返回
《安全保障方案》word版

《安全保障方案》word版

ID:24907378

大小:85.35 KB

页数:12页

时间:2018-11-17

《安全保障方案》word版_第1页
《安全保障方案》word版_第2页
《安全保障方案》word版_第3页
《安全保障方案》word版_第4页
《安全保障方案》word版_第5页
资源描述:

《《安全保障方案》word版》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第1章.安全保障建设方案1.1.概述随着全国各行各业电子信息工程化的实施和互联网络的迅猛发展及业务发展和市场竞争的需要,以信息公开化、电子化为核心的电子化信息系统已经成为企业发展业务、提高服务水平、加强管理和提升效益的必备手段,但是,紧随信息化发展而来的网络安全问题日渐凸出,根据国家四部委联合下发的2007公通字43号文以及《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)要求,规定的重要信息系统,必须实施等级保护建设。同时以GB/T22239-2008《信息系统安全等级保护

2、基本要求》为评价基础,以《信息系统等级保护安全设计技术要求》和《信息安全等级保护安全建设整改工作指南》为设计指导,并充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架,提出以建立一个“安全物理环境”基础上的“一个中心”保障下的“三重防护体系”架构体系(一个中心是指安全管理中心,三层纵深防御体系则由安全计算环境、安全区域边界以及安全通信网络组成),能够有效地帮助管委会解决日渐凸出网络安全问题,保障其业务系统可靠、稳定的运行,从而有效满足当前及未来一段时期安全需求。本方案针对网络环境、应用系统以及当前

3、的安全措施为基础,分析安全建设需求,结合国家等级保护的建设规范和技术要求而编制,一方面对平台的信息安全建设起到指导作用;另一方面可形成省市级别安全防护系统建设方案,为企业进行安全建设起到建议作用;还有就是通过将等级保护基本要求,在实际网络应用环境中落地,形成多系统复杂环境的等级保护建设方法,指导用户落实等级保护的制度和要求。1.1.1.系统定级重要信息系统的定级工作,是开展等级保护的首要环节,是进行信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。如果信息系统有重大变更,需对信息系统进行定级备案工

4、作。根据信息系统的业务要求、信息系统的实际情况,定级咨询工作具体包括:l沟通、培训国家等级保护相关政策精神、要求及最新进展;l分析组织架构、业务要求、信息系统等内容,对重要信息系统进行摸底调查,确定定级对象;l针对定级对象,基于国家《定级指南》等,初步确定重要信息系统的等级,完成《定级报告》;l编写《安全等级保护定级指南》;l经专家评审和审批,完成定级备案工作;l进行定级工作总结根据《GB17859-1999计算机信息系统安全保护等级划分准则》的系统定级要求,定级为信息系统等级保护三级。1.1.1.设计范围本

5、方案对应用系统进行等级保护(三级要求)安全设计。1.1.2.设计原则等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。对于信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务、研发类信息系统,在方案设计中应当遵循以下的原则:1、适度安全原则任何信息系统都不能做到绝对的安全,在进行信息安全等级保护规划中,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建

6、设的初衷,因此在进行等级保护设计的过程中,一方面要严格遵循基本要求,从网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合成本的角度,针对信息系统的实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。2、重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;本方案在设计中将重点保护涉及生产、研发、销售等关键业务的信息系统,对其

7、他信息系统则降低保护等级进行一般性设计和防护;3、技术管理并重原则信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性,形成技术和管理两个部分的建设方案;4、分区分域建设原则对信息系统进行安全保护的有效方法就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更

8、好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延;5、标准性原则信息安全保护体系应当同时考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。