返回
XXXX集团信息安全建设整体规划

XXXX集团信息安全建设整体规划

ID:36410774

大小:193.84 KB

页数:26页

时间:2019-05-10

XXXX集团信息安全建设整体规划_第1页
XXXX集团信息安全建设整体规划_第2页
XXXX集团信息安全建设整体规划_第3页
XXXX集团信息安全建设整体规划_第4页
XXXX集团信息安全建设整体规划_第5页
资源描述:

《XXXX集团信息安全建设整体规划》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、战略信息安全建设整体规划XXX集团战略信息安全建设整体规划26战略信息安全建设整体规划目录一.概述3二.设计方法32.1标准化原则42.2整体化原则42.3等级化原则6三.XXX集团信息化和安全现状分析8四.XXX集团信息安全保障总体框架124.1总体安全方针124.1.1安全使命124.1.2安全目标124.2安全保障框架13五.XXX集团信息安全建设整体规划145.1信息安全管理体系建设145.1.1安全组织建设145.1.2安全策略建设155.1.3安全运维建设155.2物理安全建设215.3网络安全建设215.4系统安全建设225.5应用和数据安全建设235.

2、6系统和数据备份管理245.7应急响应管理245.8灾难恢复管理245.9人员管理和教育培训24六.XXX集团信息安全建设后的拓扑结构2526战略信息安全建设整体规划一.概述随着XXX集团的发展,对信息系统的依赖程度也越来越高,信息安全的问题也越来越突出,对计算机信息安全保障工作也提出了更高的要求。为了有效防范和化解风险,保证信息系统平稳运行和业务持续开展,须建立XXX集团的信息安全保障框架,以增强信息安全风险防范能力。本方案根据系统现状,提出了信息安全的整体规划方案,包括XXX集团信息安全的宗旨与目标,安全保障框架要求,建设总体策略选择,具体安全技术方案等内容。本方

3、案的适用于指导XXX集团信息系统的信息安全工作,包括管理、建设和维护等。适用于各管理职能部门的信息安全管理、建设和维护工作。二.设计方法本文档编写的目的在于规划XXX集团的信息安全建设内容,明确XXX集团未来信息安全建设的方向,并为XXX集团从目前的信息安全现状过度到目标信息安全保障框架所涉及的项目优先级确定、项目计划、项目预算等提供依据。XXX集团安全方案的设计目标是以XXX集团IT系统的实际情况和现实问题为基础,参照国际和国内的安全标准和规范,充分利用成熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、管理和技术为一体的安全建设方案。XXX集团安全建设

4、方案可分为安全总体方针、安全组织设计、安全策略规划、安全技术方案、安全运作等几个方面,主要针对对象是XXX集团IT系统,具体涉及网络、主机、应用软件、数据库和业务数据安全等诸多层次。安全方案设计的三个原则如下:整体性原则:范围和内容整体全面,包括安全涉及的各个层面(应用、系统、网络、管理制度、人员等),避免由于遗漏造成未来的安全隐患。符合性原则:符合国家27号文件指出的积极防御、综合防范的方针和等26战略信息安全建设整体规划级保护的原则,符合国家各种安全标准规范,符合IT内控的各种规范。标准性原则:设计与实施依据国内或国际的相关标准进行,例如等级保护标准、、ISO17

5、799标准、ISO13569标准等;2.1标准化原则本项目参考的相关标准和文档包括:n美国国家安全战略n美国的《保护网络空间的国家战略》n俄罗斯联邦信息安全学说n欧洲信息与网络安全策略nISO27001nISO15408/CCnIATFn等级保护基本要求n等级保护安全技术设计要求2.2整体化原则一般地,对安全保障框架的研究主要采用两种思路,一是“模型化”,它通过将要保护的对象通过模型的方式表达,获取其安全需求;一是“最佳实施”,它通过列举安全控制来构造理想的安全体系。这两种模型都存在着一定的缺陷,模型化思路的主要难点在于难以完整和准确地表达一个信息系统,而最佳实施的主

6、要缺陷是安全控制的不可枚举性。鉴于这样一种情况,在设计XXX集团安全保障框架的过程中,我们将两种思路加以综合,首先借鉴IATF的思路构建XXX集团安全保障框架模型。下图即是IATF安全保障框架模型示意图。这个示意图说明了安全保障框架的构成。26战略信息安全建设整体规划IT安全保障框架深度防御战略人技术操作保护网络与基础设施保护边界保护计算环境保护支撑性基础设施图1IATF安全保障框架而后,通过分析具体问题,并结合最佳实践设计安全保障框架,过程如下:n界定安全问题的范围正如前面所提,信息安全问题涉及的范围很广,有时甚至和传统安全问题牵扯在一起。这给解决安全问题带来了很大

7、的难度。因此要科学地对待信息安全问题,首先必须明确定义信息安全问题的范围。n对安全问题进行结构化分析当信息安全问题的范围已经被明确后,它必须按照结构化原理被不断地细分。这时整个IT系统已经被结构化为多个安全保护对象,而保护对象面临着诸多威胁。n设计安全保障框架根据现有的各种安全标准和实践准则,对XXX集团IT系统进行安全分析,设计适合XXX集团IT系统的安全对策,形成安全保障框架。对XXX集团IT系统面临的每一项安全威胁都从现有安全标准或者最佳实践中选择若干安全对策,注意威胁和安全对策之间是多对多的映射关系,即每一个威胁对应若干个对策,而每一个对策对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。