欢迎来到天天文库
浏览记录
ID:33973216
大小:226.00 KB
页数:17页
时间:2019-03-03
《如城街道信息系统等级保护建设整改方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、如皋工业园区(如城街道)信息系统等级保护建设整改方案江苏安国信检测技术有限公司二零一五年二月16文档信息文档名称如皋工业园区(如城街道)信息系统等级保护建设方案文档管理编号DBCP201502-RCJD-04保密级别商密文档版本号V2.0制作人薛陈根制作日期2015年2月复审人复审日期2015年2月版本变更记录时间版本说明修改人2015-02V1.0创建文档薛陈根2015-02V2.0修改文档吴鹏飞适用性声明本报告由江苏安国信检测技术有限公司撰写,适用于如皋工业园区(如城街道)信息系统等级保护项目。16目录1.项目概述31.1目标与范围31.2方案设计31.3参照标准32.建设总目标
2、42.1等级保护建设总体目标43.信息系统安全现状43.1信息网络现状44.信息安全管理建设54.1建设目标54.2物理安全64.2.1物理安全建设目标64.2.2整改方案74.3网络安全建设方案84.3.1网络安全建设目标84.3.2整改方案84.4主机安全94.4.1主机安全建设目标94.4.2整改方案104.5应用安全144.5.1应用安全建设目标144.5.2整改方案144.6数据安全及备份恢复154.6.1数据安全及备份恢复建设目标154.6.2整改方案15161.项目概述根据公安部《信息安全等级保护管理办法(公通字[2007]43号)》提出的要求,落实等级保护各项任务,提
3、高如皋工业园区(如城街道)信息系统安全防护能力,特制定本方案。1.1目标与范围为了落实和贯彻公安部等国家有关部门信息安全等级保护工作要求,全面完善信息安全防护体系,落实“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在各单位的顺利实施,提高整体信息安全防护水平,开展等级保护建设工作。在前期的信息系统等级保护测评工作,对如皋工业园区(如城街道)信息系统进行测评工作,范围核心业务信息系统、网上银行信息系统和核心网络系统业务系统分析测评结果与等级保护要求之间的差距,提出本的安全建设方案。本方案主要遵循GB/T22239-2008《信息安全技术信息安全等级保护基本要
4、求》、《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术信息安全风险评估规范》(GB/T20984-2007)、《信息系统信息安全等级保护测评指南》《信息系统信息安全等级保护实施指引》、ISO/IEC27001信息安全管理体系标准和ISO/IEC13335信息安全管理标准等。通过本方案的建设实施,进一步提高信息系统等级保护符合性要求,将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。1.2方案设计根据等级保护前期测评结果,对信息系统存在的漏洞、弱点提出相关的整改意见,并最终形成安全解决方案。1.3参照标准GB/T22239-2
5、008《信息安全技术信息安全等级保护基本要求》16《信息安全等级保护管理办法》(公通字[2007]43号)《信息安全技术信息安全风险评估规范》(GB/T20984-2007)ISO/IEC27001信息安全管理体系标准ISO/IEC13335信息安全管理标准1.建设总目标1.1等级保护建设总体目标综合考虑如皋工业园区(如城街道)现有的安全防护措施,针对与《信息安全技术信息系统安全等级保护基本要求》间存在的差异,整改信息系统中存在的问题,使如皋工业园区(如城街道)信息系统满足《信息安全技术信息系统安全等级保护基本要求》、《信息系统信息安全等级保护实施指引》、《信息安全等级保护测评服务安
6、全指引》中二级系统的要求。2.信息系统安全现状2.1信息网络现状如皋工业园区网络结构如下:16如皋工业园区信息系统通过1台山石SG6000防火墙连接互联网。网络方面通过华为S-3700交换机用于设备互联。存储方面通过IBM高端磁盘阵列配置成虚拟化存储集群系统,并做磁盘阵列级热备保护。服务器由3台IBMx3650M4服务器组成,分别作为数据库服务器、公文应用服务器、资源管理服务器,安装Windows服务器操作系统及Linux操作系统,并安装ORACLE数据库软件。在后台连接IBM存储阵列,将数据集中存放和统一分配管理。1.信息安全管理建设1.1建设目标如皋工业园区(如城街道)信息系统的
7、管理与运维总体水平较高,各项管理措施比较到位,经过多年的建设,已形成一整套完备有效的管理制度。如皋工业园区(如城街道)通过严格、规范、全面的管理制度,结合适当的技术手段来保障信息系统的安全。管理规范已经包含了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面16,但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距,需进行改进。通过等级保
此文档下载收益归作者所有