信息系統(tǒng)安全規(guī)劃方案-2023修改整理

千里之行，始于足下讓知識帶有溫度。第2頁/共2頁精品文檔推薦信息系統(tǒng)安全規(guī)劃方案信構(gòu)企業(yè)信用信息管理系統(tǒng)平安規(guī)

劃建議書

名目

1.總論(3)

1.1.項目背景(3)

1.2.項目目標(3)

1.3.依據(jù)及原則(4)

1.3.1.原則(4)

1.3.2.依據(jù)(5)

1.4.項目范圍(7)

2.總體需求(7)

3.項目建議(8)

3.1.信構(gòu)企業(yè)信用信息管理系統(tǒng)平安現(xiàn)狀評估與分析(8)

3.1.1.評估目的(8)

3.1.2.評估內(nèi)容及辦法(9)

3.1.3.實施過程(14)

3.2.信構(gòu)企業(yè)信用信息管理系統(tǒng)平安建設規(guī)劃計劃設計(23)

3.2.1.設計目標(23)

3.2.2.主要工作(24)

3.2.3.所需資源(27)

3.2.4.階段成績(27)

4.附錄(27)

4.1.項目實施內(nèi)容列表及報價清單(27)

1.總論

1.1.項目背景

******************（以下簡稱“********”）隸屬***********，主要工作職責是按照…………的授權(quán)，負責………………；負責…………等工作。

********作為*********部門，在印前，需要對………………。在囫圇…………業(yè)務流程中信構(gòu)企業(yè)信用信息管理系統(tǒng)起了關(guān)鍵的作用。

1.2.項目目標

以國家信息平安等級庇護相關(guān)文件及ISO27001/GBT22080為指導，結(jié)合********信構(gòu)企業(yè)信用信息管理系統(tǒng)平安現(xiàn)狀及將來進展趨勢，建立一套完美的平安防護體系。通過體系化、標準化的信息平安風險評估，樂觀實行各種平安管理和平安技術(shù)防護措施，落實信息平安等級庇護相關(guān)要求，提高信構(gòu)企業(yè)信用信息管理系統(tǒng)平安防護能力。

從技術(shù)與管理上提高********網(wǎng)絡與信構(gòu)企業(yè)信用信息管理系統(tǒng)平安防護水平，防止信息網(wǎng)絡癱瘓，防止應用系統(tǒng)破壞，防止業(yè)務數(shù)據(jù)走失，防止企業(yè)信息泄密，防止終端病毒感染，防止有害信息傳揚，防止惡意滲透襲擊，確保信構(gòu)企業(yè)信用信息管理系統(tǒng)平安穩(wěn)定運行，確保業(yè)務數(shù)據(jù)平安。

1.3.依據(jù)及原則

1.3.1.原則

以適度風險為核心，以重點庇護為原則，從業(yè)務的角度動身，重點庇護重要的業(yè)務、信構(gòu)企業(yè)信用信息管理系統(tǒng)，在計劃設計中遵循以下的原則：

適度平安原則

從網(wǎng)絡、主機、應用、數(shù)據(jù)等層面加強防護措施，保障信構(gòu)企業(yè)信用信息管理系統(tǒng)的機密性、完整性和可用性，同時綜合成本，針對信構(gòu)企業(yè)信用信息管理系統(tǒng)的實際風險，提供對應的庇護強度，并根據(jù)庇護強度舉行平安防護系統(tǒng)的設計和建設，從而有效控制成本。

重點庇護原則

按照信構(gòu)企業(yè)信用信息管理系統(tǒng)的重要程度、業(yè)務特點，通過劃分不同平安庇護等級的信構(gòu)企業(yè)信用信息管理系統(tǒng)，實現(xiàn)不同強度的平安庇護，集中資源優(yōu)先庇護涉及核心業(yè)務或關(guān)鍵信息資產(chǎn)的信構(gòu)企業(yè)信用信息管理系統(tǒng)。

技術(shù)管理并重原則

把技術(shù)措施和管理措施有效結(jié)合起來，加強********信構(gòu)企業(yè)信用信息管理系統(tǒng)的整體平安性。

標準性原則

信息平安建設是十分復雜的過程，在規(guī)劃、設計信息平安系統(tǒng)時，單純依靠閱歷是無法對抗未知的威逼和襲擊，因此需要遵循相應的平安標準，從更全面的角度舉行差異性分析。

同時，在規(guī)劃、設計********信息平安庇護體系時應考慮與其他標準的符合性，在計劃中的技術(shù)部分將參考IATF平安體系框架舉行設計，在管理方面同時參考27001平安管理指南，使建成后的等級庇護體系更具有廣泛的有用性。

動態(tài)調(diào)節(jié)原則

信息平安問題不是靜態(tài)的，它總是隨著********的平安組織策略、組織架構(gòu)、信構(gòu)企業(yè)信用信息管理系統(tǒng)和操作流程的轉(zhuǎn)變而轉(zhuǎn)變，因此必需要跟蹤信構(gòu)企業(yè)信用信息管理系統(tǒng)的變化狀況，調(diào)節(jié)平安庇護措施。

成熟性原則

本計劃設計實行的平安措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗的確能夠解決平安問題并在無數(shù)項目中有勝利應用的。

科學性原則

在對********信構(gòu)企業(yè)信用信息管理系統(tǒng)舉行平安評估的基礎上，對其面臨的威逼、弱點和風險舉行了客觀評價，因此規(guī)劃計劃設計的措施和策略一方面能夠符合國家等級庇護的相關(guān)要求，另一方面也能夠很好地解決********信息網(wǎng)絡中存在的平安問題，滿足特性需求。

1.3.

2.依據(jù)

1.3.

2.1.政策文件

關(guān)于轉(zhuǎn)發(fā)《國家信息化領導小組關(guān)于加強信息平安保障工作的意見》的通知（中辦[2022]27號文件）

關(guān)于印發(fā)《信息平安等級庇護工作的實施意見》的通知（公通字

[2022]66號文件）

關(guān)于印發(fā)《信息平安等級庇護管理方法》的通知（公通字[2022]43號文件）

《信息平安等級庇護管理方法》（公通字[2022]43號）

《關(guān)于開展全國重要信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護定級工作的通知》（公信安[2022]861號）

《關(guān)于開展信息平安等級庇護平安建設整改工作的指導意見》(公信安[2022]1429號)

1.3.

2.2.標準規(guī)范

計算機信構(gòu)企業(yè)信用信息管理系統(tǒng)平安庇護等級劃分準則（GB/T17859-1999）

信息平安技術(shù)信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護實施指南信息平安技術(shù)信構(gòu)企業(yè)信用信息管理系統(tǒng)平安庇護等級定級指南（GB/T22240-2022）

信息平安技術(shù)信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護基本要求（GB/T22239-2022）

信息平安技術(shù)信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護測評要求信息平安技術(shù)信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護測評過程指南

信息平安技術(shù)信構(gòu)企業(yè)信用信息管理系統(tǒng)等級庇護平安設計技術(shù)要求

1.4.項目范圍

根據(jù)國家有關(guān)規(guī)定和標準規(guī)范要求，堅持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機結(jié)合，建立信構(gòu)企業(yè)信用信息管理系統(tǒng)綜合防護體系，提高信構(gòu)企業(yè)信用信息管理系統(tǒng)整體平安庇護能力。依據(jù)《信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護基本要求》（以下簡稱《基本要求》），落實信息平安責任制，建立并落實各類平安管理制度，開展人員平安管理、系統(tǒng)建設管理和系統(tǒng)運維管理等工作，落實物理平安、網(wǎng)絡平安、主機平安、應用平安和數(shù)據(jù)平安等平安庇護技術(shù)措施。

按照********現(xiàn)狀和********規(guī)劃，確定本項目主要建設內(nèi)容包括：網(wǎng)絡結(jié)構(gòu)調(diào)節(jié)、物理平安建設、主機及應用系統(tǒng)平安建設、數(shù)據(jù)存儲與備份平安建設、終端平安建設、運行及優(yōu)化等。

2.總體需求

********在充分利用現(xiàn)有信息化成績的基礎上，進一步將信息化技術(shù)深化應用于管理、設計、協(xié)同等各方面，建立和完美以信息和網(wǎng)絡技術(shù)為支撐，滿足************服務等所需的信息網(wǎng)絡體系和協(xié)同工作平臺，滿足公司運營管控的信息化平臺，實現(xiàn)技術(shù)、人力、資金、設備、學問資源的分享。

目前********隨著業(yè)務不斷增強信息化建設的進度必需滿足業(yè)務進展的需要。

********信構(gòu)企業(yè)信用信息管理系統(tǒng)平安建設，旨在從技術(shù)與管理上

加強公司網(wǎng)絡與信構(gòu)企業(yè)信用信息管理系統(tǒng)平安防護水平，防止信息網(wǎng)絡癱瘓，防止應用系統(tǒng)破壞，防止業(yè)務數(shù)據(jù)走失，防止********信息泄密，防止終端病毒感染，防止有害信息傳揚，防止惡意滲透襲擊，確保信構(gòu)企業(yè)信用信息管理系統(tǒng)平安穩(wěn)定運行，確保業(yè)務數(shù)據(jù)平安。

針對********信構(gòu)企業(yè)信用信息管理系統(tǒng)平安現(xiàn)狀及將來的需求分析，亟需建立一整套完美的平安體系。該體系包括信構(gòu)企業(yè)信用信息管理系統(tǒng)的平安管理體系和技術(shù)產(chǎn)品的技術(shù)體系。通過兩個體系的建立，實現(xiàn)********信構(gòu)企業(yè)信用信息管理系統(tǒng)的全部信息資產(chǎn)以及與******之間舉行平安的管理和技術(shù)庇護。同時通過多層次、多角度的平安服務和產(chǎn)品，籠罩從物理環(huán)境、網(wǎng)絡層、系統(tǒng)層、數(shù)據(jù)庫層、應用層和組織管理信息平安的全部方面。囫圇平安體系包括網(wǎng)絡平臺平安、應用平安、系統(tǒng)平臺平安以及物理和環(huán)境的平安等內(nèi)容。

3.項目建議

主要完成兩項工作，一是信構(gòu)企業(yè)信用信息管理系統(tǒng)平安現(xiàn)狀調(diào)查與分析；二是信構(gòu)企業(yè)信用信息管理系統(tǒng)平安建設規(guī)劃計劃設計。

3.1.信構(gòu)企業(yè)信用信息管理系統(tǒng)安

全現(xiàn)狀評估與分析

3.1.1.評估目的

為了精確?????掌握*****************當前現(xiàn)狀，了解當前存在的缺陷和不足，完美信構(gòu)企業(yè)信用信息管理系統(tǒng)整體平安。以信構(gòu)企業(yè)信用信息管理

系統(tǒng)平安等級庇護標準為基礎，對信構(gòu)企業(yè)信用信息管理系統(tǒng)平安舉行符合性分析，作為**********************信構(gòu)企業(yè)信用信息管理系統(tǒng)平安規(guī)劃的原始標準和改進依據(jù)。

3.1.2.評估內(nèi)容及辦法

.評估內(nèi)容

結(jié)合信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護基本要求標準，對********的信構(gòu)企業(yè)信用信息管理系統(tǒng)舉行測試評估，應包括兩個方面的內(nèi)容：一是平安控制評估，主要評估信息平安等級庇護要求的基本平安控制在信構(gòu)企業(yè)信用信息管理系統(tǒng)中的實施配置狀況；二是系統(tǒng)整體評估，主要評估分析信構(gòu)企業(yè)信用信息管理系統(tǒng)的整體平安性。其中，平安控制評估是信構(gòu)企業(yè)信用信息管理系統(tǒng)整體平安評估的基礎。

對平安控制評估的描述，使用評估單元方式組織。評估單元分為平安技術(shù)評估和平安管理評估兩大類。平安技術(shù)評估包括：物理平安、網(wǎng)絡平安、主機系統(tǒng)平安、應用平安和數(shù)據(jù)平安等五個層面上的平安控制評估；平安管理評估包括：平安管理機構(gòu)、平安管理制度、人員平安管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的平安控制評估。詳細見下圖：

因為********在信構(gòu)企業(yè)信用信息管理系統(tǒng)平安規(guī)劃建議是基于信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護基本要求標準（二級）之上，因此，共需要對技術(shù)與管理兩大方面、十個層面的66個控制項、175個控制點舉行平安評估。

.1技術(shù)部分

技術(shù)部分將對********的物理平安、網(wǎng)絡平安、主機平安、應用平安、數(shù)據(jù)平安及備份的五個層面舉行平安控制評估。

.2管理部分

平安管理機構(gòu)、平安管理制度、人員平安管理、系統(tǒng)建設管理和系統(tǒng)

運維管理等五個方面的平安控制評估

.評估辦法

評估實施階段的工作主要是進入評估現(xiàn)場以后，依據(jù)《信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護實施指南》和評估量劃和計劃的要求，通過各種評估方式對涉及信構(gòu)企業(yè)信用信息管理系統(tǒng)平安各個層面舉行評估。評估的主要方式包括：

.1文檔審核

文檔審核的對象主要是與被評估信構(gòu)企業(yè)信用信息管理系統(tǒng)平安性有關(guān)的各個方面的文檔，如：平安管理制度和文件、平安管理的執(zhí)行過程文檔、系統(tǒng)設計計劃、網(wǎng)絡設備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各種運行記錄文檔、機房建設相關(guān)資料等等。通過對這些文檔的審核與分析確認評估的相關(guān)內(nèi)容是否達到了等級的要求。

.2現(xiàn)場訪談

評估人員與被評估信構(gòu)企業(yè)信用信息管理系統(tǒng)的相關(guān)人員舉行交談和問詢，了解信構(gòu)企業(yè)信用信息管理系統(tǒng)技術(shù)和管理方面的一些基本信息，并對一些評估內(nèi)容及其文檔審核的內(nèi)容舉行核實。

人員訪談是通過調(diào)查表、人員訪談、現(xiàn)場勘查、文檔查看等手段了解管理弱點，對客戶的信息平安管理體系、信息平安運維過程等方面，對照等級要求舉行測試。

評估人員通過與信構(gòu)企業(yè)信用信息管理系統(tǒng)有關(guān)人員（個人/群體）舉行溝通、研究等活動，獵取證據(jù)以證實信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護措施是否有效，評估中使用各類調(diào)查問卷和訪談大綱。

.3現(xiàn)場檢查

現(xiàn)場檢查主要是對一些需要在現(xiàn)場上機舉行實際檢查與確認的信息舉行核實，以及對某些訪談和文檔審核的內(nèi)容舉行核實。

評估人員通過對評估對象舉行觀看、查驗、分析等活動，獵取證據(jù)以證實信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護措施是否有效的一種辦法，評估過程中使用各種檢查表和相應的平安調(diào)查工具。

人工審計對實施人員的平安學問、平安技術(shù)和平安閱歷要求很高，由于他們必需了解最新的平安漏洞、把握多種先進的平安技術(shù)和堆積豐盛的平安領域閱歷，這樣才干對技術(shù)評估對象中物理層、網(wǎng)絡層、主機層、數(shù)據(jù)層和客戶層的全部平安對象目標舉行最有效和最完整的平安檢查，并提供最合理和最準時的平安建議。

.4工具測試

工具測試主要是按照被評估信構(gòu)企業(yè)信用信息管理系統(tǒng)的實際狀況，評估人員使用某些技術(shù)工具對信構(gòu)企業(yè)信用信息管理系統(tǒng)舉行測試。普通包括漏洞掃描（僅限于終端）、性能測試、配置檢查、日志與記錄分析等內(nèi)容。

在本次差距評估服務項目實施中，使用的工具包括網(wǎng)絡和系統(tǒng)漏洞掃描工具、應用漏洞掃描工具、綜合掃描工具、網(wǎng)絡協(xié)議分析工具、滲透測試工具和其它相關(guān)工具等。

漏洞掃描

漏洞掃描是通過自動化的評估工具（平安評估系統(tǒng)或掃描器），按照其內(nèi)置的評估內(nèi)容、測試辦法、評估策略及相關(guān)數(shù)據(jù)庫信息，從系統(tǒng)內(nèi)部、外部對系統(tǒng)舉行一系列的堅強性檢查，發(fā)覺潛在平安風險問題，如易猜出的密碼、用戶權(quán)限、用戶設置、關(guān)鍵文件權(quán)限設置、路徑設置、密碼設置、網(wǎng)絡服務配置、應用程序的可信性、服務器設置以及其他含有襲擊隱患的可疑點等。使用漏洞掃描工具的優(yōu)點是能夠顯然降低評估工作量，且其報表功能較為強大，有的還具備一定的智能分析和數(shù)據(jù)庫升級功能。

平安測試

平安測試包括功能測試、性能測試及滲透測試。主要針對應用系統(tǒng)的功能及性能方面舉行測試，驗證應用系統(tǒng)的功能及性能是否符合要求；以及從操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)及網(wǎng)絡設備等方面可能存在的漏洞及弱點動身，對網(wǎng)絡系統(tǒng)舉行滲透性測試，驗證網(wǎng)絡系統(tǒng)的平安防護是否有效。

評估人員通過對評估對象舉行探測、分析、測試及驗證等活動，獵取證據(jù)以證實信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護措施是否有效，評估過程中會使用到各種專業(yè)的測試工具。

3.1.3.實施過程

信構(gòu)企業(yè)信用信息管理系統(tǒng)平安等級庇護差距評估的全過程以項目管

理理論為基礎，囫圇評估過程共分評估預備、現(xiàn)場評估、評估分析和整改規(guī)劃四個階段。

.評估預備

.1階段主要工作

在本階段的主要工作包括：

編制基于等級庇護基本要求標準的差距評估實施方案，明確差距評估小組成員及其職責、分工、交流的流程，明確******及用戶雙方的工作分工、權(quán)利和義務，舉行相關(guān)數(shù)據(jù)信息的收集，召開差距評估啟動，獵取資料信息等工作。

各方的主要職責分工如下：

******：

1.負責編制基于等級庇護基本要求標準的差距評估實施方案；

2.確定實施人員、工作職責、實施時光和詳細內(nèi)容；

3.預備評估工具（表單、技術(shù)工具等）。

用戶方：

1.確定用戶方的參加人員及工作職責；

雙方共同：

1.召開基于等級庇護基本要求標準的差距評估啟動會；

2.研究并確定本差距評估與風險分析實施方案。

.2所需資源

需要用戶方提供以下須要的資料及信息：

1.資產(chǎn)清單及信構(gòu)企業(yè)信用信息管理系統(tǒng)拓撲圖；

2.涉及資產(chǎn)的配置狀況。

3.規(guī)則制度相關(guān)文檔

.3階段成績

在本階段，******將收拾并向用戶方提交以下服務資料：

?《項目實施方案》

?《評估表單》

?《會議紀要》

.4階段目標

評估預備階段的主要目標是獵取用戶方的信構(gòu)企業(yè)信用信息管理系統(tǒng)基本信息，確定評估范圍，共同研究確定現(xiàn)場評估量劃為目標，確保雙方在差距評估工作能夠達成共識。

.現(xiàn)場評估

.1階段目標

舉行信構(gòu)企業(yè)信用信息管理系統(tǒng)信息的收集、分析，對信構(gòu)企業(yè)信用信息管理系統(tǒng)舉行合理分解，然后進入標準符合性檢查測試評估階段，任

務是全面獵取與驗證當前的信構(gòu)企業(yè)信用信息管理系統(tǒng)，組織，信息平安管理，系統(tǒng)威逼、堅強性、平安控制措施等信息。以此為基礎，結(jié)合標準、專業(yè)的平安學問及閱歷對平安的概況舉行補充與調(diào)節(jié)，為終于的整改實施階段計劃的編制提供依據(jù)。獵取當前信構(gòu)企業(yè)信用信息管理系統(tǒng)與等級庇護相應級別標準要求之間的差距狀況。

.2階段主要工作

在本階段的主要工作包括：

標準符合性評估階段的主要工作有人員調(diào)查、資產(chǎn)調(diào)查、平安威逼調(diào)查、平安需求調(diào)查、平安技術(shù)水平調(diào)查等，采納文檔收集、問卷調(diào)研、人員訪談、現(xiàn)場檢查、技術(shù)測試（如漏洞掃描分析）等多種手段舉行差距性分析。主要工作支配如下：

調(diào)查和統(tǒng)計********涉及的全部信息資產(chǎn)（包含物理環(huán)境、網(wǎng)絡設備、主機、應用軟件、業(yè)務系統(tǒng)、數(shù)據(jù)、人員、標準流程等），明確其現(xiàn)有情況、配置狀況和管理狀況。

其中拓撲結(jié)構(gòu)調(diào)查工作包括對********的TCP/IP網(wǎng)絡的拓撲結(jié)構(gòu)舉行實地查驗，核實拓撲結(jié)構(gòu)圖；現(xiàn)有平安系統(tǒng)調(diào)查工作包括現(xiàn)有平安設備(包括防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、平安掃描系統(tǒng))的部署狀況和使用狀況。

結(jié)合等級庇護基本要求標準（二級），對********的信構(gòu)企業(yè)信用信息管理系統(tǒng)舉行全面分析面臨的威逼，評估現(xiàn)有系統(tǒng)的技術(shù)和管理、組織結(jié)構(gòu)等方面的標準符合偏差，明確全部網(wǎng)絡及應用系統(tǒng)標準符合偏差。

現(xiàn)場評估階段的詳細工作支配如下：

各方的主要職責分工如下：******：

1.舉行現(xiàn)場評估與分析（訪談、檢查、測試）；

2.現(xiàn)場評估工作的部署；

3.對服務器及應用系統(tǒng)舉行漏洞掃描等平安測試；

4.訪談用戶方相關(guān)人員（技術(shù)、管理角色），了解當前現(xiàn)狀；

5.對設備舉行實地檢查；

6.對管理狀況舉行現(xiàn)場訪談、檢查，檢查管理制度文件和記錄；

7.匯總收拾現(xiàn)場評估數(shù)據(jù)。

用戶方：

1.幫助舉行須要的技術(shù)操作；

2.協(xié)調(diào)差距評估過程中所需要的相關(guān)的資源（人員資源、技術(shù)資源、

設備資源、文件資源等）。

雙方共同：

1.舉行現(xiàn)場評估小結(jié)，初步確認評估結(jié)果。

在本階段中，各方應對當前信構(gòu)企業(yè)信用信息管理系統(tǒng)的現(xiàn)狀狀況作出客觀、直觀的分析和說明。

.3所需資源

需要用戶方提供以下資源、資料及信息：

需要用戶方提供對信構(gòu)企業(yè)信用信息管理系統(tǒng)資產(chǎn)的拜訪權(quán)限；

協(xié)調(diào)各信構(gòu)企業(yè)信用信息管理系統(tǒng)的相關(guān)管理人員（或設備供貨商、服務商等）作為接口人員（需要協(xié)作完成訪談、檢查與測試）；

需要用戶方提供全部信構(gòu)企業(yè)信用信息管理系統(tǒng)平安管理制度文件及

記錄文件。

.4階段成績

在本階段，******將收拾并向用戶方提交以下服務資料：

?《調(diào)查評估記錄（技術(shù)、管理）》

?《信息資產(chǎn)調(diào)查表》

?《漏洞掃描報告》

?《技術(shù)訪談記錄》

?《管理訪談記錄》

?《會議紀要》

.評估分析

.1階段目標

從技術(shù)和管理兩個層面向******舉行綜合分析，找出信構(gòu)企業(yè)信用信息管理系統(tǒng)平安方面，存在的缺陷和不足。為下一步信構(gòu)企業(yè)信用信息管理系統(tǒng)平安建設規(guī)劃提供現(xiàn)狀上的依據(jù)。

.2階段主要工作

本階段的主要工作包括：

收拾現(xiàn)場評估數(shù)據(jù)材料，對現(xiàn)場評估結(jié)果舉行綜合分析，找浮現(xiàn)狀與標準之間的差距狀況，并為整改規(guī)劃提供數(shù)據(jù)參考。

各方的主要職責分工如下：

******：

2.收拾現(xiàn)場評估數(shù)據(jù)材料；

3.分析評估狀況，編制評估分析報告。

用戶方：

無

雙方共同：

1.研究確認評估分析結(jié)論報告。

.3所需資源

無

.4階段成績

在本階段，******將收拾并向用戶方提交以下服務資料：

《現(xiàn)狀評估分析報告》

3.2.信構(gòu)企業(yè)信用信息管理系統(tǒng)安

全建設規(guī)劃計劃設計

結(jié)合3.1部分的工作，終于為用戶設計出一套整體平安建設計劃，這個計劃中要包含系統(tǒng)現(xiàn)狀與差距的分析、詳細的平安建設（整改）內(nèi)容等。

3.2.1.設計目標

以信息平安等級庇護相關(guān)文件及ISO27001/GBT22080為指導，結(jié)合********信構(gòu)企業(yè)信用信息管理系統(tǒng)平安現(xiàn)狀及將來進展趨勢，建立一套

完美的平安防護體系。通過體系化、標準化的信息平安風險評估，樂觀實行各種平安管理和平安技術(shù)防護措施，落實信息平安等級庇護相關(guān)要求。

從技術(shù)與管理上提高********網(wǎng)絡與信構(gòu)企業(yè)信用信息管理系統(tǒng)平安防護水平，防止信息網(wǎng)絡癱瘓，防止應用系統(tǒng)破壞，防止業(yè)務數(shù)據(jù)走失，防止******航海測繪信息泄密，防止終端病毒感染，防止有害信息傳揚，防止惡意滲透襲擊，確保信構(gòu)企業(yè)信用信息管理系統(tǒng)平安穩(wěn)定運行，確保業(yè)務數(shù)據(jù)平安。

3.2.2.主要工作

.信構(gòu)企業(yè)信用信息管理系統(tǒng)平安規(guī)劃設計建議

.1網(wǎng)絡拜訪控制策略

網(wǎng)絡拜訪控制策略如下：

核心服務器區(qū)/非核心服務器區(qū)只允許業(yè)務網(wǎng)終端拜訪；

不允許業(yè)務網(wǎng)終端到達外網(wǎng)以及更低的平安區(qū)域；

不允許外網(wǎng)終端到達業(yè)務網(wǎng)以及更高的平安區(qū)域；

允許外網(wǎng)終端拜訪前置服務區(qū)；

允許外網(wǎng)終端拜訪因特網(wǎng)服務器區(qū)；

允許外網(wǎng)終端拜訪因特網(wǎng)并對全部終端用戶拜訪行為，如郵件、網(wǎng)頁拜訪等舉行監(jiān)控；

因特網(wǎng)服務器區(qū)允許因特網(wǎng)公眾拜訪特定服務（如Http、SMTP、POP3、DNS等）；

同一應用系統(tǒng)的前置服務器與內(nèi)部核心服務器、非核心服務器之間

建立特定的數(shù)據(jù)交換通道。

.2物理平安

物理平安策略針對以下三個方面舉行改造和設計：

環(huán)境平安：對系統(tǒng)所在環(huán)境的平安庇護，如區(qū)域庇護和災害庇護；（參見國家標準GB50173－93《電子計算機機房設計規(guī)范》、國標GB2887

－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地平安要求》設備平安：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源庇護等；

媒體平安：包括媒體數(shù)據(jù)的平安及媒體本身的平安。

.3主機平安

主機平安包括服務器的主機平安及終端用戶的主機平安，其系統(tǒng)加固和優(yōu)化是實現(xiàn)********信構(gòu)企業(yè)信用信息管理系統(tǒng)平安的關(guān)鍵環(huán)節(jié)。通過主機系統(tǒng)平安加固，可以對********各應用系統(tǒng)的