企業(yè)信息安全總體規(guī)劃方案

千里之行，始于足下。第2頁/共2頁精品文檔推薦企業(yè)信息安全總體規(guī)劃方案企業(yè)信息安全總體規(guī)劃方

案

Preparedon22NovemberXXX

XXXXX公司

信息安全建設(shè)規(guī)劃建議書

YYYY科技有限公司

201X年XX月

名目

綜述

概述

信息技術(shù)XXX和經(jīng)濟(jì)全球化的進(jìn)展，使企業(yè)間的競(jìng)爭差不多轉(zhuǎn)為技術(shù)和信息的競(jìng)爭，隨著企業(yè)的業(yè)務(wù)的快速增長、企業(yè)信息系統(tǒng)規(guī)模的別斷擴(kuò)大，企業(yè)對(duì)信息技術(shù)的依靠性也越來越強(qiáng)，企業(yè)是否能長期生存、企業(yè)的業(yè)務(wù)是否能高效

的運(yùn)作也越來越依靠于是否有一具穩(wěn)定、安全的信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。所以，確保信息系統(tǒng)穩(wěn)定、安全的運(yùn)行，保證企業(yè)知識(shí)資產(chǎn)的安全，差不多成為現(xiàn)代企業(yè)進(jìn)展創(chuàng)新的必定要求，信息安全能力已成為企業(yè)核心競(jìng)爭力的重要部分。

企業(yè)高度重視客戶及生產(chǎn)信息，生產(chǎn)資料，設(shè)計(jì)文檔，知識(shí)產(chǎn)權(quán)之安全防護(hù)。而終端，服務(wù)器作為信息數(shù)據(jù)的載體，是信息安全防護(hù)的首要目標(biāo)。

與此并且，隨著企業(yè)業(yè)務(wù)領(lǐng)域的擴(kuò)展和規(guī)模的快速擴(kuò)張，為了滿腳企業(yè)進(jìn)展和業(yè)務(wù)需要，企業(yè)的IT生產(chǎn)和支撐支撐系統(tǒng)也舉行了相應(yīng)規(guī)模的建設(shè)和擴(kuò)展，為了滿腳生產(chǎn)的高速進(jìn)展，市場(chǎng)的大力擴(kuò)張，企業(yè)決定在近期舉行信息安全系統(tǒng)系統(tǒng)的調(diào)研建設(shè)，所以隨著IT系統(tǒng)規(guī)模的擴(kuò)大和應(yīng)用的復(fù)雜化，相關(guān)的信息安全風(fēng)險(xiǎn)也隨之而來，比如病毒、蠕蟲、垃圾郵件、間諜軟件、流氓軟件、數(shù)據(jù)截獲、嗅探、監(jiān)聽、肆意泛濫，內(nèi)部機(jī)密數(shù)據(jù)泄漏、辦公系統(tǒng)受到妨礙等等，所以為了保證企業(yè)業(yè)務(wù)正常運(yùn)營、制卡系統(tǒng)的高效安全的運(yùn)行，別因各種安全威脅的破壞而中斷，信息安全建設(shè)別可或缺，信息安全建設(shè)必定應(yīng)該和當(dāng)前的信息化建設(shè)舉行統(tǒng)一全局思考，應(yīng)該在相關(guān)的重要信息化建設(shè)中舉行安全前置的思考和規(guī)劃，幸免安全防護(hù)措施的遺漏，安全防護(hù)的滯后造成的重大安全事件的發(fā)生。。

本次企業(yè)信息安全體系建設(shè)規(guī)劃要緊思考采納各種被證明是行之有效的各種信息安全產(chǎn)品和技術(shù)，幫助企業(yè)建設(shè)一具主動(dòng)、高效、全面的信息安全防備體系，落低信息安全風(fēng)險(xiǎn)，更好的為企業(yè)生產(chǎn)和運(yùn)營服務(wù)。

現(xiàn)狀分析

目前企業(yè)差不多在前期舉行了部分信息安全的建設(shè)，包括終端上的一部分防病毒，網(wǎng)絡(luò)邊界處的基本防火墻等安全軟件和設(shè)備，在非常大程度上差不多對(duì)外部

威脅能有一具基本的防護(hù)能力，然而現(xiàn)在的安全威脅和攻擊手段日新月異，層出別窮，各種高危零日漏洞別斷被攻擊者挖掘出來，攻擊的目標(biāo)越來越有針對(duì)性，目前的企業(yè)所面臨的全球安全威脅呈現(xiàn)如下幾個(gè)新的趨勢(shì)：

惡意攻擊數(shù)量快速增加，攻擊手段別斷豐富，最新的未知威脅防別勝防：怎么防范未知威脅，抵御別同攻擊手段和攻擊途徑帶來的信息安全沖擊

高級(jí)、有針對(duì)性的高危持續(xù)性攻擊APT已蔓延至各類規(guī)模企業(yè)：怎么阻撓別同的攻擊手段別僅僅是防病毒！需要服務(wù)器，終端，網(wǎng)絡(luò)，數(shù)據(jù)等各方面多層次的防護(hù)，增加威脅防范能力

復(fù)雜混亂的應(yīng)用與外接設(shè)備環(huán)境：怎么確保應(yīng)用和設(shè)備的準(zhǔn)入操縱

繁瑣枯燥的系統(tǒng)維護(hù)和安全治理：怎么更有效利用有限的信息人力資源

工具帶來的新咨詢題：怎么保證安全策略的強(qiáng)制要求，統(tǒng)一治理和實(shí)施效果

終端接入別受控：怎么確保終端滿腳制定的終端安全策略-終端準(zhǔn)入操縱

網(wǎng)頁式攻擊(Web-basedAttack)已成為最主流的攻擊手法：怎么確保拜訪可靠網(wǎng)站

內(nèi)外部故意無意的信息泄露將嚴(yán)峻妨礙企業(yè)的聲譽(yù)和重大經(jīng)濟(jì)損失從目前大多數(shù)企業(yè)的信息安全建設(shè)來看，針對(duì)以上的目前主流的新形勢(shì)的信息威脅，企業(yè)在安全建設(shè)上還面臨安全防護(hù)需要進(jìn)一步依賴國際先進(jìn)技術(shù)增強(qiáng)主動(dòng)防備，縱深防備的能力，目前大多數(shù)企業(yè)在安全防護(hù)上還有如下的欠缺：

目前信息安全存在的咨詢題

在信息系統(tǒng)安全評(píng)估中我們對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)掃描、安全治理等等方面舉行了安全評(píng)估，發(fā)覺要緊有如下的咨詢題：網(wǎng)絡(luò)設(shè)備安全：

拜訪操縱咨詢題

網(wǎng)絡(luò)設(shè)備安全漏洞

設(shè)備配置安全

系統(tǒng)安全：

補(bǔ)丁咨詢題

運(yùn)行服務(wù)咨詢題

安全策略咨詢題

弱口令咨詢題

默認(rèn)共享咨詢題

防病毒事情

應(yīng)用安全：

exchange郵件系統(tǒng)的版本咨詢題

apache、iis、weblogic的安全配置咨詢題

serv-U的版本咨詢題

radmin遠(yuǎn)程治理的安全咨詢題

數(shù)據(jù)安全：

數(shù)據(jù)庫補(bǔ)丁咨詢題

Oracle數(shù)據(jù)庫默認(rèn)帳號(hào)咨詢題

Oracle數(shù)據(jù)庫弱口令咨詢題

Oracle數(shù)據(jù)庫默認(rèn)配置咨詢題

Mssql數(shù)據(jù)庫默認(rèn)有威脅的存儲(chǔ)過程咨詢題

網(wǎng)絡(luò)區(qū)域安全：

市局政務(wù)外網(wǎng)安全措施完善

市局與分局的拜訪操縱咨詢題

分局政務(wù)外網(wǎng)安全措施加強(qiáng)

安全治理：

沒有建立安全治理組織

沒有制定總體的安全策略

沒有降實(shí)各個(gè)部門信息安全的責(zé)任人

缺少安全治理文檔

經(jīng)過安全評(píng)估中的安全修復(fù)過程，我們對(duì)上述大部分的的安全咨詢題舉行了修補(bǔ)，然而還是存在殘余的風(fēng)險(xiǎn)，要緊是數(shù)據(jù)安全（已安排升級(jí)打算）、網(wǎng)絡(luò)區(qū)域安全和安全治理方面的咨詢題。因此當(dāng)前信息安全存在的咨詢題，要緊表如今如下的幾個(gè)方面：

1.在政務(wù)外網(wǎng)中，市局建立了基本的安全體系，然而還需要進(jìn)一步的完善，例如政務(wù)外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。另外分局并沒有實(shí)施任何的防護(hù)措施，存在被黑客入侵的安全隱患；

2.在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做拜訪操縱，存在蠕蟲病毒相互擴(kuò)散的也許。另外，假如黑客入侵了分局的政務(wù)內(nèi)網(wǎng)后，也許進(jìn)一步的向市局舉行滲透攻擊。

3.原有的信息安全組織沒有實(shí)施起來，沒有制定安全總體策略；沒有降實(shí)信息安全責(zé)任人。導(dǎo)致信息安全治理沒有可以自上而下的下發(fā)策略和制度，信息安全治理沒有降到實(shí)處。

4.經(jīng)過安全評(píng)估，建立了基本的安全治理制度；然而這些安全治理制度還沒有降實(shí)到日常工作中，同時(shí)也許在實(shí)際的操作中依照實(shí)際的事情做一些修改。

5.沒有成立安全應(yīng)急小組，沒有相應(yīng)的應(yīng)急事件預(yù)案；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件的處理過程做記錄歸檔。

6.沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在浮現(xiàn)數(shù)據(jù)故障的時(shí)候可以及時(shí)的舉行恢復(fù)操作。

7.目前市局與分局之間的政務(wù)內(nèi)網(wǎng)是租用天威的網(wǎng)絡(luò)而沒有其它的備用線路。萬一租用的天威網(wǎng)絡(luò)發(fā)生故障將也許導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。

經(jīng)過信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)覺的對(duì)于操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞，同時(shí)由于當(dāng)時(shí)信息安全治理中并沒有規(guī)范的安全治理制度，也是浮現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等漏洞的緣故之一。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長期有效的治理，我們建議建設(shè)ISMS（信息安全治理體系），對(duì)安全風(fēng)險(xiǎn)經(jīng)過PDCA模型，輸出為可治理的安全風(fēng)險(xiǎn)。

依照目前的安全威脅，企業(yè)的信息安全面臨的咨詢題是

?信息安全僅作為后臺(tái)數(shù)據(jù)的保障

?前端業(yè)務(wù)應(yīng)用和后端數(shù)據(jù)庫信息安全等級(jí)別高

?信息安全不過建立在簡單的“封、堵”上，別利提升工作效率和協(xié)同辦公所以，關(guān)于企業(yè)來講，在新的IT環(huán)境下，需要就如下的安全思考，依照合理的規(guī)劃舉行分期建設(shè)。

?業(yè)務(wù)模式正在發(fā)生改變，生產(chǎn)、研發(fā)等系統(tǒng)的實(shí)施，信息安全應(yīng)全面面向應(yīng)用，信息安全須前置，以習(xí)慣業(yè)務(wù)的安全要求。

?用戶終端的多樣化也應(yīng)保持腳夠的安全。

?數(shù)據(jù)集中化管控和網(wǎng)絡(luò)融合后所需的安全要求。

?數(shù)據(jù)中心業(yè)務(wù)分區(qū)模塊化治理及災(zāi)備應(yīng)急機(jī)制

設(shè)計(jì)目標(biāo)

為企業(yè)設(shè)計(jì)完善的信息安全治理體系，增強(qiáng)企業(yè)信息系統(tǒng)抵御安全風(fēng)險(xiǎn)的能力，為企業(yè)生產(chǎn)及銷售業(yè)務(wù)的健康進(jìn)展提供強(qiáng)大的保障。

1.經(jīng)過對(duì)企業(yè)各IT系統(tǒng)的風(fēng)險(xiǎn)分析，了解企業(yè)信息系統(tǒng)的安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn)，明確將來的安全建設(shè)需求。

2.完成安全治理體系規(guī)劃設(shè)計(jì)，涵蓋安全治理的各個(gè)方面，設(shè)計(jì)合理的建設(shè)流程，滿腳中長期的安全治理要求。提供如下安全治理項(xiàng)目：?人員治理

?規(guī)劃制訂和建設(shè)流程規(guī)劃

?安全運(yùn)維治理及資產(chǎn)治理

3.完成安全技術(shù)體系規(guī)劃設(shè)計(jì)，設(shè)計(jì)有前瞻性的安全解決方案，在舉行成本/效益分析的基礎(chǔ)上，選用主流的安全技術(shù)和產(chǎn)品，建設(shè)主動(dòng)、全面、高效的技術(shù)防備體系，將企業(yè)面臨的各種風(fēng)險(xiǎn)操縱在能夠同意的范圍之內(nèi)。針對(duì)整體安全規(guī)劃打算，在接下來的幾年內(nèi)分期建設(shè)，最后滿腳如下安全防護(hù)需求：?網(wǎng)絡(luò)邊界安全防護(hù)

?安全治理策略

?關(guān)鍵業(yè)務(wù)服務(wù)器的系統(tǒng)加固，入侵防護(hù)，關(guān)鍵文件監(jiān)控和系統(tǒng)防護(hù)

?網(wǎng)絡(luò)和服務(wù)器安全防護(hù)及安全基線檢查與漏洞檢測(cè)

?增強(qiáng)終端綜合安全防護(hù)

?強(qiáng)化內(nèi)部人員上網(wǎng)行為治理

?建設(shè)機(jī)密數(shù)據(jù)防泄漏和數(shù)據(jù)加密，磁盤加密

?網(wǎng)絡(luò)信任和加密技術(shù)防護(hù)

?建設(shè)，強(qiáng)化容災(zāi)和備份治理

4.加強(qiáng)企業(yè)內(nèi)部的IT操縱與審計(jì)，確保IT與法律、法規(guī)，上級(jí)監(jiān)管單位的要求相符合，比如：

?需要滿腳國家信息系統(tǒng)安全系統(tǒng)的安全檢查要求

?需要滿腳國家《信息系統(tǒng)安全等級(jí)愛護(hù)基本要求》

信息安全總體規(guī)劃

設(shè)計(jì)目標(biāo)、依據(jù)及原則

2.1.1設(shè)計(jì)目標(biāo)

電子政務(wù)網(wǎng)是深圳市電子政務(wù)業(yè)務(wù)的承載和體現(xiàn)，是電子政務(wù)的重要應(yīng)用，存儲(chǔ)著的重要的數(shù)據(jù)資源，流淌著經(jīng)濟(jì)建設(shè)和社會(huì)日子中重要的數(shù)據(jù)信息。因此必須從硬件設(shè)施、軟件系統(tǒng)、安全治理幾方面，加強(qiáng)安全保障體系的建設(shè)，為電子政務(wù)應(yīng)用提供安全可靠的運(yùn)行環(huán)境。

2.1.2設(shè)計(jì)依據(jù)

《國家信息化領(lǐng)導(dǎo)小組對(duì)于我國電子政務(wù)建設(shè)指導(dǎo)意見》

《國家信息化領(lǐng)導(dǎo)小組對(duì)于加強(qiáng)信息安全保障工作的意見》

《電子政務(wù)總體框架》

《電子政務(wù)信息安全保障技術(shù)框架》

《電子政務(wù)信息安全等級(jí)愛護(hù)實(shí)施指南》

《信息安全等級(jí)愛護(hù)治理方法》

《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》

《計(jì)算機(jī)信息系統(tǒng)安全愛護(hù)等級(jí)劃分準(zhǔn)則》

《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》

《計(jì)算機(jī)場(chǎng)地安全要求》

《計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》

并且在評(píng)定其信息資產(chǎn)的價(jià)值等級(jí)時(shí)，也將參考

ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等國際標(biāo)準(zhǔn)。

電子政務(wù)網(wǎng)將依據(jù)信息價(jià)值的保密性妨礙、信息價(jià)值完整性妨礙、信息價(jià)值的可用性妨礙等多個(gè)方面，來對(duì)信息資產(chǎn)的價(jià)值等級(jí)舉行劃分為五級(jí)，第一級(jí)為最低級(jí)，第五級(jí)為最高級(jí)。

2.1.3設(shè)計(jì)原則

電子政務(wù)網(wǎng)安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則：

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任何信息系統(tǒng)，絕對(duì)安全難以達(dá)到，也別一定是必要的，安全保障體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到技術(shù)上可實(shí)現(xiàn)，組織上可執(zhí)行。

分級(jí)愛護(hù)原則：以應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全愛護(hù)的安全等級(jí)，并依據(jù)安全等級(jí)舉行安全建設(shè)和治理，保證服務(wù)的有效性和快捷性。

最小特權(quán)原則：整個(gè)系統(tǒng)中的任何主體和客體別應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。

標(biāo)準(zhǔn)化與一致性原則：電子政務(wù)網(wǎng)是一具龐大的系統(tǒng)工程，其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，如此才干確保各個(gè)分系統(tǒng)的一致性，使整個(gè)電子政務(wù)網(wǎng)安全地互聯(lián)互通、信息共享。

多重愛護(hù)原則：任何安全措施都別是絕對(duì)安全的，都也許被攻破。然而建立一具多重愛護(hù)系統(tǒng)，各層愛護(hù)相互補(bǔ)充，當(dāng)一層被攻破時(shí)，其他層仍可愛護(hù)系統(tǒng)的安全。

整體性和統(tǒng)一性原則：一具大型網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)、人員等，在網(wǎng)絡(luò)安全中的地位和妨礙作用，惟獨(dú)從系統(tǒng)整體的角度去統(tǒng)一看待、分析，才也許實(shí)現(xiàn)有效、可行的安全愛護(hù)。

技術(shù)與治理相結(jié)合原則：電子政務(wù)網(wǎng)是一具復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠治理都不會(huì)實(shí)現(xiàn)。所以在思考安全保障體系時(shí)，必須將各種安全技術(shù)與運(yùn)行治理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

統(tǒng)籌規(guī)劃，分步實(shí)施原則：由于政策規(guī)定、服務(wù)需求的別明朗，環(huán)境、時(shí)刻的變化，安全防護(hù)與攻擊手段的進(jìn)步，在一具比較全面的安全體系下，能夠依照網(wǎng)絡(luò)的實(shí)際需要，先建立基本的的安全保障體系，保證基本的、必須的安全性。隨著今后網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最全然的安全需求。

動(dòng)態(tài)進(jìn)展原則