集團公司網絡安全總體規(guī)劃方案

集團公司網絡安全總體規(guī)劃方案XX11月目錄1???

e????????? %\\\\\?????????????????????\\誤！未定義書簽。IV1? ? ??\\未定義書簽。l?2^∕j????????e?????????XVV\\\\未定義書簽。

???

????

???

\??\31十目、、、、、、、、、ev

?v?v?v?????????????????未定義書簽。2章信息安全總體規(guī)戈IJ義書簽。2.1?依據及原

????????

????

????誤！未定貝U????????????????????????????????未定義書簽。2\1\11十H???????????????????????????????????? \未定義書簽。2、1\2VCiI

???????? VVV????? VV未定義書簽。1、3 1十貝U? ????? V?????????????????????????????、、、!未定義書簽。2、2總體信息安全規(guī)劃方案、、、、、、、、、、、、、、未定義書簽。錯誤!2、 2、1信息安全管理體系 錯誤!未定義書簽。2、2、2分階段建設策略 錯誤!未定義書簽。3章分階段安全建設規(guī)戈IJ、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、昔誤！未定義書簽。未定義書3、24章初期規(guī)劃、、、、、、、、、、、、、、、、、、、?、、4\1建目步1天！未定義書簽。4、2建立信息安全管理體系.....................................未定義書簽。

錯誤!4、3建立安全管理組織 錯誤!未定義書簽。5章中期規(guī)劃、、、、、、、、、、、?、、、、、、、、、、、、、?誤！未定義書簽。5、1建設目步??未定義書簽。5、2建立基礎保障體系?、、、、、、、、、、、、、八八?、、、、、、、、、、、、、、、昔1天！未定義書簽。5、3未定義書簽。5、4未定義書簽。5、5未定義書簽。6章三期規(guī)劃一、誤！未定義書簽。6.1未定義書簽。6、 2建立服務保障體系、未定義書簽。6、3保持和改進ISMS. 未定義書簽。7章總結、、、錯誤！未定義書簽。7、1綜述.未定義書簽。7、2效果預期.未定義書簽。7、3后期、、、、、 、、、錯誤！未定義書簽。1章綜述1、1企業(yè)高度重視客戶及生產信息，生產資料，設計文檔，知識產權之安全防護。而終端，服務器作為信息數據的載體，是信息安全防護的首要目標。ITIT系統(tǒng)規(guī)模的擴大和應用的復雜化,相關的信息安全風險也隨之而來，比如病毒、蠕蟲泄漏、辦公系統(tǒng)受到影響等等，因此為了保證企業(yè)業(yè)務正常運營、制卡系統(tǒng)的高效安全的運行，不因各種安全威脅的破壞而中斷，信息安全建設不可或缺，信息安全建設必然應該和當前的信息化建設進行統(tǒng)一全局考慮，應該在相關的重要信息化建設中進行安全前置的考慮和規(guī)劃，避免安全防護措施的遺漏，安全防護的滯后造成的重大安全事件的發(fā)生。。本次企業(yè)信息安全體系建設規(guī)劃主要考慮采用各種被證明是行之有效的各種信息安全產品和技術，幫助企業(yè)建設一個主動、高效、全面的信息安全防御體系，降低信息安全風險，更好的為企業(yè)生產和運營服務。1、2安全威脅呈現如下幾個新的趨勢：惡意攻擊數量快速增加，攻擊手段不斷豐富，最新的未知威脅防不勝防：如何防范未APT接設備環(huán)境：如何確保應用和設備的準入控制？的新問題：如何保證安全策略的強制要求，統(tǒng)一管理和實施效果？終端接入不受控basedAttaCk）法：如何確保訪問可靠網站？內外部有意無意的信息泄靂將嚴重影響企業(yè)的聲譽和重大經濟損失從目前大多數企業(yè)的信息安全建設來看，針對以上的目前主流的新形勢的信息威脅，企業(yè)在安全建設上還面臨安全防護需要進一步依靠國際先進技術增強主動防御，縱深防御的能力，目前大多數企業(yè)在安全防護上還有如下的欠缺：1、2、1目前信息安全存在的問題在信息系統(tǒng)安全評估中我們對網絡設備、主機系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)、網絡掃描、安全管理等等方面進行了安全評估，發(fā)現主要有如下的問題：網絡設備安全：訪問控制問題網絡設備安全漏洞設備配置安全系統(tǒng)安全：補丁問題運行服務問題安全策略問題弱口令問題默認共享問題防病毒情況應用安全：exchange郵件系統(tǒng)的版本問題apacheViisWebIOgiCSerV?Uradmin遠程管理的安全問題數據安全：OnICleOraCIeOraCIeMSSql數據庫默認有威脅的存儲過程問題網絡區(qū)域安全：安全管理：沒有建立安全管理組織沒有制定總體的安全策略沒有落實各個部門信息安全的責任人缺少安全管理文檔通過安全評估中的安全修復過程，我們對上述大部分的的安全問題進行了修補，但是依然存在殘余的風險，主要是數據安全（已安排升級計劃）、網絡區(qū)域安全和安全管理方面的問題。所以當前信息安全存在的問題，主要表現在如下的幾個方面：1、在政務外網中，市局建立了基本的安全體系，但是還需要進一步的完善，例如政務外網總出口有單點故障的隱患、門戶網站有被撰改的隱患。另外分局并沒有實施任何的防護措施，存在被黑客入侵的安全隱患；2?另外，如果黑客入侵了分局的政務內網后，可能進一步的向市局進行滲透攻擊。3、原有的信息安全組織沒有實施起來，沒有制定安全總體策略；沒有落實信息安全責任人。導致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實處。4、通過安全評估，建立了基本的安全管理制度；但是這些安全管理制度還沒有落實到日常工作中，并且可能在實際的操作中根據實際的情況做一些修改。5、沒有成立安全應急小組，沒有相應的應急事件預案；缺少安全事件應急處理流程與規(guī)范，也沒有對安全事件的處理過程做記錄歸檔。6、沒有建立數據備份與恢復制度；應該對備份的數據做恢復演練，保證備份數據的有效性和可用性，在出現數據故障的時候能夠及時的進行恢復操作。7統(tǒng)、網絡設備、應用系統(tǒng)等漏洞的原因之一。ISMS（PDCA模型，輸出為可管理的安全風險。1、2、2常見的信息系統(tǒng)面臨的風險和威脅大致如下：根據目前的安全威脅，企業(yè)的信息安全面臨的問題是信息安全僅作為后臺數據的保障前端業(yè)務應用和后端數據庫信息安全等級不高信息安全只是建立在簡單的…封、堵‘‘上，不利提升工作效率和協同辦公因此，對于企業(yè)來說，在新的IT下的安全考慮，根據合理的規(guī)劃進行分期建設。業(yè)務模式正在發(fā)生改變，生產、研發(fā)等系統(tǒng)的實施，信息安全應全面面向應用，信息安全須前置，以適應業(yè)務的安全要求。用戶終端的多樣化也應保持足夠的安全。數據集中化管控和網絡融合后所需的安全要求。數據中心業(yè)務分區(qū)模塊化管理及災備應急機制1、3險的能力，為企業(yè)生產及銷售業(yè)務的健康發(fā)展提供強大的保障。1IT安全風險，明確未來的安全建設需求。2、完成安全管理體系規(guī)劃設計，涵蓋安全管理的各個方面，設計合理的建設流程，滿足中長期的安全管理要求。提供如下安全管理項目：人員管理規(guī)劃制訂和建設流程規(guī)劃安全運維管理及資產管理3/內分期建設，最終滿足如下安全防護需求：化內部人員上網行為管理建設機密數據防泄漏和數據加密，磁盤加密網絡信任和加密技術防護建設，強化容災和備份管理4、加強企業(yè)內部的IT控制與審計，確保IT符合，比如：需要滿足國家信息系統(tǒng)安全系統(tǒng)的安全檢查要求需要滿足國家信息系統(tǒng)安全等級保護基本要求2章信息安全總體規(guī)劃2、1設計目標、依據及原則211用提供安全可靠的運行環(huán)境。212技術安全性評估準則計算機信息系統(tǒng)安全保護等級劃分準則電子計算機場地通用規(guī)范計時，也將參考ISO17799/BS7799/IS015408/IS013335/IS07498-2等國際標準。最高級。2、1、3K∣J:需求、風險、代價平衡的原則：行。分級保護原則：進行安全建設和管理，保證服務的有效性和快捷性。最小特權原則：整個系統(tǒng)中的任何主體和客體不應具有超出執(zhí)行任務所需權力以外的權力O標準化與一致性原則：多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充，當一層被攻破時，其他層仍可保護系統(tǒng)的安全。整體性和統(tǒng)一性原則：保護。技術與管理相結合原則：員思想教育與技術培訓、安全規(guī)章制度建設相結合。統(tǒng)籌規(guī)劃，分步實施原則：保證基本的、必須的安全性。本的安全需求。動態(tài)發(fā)展原則：要根據網絡安全的變化不斷調整安全措施，適應新的網絡環(huán)境，滿足新的網絡安全需求。易操作性原則：其次，措施的采用不能影響系統(tǒng)的正常運行。適應性及靈活性原則：安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應、容易修改和升級。遵守有關法規(guī)：具有良好升級及售后維護。2、2ISMS（信息安全管理體系），達到對安全風險的長期有效的管理，并且對于存在的安全風險/PDCA（PIan-DO-CheCk-ACt）模型，輸出為可管理的安全風險。解決問題當前的信息安全經過了一次完整的信息安全評估，并且進行了相應的安全其它的一些可預見的風險。在這里將會對這些安全問題進行處理。221ISMS（息安全管理體系），然后通過向ISMS生滿足需求和期望信息安全的輸出（例如可管理的信息安全）。策劃建立ISMS：根據組織的整體方針和目標建立安全方針目標目的以及與管理風險和改進信息安全相關的過程和程序以獲得結果。實施和運行ISMS：實施和運行安全方針控制過程和程序。檢查監(jiān)視和評審ISMS：適用時根據安全方針目標和慣有經驗評估和測量過程業(yè)績向管理層報告結果進行評審。保持和改進ISMS：根據管理評審結果采取糾正和預防措施以持續(xù)改進ISMSOISMS（信息安全管理體系）ISMS（信息安全管理體系）理，并最終輸出可被管理的信息安全。ISMS（信息安全管理體系），ISMS過程的PDCAISMS：略。并且根據當前的信息安全問題，提出安全解決方案。ISMS：這些信息安全問題。ISMS：管理。保持和改進ISMS：改，對信息安全管理范圍進行調整。2、2、1、1ISHS信息安全問題，提出安全解決方案。2211方面都存在著相關風險，需要采用信息安全風險管理的方法加以控制。由于當前市的安全管理組織并沒有真正運作起來，所以沒有在一個高度上來制定信息的安全策略，因此沒有落實各個部門信息安全的責任人，沒有對各個部門信息安全人員的職責進行定義；也沒有制定安全管理文檔；導致安全管理沒有落到實處。另外需要對網絡用戶進行安全教育和培訓，使他們具備基本的網絡安全知識。22112理系統(tǒng)來解決，見2、2、1、、1建立信息安全管理系統(tǒng)1實處。2到日常工作中，并且可能在實際的操作中根據實際的情況做一些修改。的安全設備建立信息監(jiān)控與審計體系。1、在政務外網中，市局建立了基本的安全體系，但是還需要進一步的完善，例如政務外網總出口有單點故障的隱患、門戶網站有被撰改的隱患。另外分局并沒有實施任何的防護措施，存在被黑客入侵的安全隱患;22、在政務內網中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴散的可能。另外，如果黑客入侵了分局的政務內網后，可能進一步的向市局進行滲透攻Ltio建設信息安全基礎保障體系,是一項復雜的、綜合的系統(tǒng)工程,是堅持積極防御、綜合防范方針的具體體現。目前電子政務基礎保障體系已經初具規(guī)模，但是還存在個別問題，需要進一步的完善。況有較全面的了解。應急響應體系針對下面的這個問題，通過建立應急響應體系來解決。范，也沒有對安全事件的處理過程做記錄歸檔。務網絡的安全風險。災難備份與恢復體系針對下面的這個個問題，通過建立災難備份與恢復體系來解決。1、沒有建立數據備份與恢復制度；應該對備份的數據做恢復演練，保證備份數據的有效性和可用性，在出現數據故障的時候能夠及時的進行恢復操作。2、目前市局與分局之問的政務內網是租用天威的網絡而沒有其它的備用線路。萬一租用的天威網絡發(fā)生故障將可能導致市局與分局之間的政務內網網絡中斷。為了保證深圳市政務網的正常運行，抵抗包括地震、火災、水災等自然災難，以及戰(zhàn)爭、恐怖襲擊、網絡攻擊、設備系統(tǒng)故障和人為破壞等無法預料的突發(fā)事件造成的損害，因此應該建立一個災難備份與恢復體系。在這個體系里主要包括下面三個部分：政務內網線路的冗余備份、主機服務器的系統(tǒng)備份與恢復、數據庫系統(tǒng)的備份與恢復。2.1、2ISHS在上面策劃建立ISHS息安全問題處理的解決方案，包括：建立基礎保障體系建立信息監(jiān)控與審計體系建立應急服務體系建立災難備份與恢復體系上述的四個安全體系將在這個階段進行實施。1、3ISMS到了有效的管理。同時建立服務與保障體系來保障系統(tǒng)的正常運行。服務保障是指保護和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可控性、不可否認性等特性。服務保障體系則包括：風險評估、軟硬件升級、設備安全巡檢、設備日常維護等等。2、2、1、4ISMS對信息安全管理策略進行修改，對信息安全管理范圍進行調整。總結從其它組織或組織自身的安全經驗得到的教訓。確保改進活動達到了預期的目的。2、2、2先后緩急，初步將安全實施計劃分為以下四個階段：ISMS門信息安全責任人根據當前信息安全的問題制定解決方案ISMS括：建立基礎保障體系建立監(jiān)控審計體系建立應急響應體系建立災難備份與恢復體系ISMS通過建立服務保障體系中的信息風險安全評估、設備巡檢等評審當前信息安全問題的處理情況ISMS信息安全管理策略進行修改，對信息安全管理范圍進行調整。3章分階段安全建設規(guī)劃傳統(tǒng)的安全設計理念基本上仍處于忙于封堵現有系統(tǒng)漏響。點必須要有清晰認識，我們可以從三個層面來看：基礎架構層面：IT信息為核心層面：助企業(yè)提升整體安全管理水平。31IT管理的基礎、核心和重點內容，應該有相應的信息安全建設和保障內容與之配套，因此以信息為核心的IT點。為此，我們規(guī)劃企業(yè)的整體安全的時候，應遵循如下原則：整體規(guī)劃，應對變化安全建設規(guī)劃要有相對完整和全面的框架結構，能應對當前安全威脅的變化趨勢。IT整挖掘潛力，提升整體安全保障能力。著眼信息，重點防范以安全治理為工作目標，著重提升安全整體水平，對目前企業(yè)和主管部門關注的，以及法律法規(guī)要求的內容進行重點關注。3、2對企業(yè)信息安全建設的工作框架附圖1息安全主體目標的不斷治理和改善。4章初期規(guī)劃4、1任人根據當前信息安全的問題制定解決方案4、2制對象，并對自己的需求采取適當的控制。下面將介紹應該如何建立信息安全管理體系的步驟，如下圖所示:11）定義信息安全策略信息安全策略是組織信息安開發(fā)部、數據部、系統(tǒng)都分別有一個信息安全策略，適用于其部門內所有員工。信息安全策略應該簡單明了、通俗易懂，并形成書面文件，發(fā)給內的所有成員。同時要對所有相關員工進行信息安全策略的培訓，對信息安全負有特殊責任的人員要進行特殊的培訓，以使信息安全方針真正植根于內所有員工的腦海并落實到實際工作中。在安全管理文檔的制定中，我們對如下的文檔進行了定義：安全管理文檔業(yè)務系統(tǒng)軟件安全技術標準安全管理文檔網絡信息發(fā)布制度安全管理文檔通用網絡服務安全標準安全管理文檔網絡連接策略和標準安全管理文檔郵件系統(tǒng)安全管理標準安全管理文檔用戶單位用戶帳號和口令管理規(guī)程安全管理文檔信息管理人員（2）ISMS（理系統(tǒng)）ISMS（信息安全管理系統(tǒng)）的范圍確定需要重點進行信息安全管理的領ISMSO在本階段，應將劃分成不同的信息安全控制領域，以易于對有不同需求的領域進行適當的信息安全管理。進行信息安全風險評估信息安全風險評估的復雜程度將取決于風險的復雜程度和ISMS范圍內的信息資產進行鑒定和估價，然后對信息資產面對的各種威脅和脆弱性進行評估，同時對已存在的或