收藏
下载资源

公司信息系统安全保障体系规划设计方案

上传人:mg****2 文档编号:127195888 上传时间:2020-03-31 格式:DOC 页数:123 大小:9.62MB
返回 下载 相关 举报
公司信息系统安全保障体系规划设计方案_第1页
第1页 / 共123页
公司信息系统安全保障体系规划设计方案_第2页
第2页 / 共123页
公司信息系统安全保障体系规划设计方案_第3页
第3页 / 共123页
公司信息系统安全保障体系规划设计方案_第4页
第4页 / 共123页
公司信息系统安全保障体系规划设计方案_第5页
第5页 / 共123页
点击查看更多>>
资源描述

《公司信息系统安全保障体系规划设计方案》由会员分享,可在线阅读,更多相关《公司信息系统安全保障体系规划设计方案(123页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全保障体系规划方案V1.5文档信息文档名称XXXXXXXXXXXX信息系统安全保障体系规划方案保密级别商业秘密文档编号制作人制作日期复审人复审日期复审日期分发控制读者文档权限与文档的主要关系创建、修改、读取负责编制、修改、审核本技术方案XXXXXXXXXXXX阅读版本控制时间版本说明修改人V1.0文档初始化V1.5修改完善 专业资料目 录1.概述51.1.引言51.2.背景51.2.1.XXXX行业行业相关要求51.2.2.国家等级保护要求61.2.3.三个体系自身业务要求71.3.三个体系规划目标71.3.1.安全技术和安全运维体系规划目标71.3.2.安全管理体系规划目标81.4

2、.技术及运维体系规划参考模型及标准101.4.1.参考模型101.4.2.参考标准121.5.管理体系规划参考模型及标准121.5.1.国家信息安全标准、指南121.5.2.国际信息安全标准131.5.3.行业规范132.技术体系建设规划142.1.技术保障体系规划142.1.1.设计原则142.1.2.技术路线142.2.信息安全保障技术体系规划152.2.1.安全域划分及网络改造152.2.2.现有信息技术体系描述242.3.技术体系规划主要内容292.3.1.网络安全域改造建设规划292.3.2.网络安全设备建设规划322.3.3.CA认证体系建设402.3.4.数据安全保障422.3.

3、5.终端安全管理452.3.6.备份与恢复462.3.7.安全运营中心建设472.3.8.周期性风险评估及风险管理482.4.技术体系建设实施规划492.4.1.安全建设阶段492.4.2.建设项目规划503.运维体系建设规划513.1.风险评估及安全加固513.1.1.风险评估513.1.2.安全加固513.2.信息安全运维体系建设规划513.2.1.机房安全规划513.2.2.资产和设备安全523.2.3.网络和系统安全管理553.2.4.监控管理和安全管理中心603.2.5.备份与恢复613.2.6.恶意代码防范623.2.7.变更管理633.2.8.信息安全事件管理643.2.9.密码

4、管理673.3.运维体系建设实施规划683.3.1.安全建设阶段683.3.2.建设项目规划684.管理体系建设规划704.1.体系建设704.1.1.建设思路704.1.2.规划内容714.2.信息安全管理体系现状724.2.1.现状724.2.2.问题744.3.管理体系建设规划754.3.1.信息安全最高方针754.3.2.风险管理764.3.3.组织与人员安全764.3.4.信息资产管理794.3.5.网络安全管理914.3.6.桌面安全管理934.3.7.服务器管理934.3.8.第三方安全管理954.3.9.系统开发维护安全管理974.3.10.业务连续性管理984.3.11.项目

5、安全建设管理1004.3.12.物理环境安全1024.4.管理体系建设规划1034.4.1.项目规划1034.4.2.总结1041. 概述1.1. 引言本文档基于对XXXX公司(以下简称“XXXX公司工业”)信息安全风险评估总体规划的分析,提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文档内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。1.2. 背景1.2.1. XXXX行业行业相关要求国家XXXX行业总局一直以来十分重视信息安全管理工作,先后下发了涉及保密计算机运行、等级

6、保护定级等多个文件,在2008年下发了147号文XXXX行业行业信息安全保障体系建设指南,指南从技术、管理、运维三个方面对安全保障提出了建议,如下图所示。图 1_1行业信息安全保障体系框架1.2.2. 国家等级保护要求等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,国家XXXX行业专卖局在2008年8月下发了国烟办综2008358号文国家XXXX行业专卖局办公室关于做好XXXX行业行业信息系统安全等级定级工作的通知,而在信息系统安全等级保护基本要求中对信息安全管理和信息安全技术也提出了要求,如下图所示。图 1_2等保基本要求框架图1.

7、2.3. 三个体系自身业务要求在国家数字XXXX行业政策的引导下,近年来信息系统建设日趋完善,尤其是随着国家局统一建设的一号工程的上线,业务系统对信息系统的依赖程度逐渐增加,信息系统的重要性也逐渐提高,其安全保障就成为了重点。此外,除了一号工程外,信息系统的重要组成部分还有MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统(卷包中控系统、物流中控系统、制丝中控系统、动力中控系统)等。企业生产已经高度依赖于企业的信息化和各信息系统。信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。在整个信息系统运行的过程中,起主导作

8、用的仍然是人,是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。1.3. 三个体系规划目标1.3.1. 安全技术和安全运维体系规划目标建立技术体系的目的是通过使用安全产品和技术,支撑

9、和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:1) 防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。2) 检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。3) 响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取

10、证。4) 恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。1.3.2. 安全管理体系规划目标本次项目通过风险评估对XXXX公司工业自身安全管理现状进行全面了解后,对信息安全管理整体提出以下目标:1.3.2.1. 健全信息安全管理组织建立全面、完整、有效的信息安全保障体系,必须健全、完善信息安全管理组织,这是XXXX公司工业信息安全保障体系建立的首要任务。信息安全管理组织的健全需要明确角色模型,在此基础上设计信息安全岗位职责和汇报关系,充分考虑XXXX公司工业与下属单位的组织模式和特点,做到信息安全职责分工明确合理、责任落实到位。1.3.2.

11、2. 建立信息安全专业服务团队随着XXXX公司工业信息化的推进,XXXX公司工业需要有一支拥有各种专业技能的团队提供身份认证、安全监控、威胁和弱点管理、风险评估等信息安全服务。信息安全团队建设的关键在于人才培养和服务团队的设立。XXXX公司工业将在明确信息安全服务团队设立方案的基础上制定人才培养计划,逐步培养在信息安全各个领域的专业技术人才,在3-5年的时间内建立起一支高素质的,能够满足XXXX公司工业信息安全需求的专业服务团队。1.3.2.3. 建立完善的信息安全风险管理流程作为XXXX公司工业信息安全保障体系的基本理念之一,信息安全风险管理的实现需要建立完善的流程,XXXX公司工业将建立针

12、对信息安全风险的全程管理能力和信息安全管理持续改进能力,将信息安全的管理由针对结果的管理变成针对过程的管理。XXXX公司工业信息安全风险管理流程需要覆盖需求分析、控制实施、运行监控、响应恢复四个环节,识别相应的信息安全风险管理核心流程,并进行流程设计和实施。1.3.2.4. 完善信息安全制度与标准信息安全制度与标准是信息安全工作在管理、控制、技术等方面制度化、标准化后形成的一整套文件。XXXX公司工业已经制定并发布执行了一些信息安全相关的制度和标准,但是在完整性、针对性、可用性和执行效果方面都有较大的改进空间。例如在信息安全管理制度的上,没有依据XXXX行业行业信息安全保障体系建设指南或者是I

13、SMS体系建设等标准和规范制定,从而使管理规定缺乏系统性。在前期调研中,发现只有系统支持和维护管理控制程序、信息设备及软件控制程序等少量管理文档,不足以满足XXXX公司工业对整个信息系统安全管理的需求。XXXX公司工业需要有计划的逐步建立一套完整的,可操作的信息安全制度与标准,并通过对执行效果的持续跟踪,不断完善,以形成一套真正符合XXXX公司工业需求、完整有效的信息安全制度与标准,为信息安全工作的开展提供依据和指导。1.3.2.5. 建立规范化的流程随着信息化建设的推进,XXXX公司工业需要建设越来越多的应用系统,这些系统目前日常维护工作基本依靠系统维护人员的经验,因此逐步建立专业化的信息安

14、全服务和规范化的流程成为信息安全保障体系建立的重要目标之一。1.4. 技术及运维体系规划参考模型及标准1.4.1. 参考模型目前安全模型已经从以前的被动保护转到了现在的主动防御,强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护(Protection)、检测(Detection)、响应(Reaction)的安全模型。上个世纪90年代末,ANS联盟在PDR模型的基础上建立了新的P2DR模型。该模型是可量化、可由数学证明、基于时间的、以PDR为核心的安全模型。这里P2DR2是策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。如下图所示。ProtectionDetectionResponseRecoveryPolicy图 1_2 P2DR2模型 策略(Policy)策略是P2DR模型的核心,所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。 防护(Protection)防护是主动防御的防御部分,系统的安全最终是依靠防护来实现

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号