信息安全整改方案_计划方案.doc

1、信息安全整改方案 _计划方案网站信息安全等级保护建设整改方案随着互联网应用和门户网站系统的不断发展和完善，网站 系统面临的安全威胁和风险也备受关注。 网站系统一方面要加强 落实国家信息安全等级保护制度要求的各项保障措施， 另一方面 要加强系统自身抵抗威胁的能力， 同时结合国办 2011年 40 号文 件关于进一步加强政府网站管理工作的通知的相关要求，网 站系统要切实进行防攻击、 防篡改、 防病毒各项防护措施的部署 和实施，综合提升网站系统的安全保障能力。根据国家等级保护有关要求，省级政府门户网站系统的信 息安全保护等级应定为三级， 建立符合三级等级保护相关要求的 安全防护措施， 能够形成在同一

2、安全策略的指导下， 网站系统应 建立综合的控制措施， 形成防护、 检测、响应和恢复的保障体系。 通过采用信息安全风险分析和等级保护差距分析， 形成网站系统 的安全需求， 从而建立有针对性的安全保障体系框架和安全防护 措施。网站系统安全需求根据网站系统的应用情况，针对网站系统的安全需求可以 从系统业务流程、软件、数据、网络和物理几个方面进行综合分 析，具体需求如下：1、业务流程安全需求针对网站类业务重点需要关注发布信息的准确性，采集分 析和汇总信息的可控性， 以及服务平台的可用性， 系统可能面临 的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击， 应加强对于这些威胁的对抗和防护能力， 通过

3、严格控制业务流程 中的各个环节，包括信息采集、分析、汇总、发布等过程中的人 员访问身份、访问控制、审批审核等需求，同时要加强系统自身 的完整性保护和抗抵赖机制的实现。2、软件安全需求网站系统软件架构一般包括接入层、展现层、应用层、基 础应用支撑层、 信息资源层和基础支撑运行环境等几个层面， 由 于几个层面涉及的主要功能和软件实现存在一定的差异性， 因此 要通过分析不同层次可能面临的威胁。 接入层是目标用户和接入 媒介共同构建而成， 针对业务系统此层面是一个访问入口， 从安 全需求方面应当减少入口对于系统的攻击可能性， 对于指定的接入和入口可以通过建立可信机制进行保护， 对于非指定的接口可 以通

4、过控制权限进行防护； 展现层是系统内容的展示区域， 要确 保系统展示信息的完整性， 降低被篡改的风险； 应用层是对数据 信息进行处理的核心部分， 应加强系统自身的安全性和软件编码 的安全性， 减少系统自身的脆弱性； 基础应用支撑层主要包括通 用组件、用户管理、目录服务和交换组件等通用应用服务，该层 次重点是确保系统组件自身的安全性， 同时要加强与应用之间接 口的安全性；信息资源层是由业务数据库和平台数据库共同构 成，此层次重点的安全在于数据库安全；基础支撑运行环境层， 支撑应用系统运行的操作系统、 网络基础设施和安全防护等共同 构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻 击、网络攻

5、击、软硬件故障、管理不到位、恶意代码等多类型威 胁，应加强资产的综合管理。3、数据安全需求网站系统的数据主要包括互联网读取、录入、管理、审核 的数据信息， 以及前台的交互信息和后台的数据交换信息， 针对 这些信息各个环节中的访问关系不同， 信息的敏感和重要程度不 同，可能面临威胁也存在一定的差异性， 其中读取过程要结合信 息的敏感和重要程度进行访问控制， 降低越权、 滥用等威胁的发 生；录入关注信息自身的完整性和合法性， 注意防止恶意代码和 木马对系统造成的攻击；管理和审核涉及信息系统的关键性信 息，所以基本属于系统中的敏感信息或关键流程管理， 加强人员的安全管理；交互和数据交换要通过系统自身

6、的安全防护机制， 抵抗网络攻击和加强抗抵赖机制。4、网络和物理安全需求网络层面重点在于设计合理的网络架构，部署冗余的网络 设备，形成可以建立不同安全策略的安全域， 从而确保网站系统 能够正常稳定运行。物理安全主要涉及的方面包括环境安全（防火、防水、防 雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位 置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防 水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的 需求，应确保机房的建设符合国家相关要求。5、IT 资产安全需求IT 资产重点关注资产本身的漏洞风险，同时根据资产类型 的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面

7、 临的关键威胁是软硬件故障、 物理攻击等； 软件资产可能面临的 威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。6、综合安全需求通过对各个方面综合的安全风险和需求分析，网站系统相 关的业务、软件、数据、网络和相关 IT 资产，由于其应用类型、 环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶 意代码、越权、滥用和抗抵赖等几个方面，由于其威胁发生的可 能性较高，威胁利用后影响较大，导致其安全风险较高，因此应 形成对抗这些威胁的必要的安全措施，加强对系统自身的安全 性。同时结合信息安全等级保护基本要求的相关技术和管理控制 点，进一步完善物理安全、网络安全、主机安全、应用安全和数 据安全的相

8、关控制措施，并要能够落实组织、制度、人员、建设 和运维相关的管理要求。网站系统安全方案设计根据对网站系统安全需求的分析，对于网站系统的安全防 护主要从以下两个方面进行设计，一方面是系统的安全保护对 象，合理分析系统的安全计算环境、区域边界和通信网络，形成 清晰的保护框架；另一方面还是要建立综合的安全保障体系框 架，形成对网站系统综合的控制措施架构， 同时加强网站系统可 能面临威胁的各项防护机制。1、安全保护对象安全计算环境：重点落实等级保护基本要求的主机、 应用、数据部分的安全控制项，结合安全设计技术要求中的主要1 2 下一页下页更精彩： 123下一页信息工程系学年下学期学生会工作计划【学期工

9、作计划】新的学期开始了， 学生会为了使工作具体化， 现将各部门 计划汇总如下：一、办公室：1、本学期我们将开始着重培养部门干事， 发掘每一位干事 的个人才能所在， 为办公室培养后继人才。 作为学生会各项活动 的枢纽部门，我们会一如既往的做好各项常规工作，包括：各部 门会议记录，办公室物品管理，财务管理等。2、在本学期初， 我们会进行学生会全体成员的档案登记工 作，以完善的数字化档案规范学生会成员档案。3、根据学生会以前的档案资料， 我们整理出学生会的相关 规章制度，包含学生会章程 学生会奖惩制度 学生会部门 职责学生会办公室值班制度 办公室财务管理制度 ，依据 各部门的意见，将做出相应的修改。

10、4、对各部门每次活动进行考勤，记录，各部门举办活动必 须提供相应的活动策划书以及活动总结， 并将此列入部门工作的 考核范围。此措施也是为更好的建立完善的档案制度。5、与宣传部合作设计学生会 LOGO 。并将此 LOGO 应用 于学生会各项文件，证件以及活动中。设计信息工程系学生会 文件统一模版 ，以此模版应用于所有学生会文件中， 如计划书、 策划书等，进而规范学生会文件。二、外联部：1、积极与校外社会团体和企业联系合作， 为各部门开展活动争取经费赞助，集体按照各部门的工作开展；2、在院篮球赛做好前期准备工作。 积极配合生活部做好勤 工俭学这一活动，并确保其安全性，可靠性，可操作性；3、在运动会

11、期间做好宣传工作，以吸引更多的商家赞助； 加强我系与其他兄弟院校之间的联系，增进友谊；4、注意培养、锻炼一批有能力的干事，以便更好的开展工 作；三生活部：1、在牛奶征订方面，在宿舍变动后，我们继续征订牛奶。 同时把送牛奶的工作列为勤工俭学的项目； 在天气预报方面， 我 们仍然会在每天早上挂出小黑板，并努力提高天气预报的准确 率，及时更新、2、在卫生方面，由于检查卫生是为了督促同学们搞好卫生， 为自己和他人创造一个良好的学习环境。 因此除每周一检查卫生 外，我们还不定期的抽查，并设想使用流动红旗的老办法。另外 我们将重新制定卫生标准；3、在勤工俭学方面，我们将与外联部合作，在周末和节假 日为同学

12、提供工作机会；4、我们还设想与宿管部合作举行“创意大赛”的活动，旨 在提高同学们的动手能力和合作能力；5、本学期我们还将举办第二届心理知识竞赛；四、宿管部：1、常规工作，周三检查宿舍卫生，本学期我们将会重新制 定评分标准；2、恢复与建工系学生会宿管部合作的 “二手市场”；由于毕业班的同学二手物品较多，我部回尽快落实；3、我们还设想与生活部合作举行“创意大赛”的活动，旨 在提高同学们的动手能力和合作能力；五、体育部： 信息工程系学年下学期学生会工作计划1、由于种种原因，我部门的干事严重缺乏、为了能使我体 育部能更好的完成各项工作， 本部门决定在学期开始， 具体时间 在 3 月 5 号前，再次招收一批新干事、壮大我部门的力量、2、篮球联赛其实包括两部分： 一部分是本系内部的篮球联 赛系篮球联赛是我体育部门的常规活动，以班级为单位，比赛 以友谊第一， 比赛第二的原则， 目的在于增进各班之间的感 情在比赛中出现的突发时间，将会按照有关的规定进行处罚， 具体处罚办法将会在策划书上做具体的规定3、我系首届运动会，详细见策划书；六、学习部：1、与团总支合作，举办辩论赛；2、成立编辑组，积极向校报校