信息系统安全策略
信息系统安全策略
类 别:计算机信息管理 起草单位:信息管理部 第一章 总 则
第一条 为了保证中煤张家口煤矿机械有限责任公司(以下简称张煤
机)信息系统的安全和发展、保证信息系统的正常运行 , 特制定本安全策略。
第二条 信息系统应用、 服务支撑和管理的相关人员应该遵守 《中华人 民共和国计算机信息系统安全保护条例》 、《中华人民共和国计算机信息网络国 际联网管理暂行规定》 等相关法律、法规以及和张煤机有关安全管理规定的要求。
第三条 信息系统包括业务支撑系统(BSS 、运营支撑系统(OSS )
管理支撑系统(MSS 和信息系统基础设施以及内网信息安全体系。
第四条 张煤机所属各单位的信息系统管理工作, 均应严格遵照本管理 办法执行。各单位可以根据本办法,结合实际情况制定本单位实施细则。
第五条 信息系统相关部门一般分为信息系统管理部门、 信息系统应用 部门和信息系统服务支撑部门。
(一) 信息管理部作为张煤机信息系统管理部门以及信息系统服务支撑部
门;
(二) 凡是操作、使用信息系统的单位为信息系统应用部门;
第六条
本管理办法由张煤机信息管理部负责解释。 第七条 本管理办法自发布之日起执行
第二章 总体要求
第八条 信息系统的安全实行集中管理制。 张煤机信息管理部是信息系 统安全的管理部门, 负责解决运行管理中的安全问题, 并对信息系统应用部门安 全管理负有指导、监督和检查责任。
第九条 信息系统服务支撑部门负责人必须指定专门的信息系统管理人 员和文档管理人员。 信息系统管理人员是系统安全的具体责任人, 负责所辖系统 机房、信息系统及网络的日常管理和信息安全工作,应经常对信息系统的软件、 硬件进行检查和制度编码: CI01-2011
下发日期: 2011.2
服务支撑,做好安全防范,保证网络能够持续有效地运行,并结合工作需要及时对信息系统上的信息进行更新服务支撑,及时对发布的信息进行复核,公布有效信息,清除垃圾信息等。文档管理人员负责对信息系统安全的关键配置、用户权限变更、重要日志等文档进行保存。
第十条信息系统服务支撑部门应结合本部门的具体情况,负责落实信息安全责任制,定期(至少每月一次)进行信息安全检查,杜绝各类信息安全隐患,做好信息系统安全管理工作,保证信息系统的安全,使其正常高效地运行。
第十一条信息系统服务支撑部门应定期(至少每 6 个月一次)对所属工作人员进行有关信息系统安全的教育和培训,提高系统管理队伍的整体素质和操作能力。
第十二条各级人员严格遵守通信纪律,增强保密意识,保守通信机密,不能向无关人员泄漏系统及其数据结构、容量配置、统计数据等相关技术资料。
第十三条严格遵守保密制度,有关业务系统数据、报表数据、用户资料数据等均属秘密,不得任意抄录、复制及带出,也不得转告与工作无关人员,不用的草稿、报表应及时销毁。
第十四条信息系统服务器及网络设备必须使用经正式授权的正版软件,不得安装使用任何盗版及与提供服务无关的软件;软件使用部门和个人取得新软件前必须确认其购买与安装是否符合公司的软件使用政策。
第十五条信息系统服务支撑单位应建立信息系统安全事件应急流程预案
(包括机房环境、DCN网络、信息系统、终端等)并且进行定期(至少每年一次)演练,发生紧急安全事件时应依照预案流程进行,快速恢复信息系统正常运行。第三章用户和密码管理
第十六条信息系统服务支撑部门系统管理员为系统中的每一个用户创建唯一的用户帐号。在特定情况下可以使用共享的用户ID ,但必须经过授权,并采取额外的控制措施来保证责任到人。用户ID 不得体现用户的权限级别。对所有在线的系统无论是本地或远程操作,系统用户都必须通过系统的密码认证。
第十七条帐号密码设置需符合以下安全要求:
(一)密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容;
(二)密码长度至少是六个字符,组成上可以包含大小写字母、数字、标点等不同的字符;
(三)同一密码不得被给定账户在一年内重复使用;
(四)如果在30分钟之内连续出现 3 次无效的登录尝试,登录界面自动关闭。
(五)厂商默认密码必须在提供该密码的软件安装完毕后马上进行修改。
(六)用户取得各种应用的初始密码后应立即进行更改。
第十八条系统管理员的密码更新后,应将新密码记录送交指定人员封存,并销毁旧密码。当系统管理员发生变化时,新的系统管理员应立即更改密码。
第十九条应制定用户帐号的注册和注销程序,用户申请帐号和权限时,由用户所在部门帐号管理人员提交《用户权限申请表》(见附件一),由用户所在部门主管领导和信息系统服务支撑部门主管领导对用户权限和申请原因等内容进行审批,系统管理员根据审批后的申请表, 设置用户的帐号和权限。
第二十条超级权限用户的分配应遵循以下标准:
(一)确定不同系统的超级权限以及需要获得此类特权的人员类型;
(二)超级权限应基于“使用需要”,逐个事件进行分配,即以完成其岗位职责的最低要求为依据,如某些超级权限在完成特定任务后应被收回;
(三)保留所有超级权限分配授权流程的记录。在授权流程结束之前,不得授予特权;
(四)当某用户需要超级权限时,应在其原有的用户ID 之外,另行设置一个授予了超级权限的特殊帐户(超级权限应是不同于一般商业用途的用户ID 的另一个ID);
(五)超级用户密码应进行有效和安全的备份,并交由专人保管。
第二十一条系统管理员掌握的超级管理员密码正常情况下应每90 天修改一次,由系统管理员修改密码并将修改后的系统管理员帐号密码记录,销毁旧密码,将修改情况填写在《系统管理员密码记录表》中封存,签封后交信息系统服务支撑部门领导保管,以备紧急情况下使用。
第二十二条应严格执行超级权限用户帐号和密码的登记备案制度,建立在紧急、无法通过正常授权的情况下,备份帐号密码的使用流程。系统管理员将密码记
录在纸质的密码记录表上封存,签封后交部门指定人员集中保管,以备急需之用。一旦封存密码使用后,系统管理员应按照要求及时变更密码并重新封存,每次系统管理员更改系统密码时应填写《系统管理员密码记录表》。
第二十三条在发生紧急情况并且不能联系到系统管理员时,经信息系统服务支撑部门领导同意,可以启用封存的密码。一旦封存密码使用后,由系统管理员按照要求及时变更密码,并封存进行集中保管。
第二十四条需定期核查用户的访问权限,并出具《用户权限复核表》(见附件二)。具体要求如下:
(一)用户访问权限应由用户所在部门的管理人员、系统所有人及系统服务支撑人一起确认;
(二)用户帐户的访问权限应至少每 6 个月检查一次,特殊功能帐户应至少每 3 个月检查一次,超级帐户应至少每 1 个月检查一次;
(三)任何变化发生后应进行核查;
(四)定期搜索、检查多余、闲置或非法的账户,并予以冻结或删除;
(五)对核查中发现的问题,应督促相关人员采取必要措施予以纠正。第二十五条当系统用户由于岗位变动或离职等原因离开原工作岗位时,由用户原所在部门帐号管理人员填写《用户权限申请表》,送信息系统服务支撑部门领导进行审批,审批通过后,系统管理员进行帐号、权限变更。
第二十六条员工有责任和义务保管好个人的各类账号和密码,由于密码泄漏造成的不良后果由员工本人承担。员工不得在任何场合随意公开各种应用的用户名和密码。
第四章机房安全管理
第二十七条信息系统所辖机房的电源系统、空调系统、监控系统、门禁系统、报警系统、消防系统的服务支撑以及对电源电压,地线、接地,环境温、湿度,各种电缆走线,清洁度,防静电,防霉,防虫害,防火,防水,防易燃、易爆品,防电磁波等方面应当符合国家标准及国家、集团和公司有关规定。
第二十八条信息系统所辖机房的环境管理、内部管理以及进出管理应符合集团和公司有关规定。
第二十九条信息系统安全管理部门定期(至少每 6 个月一次)检查信息系统所辖机房环境控制机制的效果,并评估对企业信息资源实体的潜在威胁及影响。
第三十条承载公司核心应用系统的机房(即企业数据中心,EDC应建
立异地备份中心和相应的流程预案,能够为信息系统和网络的持续性运转提供持续性的机房环境。
第五章网络安全管理
第三十一条需要全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施,以便优化公司运维;明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和补救措施的记录。
第三十二条网络管理员负责网络的安全管理,网络管理员必须掌握网络管理和网络安全方面的知识。
第三十三条网络管理员必须使用安全工具或技术进行系统间的访问控制,并根据系统的安全等级,相应的在系统的接入点部署防火墙,IDS (入侵检测)等网络安全产品,保证网络安全。
第三十四条除网络安全人员进行网络维护或安全检测外,任何人员不得以任何理由在内部网络利用各类工具或其他手段进行攻击尝试(攻击尝试包括扫描、探嗅网络、架设dhcp 或代理服务器、暴力猜测主机或网络设备的用户名和密码等攻击行为)。
第三十五条核心网络设备应有备份设备,采取热备方式,骨干链路应有备份路由,重要的服务器设备应具备冗余网络链路。网络管理员在新的网络设备接入网络前,修改设备的默认密码。
第三十六条公司内部网与互联网等其他网络相连必须采取设立硬件防火墙等隔离措施,进行访问控制,限制外网用户访问内网信息,要求防火墙系统日志
必须记录相关访问信息。 相关部门需要通过内部网络访问外网资源时, 需经信息 系统管理部门主管领导审批同意后, 由网络管理员进行配置并记录。 网络管理员 应定期(至少每月一次)监控是否有不合法的用户访问内网资源。
第三十七条 需更改网络配置或进行网络调整前, 信息系统服务支撑部门必 须提交申请并经主管领导批准。调整网络前后,应对网络配置信息做好备份。
第三十八条 将网络管理权限赋予给网络管理人员,明确网络管理员的管 理范围(包括所管理的设备清单和管理内容),网络管理员职责如下:
(一) 至少每月一次监测网络设备资源(CPU MEM 等)的占用情况;
(二) 至少每月一次对网络设备配置进行检查;
(三) 管理网络设备系统权限,观测系统的安全状况,发现不良入侵, 立即采取措施予以制止;
(四) 管理网络设备软件版本,以及软件和配置修改工作,进行相应操 作时,应做出详细记录,并接受网络管理部门主管定期(至少每月一次)审核;
根据网络系统的运行情况,协助部门领导提出系统的优化、更新
建立并管理网络组织、结构、路由等网络技术档案;
负责对 IP 地址等网络资源进行分配和管理;
负责对网络结构等进行相应优化、调整,以进一步提高网络效率
负责绘制网络拓朴图,并及时更新。
第三十九条 IP 地址资源由信息系统管理部门统一规划和管理,
IP 地址、
主机名等参数应按照公司所规定的标准进行统一编码和分配。 各接入单位应当在 规定的范围内,设置计算机及网络设备 IP 地址。
第四十条 网络的 IP 地址是网络中的重要的资源,严禁盗用他人 IP 地 址、用户名及密码; 不得擅自进入未经许可的信息系统或利用网络设备、 软件技 术更改或者盗用其他单位的网络信息,严禁修改任何网络设备的技术参数。
第四十一条 禁止私自将系统内的计算机和其他单位的网络互联,如确实
需要和其他单位网络互联,应由双方的系统管理人员和网络管理人员相互配合, 设计出切实可行的互联方案 (该方案中必须考虑双方的网络和系统安全) ,取得 相关部五) (六) (七) (八) 及安全可靠
性;
门审批同意后方可实施。与其它网络进行互联时,必须在边界处设置防火墙,防止非法数据包的入侵,阻止未授权或未检测的数据向外泄露。
第四十二条严格禁止同一台终端在使用公司内部网络的同时采用拨号、无线、LAN等方式连接其他网络,有业务需要,需要取得信息管理部审批同意后方可实施。
第四十三条网络管理员必须定期(每 3 个月)对网络设备进行安全漏洞检测,升级或安装必要的系统补丁,预防网络安全漏洞,并记录操作内容。
第四十四条未经允许,任何单位或个人不得擅自外借、移动、拆除和接入网络设备,不得随意变更网络设备及网络结构,确需变更的,严格履行审批手续后,在确保不影响现有系统运行的情况下,由相关技术人员实施或监督实施。
第四十五条采取加密机或加密软件等控制措施,保护通过公共网络传输的数据的机密性和完整性,敏感数据(特别是与财务相关的数据)通过外部网络传输时,必须经过加密处理。
第四十六条网络系统管理部门必须对网络系统管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,网络管理员帐号的使用流程。
第四十七条网络管理部门根据系统和数据的重要程度,应对网络用户的出口信息进行审计。
第六章操作系统安全管理
第四十八条操作系统管理员由信息系统服务支撑部门领导指定专人担任。
第四十九条操作系统管理员主要责任包括:
(一)对操作系统登录帐号、权限、帐号持有人进行登记分配管理;
(二)制定并实施操作系统的备份和恢复计划;
(三)管理系统资源,根据实际需要提出系统变更、升级计划;
(四)监控系统安全状况,发现不良侵入立即采取措施制止;
(五)每 1 个月检查系统漏洞,根据实际需要提出版本升级计划,需要时按变更流程安装系统补丁,并记录;
(六)检查系统CPU内存、文件系统空间的使用情况等;
(七)检查服务器端口的开放情况,保证系统的安全;
(八)每月分析系统日志和告警信息,根据分析结果提出解决方案。第五十条在信息系统正式上线前,由操作系统管理员删除操作系统中所有测试帐号,对
安全生产综合监管信息系统平台建设的意义和应用(新版)
安全生产综合监管信息系统平台建设的意义和应用(新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0983
安全生产综合监管信息系统平台建设的意 义和应用(新版) 当前,经济全球化和科学技术飞速发展的时代背景下,安全生产管理与我国经济发展相伴已进入一个新的历史发展阶段,安全生产管理工作面临的新情况、新问题,实现我国安全生产管理模式的创新成为一个迫切的课题。 安监局承担安全生产的综合监管职能,随着安全生产业务不断发展,安全生产应急指挥工作的迫切性已经不断显现出来,急切的需要建立起完善的管理、应急指挥体系以及相关的软硬件配套设施。 一、开展安全生产综合监管信息系统意义 贵港市位于广西东南部,位置优越,交通发达,拥有广西乃至大西南内河第一大港,全市人口超过500万。最近几年,非煤矿山、
危险化学品、烟花爆竹等行业和领域事故隐患大量存在,一些重大重大隐患和危险源尚未得到有效治理和监控,事故时有发生,安全生产形势仍然严峻。安全生产事关人民群众生命财产安全,事关改革发展稳定大局,事关党和政府形象和声誉。因此,为了进一步增强安全监管部门的动态监管能力、提高行政效率、规范执法行为、消除各种隐患、预防和减少重特大事故,就必须尽快适应当前安全生产形势任务发展变化的需要,进一步加大安全生产科技投入力度,切实提高安全监管工作质量、效能和水平。 依据国务院要求的建立起国家、省(自治区、市)、市(地)、县(市)四级重大危险源监控和生产安全预警机制的总体要求,根据国家安监总局对全国安全生产信息化建设的统一要求和规划,结合安全生产信息化实际情况,围绕“扩展监察视野、增强监管水平、提高应急能力、强化行政效能、节约行政成本、预防事故发生、减少事故损失”的总目标,开展建设贵港市安全生产综合监管信息系统(以下简称安全监管信息系统),构建安全生产综合监管、重大危险源远程监测预警、应急救援指挥信息支持的三层预防体系。通过
涉密信息安全体系建设方案
涉密信息安全体系建设方案 1.1需求分析 1.1.1采购范围与基本要求 建立XX高新区开发区智慧园区的信息安全规划体系、信息安全组织体系、信息安全技术体系、安全服务管理体系,编写安全方案和管理制度,建设信息安全保护系统(包括路由器、防火墙、VPN)等。要求XX高新区开发区智慧园区的信息系统安全保护等级达到第三级(见GB/T 22239-2008)。 1.1.2建设内容要求 (1)编写安全方案和管理制度 信息安全体系的建设,需要符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。 安全管理需求:自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 安全体系设计要求:根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。 (2)信息安全保护系统:满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。 1.2设计方案 智慧园区信息安全管理体系是全方位的,需要各方的积极配合以及各职能部门的相互协调。有必要建立或健全安全管理体系和组织体系,完善安全运行管理机制,明确各职能部门的职责和分工,从技术、管理和法律等多方面保证智慧城市的正常运行。
1.2.1安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准,“平台”的信息系统安全保护等级定达到第三级(见GB/T 22239-2008),根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》的信息安全产品,包括:防专业VPN设备、WEB防火墙、防火墙、上网行为管理、终端杀毒软件网络版、网络防病毒服务器端等。 1.2.2安全体系编制原则 为实现本项目的总体目标,结合XX高新区智慧园区建设基础项目现有网络与应用系统和未来发展需求,总体应贯彻以下项目原则。 保密原则: 确保各委办局的信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。 项目组成员在为XX高新区智慧园区建设基础项目实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。 完整性原则:确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 可用性原则:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源 规范性原则:信息安全的实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。 质量保障原则:在整个信息安全实施过程之中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。 1.2.3体系建设内容 (1)安全管理体系
医疗信息系统安全实施方案
医疗信息系统安全实施方案 随着数字化医院建设的不断发展和深入,医院的数字化应用越来越多,目前我院已实现了区域HIS、LIS、PACS等系统的应用,主要业务实现了电子化,处方、医嘱、病历、慢病等已实现了无纸化。医院信息系统在医院运行中占据了非常重要的地位,但随之而来系统安全管理的重要性也越来越突出,系统的稳定性和安全性关系到医院各项业务能否顺利开展,关系到患者就诊信息的安全性及连续性,为保障信息系统的安全和运行,特制订以下方案: 一、成立领导小组 医院主任为组长,各副主任为副组长,各科室科长为成员,医院办公室为具体执行科室。 二、建立健全规章制度 建立各项规章制度,如医疗服务档案管理制度、信息管理制度、网络系统管理制度、计算机使用和管理制度等,据统计90%以上的管理和安全问题来自终端,提高各部门人员的安全意识非常重要,我院由分管主任负责组织协调有关人员,加强培训与安全教育,强化安全意识和法制观念,提升职业道德,掌握安全技术,确保这些措施落实到位,责任到人。 三、保证网络的安全 我院采用的是区域HIS、LIS、PACS系统,服务器设在市卫生局,故服务器的安全问题不用我们考虑,目前需要我们解决的是医院网络的安全问题,为了保障单位内部信息安全,规范职工上网行为、降低泄密风险、防止病毒木马等网络风险,我院将统一安装上网行为管理器及管理软件,通过此方法可实现以下主要功能: 通过制定统一的安全策略,限制了移动电脑和移动存储设备随意接入内网;杜绝内网电脑通过拨号、ADSL、双网卡等方式非法外联;保证了医院内网与外界的隔离度,从而大大提高了医院内网的安全性。 通过网络流量控制模块,实时地临控网络终端流量,对异常网络行为,如大流量下载、并发连接数大、网络垃圾广播等行为可以进行自动预警、阻断和事件源定位,极大减少网络拥堵事件,大大提高了网络利用率。
网络信息安全系统的组织机构建设标准
某某石油治理局企业标准 网络信息安全系统的组织机构建设规范 1适用范围 本标准规定了某某石油治理局网络信息安全系统的组织机构建设规范。 本标准适用于某某油田(企业内部)网络信息安全系统的组织机构建设。 2规范解释权 本规定适用于某某油田治理局信息安全治理中心和下属各 单位中心机房。 3网络信息安全系统的组织机构建设规范概述 治理是网络安全的关键,实际上许多网络安全问题是因治理不当造成的,建立一个系统安全治理组织必不可少。 安全治理组织的职责是, 宏观决策治理局信息安全的重大事件, 宏观决策治理局信息安全重大基础设施, 公布 治理局信息安全政策, 批准治理局信息安全规划, 协调各 相关部门的工作对治理局面临的重大信息安全紧急事件作
出决断等;研究信息安全关键技术的进展趋势; 为治理局信息安全规划和信息安全基础设施规划的制定提供技术性支持; 参与审批重大信息化工程的信息安全技术路线和措施; 参与制定信息安全的标准和规范; 参与制定信息安全产品的评测标准和规范等等。 4某某油田网络信息安全系统组织机构规划图:
5信息系统安全治理机构组织员组织原则 1)治理局以及下级单位应建立信息系统安全治理机构。 2)单位最高领导必须主管或者兼管信息系统安全工作。 3)按从上到下的垂直治理原则,上一级机关的信息系统治理 机构指导下一级机关信息系统安全治理机构的工作。 4)下一级机关信息系统的安全治理机构同意并执行上一级 机关信息系统安全治理机构的安全策略。 5)各级信息系统的安全治理机构,不隶属于同级信息系统治 理和业务机构。 6)各级信息系统的安全治理机构由系统治理、系统分析、软 件硬件、安全保卫、系统稽核、人事、通信等有关方面的 人员组成。 7)信息系统人员治理机构应常设一办事机构,负责信息安全 日常事务工作。 6信息系统安全治理机构的职能 1)治理局信息安全指导委员会: ?成员应为各主管部领导人,其负责人应为治理局要紧领导人。 ?该委员会下设技术专家委员会, 由治理局信息领域的
信息系统建设管理制度
信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等; 5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:
信息系统安全方案(加密机制)
物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。
制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。 本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技
信息系统安全建设方案
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络
信息系统安全规划方案
信构企业信用信息管理系统安全规 划建议书
目录 1.总论 (3) 1.1. 项目背景 (3) 1.2. 项目目标 (3) 1.3. 依据及原则 (4) 1.3.1. 原则 (4) 1.3.2. 依据 (5) 1.4. 项目范围 (7) 2.总体需求 (7) 3.项目建议 (8) 3.1. 信构企业信用信息管理系统安全现状评估与分析 (8) 3.1.1. 评估目的 (8) 3.1.2. 评估内容及方法 (9) 3.1.3. 实施过程 (14) 3.2. 信构企业信用信息管理系统安全建设规划方案设计 (23) 3.2.1. 设计目标 (23) 3.2.2. 主要工作 (24) 3.2.3. 所需资源 (27) 3.2.4. 阶段成果 (27) 4.附录 (27) 4.1. 项目实施内容列表及报价清单 (27)
1.总论 1.1.项目背景 ******************(以下简称“********”)隶属***********,主要工作职责是根据…………………………………………………………的授权,负责………………;负责…………………………等工作。 ********作为*********部门,在印前,需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。 1.2.项目目标 以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合********信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。 从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。
电子政务系统信息安全建设方案
电子政务系统信息安全建设方案 概述 电子政务作为国家信息化建设的重点工程,按敏感级别和业务类型,可划分为:涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为提供协同办公、信息传输交互和业务数据处理的网络平台;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。 2安全建设内容 为了保障政府的管理和服务职能的有效实现,需要为电子政务网络建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在电子政务系统的建设中实施信息安全工程,保证电子政务三大网络的安全。电子政务安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 3安全管理体系 安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 4技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 4.1局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境
信息安全规划综述
信息安全体系框架 (第一部分综述)
目录 1概述 (4) 1.1信息安全建设思路 (4) 1.2信息安全建设内容 (6) 1.2.1建立管理组织机构 (6) 1.2.2物理安全建设 (6) 1.2.3网络安全建设 (6) 1.2.4系统安全建设 (7) 1.2.5应用安全建设 (7) 1.2.6系统和数据备份管理 (7) 1.2.7应急响应管理 (7) 1.2.8灾难恢复管理 (7) 1.2.9人员管理和教育培训 (8) 1.3信息安全建设原则 (8) 1.3.1统一规划 (8) 1.3.2分步有序实施 (8) 1.3.3技术管理并重 (8) 1.3.4突出安全保障 (9) 2信息安全建设基本方针 (9) 3信息安全建设目标 (9) 3.1一个目标 (10) 3.2两种手段 (10) 3.3三个体系 (10) 4信息安全体系建立的原则 (10) 4.1标准性原则 (10) 4.2整体性原则 (11) 4.3实用性原则 (11)
4.4先进性原则 (11) 5信息安全策略 (11) 5.1物理安全策略 (12) 5.2网络安全策略 (13) 5.3系统安全策略 (13) 5.4病毒管理策略 (14) 5.5身份认证策略 (15) 5.6用户授权与访问控制策略 (15) 5.7数据加密策略 (16) 5.8数据备份与灾难恢复 (17) 5.9应急响应策略 (17) 5.10安全教育策略 (17) 6信息安全体系框架 (18) 6.1安全目标模型 (18) 6.2信息安全体系框架组成 (20) 6.2.1安全策略 (21) 6.2.2安全技术体系 (21) 6.2.3安全管理体系 (22) 6.2.4运行保障体系 (25) 6.2.5建设实施规划 (25)
医院信息安全系统建设方案设计
***医院 信息安全建设方案 ■文档编号■密级 ■版本编号V1.0■日期 ? 2019
目录 一. 概述 (2) 1.1项目背景 (2) 1.2建设目标 (3) 1.3建设内容 (3) 1.4建设必要性 (4) 二. 安全建设思路 (5) 2.1等级保护建设流程 (5) 2.2参考标准 (6) 三. 安全现状分析 (7) 3.1网络架构分析 (7) 3.2系统定级情况 (7) 四. 安全需求分析 (8) 4.1等级保护技术要求分析 (8) 4.1.1 物理层安全需求 (8) 4.1.2 网络层安全需求 (9) 4.1.3 系统层安全需求 (10) 4.1.4 应用层安全需求 (10) 4.1.5 数据层安全需求 (11) 4.2等级保护管理要求分析 (11) 4.2.1 安全管理制度 (11) 4.2.2 安全管理机构 (12) 4.2.3 人员安全管理 (12) 4.2.4 系统建设管理 (13) 4.2.5 系统运维管理 (13) 五. 总体设计思路 (14) 5.1设计目标 (14) 5.2设计原则 (15) 5.2.1 合规性原则 (15) 5.2.2 先进性原则 (15) 5.2.3 可靠性原则 (15) 5.2.4 可扩展性原则 (15) 5.2.5 开放兼容性原则 (16) 5.2.6 最小授权原则 (16) 5.2.7 经济性原则 (16)
六. 整改建议 (16) 6.1物理安全 (16) 6.2网络安全 (17) 6.3主机安全 (19) 6.3.1 业务系统主机 (19) 6.3.2 数据库主机 (21) 6.4应用安全 (22) 6.4.1 HIS系统(三级) (22) 6.4.2 LIS系统(三级) (24) 6.4.3 PACS系统(三级) (26) 6.4.4 EMR系统(三级) (27) 6.4.5 集中平台(三级) (29) 6.4.6 门户网站系统(二级) (31) 6.5数据安全与备份恢复 (32) 6.6安全管理制度 (33) 6.7安全管理机构 (33) 6.8人员安全管理 (34) 6.9系统建设管理 (34) 6.10系统运维管理 (35) 七. 总体设计网络拓扑 (38) 7.1设计拓扑图 (38) 7.2推荐安全产品目录 (39) 八. 技术体系建设方案 (41) 8.1外网安全建设 (41) 8.1.1 抗DDos攻击:ADS抗DDos系统 (41) 8.1.2 边界访问控制:下一代防火墙NF (43) 8.1.3 网络入侵防范:网络入侵防御系统NIPS (46) 8.1.4 上网行为管理:SAS (48) 8.1.5 APT攻击防护:威胁分析系统TAC (50) 8.1.6 Web应用防护:web应用防火墙 (54) 8.2内外网隔离建设 (58) 8.2.1 解决方案 (59) 8.3内网安全建设 (61) 8.3.1 边界防御:下一代防火墙NF (61) 8.3.2 入侵防御 (62) 8.3.3 防病毒网关 (63) 8.3.4 APT攻击防护 (67) 8.4运维管理建设 (68) 8.4.1 运维安全审计:堡垒机 (68) 8.4.2 流量审计:网络安全审计-SAS (70) 8.4.3 漏洞扫描:安全评估系统RSAS (75)
企业信息安全总体规划方案
企业信息安全总体规划方 案 Prepared on 22 November 2020
XXXXX公司 信息安全建设规划建议书 YYYY科技有限公司 201X年XX月
目录 综述 概述 信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效
的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。 企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。 与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑,应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。 本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。 现状分析 目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部
安全生产综合监管信息系统平台建设的意义和应用(通用版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 安全生产综合监管信息系统平台建设的意义和应用(通用版) Safety management is an important part of production management. Safety and production are in the implementation process
安全生产综合监管信息系统平台建设的意 义和应用(通用版) 当前,经济全球化和科学技术飞速发展的时代背景下,安全生产管理与我国经济发展相伴已进入一个新的历史发展阶段,安全生产管理工作面临的新情况、新问题,实现我国安全生产管理模式的创新成为一个迫切的课题。 安监局承担安全生产的综合监管职能,随着安全生产业务不断发展,安全生产应急指挥工作的迫切性已经不断显现出来,急切的需要建立起完善的管理、应急指挥体系以及相关的软硬件配套设施。 一、开展安全生产综合监管信息系统意义 贵港市位于广西东南部,位置优越,交通发达,拥有广西乃至大西南内河第一大港,全市人口超过500万。最近几年,非煤矿山、危险化学品、烟花爆竹等行业和领域事故隐患大量存在,一些重大
重大隐患和危险源尚未得到有效治理和监控,事故时有发生,安全生产形势仍然严峻。安全生产事关人民群众生命财产安全,事关改革发展稳定大局,事关党和政府形象和声誉。因此,为了进一步增强安全监管部门的动态监管能力、提高行政效率、规范执法行为、消除各种隐患、预防和减少重特大事故,就必须尽快适应当前安全生产形势任务发展变化的需要,进一步加大安全生产科技投入力度,切实提高安全监管工作质量、效能和水平。 依据国务院要求的建立起国家、省(自治区、市)、市(地)、县(市)四级重大危险源监控和生产安全预警机制的总体要求,根据国家安监总局对全国安全生产信息化建设的统一要求和规划,结合安全生产信息化实际情况,围绕“扩展监察视野、增强监管水平、提高应急能力、强化行政效能、节约行政成本、预防事故发生、减少事故损失”的总目标,开展建设贵港市安全生产综合监管信息系统(以下简称安全监管信息系统),构建安全生产综合监管、重大危险源远程监测预警、应急救援指挥信息支持的三层预防体系。通过应用计算机和网络技术,实现电子政务和办公自动化,并在地理信
信息系统建设管理制度
信息系统建设管理制度 第一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等; 5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义: 1)信息安全infosec 信息的机密性、完整性和可用性的保护。 注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。 完整性定义为保护信息和处理方法的准确性和完备性。 可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。 2)计算机系统安全工程ISSE(Information Systems Security Engineering) 计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。 3)风险分析risk analysis 对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。 4)安全目标security objective
信息系统安全建设方案
信息系统安全建设 方案
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。当前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。
信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,能够按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容,网络架构的合理性直接关系到网络层安全。(网络架构设计需要做到:统筹考虑信息系统系统安全等
网络安全体系建设方案(2018)
... 网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)
根据《网络安全法》《信息安全等级保护管理办法》的相关规范 及指导要求,参照GB/T22080-2008idtISO27001:2005 《信息技术- 安全技术- 信息安全管理体系要求》,为进一步加强公司运营系统及办 公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭 受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本 网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公 司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自2018 年XX 月XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
信息系统建设管理制度.doc
信息系统建设管理制度1 信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;
5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义: 1)信息安全infosec 信息的机密性、完整性和可用性的保护。 注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。 完整性定义为保护信息和处理方法的准确性和完备性。 可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。 2)计算机系统安全工程ISSE(Information Systems Security
信息系统安全建设整改方案要素
信息系统安全建设整改方案要素 6信息系统安全建设整改方案要素 以下整改方案的设计要素主要是针对单个信息系统的,也可参照进行针对整个单位或多个信息系统的整改方案设计。 6.1 项目背景 简述信息系统概况,信息系统在等级保护工作方面的进展情况,例如定级备案情况和安全现状测评情况。 6.2 开展信息系统安全建设整改的法规、政策和技术依据。 列举在建设整改工作中所依据的信息安全等级保护有关法规、政策、文件和信息安全等级保护技术标准。 6.3 信息系统安全建设整改安全需求分析 从技术和管理两方面描述信息系统建设情况、系统应用情况及安全建设情况。结合安全现状评估结果,分析信息系统现有保护状况与等级保护要求的差距,结合信息系统的自身安全需求形成安全建设整改安全需求。 6.4 信息系统安全等级保护建设整改技术方案设计 根据安全需求,确定整改技术方案的设计原则,建立总体技术框架结构,可以从物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网络、系统、应用和数据的安全要求的技术路线。 6.5 信息系统安全等级保护建设整改管理体系设计
根据安全需求,确定整改管理体系的建设原则和指导思想,涉及安全管理策略和安全管理制度体系及其他具体管理措施。 6.6 信息系统安全产品选型及技术指标 依据整改技术设计,确定设备选型原则和部署策略,给出各类安全产品的选型指标和部署图,为设备采购提供依据。 6.7 安全建设整改后信息系统残余风险分析 安全整改可能不能解决所有不符合项目的问题,对于没有解决的问题,分析其可能的风险,提出风险规避措施。 6.8 信息系统安全等级保护整改项目实施计划 安全整改项目的实施需要制定相应的实施计划,落实项目管理部门和人员,对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。 6.9 信息系统安全等级保护项目预算 根据本单位信息化的中长期发展规划和近期的建设投资预算,将等级保护安全整改建设工作纳入整体规划,可以分期分批、有计划地实施建设整改,因此需要对建设项目进行费用预算,预算项目不仅包括安全设备投入,还应根据需要考虑集成费用、等级测评费用、服务费用和运行管理费用等。 面对强大的对手,明知不敌,也要毅然亮剑,即使倒下,也要化成一座山
信息系统安全设计方案
XX公司 ××项目 安全设计方案 (模板) <备注:模板中斜体部分用于指导用户填写内容,在采用该模板完成交付物时,需要删除所有斜体内容> XX公司 二〇一X年X月
批准:审核:校核:编写:
版本记录
目录 1编写依据 0 2安全需求说明 0 2.1风险分析 0 2.2数据安全需求 0 2.3运行安全需求 0 3系统结构及部署 0 3.1系统拓扑图 0 3.2负载均衡设计 (2) 3.3网络存储设计 (2) 3.4冗余设计 (2) 3.5灾难备份设计 (3) 4系统安全设计 (3) 4.1网络安全设计 (3) 4.1.1访问控制设计 (3) 4.1.2拒绝服务攻击防护设计............................ 错误!未定义书签。 4.1.3嗅探(sniffer)防护设计 (4) 4.2主机安全设计 (5) 4.2.1操作系统 (5) 4.2.2数据库 (6) 4.2.3中间件 (8) 4.3应用安全设计 (10)
4.3.1身份鉴别防护设计 (10) 4.3.2访问控制防护设计 (11) 4.3.3自身安全防护设计 (12) 4.3.4应用审计设计 (12) 4.3.5通信完整性防护设计 (13) 4.3.6通信保密性防护设计 (13) 4.3.7防抵赖设计 (14) 4.3.8系统交互安全设计 (14) 4.4数据及备份安全设计 (15) 4.4.1数据的保密性设计 (15) 4.4.2数据的完整性设计 (15) 4.4.3数据的可用性设计 (16) 4.4.4数据的不可否认性设计 (16) 4.4.5备份和恢复设计 (17) 4.5管理安全设计..................................................... 错误!未定义书签。 4.5.1介质管理.................................................... 错误!未定义书签。 4.5.2备份恢复管理............................................ 错误!未定义书签。 4.5.3安全事件处置............................................ 错误!未定义书签。 4.5.4应急预案管理............................................ 错误!未定义书签。
(信息化方案)核心二板人社系统信息化建设安全设计方案
(信息化方案)核心二板人社系统信息化建设安全设 计方案
五、系统安全设计245 (一)系统安全建设目标 (245) (二)系统安全建设内容 (245) (三)系统安全设计原则 (246) (四)系统安全体系结构 (246) (五)设计中参考的部分国家标准 (248) (六)系统安全需求分析 (250) (七)系统安全策略 (254) (八)基础安全防护系统建设 (259) (九)CA认证中心系统建设 (265) (十)容灾备份中心系统建设 (273) (十一)安全管理体系建设 (284)
五、系统安全设计 在信息系统的建设过程中,计算机系统安全建设是一个必不可少的环节。社会保险信息系统不仅是一个涉及多地区、多部门、多业务、多应用的信息系统,而且其安全性涉及到每个公民的切身利益。社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息,影响着政府的管理决策和形象,存在着社会政治经济风险,其安全设计至关重要。社会保险信息系统网络参照国家涉密网络的安全设计要求进行设计。 社会保险信息系统的安全设计,首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析,特别是对需要保护的各类信息及可承受的最大风险程度的分析,制定与各类信息(系统)安全需求相应的安全目标和安全策略,建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型,并作为系统配置、管理和应用的基本安全框架,以形成符合社会保险信息系统合理、完善的信息安全体系。并在形成的安全体系结构的基础上,将信息安全机制(访问控制技术、密码技术和鉴别技术等)支撑的各种安全服务(机密性、完整性、可用性、可审计性和抗抵赖性等)功能,合理地作用在社会保险信息系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。 (一)系统安全建设目标 针对社会保险信息系统的特点,在现有安全设施的基础上,根据国家有关信息网络安全系统建设法律法规和标准规范以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证社会保险信息系统的安全性。建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。 (二)系统安全建设内容 1.建立完整的安全防护体系,全方位、多层次的实现社会保险信息系统的安全保障。 2.实现多级的安全访问控制功能。对网络中的主机及服务进行基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制。 3.实现对重要信息的传输加密保护,防止信息在网络传输中被窃取和破坏。 4.建立安全检测监控系统。通过在系统中配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护,为不断提高系统安全强度、强化安全管理提供有效的技术手段。 5.建立全方位病毒防范体系。采用网络防病毒系统,并与单机防病毒软件相结合,构建一套完整的防病毒体系。 6.建立重要应用系统数据的备份机制,并实现关键主机系统的冗余及备份和灾难恢复。 7.建立服务于劳动保障系统的数字证书认证服务基础设施。利用数字证书系统实现重要数据的加密传输,身份认证等。 8.建立有效的安全管理机制和组织体系,制定实用的安全管理制度,安全管理培训制度化,确保系统安全措施的执行。