企业信息化安全建设方案及难点解析.docx
《企业信息化安全建设方案及难点解析.docx》由会员分享,可在线阅读,更多相关《企业信息化安全建设方案及难点解析.docx(35页珍藏版)》请在第一文库网上搜索。
1、企业信息化安全建设方案及难点解析【导读】本文包括信息系统安全分析、安全技术总体设计、全技术详细设计、痛点和难点分析、安全服务解决方案,以及相关表格模板。一、企业信息系统现状某企业生产业务管理系统于2006年6月开始实施,生产管理系统以产品的采购、运输、储存、销售、财务管理与控制为基本管理对象,包括供应链管理、客户管理和电子商务等模块的功能;目前整个网络覆盖本单位生产园区内各车间。系统主要功能是对生产业务信息进行采集、加工、存储、传输和检索等。本系统主要承载本单位生产信息管理业务,是针对此业务的单一信息系统。生产业务管理系统由本单位信息中心负责管理,承担其信息安全保护责任,信息中心为生产业务管理
2、系统定级的责任单位。生产业务管理系统是信息中心的定级对象。二、信息系统安全分析生产信息管理系统的业务信息遭到入侵、修改、增加或删除等不明侵害,会对社会秩序和公众利益造成影响和损害。具体表现为,本单位生产的产品其生产销售情况关系到社会的稳定和人民群众的切身利益,符合等保三级的定级标准。生产信息管理系统的安全由技术和管理两方面保障,技术方面包括物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复,管理方面包括安全管理制度、安全管理是机构、人员安全管理、系统建设管理和系统运维管理。比。经过分析整理发现存在以下问题:检测内容检查项符合数基本符合数不符合数物理安全3115106技术要求网络安全34
3、7522主机安全309714应用安全338619数据安全与备份恢复9513安全管理制度10217管理要求安全管理是机构19865人员安全管理17854系统建设管理4633310系统运维管理6142613合计29013750103信息安全建设存在的主要问题:D网络安全方面,对网络设备的安全审计和网络设备的自身防护等。2)主机安全方面,操作系统长时间未更新补丁,部分服务器未安装防病毒软件。3)安全管理制度的制定和操作流程的标准化规范化。本方案以等保三级为标准对企业的现状进行分析,按标准进行查缺补漏,根据信息系统存在的问题进行整改,并提供详细的解决方案。三、安全技术总体设计安全建设目标根据信息安全等
4、级保护的要求,从技术体系和管理体系两个方面入手、完善信息系统的安全建设,达到信息安全等级保护三级安全防护的要求。进行信息系统整体安全建设规划,在这个安全策略的控制和指导下,综合设计信息系统的安全防护措施、安全检测与响应手段和信息安全综合管理能力,建设一个完善的信息安全体系,保证信息系统的安全。-方案建设原则和依据为了更有效地保障信息系统的安全,设计安全方案时应结合网络安全法的要求和国家信息系统安全等级保护的要求,结合多年的安全实践设计完善的解决方案。本方案设计依据的政策法规与标准如下:国家政策法规1)中华人民共和国网络安全法2)中华人民共和国计算机信息系统安全保护条例(国务院147号令);3)
5、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号);4)关于信息安全等级保护工作的实施意见(公通字200466号);5)信息安全等级保护管理办法(公通字200743号);6)信息安全等级保护备案实施细则(公信安20071360号);7)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)。等级保护及信息安全相关国家标准(1)计算机信息系统安全保护等级划分准则(GB17859-1999);(2)信息系统安全等级保护实施指南(GBT25058-2010);(3)信息系统安全保护等级定级指南(GB/T22240-2008);(4)信息系统安全等级保护基
6、本要求(GB/T22239-2008);(5)信息系统等级保护安全设计技术要求(GB/T25070-2010);(6)信息安全技术信息系统安全等级保护测评要求;(7)信息安全技术信息系统安全等级保护测评过程指南;(8)信息安全技术信息安全风险评估规范(GB/T20984-2007);(9)信息安全技术信息系统安全管理要求(GB/T20269-2006);(10)信息安全管理体系要求(GB/T22080-2008);(11)信息安全管理实用准则(GB/T22081-2008);(12)信息系统通用安全技术要求(GB/T20271-2006)等相关的一系列具体技术标准。方案总体架构依据本方案的设计
7、依据和标准,基于网络安全法和信息安全等级保护的要求,结合安全模型在整体的安全策略的控制和指导下,在综合运用防火墙、身份认证和加密等防护工具的同时,利用漏洞扫描和入侵检测等系统了解和评估系统的安全状态,并通过备份容灾方式来保证系统在受到破坏后的迅速恢复。12 .安全策略安全策略的制定要结合现有的信息系统实际情况制定,安全策略要明确被保护的主体和原因,明确安全工作的具体职责,提供解决出现的问题的基准。安全策略要在一段时期内固定不变。3 .安全防护D物理安全的目的是保护中心机房以及供电设备、服务器、网络安全设备和通信链路等免受自然灾害、人为破坏等攻击;同时能验证用户的身份和使用权限,防止用户越权操作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 信息化 安全 建设 方案 难点 解析