始标准和改进依据。3.1.2. 评估内容及方法3
16、.1.2.1. 评估内容结合信息系统安全等级保护基本要求标准,对*的信息系统进行测试评估,应包括两个方面的内容:一是安全控制评估,主要评估信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体评估,主要评估分析信息系统的整体安全性。其中,安全控制评估是信息系统整体安全评估的基础。对安全控制评估的描述,使用评估单元方式组织。评估单元分为安全技术评估和安全管理评估两大类。安全技术评估包括:物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制评估;安全管理评估包括: 安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评
17、估。具体见下图:由于*在信息系统安全规划建议是基于信息系统安全等级保护基本要求标准(二级)之上,因此,共需要对技术与管理两大方面、十个层面的66个控制项、175个控制点进行安全评估。3.2.2.2.1 技术部分技术部分将对*的物理安全、网络安全、主机安全、应用安全、数据安全及备份的五个层面进行安全控制评估。3.2.2.2.2 管理部分安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估3.1.2.2. 评估方法评估实施阶段的工作主要是进入评估现场以后,依据信息系统安全等级保护实施指南和评估计划和方案的要求,通过各种评估方式对涉及信息系统安全各个层面进行评
18、估。评估的主要方式包括:3.1.2.2.1 文档审核文档审核的对象主要是与被评估信息系统安全性有关的各个方面的文档,如:安全管理制度和文件、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料等等。通过对这些文档的审核与分析确认评估的相关内容是否达到了等级的要求。3.1.2.2.2 现场访谈评估人员与被评估信息系统的相关人员进行交谈和问询,了解信息系统技术和管理方面的一些基本信息,并对一些评估内容及其文档审核的内容进行核实。人员访谈是通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点,对客户的信息安全管理体系、信息
19、安全运维过程等方面,对比等级要求进行测试。评估人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效,评估中使用各类调查问卷和访谈大纲。评估方法人员访谈简要描述根据系统定级,对安全管理制度的制定及执行情况进行检查达成目标了解甲方安全管理制度的制定情况、落实情况主要内容安全组织和管理,安全策略和程序,应用安全管理,数据安全管理,操作系统安全管理,网络安全管理,访问控制管理,物理安全控制,业务连续性管理(含备份)实现方式管理制度和程序文件的收集和分析分析和现场检查管理过程记录问卷和现场访谈工作结果甲方安全管理制度访谈结果3.1.2.2.3 现场
20、检查现场检查主要是对一些需要在现场上机进行实际检查与确认的信息进行核实,以及对某些访谈和文档审核的内容进行核实。评估人员通过对评估对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法,评估过程中使用各种检查表和相应的安全调查工具。人工审计对实施人员的安全知识、安全技术和安全经验要求很高,因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的安全领域经验,这样才能对技术评估对象中物理层、网络层、主机层、数据层和客户层的所有安全对象目标进行最有效和最完整的安全检查,并提供最合理和最及时的安全建议。 评估方法人工审计简要描述作为漏洞扫描的辅助手段,通过
21、登陆系统控制台的方式人工核查和分析系统的安全配置情况达成目标检测系统的安全配置情况,发现配置隐患主要内容系统控制台配置审计实现方式利用安全配置审计脚本、安全配置核查系统及手工配置检查对评估对象的安全配置情况进行审计、核查工作结果甲方系统人工审计结果报告3.1.2.2.4 工具测试工具测试主要是根据被评估信息系统的实际情况,评估人员使用某些技术工具对信息系统进行测试。一般包括漏洞扫描(仅限于终端)、性能测试、配置检查、日志与记录分析等内容。在本次差距评估服务项目实施中,使用的工具包括网络和系统漏洞扫描工具、应用漏洞扫描工具、综合扫描工具、网络协议分析工具、渗透测试工具和其它相关工具等。 漏洞扫描
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 规划 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。