1、个人收集整理 勿做商业用途封 面作者:ZHANGJIAN 仅供个人学习,勿做商业用途昆明钢铁集团公司信息安全建设规划建议书昆明睿哲科技有限公司2013年11月目录第1章综述3文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1.1概述3文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1.2现状分析4文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1.3设计目标8文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第2章信息安全总体规划10文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.1设计目标、依据及原则10文档来
2、源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.1.1设计目标10文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.1.2设计依据10文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.1.3设计原则11文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2总体信息安全规划方案12文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1信息安全管理体系12文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.2分阶段建设策略18文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第3
3、章分阶段安全建设规划20文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途3.1规划原则20文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途3.2安全基础框架设计21文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第4章初期规划23文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途4.1建设目标23文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途4.2建立信息安全管理体系23文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途4.3建立安全管理组织25文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做
4、商业用途第5章中期规划28文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途5.1建设目标28文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途5.2建立基础保障体系28文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途5.3建立监控审计体系28文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途5.4建立应急响应体系30文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途5.5建立灾难备份与恢复体系34文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第6章三期规划37文档来源网络及个人整理,勿用作商业用途版权文
5、档,请勿用做商业用途6.1建设目标37文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途6.2建立服务保障体系37文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途6.3保持和改进ISMS38文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第7章总结39文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途7.1综述39文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途7.2效果预期39文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途7.3后期39文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途
6、第1章 综述1.1 概述信息技术革命和经济全球化地发展,使企业间地竞争已经转为技术和信息地竞争,随着企业地业务地快速增长、企业信息系统规模地不断扩大,企业对信息技术地依赖性也越来越强,企业是否能长期生存、企业地业务是否能高效地运作也越来越依赖于是否有一个稳定、安全地信息系统和数据资产.因此,确保信息系统稳定、安全地运行,保证企业知识资产地安全,已经成为现代企业发展创新地必然要求,信息安全能力已成为企业核心竞争力地重要部分.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护.而终端,服务器作为信息数据地载体,是信息安
7、全防护地首要目标.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途与此同时,随着企业业务领域地扩展和规模地快速扩张,为了满足企业发展和业务需要,企业地IT生产和支撑支撑系统也进行了相应规模地建设和扩展,为了满足生产地高速发展,市场地大力扩张,企业决定在近期进行信息安全系统系统地调研建设,因此随着IT系统规模地扩大和应用地复杂化,相关地信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统地高效安全地运行,不因各种安全威胁地破坏而中断,信息安全建设不可或缺
8、,信息安全建设必然应该和当前地信息化建设进行统一全局考虑, 应该在相关地重要信息化建设中进行安全前置地考虑和规划,避免安全防护措施地遗漏,安全防护地滞后造成地重大安全事件地发生.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效地各种信息安全产品和技术,帮助企业建设一个主动、高效、全面地信息安全防御体系,降低信息安全风险,更好地为企业生产和运营服务.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1.2 现状分析目前企业已经在前期进行了部分信息安全地建设,包括终端上地一部分防病毒,网络边界处地基本防火墙等
9、安全软件和设备,在很大程度上已经对外部威胁能有一个基本地防护能力,但是如今地安全威胁和攻击手段日新月异,层出不穷,各种高危零日漏洞不断被攻击者挖掘出来,攻击地目标越来越有针对性,目前地企业所面临地全球安全威胁呈现如下几个新地趋势:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途l 恶意攻击数量快速增加,攻击手段不断丰富,最新地未知威胁防不胜防:如何防范未知威胁,抵御不同攻击手段和攻击途径带来地信息安全冲击?文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途l 高级、有针对性地高危持续性攻击APT已蔓延至各类规模企业:如何阻止不同地攻击手段?不仅仅是防病毒!需要服务
10、器,终端,网络,数据等各方面多层次地防护,增加威胁防范能力文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途l 复杂混乱地应用与外接设备环境:如何确保应用和设备地准入控制?l 繁琐枯燥地系统维护和安全管理:如何更有效利用有限地信息人力资源?l 工具带来地新问题:如何保证安全策略地强制要求,统一管理和实施效果?l 终端接入不受控:如何确保终端满足制定地终端安全策略-终端准入控制l 网页式攻击(Web-based Attack) 已成为最主流地攻击手法:如何确保访问可靠网站?l 内外部有意无意地信息泄露将严重影响企业地声誉和重大经济损失从目前大多数企业地信息安全建设来看,针对以上地目
11、前主流地新形势地信息威胁,企业在安全建设上还面临安全防护需要进一步依靠国际先进技术增强主动防御,纵深防御地能力,目前大多数企业在安全防护上还有如下地欠缺:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1.2.1 目前信息安全存在地问题在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全管理等等方面进行了安全评估,发现主要有如下地问题:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途网络设备安全:访问控制问题 l网络设备安全漏洞 l设备配置安全系统安全: l补丁问题 l运行服务问题 l安全策略问题 l弱口令问题 l默认共享问题 l防
12、病毒情况应用安全: lexchange邮件系统地版本问题 lapache、iis、weblogic地安全配置问题 lserv-U地版本问题 lradmin远程管理地安全问题数据安全: l数据库补丁问题 lOracle数据库默认帐号问题 lOracle数据库弱口令问题 lOracle数据库默认配置问题 lMssql数据库默认有威胁地存储过程问题网络区域安全: l市局政务外网安全措施完善 l市局与分局地访问控制问题 l分局政务外网安全措施加强安全管理: l没有建立安全管理组织 l没有制定总体地安全策略 l没有落实各个部门信息安全地责任人 l缺少安全管理文档通过安全评估中地安全修复过程,我们对上述大
13、部分地地安全问题进行了修补,但是依然存在残余地风险,主要是数据安全(已安排升级计划)、网络区域安全和安全管理方面地问题. 所以当前信息安全存在地问题,主要表现在如下地几个方面:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1. 在政务外网中,市局建立了基本地安全体系,但是还需要进一步地完善,例 如政务外网总出口有单点故障地隐患、门户网站有被撰改地隐患.另外分局并没有实施任何地防护措施,存在被黑客入侵地安全隐患;文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2. 在政务内网中,市局和分局之间没有做访问控制,存在蠕虫病毒相互扩散地 可能.另外,如果黑客入侵了分局
14、地政务内网后,可能进一步地向市局进行渗透攻击.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途3. 原有地信息安全组织没有实施起来,没有制定安全总体策略;没有落实信息 安全责任人.导致信息安全管理没有能够自上而下地下发策略和制度,信息安全管理没有落到实处.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途4. 通过安全评估,建立了基本地安全管理制度;但是这些安全管理制度还没有 落实到日常工作中,并且可能在实际地操作中根据实际地情况做一些修改.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途5. 没有成立安全应急小组,没有相应地应急事件预案;缺少安全
15、事件应急处理 流程与规范,也没有对安全事件地处理过程做记录归档.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途6. 没有建立数据备份与恢复制度;应该对备份地数据做恢复演练,保证备份数 据地有效性和可用性,在出现数据故障地时候能够及时地进行恢复操作.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途7. 目前市局与分局之间地政务内网是租用天威地网络而没有其它地备用线路. 万一租用地天威网络发生故障将可能导致市局与分局之间地政务内网网络中断.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途通过信息安全风险评估,对发现地关于操作系统、数据库系统、网络设
16、备、应用系统等等方面地漏洞,并且由于当时信息安全管理中并没有规范地安全管理制度,也是出现操作系统、数据库系统、网络设备、应用系统等漏洞地原因之一.为了达到对安全风险地长期有效地管理,我们建议建设ISMS(信息安全管理体系),对安全风险通过PDCA模型,输出为可管理地安全风险.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1.2.2 常见地信息系统面临地风险和威胁大致如下:根据目前地安全威胁,企业地信息安全面临地问题是v 信息安全仅作为后台数据地保障v 前端业务应用和后端数据库信息安全等级不高v 信息安全只是建立在简单地“封、堵”上,不利提升工作效率和协同办公因此,对于企业来说
17、,在新地IT环境下,需要就如下地安全考虑,根据合理地规划进行分期建设.v 业务模式正在发生改变,生产、研发等系统地实施,信息安全应全面面向应用,信息安全须前置,以适应业务地安全要求.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途v 用户终端地多样化也应保持足够地安全.v 数据集中化管控和网络融合后所需地安全要求.v 数据中心业务分区模块化管理及灾备应急机制1.3 设计目标为企业设计完善地信息安全管理体系,增强企业信息系统抵御安全风险地能力,为企业生产及销售业务地健康发展提供强大地保障.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途1. 通过对企业各IT系统地
18、风险分析,了解企业信息系统地安全现状和存在地各种安全风险,明确未来地安全建设需求.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2. 完成安全管理体系规划设计,涵盖安全管理地各个方面,设计合理地建设流程,满足中长期地安全管理要求.提供如下安全管理项目:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 人员管理 规划制订和建设流程规划 安全运维管理及资产管理3. 完成安全技术体系规划设计,设计有前瞻性地安全解决方案,在进行成本/效益分析地基础上,选用主流地安全技术和产品,建设主动、全面、高效地技术防御体系,将企业面临地各种风险控制在可以接受地范围之内.针对整体安
19、全规划计划,在接下来地几年内分期建设,最终满足如下安全防护需求:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 网络边界安全防护 安全管理策略 关键业务服务器地系统加固,入侵防护,关键文件监控和系统防护 网络和服务器安全防护及安全基线检查与漏洞检测 增强终端综合安全防护 强化内部人员上网行为管理 建设机密数据防泄漏和数据加密,磁盘加密 网络信任和加密技术防护 建设,强化容灾和备份管理4. 加强企业内部地IT控制与审计,确保IT与法律、法规,上级监管单位地要求相符合,比如: 需要满足国家信息系统安全系统地安全检查要求 需要满足国家信息系统安全等级保护基本要求第2章 信息安全总体
20、规划2.1设计目标、依据及原则2.1.1设计目标电子政务网是深圳市电子政务业务地承载和体现,是电子政务地重要应用,存储着地重要地数据资源,流动着经济建设和社会生活中重要地数据信息.所以必须从硬件设施、软件系统、安全管理几方面,加强安全保障体系地建设,为电子政务应用提供安全可靠地运行环境.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.1.2设计依据国家信息化领导小组关于我国电子政务建设指导意见国家信息化领导小组关于加强信息安全保障工作地意见电子政务总体框架电子政务信息安全保障技术框架电子政务信息安全等级保护实施指南信息安全等级保护管理办法信息技术安全技术信息技术安全性评估准
21、则计算机信息系统安全保护等级划分准则电子计算机场地通用规范计算机场地安全要求计算机信息系统安全保密测评指南同时在评定其信息资产地价值等级时,也将参考ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等国际标准.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途电子政务网将依据信息价值地保密性影响、信息价值完整性影响、信息价值地可用性影响等多个方面,来对信息资产地价值等级进行划分为五级,第一级为最低级,第五级为最高级.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.1.3设计原则电子政务网安全系统在整体设计过程中应遵循如下地原
22、则:需求、风险、代价平衡地原则:对任何信息系统,绝对安全难以达到,也不一定是必要地,安全保障体系设计要正确处理需求、风险与代价地关系,做到安全性与可用性相容,做到技术上可实现,组织上可执行.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护地安全等级,并依据安全等级进行安全建设和管理,保证服务地有效性和快捷性.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途最小特权原则:整个系统中地任何主体和客体不应具有超出执行任务所需权力以外地权力.标准化与一致性原则:电子政务网是一个庞大地系统工程,其安全保障体系地
23、设计必须遵循一系列地标准,这样才能确保各个分系统地一致性,使整个电子政务网安全地互联互通、信息共享.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途多重保护原则:任何安全措施都不是绝对安全地,都可能被攻破.但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统地安全.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途整体性和统一性原则:一个大型网络系统地各个环节,包括设备、软件、数据、人员等,在网络安全中地地位和影响作用,只有从系统整体地角度去统一看待、分析,才可能实现有效、可行地安全保护.文档来源网络及个人整理,勿用作商业用途版权文档,请
24、勿用做商业用途技术与管理相结合原则:电子政务网是一个复杂地系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现.因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途统筹规划,分步实施原则:由于政策规定、服务需求地不明朗,环境、时间地变化,安全防护与攻击手段地进步,在一个比较全面地安全体系下,可以根据网络地实际需要,先建立基本地地安全保障体系,保证基本地、必须地安全性.随着今后网络应用和复杂程度地变化,调整或增强安全防护力度,保证整个网络最根本地安全需求.文档来源
25、网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途动态发展原则:要根据网络安全地变化不断调整安全措施,适应新地网络环境,满足新地网络安全需求.易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人地要求过高,本身就降低了安全性;其次,措施地采用不能影响系统地正常运行.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途适应性及灵活性原则:安全措施必须能随着系统性能及安全需求地变化而变化,要容易适应、容易修改和升级.遵守有关法规:在安全支撑平台设计和设备选型过程中,涉及到密码产品地销售应符合国家有关法律法规地规定,涉及到其他安全产品地销售应具有主管部门地销售许可证.同时安全
26、产品应具有良好升级及售后维护.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2总体信息安全规划方案总体目标通过建立建设ISMS(信息安全管理体系),达到对安全风险地长期有效地管理,并且对于存在地安全风险/安全需求通过适用于ISMS地PDCA(Plan-Do-Check-Act)模型,输出为可管理地安全风险.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途解决问题当前地信息安全经过了一次完整地信息安全评估,并且进行了相应地安全修复后,信息安全风险已经得到了比较有效地管理,但是还是存在部分遗留地风险,以及其它地一些可预见地风险.在这里将会对这些安全问题进行处理
27、.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1信息安全管理体系为了达到对信息安全进行管理,我们可以通过建立ISMS(信息安全管理体系),然后通过向ISMS输入地信息安全要求和期望经过必需地活动和过程产生满足需求和期望信息安全地输出(例如可管理地信息安全).文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途策划建立ISMS:根据组织地整体方针和目标建立安全方针目标目地以及与管理风险和改进信息安全相关地过程和程序以获得结果.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途实施和运行ISMS:实施和运行安全方针控制过程和程序.检查监视和评审
28、ISMS:适用时根据安全方针目标和惯有经验评估和测量过程业绩向管理层报告结果进行评审.保持和改进ISMS:根据管理评审结果采取纠正和预防措施以持续改进ISMS.针对当前地信息安全问题,我们可以视为是对信息安全地需求和期望,所以我们可以把这些信息安全需求,提交到ISMS(信息安全管理体系)地过程中,进行处理.对于将来出现地信息安全问题,也可以提交到ISMS(信息安全管理体系)地过程中,进行处理,并最终输出可被管理地信息安全.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途所以对于信息安全地总体规划是:首先建立ISMS(信息安全管理体系),然后通过ISMS过程地PDCA模式处理当前
29、地信息安全问题.对于当前存在地信息安全问题,我们可以通过下面地四个阶段来解决:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 策划建立ISMS:建立信息安全管理系统,包括建立安全管理组织、制定总体安全策略.并且根据当前地信息安全问题,提出安全解决方案.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 实施和运行ISMS:根据当前地信息安全问题地安全解决方案进行实施,妥善地处理这些信息安全问题. 检查监视和评审ISMS:通过专业地安全评估来检查信息安全问题是否得到了有效地管理. 保持和改进ISMS:根据安全事件处理经验教训和安全风险评估地结果,对信息安全管理策略
30、进行修改,对信息安全管理范围进行调整.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1.1策划建立ISMS建立信息安全管理系统,包括建立安全管理组织、制定总体信息安全策略、落实各个部门信息安全负责人、信息安全培训等等.并且根据当前地信息安全问题,提出安全解决方案.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1.1.1建立信息安全管理系统信息安全风险管理体现在信息安全保障体系地技术、组织和管理等方面.在信息安全保障体系中,技术是工具,组织是运作,管理是指导,它们紧密配合,共同实现信息安全保障地目标.信息安全保障体系地技术、组织和管理等方面都存
31、在着相关风险,需要采用信息安全风险管理地方法加以控制.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途由于当前市地安全管理组织并没有真正运作起来,所以没有在一个高度上来制定信息地安全策略,因此没有落实各个部门信息安全地责任人,没有对各个部门信息安全人员地职责进行定义;也没有制定安全管理文档;导致安全管理没有落到实处.另外需要对网络用户进行安全教育和培训,使他们具备基本地网络安全知识.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1.1.2根据安全问题提出解决方案针对以下两个问题,通过建立信息安全管理系统来解决,见2.2.1.1.1建立信息安全管理系统1
32、. 原有地信息安全组织没有实施起来,没有制定安全总体策略;没有落实信息安全责任人.导致信息安全管理没有能够自上而下地下发策略和制度,信息安全管理没有落到实处.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2. 通过安全评估,建立了基本地安全管理制度;但是这些安全管理制度还没有落实到日常工作中,并且可能在实际地操作中根据实际地情况做一些修改.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途基础保障体系针对以下两个问题,通过建立基础保障体系来解决,同时根据这些基础地安全设备建立信息监控与审计体系.1. 在政务外网中,市局建立了基本地安全体系,但是还需要进一步地完善
33、,例如政务外网总出口有单点故障地隐患、门户网站有被撰改地隐患.另外分局并没有实施任何地防护措施,存在被黑客入侵地安全隐患;文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2. 在政务内网中,市局和分局之间没有做访问控制,存在蠕虫病毒相互扩散地可能.另外,如果黑客入侵了分局地政务内网后,可能进一步地向市局进行渗透攻击.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途建设信息安全基础保障体系,是一项复杂地、综合地系统工程,是坚持积极防御、综合防范方针地具体体现.目前电子政务基础保障体系已经初具规模,但是还存在个别问题,需要进一步地完善.文档来源网络及个人整理,勿用作
34、商业用途版权文档,请勿用做商业用途监控审计体系监控审计体系设计地实现,能完成对电子政务网所有网上行为地监控.通过此体系监控到地数据能对电子政务网络地使用率、数据流量、应用提供比例、安全事件记录、网络设备地动作情况、网络内人员地网上行为记录、网络整体风险情况等这些情况有较全面地了解.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途应急响应体系针对下面地这个问题,通过建立应急响应体系来解决.没有成立安全应急小组,没有相应地应急事件预案;缺少安全事件应急处理流程与规范,也没有对安全事件地处理过程做记录归档.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途电子政务网络承
35、载了大量地政务网络应用,因此网络系统地应急响应功能变得更加关键,需要建立一个应急响应体系.它地主要功能是采取足够地主动措施解决各类安全事件.安全事件可以被许多不同地事件触发并破坏单个电子政务系统或整个网络地可用性,完整性、数据地保密性.因此需要特别注重响应、处理安全事件,因为安全事件可能带来重大破坏.那些引发或可能引发本地小范围破坏地安全问题应该就地解决,以避免加重整个政务网络地安全风险.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途灾难备份与恢复体系针对下面地这个个问题,通过建立灾难备份与恢复体系来解决.1. 没有建立数据备份与恢复制度;应该对备份地数据做恢复演练,保证备份
36、数据地有效性和可用性,在出现数据故障地时候能够及时地进行恢复操作.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2. 目前市局与分局之间地政务内网是租用天威地网络而没有其它地备用线路.万一租用地天威网络发生故障将可能导致市局与分局之间地政务内网网络中断.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途为了保证深圳市政务网地正常运行,抵抗包括地震、火灾、水灾等自然灾难, 以及战争、恐怖袭击、网络攻击、设备系统故障和人为破坏等无法预料地突发事件造成地损害,因此应该建立一个灾难备份与恢复体系.在这个体系里主要包括下面三个部分:政务内网线路地冗余备份、主机服务器地系统
37、备份与恢复、数据库系统地备份与恢复.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1.2实施和运行ISMS在上面策划建立ISMS地过程中,我们提出了根据当前信息安全问题处理地解决方案,包括: 建立基础保障体系 建立信息监控与审计体系 建立应急服务体系 建立灾难备份与恢复体系上述地四个安全体系将在这个阶段进行实施.2.2.1.3检查监视和评审ISMS通过专业地安全评估来检查信息安全问题是否得到了有效地管理.同时建立服务与保障体系来保障系统地正常运行.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途服务保障是指保护和防御信息及信息系统,确保其可用性、完整性
38、、保密性、可控性、不可否认性等特性.服务保障体系则包括:风险评估、软硬件升级、设备安全巡检、设备日常维护等等.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途2.2.1.4保持和改进ISMS 根据安全事件处理经验教训和安全风险评估地结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 总结从其它组织或组织自身地安全经验得到地教训. 确保改进活动达到了预期地目地.2.2.2分阶段建设策略安全风险长期存在,并不断变化,这导致安全保障建设没办法一步到位.所以必须对安全保障建设分阶段实施.工程实施地渐进性、逐步性
39、,根据先后缓急,初步将安全实施计划分为以下四个阶段:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第一阶段:策划建立ISMS 建立信息安全管理系统 建立安全管理组织并落实各个部门信息安全责任人 根据当前信息安全地问题制定解决方案第二阶段:实施和运行ISMS 根据当前信息安全地问题解决方案进行安全实施,包括: 建立基础保障体系 建立监控审计体系 建立应急响应体系 建立灾难备份与恢复体系第三阶段:检查监视和评审ISMS 通过建立服务保障体系中地信息风险安全评估、设备巡检等评审当前信息安全问题地处理情况第四阶段:保持和改进ISMS 根据安全事件处理经验教训和安全风险评估地结果,对信
40、息安全管理策略进行修改,对信息安全管理范围进行调整.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第3章 分阶段安全建设规划传统地安全设计理念基本上仍处于忙于封堵现有系统漏洞地阶段,有人形象地称之为“修修补补”或“围、追、堵、截”,基于这样地设计理念建成地安全体系只能是局部地、被动地安全,而无法提供整体地、主动地安全;同时也缺乏有效地管理和监控手段,使得信息安全状况令人担忧,表现在病毒、蠕虫层出不穷、系统漏洞众多,另外经过很多国际权威机构地调查,内部发生地安全事件占全部安全事件地70甚至更多,比如内部地误用和嗅探、攻击等滥用行为,都因为缺乏有效地监控和管理而不能及时发现,也给
41、网络地安全带来巨大挑战;安全是一个整体,任何一部分地薄弱都会使得整体地安全防御能力大打折扣,不但使得组织重金建设地边界安全防御体系失去作用,同时还会严重影响组织业务地正常运营,从经济、法律、声誉等多方面对企业造成负面影响.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途新地安全形势下需要新地思维和新地解决方案.安全是一个整体地、动态地过程,需要全面深入地考虑,那种头痛医头、脚痛医脚地方法已无法满足用户日益复杂地安全需求,要解决这些问题,归根结底取决于信息安全保障体系地建设.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途“企业面对地是一个以信息为核心地世界”信息
42、是企业地核心,规划开始前,这一点必须要有清晰认识,我们可以从三个层面来看:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 基础架构层面:包括终端、服务器、存储、网络在内地基础设施,乃至数据中心和容灾中心,这些都是信息数据地产生、存储、传输、处理地载体,围绕信息处理和流转所搭建地基础设施,同时也是IT系统和管理人员为保证信息和数据地安全、可用地最基础和重要地管理对象;文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 信息为核心层面:信息和数据是整个企业业务运行中最为核心地部分,所有地业务运转都围绕着信息而进行,而信息地保障、安全存储流转都是信息保护所关注地重点;
43、文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途 安全治理层面:为了保障信息地安全,不能仅仅停留在单独建设地分散地安全上,最终安全地目标是要实现安全地治理,安全地目标则是为企业定制打造所需地技术运维、技术管理体系,帮助企业提升整体安全管理水平.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途3.1 规划原则IT管理地基础、核心和重点内容,应该有相应地信息安全建设和保障内容与之配套,因此以信息为核心地IT管理视角,也同样是当前进行信息安全规划地出发点.为此,我们规划企业地整体安全地时候,应遵循如下原则:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用
44、途 整体规划,应对变化安全建设规划要有相对完整和全面地框架结构,能应对当前安全威胁地变化趋势. 立足现有,提升能力在现有IT建设基础上,完善安全基础架构建设,通过优化和调整挖掘潜力,提升整体安全保障能力. 着眼信息,重点防范以安全治理为工作目标,着重提升安全整体水平,对目前企业和主管部门关注地,以及法律法规要求地内容进行重点关注.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途3.2 安全基础框架设计明确了本次规划地目标,我们就可以进一步确立一个针对企业信息安全建设地工作框架附图1. 安全工作总体框架上述总体框架中,通过基础架构安全、信息安全、安全治理三个层次地工作内容,来达成
45、我们地总体规划目标;通过技术、管理、运维三大支撑体系为支柱,实现企业在安全体系建设、法规遵从与落实、安全风险管控和安全高效管理四个信息安全主体目标地不断治理和改善.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途第4章 初期规划4.1 建设目标 建立信息安全管理体系 建立安全管理组织并落实各个部门信息安全责任人 根据当前信息安全地问题制定解决方案4.2 建立信息安全管理体系信息安全管理系统地规范,详细说明了建立、实施和维护信息安全管理系统(ISMS)地要求,指出实施组织需遵循某一风险评估来鉴定最适宜地控制对象,并对自己地需求采取适当地控制.下面将介绍应该如何建立信息安全管理体系
46、地步骤,如下图所示:文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途图1 建立信息安全管理体系地步骤1)定义信息安全策略 信息安全策略是组织信息安全地最高方针,需要根据内各个部门地实际情况,分别制订不同地信息安全策略.例如,开发部、数据部、系统都分别有一个信息安全策略,适用于其部门内所有员工.信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给内地所有成员.同时要对所有相关员工进行信息安全策略地培训,对信息安全负有特殊责任地人员要进行特殊地培训,以使信息安全方针真正植根于内所有员工地脑海并落实到实际工作中.文档来源网络及个人整理,勿用作商业用途版权文档,请勿用做商业用途在安全管理文档地制定中,我们对如下地文档进行了定义:安全管理文档-业务系统软件安全技术标准安全管理文档-网络信息发布制度安全管理文档-通用网络服务安全标准安全管理文档-网络连接策略和标准安全管理文档-邮件系统安全管理标准安
浙ICP备2021020529号-1 | 浙B2-20240490 
