系统安全保障体系规划
XX公司信息系统安全保障体系规划方案
XX公司信息系统安全保障体系规划方案目录1.1.引言 (4)1.2.背景 (4)1.2.1.XX行业相关要求 (4)1.2.2.国家等级保护要求 (5)1.2.3.三个体系自身业务要求 (5)1.3.三个体系规划目标 (6)1.3.1.安全技术和安全运维体系规划目标 (6)1.3.2.安全管理体系规划目标 (6)1.4.技术及运维体系规划参考模型及标准 (7)1.4.1.参考模型 (7)1.4.2.参考标准 (8)1.5.管理体系规划参考模型及标准 (9)1.5.1.国家信息安全标准、指南 (9)1.5.2.国际信息安全标准 (9)2.技术体系建设规划 (9)2.1.技术保障体系规划 (9)2.1.1.设计原则 (9)2.1.2.技术路线 (10)2.2.信息安全保障技术体系规划 (11)2.2.1.安全域划分及网络改造 (11)2.2.2.现有信息技术体系描述 (19)2.3.技术体系规划主要内容 (22)2.3.1.网络安全域改造建设规划 (22)2.3.2.网络安全设备建设规划 (23)2.3.3.安全网关设备 (25)2.3.4.业务安全审计设备 (28)2.3.5.CA认证体系建设 (31)2.3.6.现状 (31)2.3.7.建设规划目标 (31)2.3.8.数据安全保障 (33)2.3.9.终端安全管理 (35)2.3.10.备份与恢复 (36)2.3.11.安全运营中心建设 (37)2.3.12.周期性风险评估及风险管理 (37)3.运维体系建设规划 (38)3.1.风险评估及安全加固 (38)3.1.1.风险评估 (38)3.1.2.安全加固 (38)3.2.信息安全运维体系建设规划 (38)3.2.1.机房安全规划 (38)3.2.2.资产和设备安全 (39)3.2.3.网络和系统安全管理 (40)3.2.4.监控管理和安全管理中心 (41)3.2.5.备份与恢复 (42)3.2.6.恶意代码防范 (42)3.2.7.变更管理 (42)3.2.8.信息安全事件管理 (42)3.2.9.密码管理 (43)4.管理体系建设规划 (43)4.1.体系建设 (43)4.1.1.建设思路 (43)4.1.2.规划内容 (44)4.2.信息安全管理体系现状 (45)4.2.1.现状 (45)4.2.2.问题 (46)4.3.管理体系建设规划 (47)4.3.1.信息安全最高方针 (47)4.3.2.风险管理 (48)4.3.3.组织与人员安全 (48)4.3.4.信息资产管理 (50)4.3.5.网络安全管理 (52)4.3.6.桌面安全管理 (52)4.3.7.服务器管理 (53)4.3.8.第三方安全管理 (53)4.3.9.系统开发维护安全管理 (53)4.3.10.业务连续性管理 (53)4.3.11.项目安全建设管理 (54)4.3.12.物理环境安全 (54)4.4.管理体系建设规划 (55)4.4.1.项目规划 (55)4.4.2.总结 (55)概述1.1.引言本文档基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。
系统安全保障体系规划
第章系统安全保障体系规划信息化系统运行在内部网络系统上,依托内网向系统相关人员提供相关信息与服务,系统中存在着大量非公开信息,如何保护这些信息的机密性和完整性、以及系统的持续服务能力尤为重要,是信息化系统建设中必须认真解决的问题。
系统安全目标与原则1・1・1安全设计目标信息化系统安全总体目标是:结合当前信息安全技术的发展水平,设计一套科学合理的安全保障体系,形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢复能力,从物理、网络、系统、应用和管理等方面保证“信息化系统”安全、高效、可靠运行,保证信息的机密性、完整性、可用性和操作的不可否认性,避免各种潜在的威胁。
具体的安全目标是:•具有灵活、方便、有效的用户管理机制、身份认证机制和授权管理机制,保证关键业务操作的可控性和不可否认性。
确保合法用户合法使用系统资源;•能及时发现和阻断各种攻击行为,特别是防止等恶意攻击,确保信息化系统不受到攻击;•确保信息化系统运行环境的安全,确保主机资源安全,及时发现系统和数据库的安全漏洞,以有效避免黑客攻击的发生,做到防患于未然;•确保信息化系统不被病毒感染、传播和发作,阻止不怀好意的、小程序等攻击内部网络系统;•具有与信息化系统相适应的信息安全保护机制,确保数据在存储、传输过程中的完整性和敏感数据的机密性;•拥有完善的安全管理保障体系,具有有效的应急处理和灾难恢复机制确保突发事件后能迅速恢复系统;•制定相关有安全要求和规范,1・1・2安全设计原则信息化系统安全保障体系设计应遵循如下的原则:)需求、风险、代价平衡的原则:对任何信息系统,绝对安全难以达到,也不一定是必要的,安全保障体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到技术上可实现,组织上可执行。
)分级保护原则:系统有多种信息和资源,每类信息对保密性、可靠性要求不同。
以应用为主导,科学、合理划分信息安全防护等级,并依据安全等级确定安全防护措施。
安全保障体系建设实施方案
安全保障体系建设实施方案1. 引言本实施方案旨在为公司建设一个安全保障体系,以确保公司的安全和保护客户的利益。
该安全保障体系将包括一系列的策略、措施和程序,以提高公司的安全性,并及时应对各种安全风险和威胁。
2. 安全评估首先,我们将进行一次全面的安全评估,以了解公司目前存在的安全漏洞和风险。
通过对公司内部和外部环境进行分析,我们将识别出潜在的威胁和薄弱点。
安全评估的结果将为我们制定后续安全保障措施提供基础。
3. 安全策略基于安全评估的结果,我们将制定一套完善的安全策略。
这些策略将包括但不限于以下内容:- 安全意识培训:为全体员工提供关于安全的培训,提高员工对安全的认知和识别安全风险的能力。
- 访问控制:制定访问权限管理制度,确保只有授权人员可以访问敏感信息和系统。
- 数据保护:建立有效的数据备份和恢复机制,保护公司重要数据的安全性和完整性。
- 防火墙和网络安全:配置和更新防火墙,及时发现和阻止网络攻击和恶意软件。
4. 安全措施为了有效执行安全策略,我们将采取以下具体安全措施:- 安全设备和系统的安装和配置;- 提供加密通信工具和方法;- 定期进行安全检查和漏洞扫描;- 建立事件响应和处置机制,及时应对安全事件;- 建立安全审计制度,对安全措施进行监督和评估。
5. 安全意识和培训安全保障体系的建设需要每位员工都具备安全意识和技能。
因此,我们将进行定期的安全意识培训,包括但不限于以下内容:- 教育员工识别威胁和风险的能力;- 合规和合法操作准则的培训;- 网络安全和数据保护的培训。
6. 安全监控和改进为了确保安全保障体系的有效性,我们将建立安全监控和改进机制。
通过持续监控和评估,我们将及时发现安全问题并采取相应措施进行改进和强化。
7. 风险管理风险管理将是安全保障体系的重要组成部分。
我们将建立风险管理框架,包括风险评估、风险防范和风险应对等环节。
通过有效的风险管理,我们将最大程度地降低安全风险对公司的影响。
公司信息系统安全保障体系规划方案培训资料
公司信息系统安全保障体系规划方案培训资料一、背景介绍随着信息化技术的发展,公司的信息系统已经成为企业运营中不可或缺的一部分,然而,信息系统的安全问题亦日益凸显。
信息系统的安全保障已经成为企业管理层面临的一项重要挑战。
保障公司信息系统的安全不仅是技术问题,更是一个全面的管理体系,需要全员参与和配合。
二、安全保障体系规划方案1. 安全意识培训公司将通过定期举办信息安全意识培训,向全员普及信息安全知识,加强员工的安全意识,使他们能够主动、有效地保护公司信息系统的安全。
2. 安全管理制度建设公司将建立完善的信息系统安全管理制度,包括明确的管理责任、权限分配、安全审计等,确保公司信息系统安全管理的可操作性。
并且定期组织安全演练,检验制度的有效性和完善性。
3. 安全技术防护公司将采用成熟的安全技术手段进行信息系统安全防护,包括网络入侵检测、安全审计、数据加密等,并定期对安全防护措施进行检测和升级。
4. 应急响应能力公司将建立完善的信息安全应急响应体系,包括明确的应急预案和应急处置流程,并定期组织信息安全事件的模拟演练,提升公司信息安全事件的应对能力。
5. 合规制度建设公司将建立符合国家法律法规和行业标准的信息系统安全合规制度,明确公司信息系统安全的合规标准和要求,确保公司在信息安全方面的合规性。
三、培训内容1. 信息安全意识培训内容:信息安全概述、信息安全风险、信息安全管理制度等时间:2小时对象:全员员工2. 信息安全管理制度培训内容:信息安全管理制度和流程介绍时间:2小时对象:信息安全管理员3. 安全技术防护培训内容:网络安全防护、数据加密技术介绍等时间:3小时对象:技术部门人员4. 应急响应能力培训内容:信息安全事件应急响应流程介绍时间:2小时对象:信息安全管理员5. 合规制度培训内容:信息安全相关法律法规和行业标准介绍时间:2小时对象:全员员工四、培训目标通过本次培训,全员员工将掌握公司信息安全管理制度和要求,相应的安全技术知识和技能,并且具有一定的信息安全意识,提升公司员工整体的信息安全保障能力。
公司信息系统安全保障体系规划方案
公司信息系统安全保障体系规划方案摘要本文档旨在介绍公司信息系统安全保障体系规划方案。
该方案的目标是确保公司信息系统的安全性,包括保护数据的机密性、完整性和可用性,并防止未经授权的访问、篡改、破坏和泄露。
本文档将从策略、组织、技术和教育四个方面进行阐述,以全面提升公司信息系统的安全性。
1. 引言随着公司业务的发展和互联网的普及,信息系统的安全性成为了一项关键的问题。
信息系统安全的风险包括黑客攻击、病毒、数据泄露等,这些风险对公司的运营和声誉造成了巨大的威胁。
因此,建立一个完备的信息系统安全保障体系是至关重要的。
2. 策略2.1 安全政策制定和实施安全政策是公司信息系统安全保障体系的基础。
安全政策应明确指导员工在处理公司信息时应遵循的规范和流程。
安全政策要包括密码策略、权限分配、信息备份等内容,以确保信息系统的安全性。
2.2 风险评估和管理风险评估和管理是公司信息系统安全保障的核心措施之一。
通过定期进行风险评估,确定系统存在的潜在风险,并制定相应的风险管理措施。
风险管理包括漏洞修复、安全设备的采购和更新等,以减少公司信息系统受到攻击的概率。
2.3 事件响应建立健全的事件响应机制是保障信息系统安全的重要环节。
在发生安全事件时,应有相应的响应计划和流程,以尽快采取措施进行应急响应,并恢复信息系统的正常运行。
事件响应应包括应急预案、安全事件的报告和记录等。
3. 组织3.1 安全团队建立专门的安全团队是公司信息系统安全保障的必要条件。
安全团队负责制定和实施信息系统安全相关的政策和流程,对信息系统进行安全评估和漏洞修复,以及应对安全事件的处置。
安全团队还应对公司员工进行安全教育和培训,提高员工的安全意识。
3.2 角色与责任明确角色与责任是组织安全保障的关键。
应根据岗位的不同,明确各个角色在信息系统安全保障中的责任和权限。
例如,信息部门负责制定和实施安全策略,用户部门负责确保安全策略的执行,安全团队负责监控和应对安全事件等。
XXXX公司信息系统安全保障体系规划方案
XXX信息系统安全保障体系规划方案V2.5文档信息分发控制版本控制目录1. 概述 (55)1.1. 引言 (55)1.2. 背景 (55)1.2.1. XXXX行业行业相关要求 (55)1.2.2. 国家等级保护要求 (66)1.2.3. 三个体系自身业务要求 (66)1.3. 三个体系规划目标 (77)1.3.1. 安全技术和安全运维体系规划目标 (77)1.3.2. 安全管理体系规划目标 (77)1.4. 技术及运维体系规划参考模型及标准 (99)1.4.1. 参考模型 (99)1.4.2. 参考标准 (1111)1.5. 管理体系规划参考模型及标准 (1212)1.5.1. 国家信息安全标准、指南 (1212)1.5.2. 国际信息安全标准 (1212)1.5.3. 行业规范 (1212)2. 技术体系建设规划 (1313)2.1. 技术保障体系规划 (1313)2.1.1. 设计原则 (1313)2.1.2. 技术路线 (1414)2.2. 信息安全保障技术体系规划 (1414)2.2.1. 安全域划分及网络改造 (1414)2.2.2. 现有信息技术体系描述 (2323)2.3. 技术体系规划主要内容 (2828)2.3.1. 网络安全域改造建设规划 (2828)2.3.2. 网络安全设备建设规划 (3030)2.3.3. CA认证体系建设 (3838)2.3.4. 数据安全保障 (4040)2.3.5. 终端安全管理 (4242)2.3.6. 备份与恢复 (4343)2.3.7. 安全运营中心建设 (4444)2.3.8. 周期性风险评估及风险管理 (4646)2.4. 技术体系建设实施规划............ 错误!未定义书签。
错误!未定义书签。
2.4.1. 安全建设阶段................ 错误!未定义书签。
错误!未定义书签。
2.4.2. 建设项目规划................ 错误!未定义书签。
信息系统安全保障体系规划方案
信息系统安全保障体系规划方案一、综述信息系统安全保障体系规划方案是组织内部对信息系统安全进行全面管理和保障的重要手段,也是企业信息安全管理的基础。
该方案应包括安全保障体系的建立和维护机制,以及相关的安全保障策略、标准和程序,以确保信息系统的安全和稳定运行。
二、目标1. 确保信息系统的安全和稳定运行,保护重要数据和敏感信息不被泄露或篡改。
2. 降低信息系统被黑客攻击或恶意软件侵入的风险,提高系统的抗攻击能力和应急响应能力。
3. 提升信息系统的可用性和可靠性,确保业务系统和数据的正常运行。
4. 遵守国家法律法规和相关标准规范,保证信息系统安全符合监管要求。
三、方案内容1. 安全保障管理体系:建立健全的安全保障管理体系,包括安全保障责任制、组织架构、职责分工和信息安全管理制度。
2. 安全保障策略:明确信息系统安全的核心目标和原则,包括访问控制、数据加密、身份认证、安全审计、漏洞管理等措施。
3. 安全保障标准:制定信息系统安全的技术标准、流程标准和操作规范,确保信息系统安全保障的统一执行和实施。
4. 安全保障控制:建立安全保障的技术控制手段,包括网络安全设备、防火墙、入侵检测系统、反病毒软件、数据备份等。
5. 安全保障培训:开展信息系统安全培训和教育,提高员工的信息安全意识和安全技能。
6. 安全保障审计:定期对信息系统的安全控制措施进行审计和评估,查找安全隐患和弱点,及时进行改进和修复。
四、实施步骤1. 制定安全保障体系规划方案,明确目标、内容和实施计划。
2. 建立安全保障管理机构,明确安全保障管理职责和责任。
3. 制定安全保障策略和标准,包括访问控制策略、数据加密标准、身份认证规范等。
4. 部署安全保障控制措施,包括网络安全设备、防火墙、入侵检测系统、反病毒软件等。
5. 开展安全保障培训,提高员工的安全意识和安全技能。
6. 定期进行安全保障审计和评估,及时进行改进和修复。
五、结语信息系统安全保障体系规划方案是组织内部信息安全管理的基础,对于保障信息系统的安全稳定运行具有重要意义。
系统运营安全保障方案
系统运营安全保障方案一、引言随着信息技术的飞速发展,各种信息系统已经成为我们日常生活和工作中必不可少的一部分。
然而,随之而来的是信息系统的安全风险也日益增加,严重威胁着信息系统的正常运营。
因此,建立完善的系统运营安全保障方案,成为了各类组织和企业必不可少的工作。
本文将针对系统运营安全保障的重要性进行深入探讨,同时结合当前信息安全领域的最佳实践,提出一套系统运营安全保障方案,帮助组织和企业建立更加完善的信息系统安全保障措施,从而保障系统的正常运营和数据的安全。
二、系统运营安全保障的重要性1. 信息系统安全风险的威胁在当今信息化的社会环境中,各类信息系统已经深入到我们的生活和工作中,例如企业的信息管理系统、互联网金融系统、电子商务系统等。
信息系统的安全问题一旦出现,将会对组织和企业的正常运营产生严重的危害。
首先,信息系统的安全漏洞可能导致组织和企业的核心数据遭到泄露,对企业的商业机密和核心竞争力产生严重的损害。
例如,一些企业的用户数据可能被不法分子获取,导致用户信任的破裂和企业声誉的受损。
其次,信息系统的安全漏洞也可能导致用户资金遭受损失,对用户的利益造成重大的损害。
例如,一些金融系统的安全漏洞可能导致用户的银行账户被盗用,造成用户的经济损失。
最后,信息系统的安全漏洞也可能被不法分子利用进行网络攻击,对系统进行破坏和瘫痪。
这将会对组织和企业的正常运营产生严重的影响,导致企业生产经营活动受阻。
由此可见,建立完善的系统运营安全保障方案对于组织和企业是非常重要的,可以帮助他们解决信息系统的安全问题,保障系统的正常运营。
2. 系统运营安全保障的必要性在当今信息社会中,信息系统的安全问题已经成为了组织和企业面临的重要挑战。
为了保障信息系统的安全运营,组织和企业需要建立完善的系统运营安全保障方案,从而有效地解决信息系统的安全问题,保障系统的正常运营。
其一,建立完善的系统运营安全保障方案可以帮助组织和企业发现和解决信息系统的安全问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1章系统安全保障体系规划1.1 系统安全目标与原则1.1.1安全设计目标长春市二道区社会服务管理信息化系统安全总体目标是:结合当前信息安全技术的发展水平,设计一套科学合理的安全保障体系,形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢复能力,从物理、网络、系统、应用和管理等方面保证“长春市二道区社会服务管理信息化系统”安全、高效、可靠运行,保证信息的机密性、完整性、可用性和操作的不可否认性,避免各种潜在的威胁。
具体的安全目标是:●具有灵活、方便、有效的用户管理机制、身份认证机制和授权管理机制,保证关键业务操作的可控性和不可否认性。
确保合法用户合法使用系统资源;●能及时发现和阻断各种攻击行为,特别是防止DoS/DDoS等恶意攻击,确保长春市二道区社会服务管理信息化系统不受到攻击;●确保长春市二道区社会服务管理信息化系统运行环境的安全,确保主机资源安全,及时发现系统和数据库的安全漏洞,以有效避免黑客攻击的发生,做到防患于未然;●确保长春市二道区社会服务管理信息化系统不被病毒感染、传播和发作,阻止不怀好意的Java、ActiveX小程序等攻击内部网络系统;●具有与长春市二道区社会服务管理信息化系统相适应的信息安全保护机制,确保数据在存储、传输过程中的完整性和敏感数据的机密性;●拥有完善的安全管理保障体系,具有有效的应急处理和灾难恢复机制,确保突发事件后能迅速恢复系统;●制定相关有安全要求和规范,1.1.2安全设计原则长春市二道区社会服务管理信息化系统安全保障体系设计应遵循如下的原则:1)需求、风险、代价平衡的原则:对任何信息系统,绝对安全难以达到,也不一定是必要的,安全保障体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到技术上可实现,组织上可执行。
2)分级保护原则:系统有多种信息和资源,每类信息对保密性、可靠性要求不同。
以应用为主导,科学、合理划分信息安全防护等级,并依据安全等级确定安全防护措施。
3)多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。
建立多重保护系统,各层保护相互补充,提供系统安全性。
4)整体性和统一性原则:长春市二道区社会服务管理信息化系统安全涉及各个环节,包括设备、软件、数据、人员等,只有从系统整体的角度去统一看待、分析,才可能实现有效、可行的安全保护。
5)技术与管理相结合原则:长春市二道区社会服务管理信息化系统安全是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。
因此在考虑长春市二道区社会服务管理信息化系统安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
6)统筹规划,分步实施原则:由于政策规定、服务需求的不明朗,环境、时间的变化,安全防护与攻击手段的进步,在一个比较全面的安全体系下,可以根据系统的实际需要,先建立基本的安全保障体系,保证基本的、必须的安全性。
随着今后系统应用和复杂程度的变化,调整或增强安全防护力度,保证整个系统最根本的安全需求。
7)动态发展原则:要根据系统安全的变化不断调整安全措施,适应新的系统环境,满足新的系统安全需求。
1.2 系统安全需求分析要保证长春市二道区社会服务管理信息化系统的安全可靠,必须全面分析长春市二道区社会服务管理信息化系统面临的所有威胁。
这些威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏或非法占有,并可能造成严重后果。
长春市二道区社会服务管理信息化系统应考虑以下安全需求,如下表所示。
基于前面的安全风险分析,长春市二道区社会服务管理信息化系统必须采取相应的应对措施与手段,形成有效的安全防护能力、隐患发现能力和应急反应能力,切实保障长春市二道区社会服务管理信息化系统安全。
1.3 系统安全需求框架根据上述的系统安全需求分析、系统安全目标及系统安全规划原则,阐述长春市二道区社会服务管理信息化系统安全需求。
长春市二道区社会服务管理信息化系统安全需求框架可以概括为如下图所示的结构:长春市二道区社会服务管理信息化系统安全需求主要包括安全基础设施、系统应用安全和安全管理体系。
1.4 安全基础设施长春市二道区社会服务管理信息化系统安全基础设施主要包括以下内容:●安全隔离措施●网络防病毒系统●监控检测系统●设备可靠性设计●备份恢复系统以下分别阐述。
1.4.1安全隔离措施根据长春市二道区社会服务管理信息化系统部署方案与安全域划分,需要将内网与其它的通信网络采取适当的安全隔离措施,如可以通过VLAN、防火墙保护安全域边界安全。
项目实施中根据已有网络安全情况确定。
1.4.2防病毒系统:网络防病毒用于预防病毒在长春市二道区社会服务管理信息化系统所在安全域内传播、感染和发作。
后续项目利用网络防病毒系统防范病毒入侵和传播。
1.4.3监控检测系统监控检测系统用于及时发现操作系统、数据库系统、应用系统以及网络协议安全漏洞,防止安全漏洞引起的安全隐患。
同时保护长春市二道区社会服务管理信息化系统不受侵害。
后续项目利用漏洞扫描系统解决漏洞扫描问题,发现和修补安全漏洞,对各种入侵和破坏行为进行检测和预警,项目实施时统筹考虑。
1.4.4设备可靠性设计长春市二道区社会服务管理信息化系统应考虑设备可靠性设计问题,系统关键设备服务器应考虑避免单点故障问题。
建议:服务器系统采用双机加磁盘柜模式。
应用系统与数据库分别安装在二台服务器上,其中一台作为应用系统生产机,另一台作为数据库生产机,二台服务器连接磁盘柜;应用系统生产机为数据库系统提供备份支持,数据库生产机为应用系统提供备份支持,二台互为备份。
以提高系统的可靠性。
1.4.5备份恢复系统长春市二道区社会服务管理信息化系统应建立有效的备份恢复系统,确保在系统出现故障的情况下能够重建恢复到出现故障前的状态。
建议系统采用磁带机作为离线备份工具。
1.5 系统应用安全信息系统设计归结起来要解决资源、用户、权限三类问题,在这三大要素中,用户是安全的主体,应用系统的安全也就是围绕用户展开的。
因此用户身份的验证便成了应用系统必须解决的第一个问题;解决身份问题之后,第二个要解决的问题便是授权,就是确保每个用户都能授以合适的权限;第三为解决资源的安全性与安全审计问题,需要解决数据完整性的问题;这些构成了应用系统安全的主体。
1.5.1身份认证系统长春市二道区社会服务管理信息化系统用户采用实名制,建立统一的用户信息库,为系统提供身份认证服务,只有合法用户才能对长春市二道区社会服务管理信息化系统进行访问。
基于分级保护的策略,身份认证系统支持用户名/口令认证方式,并支持CA数字证书认证方式。
身份认证应实现以下具体功能:1)提供分级用户管理模式,可根据需要由系统管理授权二级管理员分别管理维护所辖区域的用户,以解决大量用户管理维护的问题。
2)统一认证支持多种身份认证方式,支持用户名/口令与CA数字证书认证方式,在保证信息安全的前提下,满足不同用户对系统不同内容的访问需求。
3)统一认证应能对用户信息、用户访问信息、业务安全保护等级等内容进行有效的管理与维护。
4)统一认证应能够防止因大量用户访问可能造成的系统崩溃,它具有良好的响应性能,保证认证服务功能的可用性、可靠性。
1.5.2用户权限管理可以为用户设置不同的访问权限,允许用户在权限范围内访问系统不同的功能模块。
支持匿名访问。
长春市二道区社会服务管理信息化系统的授权管理采用集中授权、分级管理的工作模式,即通过系统管理员为二级系统管理员授权管理本机构用户权限的方式,实现分级授权管理,二级系统管理员管理本机构内的资源、角色定义、权限分配、权限认证等工作。
权限管理主要是由管理员进行资源分类配置、用户角色定义及授权等操作。
采用基于角色的访问控制策略,能够对用户和角色进行灵活授权。
在定义角色时,可以采用职称、职务、部门等多种形式,灵活反映各种业务模式的管理需求。
权限认证主要是根据用户身份对其进行权限判断,以决定该用户是否具有访问相应资源的权限。
授权管理系统与统一认证相结合,为长春市二道区社会服务管理信息化系统提供方便、简单的、可靠的授权服务,从而对用户进行整体的、有效的访问控制,保护系统资源不被非法或越权访问,防止信息泄漏。
1.5.3信息访问控制建立信息访问控制机制,对系统功能和数据进行分级管理,根据需要,不仅能够为合法用户分配不同级别的功能和数据的访问权限,而且能够对每一条信息设置不同的访问权限,用户登录后只能访问已授权的系统信息。
一般地来说,信息系统的资源分为系统资源和业务资源两类。
系统资源指系统菜单、功能模块、用户、角色等系统资源;业务资源是指相关的业务数据,如数据、文档等。
通过与授权功能的结合,解决资源的访问控制。
严格地讲,信息访问控制是授权管理中的一部分。
1.5.4系统日志与审计当用户对资源进行操作时,系统会对用户进行认证,认证完了之后是权限检测,接着执行相应的操作。
整个过程可以配置日志记录功能,比如认证日志、权限检测日志、和操作日志。
审计是系统管理员检查各种日志,发现安全隐患的过程,比如对同一个账号的多次认证企图可能是账号攻击,多次权限检测失败可能是某个账号企图访问非授权资源,操作日志可以察看每次操作的内容,甚至可以用来做数据恢复。
为了灵活性、系统日志可以由系统管理员配置,对于那些高可靠性的资源可以配置操作日志,对于那些高级密性的业务系统可以配置认证日志和权限检测日志。
对用户访问行为进行跟踪、记录,便于事前、事中、事后的安全管理,并为建立有效责任机制和监督机制奠定技术基础。
1.5.5数据完整性数据完整性指对长春市二道区社会服务管理信息化系统中存储、传输的数据进行数据完整性保护。
在系统设计与开发中要解决数据可靠存储的问题,在长距离数据传输中要充分考虑网络传输质量对数据完整性的影响,并采取必要的数据可靠性传输技术手段,确保数据的完整性。
1.6 安全管理体系●安全管理组织:形成一个统一领导、分工负责,能够有效管理整个系统安全工作的组织体系。
●安全标准规范体系:能够有效规范、指导长春市二道区社会服务管理信息化系统建设和运行维护的安全标准规范体系。
●安全管理制度:包括实体管理、网络安全管理、系统管理、信息管理、人员管理、密码管理、系统维修管理及奖惩等制度。
●安全服务体系:系统运行后的安全培训、安全咨询、安全评估、安全加固、紧急响应等安全服务●安全管理手段:利用先进成熟的安全管理技术,逐步建立系统的安全管理系统。
长春市二道区社会服务管理信息化系统依托企业内网安全保障系统,以身份认证为基础,重点加强用户权限管理、信息访问控制、设备可靠性及备份恢复建设,同时加强安全管理措施建设,形成有效的、全方位的安全保障体系。
1.7 质量保证●软件开发管理采用CMMI3标准进行严格控制软件每一环节,争取做到每一步都可进行快速修改和维护,已达到客户满意度。