企業(yè)信息安全總體規(guī)劃方案

千里之行，始于足下。第2頁/共2頁精品文檔推薦企業(yè)信息安全總體規(guī)劃方案企業(yè)信息安全總體規(guī)劃方

案

Preparedon22NovemberXXX

XXXXX公司

信息安全建設規(guī)劃建議書

YYYY科技有限公司

201X年XX月

名目

綜述

概述

信息技術XXX和經濟全球化的進展，使企業(yè)間的競爭差不多轉為技術和信息的競爭，隨著企業(yè)的業(yè)務的快速增長、企業(yè)信息系統(tǒng)規(guī)模的別斷擴大，企業(yè)對信息技術的依靠性也越來越強，企業(yè)是否能長期生存、企業(yè)的業(yè)務是否能高效

的運作也越來越依靠于是否有一具穩(wěn)定、安全的信息系統(tǒng)和數據資產。所以，確保信息系統(tǒng)穩(wěn)定、安全的運行，保證企業(yè)知識資產的安全，差不多成為現代企業(yè)進展創(chuàng)新的必定要求，信息安全能力已成為企業(yè)核心競爭力的重要部分。

企業(yè)高度重視客戶及生產信息，生產資料，設計文檔，知識產權之安全防護。而終端，服務器作為信息數據的載體，是信息安全防護的首要目標。

與此并且，隨著企業(yè)業(yè)務領域的擴展和規(guī)模的快速擴張，為了滿腳企業(yè)進展和業(yè)務需要，企業(yè)的IT生產和支撐支撐系統(tǒng)也舉行了相應規(guī)模的建設和擴展，為了滿腳生產的高速進展，市場的大力擴張，企業(yè)決定在近期舉行信息安全系統(tǒng)系統(tǒng)的調研建設，所以隨著IT系統(tǒng)規(guī)模的擴大和應用的復雜化，相關的信息安全風險也隨之而來，比如病毒、蠕蟲、垃圾郵件、間諜軟件、流氓軟件、數據截獲、嗅探、監(jiān)聽、肆意泛濫，內部機密數據泄漏、辦公系統(tǒng)受到妨礙等等，所以為了保證企業(yè)業(yè)務正常運營、制卡系統(tǒng)的高效安全的運行，別因各種安全威脅的破壞而中斷，信息安全建設別可或缺，信息安全建設必定應該和當前的信息化建設舉行統(tǒng)一全局思考，應該在相關的重要信息化建設中舉行安全前置的思考和規(guī)劃，幸免安全防護措施的遺漏，安全防護的滯后造成的重大安全事件的發(fā)生。。

本次企業(yè)信息安全體系建設規(guī)劃要緊思考采納各種被證明是行之有效的各種信息安全產品和技術，幫助企業(yè)建設一具主動、高效、全面的信息安全防備體系，落低信息安全風險，更好的為企業(yè)生產和運營服務。

現狀分析

目前企業(yè)差不多在前期舉行了部分信息安全的建設，包括終端上的一部分防病毒，網絡邊界處的基本防火墻等安全軟件和設備，在非常大程度上差不多對外部

威脅能有一具基本的防護能力，然而現在的安全威脅和攻擊手段日新月異，層出別窮，各種高危零日漏洞別斷被攻擊者挖掘出來，攻擊的目標越來越有針對性，目前的企業(yè)所面臨的全球安全威脅呈現如下幾個新的趨勢：

惡意攻擊數量快速增加，攻擊手段別斷豐富，最新的未知威脅防別勝防：怎么防范未知威脅，抵御別同攻擊手段和攻擊途徑帶來的信息安全沖擊

高級、有針對性的高危持續(xù)性攻擊APT已蔓延至各類規(guī)模企業(yè)：怎么阻撓別同的攻擊手段別僅僅是防病毒！需要服務器，終端，網絡，數據等各方面多層次的防護，增加威脅防范能力

復雜混亂的應用與外接設備環(huán)境：怎么確保應用和設備的準入操縱

繁瑣枯燥的系統(tǒng)維護和安全治理：怎么更有效利用有限的信息人力資源

工具帶來的新咨詢題：怎么保證安全策略的強制要求，統(tǒng)一治理和實施效果

終端接入別受控：怎么確保終端滿腳制定的終端安全策略-終端準入操縱

網頁式攻擊(Web-basedAttack)已成為最主流的攻擊手法：怎么確保拜訪可靠網站

內外部故意無意的信息泄露將嚴峻妨礙企業(yè)的聲譽和重大經濟損失從目前大多數企業(yè)的信息安全建設來看，針對以上的目前主流的新形勢的信息威脅，企業(yè)在安全建設上還面臨安全防護需要進一步依賴國際先進技術增強主動防備，縱深防備的能力，目前大多數企業(yè)在安全防護上還有如下的欠缺：

目前信息安全存在的咨詢題

在信息系統(tǒng)安全評估中我們對網絡設備、主機系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)、網絡掃描、安全治理等等方面舉行了安全評估，發(fā)覺要緊有如下的咨詢題：網絡設備安全：

拜訪操縱咨詢題

網絡設備安全漏洞

設備配置安全

系統(tǒng)安全：

補丁咨詢題

運行服務咨詢題

安全策略咨詢題

弱口令咨詢題

默認共享咨詢題

防病毒事情

應用安全：

exchange郵件系統(tǒng)的版本咨詢題

apache、iis、weblogic的安全配置咨詢題

serv-U的版本咨詢題

radmin遠程治理的安全咨詢題

數據安全：

數據庫補丁咨詢題

Oracle數據庫默認帳號咨詢題

Oracle數據庫弱口令咨詢題

Oracle數據庫默認配置咨詢題

Mssql數據庫默認有威脅的存儲過程咨詢題

網絡區(qū)域安全：

市局政務外網安全措施完善

市局與分局的拜訪操縱咨詢題

分局政務外網安全措施加強

安全治理：

沒有建立安全治理組織

沒有制定總體的安全策略

沒有降實各個部門信息安全的責任人

缺少安全治理文檔

經過安全評估中的安全修復過程，我們對上述大部分的的安全咨詢題舉行了修補，然而還是存在殘余的風險，要緊是數據安全（已安排升級打算）、網絡區(qū)域安全和安全治理方面的咨詢題。因此當前信息安全存在的咨詢題，要緊表如今如下的幾個方面：

1.在政務外網中，市局建立了基本的安全體系，然而還需要進一步的完善，例如政務外網總出口有單點故障的隱患、門戶網站有被撰改的隱患。另外分局并沒有實施任何的防護措施，存在被黑客入侵的安全隱患；

2.在政務內網中，市局和分局之間沒有做拜訪操縱，存在蠕蟲病毒相互擴散的也許。另外，假如黑客入侵了分局的政務內網后，也許進一步的向市局舉行滲透攻擊。

3.原有的信息安全組織沒有實施起來，沒有制定安全總體策略；沒有降實信息安全責任人。導致信息安全治理沒有可以自上而下的下發(fā)策略和制度，信息安全治理沒有降到實處。

4.經過安全評估，建立了基本的安全治理制度；然而這些安全治理制度還沒有降實到日常工作中，同時也許在實際的操作中依照實際的事情做一些修改。

5.沒有成立安全應急小組，沒有相應的應急事件預案；缺少安全事件應急處理流程與規(guī)范，也沒有對安全事件的處理過程做記錄歸檔。

6.沒有建立數據備份與恢復制度；應該對備份的數據做恢復演練，保證備份數據的有效性和可用性，在浮現數據故障的時候可以及時的舉行恢復操作。

7.目前市局與分局之間的政務內網是租用天威的網絡而沒有其它的備用線路。萬一租用的天威網絡發(fā)生故障將也許導致市局與分局之間的政務內網網絡中斷。

經過信息安全風險評估，對發(fā)覺的對于操作系統(tǒng)、數據庫系統(tǒng)、網絡設備、應用系統(tǒng)等等方面的漏洞，同時由于當時信息安全治理中并沒有規(guī)范的安全治理制度，也是浮現操作系統(tǒng)、數據庫系統(tǒng)、網絡設備、應用系統(tǒng)等漏洞的緣故之一。為了達到對安全風險的長期有效的治理，我們建議建設ISMS（信息安全治理體系），對安全風險經過PDCA模型，輸出為可治理的安全風險。

依照目前的安全威脅，企業(yè)的信息安全面臨的咨詢題是

?信息安全僅作為后臺數據的保障

?前端業(yè)務應用和后端數據庫信息安全等級別高

?信息安全不過建立在簡單的“封、堵”上，別利提升工作效率和協同辦公所以，關于企業(yè)來講，在新的IT環(huán)境下，需要就如下的安全思考，依照合理的規(guī)劃舉行分期建設。

?業(yè)務模式正在發(fā)生改變，生產、研發(fā)等系統(tǒng)的實施，信息安全應全面面向應用，信息安全須前置，以習慣業(yè)務的安全要求。

?用戶終端的多樣化也應保持腳夠的安全。

?數據集中化管控和網絡融合后所需的安全要求。

?數據中心業(yè)務分區(qū)模塊化治理及災備應急機制

設計目標

為企業(yè)設計完善的信息安全治理體系，增強企業(yè)信息系統(tǒng)抵御安全風險的能力，為企業(yè)生產及銷售業(yè)務的健康進展提供強大的保障。

1.經過對企業(yè)各IT系統(tǒng)的風險分析，了解企業(yè)信息系統(tǒng)的安全現狀和存在的各種安全風險，明確將來的安全建設需求。

2.完成安全治理體系規(guī)劃設計，涵蓋安全治理的各個方面，設計合理的建設流程，滿腳中長期的安全治理要求。提供如下安全治理項目：?人員治理

?規(guī)劃制訂和建設流程規(guī)劃

?安全運維治理及資產治理

3.完成安全技術體系規(guī)劃設計，設計有前瞻性的安全解決方案，在舉行成本/效益分析的基礎上，選用主流的安全技術和產品，建設主動、全面、高效的技術防備體系，將企業(yè)面臨的各種風險操縱在能夠同意的范圍之內。針對整體安全規(guī)劃打算，在接下來的幾年內分期建設，最后滿腳如下安全防護需求：?網絡邊界安全防護

?安全治理策略

?關鍵業(yè)務服務器的系統(tǒng)加固，入侵防護，關鍵文件監(jiān)控和系統(tǒng)防護

?網絡和服務器安全防護及安全基線檢查與漏洞檢測

?增強終端綜合安全防護

?強化內部人員上網行為治理

?建設機密數據防泄漏和數據加密，磁盤加密

?網絡信任和加密技術防護

?建設，強化容災和備份治理

4.加強企業(yè)內部的IT操縱與審計，確保IT與法律、法規(guī)，上級監(jiān)管單位的要求相符合，比如：

?需要滿腳國家信息系統(tǒng)安全系統(tǒng)的安全檢查要求

?需要滿腳國家《信息系統(tǒng)安全等級愛護基本要求》

信息安全總體規(guī)劃

設計目標、依據及原則

2.1.1設計目標

電子政務網是深圳市電子政務業(yè)務的承載和體現，是電子政務的重要應用，存儲著的重要的數據資源，流淌著經濟建設和社會日子中重要的數據信息。因此必須從硬件設施、軟件系統(tǒng)、安全治理幾方面，加強安全保障體系的建設，為電子政務應用提供安全可靠的運行環(huán)境。

2.1.2設計依據

《國家信息化領導小組對于我國電子政務建設指導意見》

《國家信息化領導小組對于加強信息安全保障工作的意見》

《電子政務總體框架》

《電子政務信息安全保障技術框架》

《電子政務信息安全等級愛護實施指南》

《信息安全等級愛護治理方法》

《信息技術安全技術信息技術安全性評估準則》

《計算機信息系統(tǒng)安全愛護等級劃分準則》

《電子計算機場地通用規(guī)范》

《計算機場地安全要求》

《計算機信息系統(tǒng)安全保密測評指南》

并且在評定其信息資產的價值等級時，也將參考

ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等國際標準。

電子政務網將依據信息價值的保密性妨礙、信息價值完整性妨礙、信息價值的可用性妨礙等多個方面，來對信息資產的價值等級舉行劃分為五級，第一級為最低級，第五級為最高級。

2.1.3設計原則

電子政務網安全系統(tǒng)在整體設計過程中應遵循如下的原則：

需求、風險、代價平衡的原則：對任何信息系統(tǒng)，絕對安全難以達到，也別一定是必要的，安全保障體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到技術上可實現，組織上可執(zhí)行。

分級愛護原則：以應用為主導，科學劃分網絡安全防護與業(yè)務安全愛護的安全等級，并依據安全等級舉行安全建設和治理，保證服務的有效性和快捷性。

最小特權原則：整個系統(tǒng)中的任何主體和客體別應具有超出執(zhí)行任務所需權力以外的權力。

標準化與一致性原則：電子政務網是一具龐大的系統(tǒng)工程，其安全保障體系的設計必須遵循一系列的標準，如此才干確保各個分系統(tǒng)的一致性，使整個電子政務網安全地互聯互通、信息共享。

多重愛護原則：任何安全措施都別是絕對安全的，都也許被攻破。然而建立一具多重愛護系統(tǒng)，各層愛護相互補充，當一層被攻破時，其他層仍可愛護系統(tǒng)的安全。

整體性和統(tǒng)一性原則：一具大型網絡系統(tǒng)的各個環(huán)節(jié)，包括設備、軟件、數據、人員等，在網絡安全中的地位和妨礙作用，惟獨從系統(tǒng)整體的角度去統(tǒng)一看待、分析，才也許實現有效、可行的安全愛護。

技術與治理相結合原則：電子政務網是一具復雜的系統(tǒng)工程，涉及人、技術、操作等要素，單靠技術或單靠治理都不會實現。所以在思考安全保障體系時，必須將各種安全技術與運行治理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。

統(tǒng)籌規(guī)劃，分步實施原則：由于政策規(guī)定、服務需求的別明朗，環(huán)境、時刻的變化，安全防護與攻擊手段的進步，在一具比較全面的安全體系下，能夠依照網絡的實際需要，先建立基本的的安全保障體系，保證基本的、必須的安全性。隨著今后網絡應用和復雜程度的變化，調整或增強安全防護力度，保證整個網絡最全然的安全需求。

動態(tài)進展原則