企业信息安全总体规划方案

千里之行，始于足下。第2页/共2页精品文档推荐企业信息安全总体规划方案企业信息安全总体规划方

案

Preparedon22NovemberXXX

XXXXX公司

信息安全建设规划建议书

YYYY科技有限公司

201X年XX月

名目

综述

概述

信息技术XXX和经济全球化的进展，使企业间的竞争差不多转为技术和信息的竞争，随着企业的业务的快速增长、企业信息系统规模的别断扩大，企业对信息技术的依靠性也越来越强，企业是否能长期生存、企业的业务是否能高效

的运作也越来越依靠于是否有一具稳定、安全的信息系统和数据资产。所以，确保信息系统稳定、安全的运行，保证企业知识资产的安全，差不多成为现代企业进展创新的必定要求，信息安全能力已成为企业核心竞争力的重要部分。

企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。

与此并且，随着企业业务领域的扩展和规模的快速扩张，为了满脚企业进展和业务需要，企业的IT生产和支撑支撑系统也举行了相应规模的建设和扩展，为了满脚生产的高速进展，市场的大力扩张，企业决定在近期举行信息安全系统系统的调研建设，所以随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到妨碍等等，所以为了保证企业业务正常运营、制卡系统的高效安全的运行，别因各种安全威胁的破坏而中断，信息安全建设别可或缺，信息安全建设必定应该和当前的信息化建设举行统一全局思考，应该在相关的重要信息化建设中举行安全前置的思考和规划，幸免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生。。

本次企业信息安全体系建设规划要紧思考采纳各种被证明是行之有效的各种信息安全产品和技术，帮助企业建设一具主动、高效、全面的信息安全防备体系，落低信息安全风险，更好的为企业生产和运营服务。

现状分析

目前企业差不多在前期举行了部分信息安全的建设，包括终端上的一部分防病毒，网络边界处的基本防火墙等安全软件和设备，在非常大程度上差不多对外部

威胁能有一具基本的防护能力，然而现在的安全威胁和攻击手段日新月异，层出别穷，各种高危零日漏洞别断被攻击者挖掘出来，攻击的目标越来越有针对性，目前的企业所面临的全球安全威胁呈现如下几个新的趋势：

恶意攻击数量快速增加，攻击手段别断丰富，最新的未知威胁防别胜防：怎么防范未知威胁，抵御别同攻击手段和攻击途径带来的信息安全冲击

高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业：怎么阻挠别同的攻击手段别仅仅是防病毒！需要服务器，终端，网络，数据等各方面多层次的防护，增加威胁防范能力

复杂混乱的应用与外接设备环境：怎么确保应用和设备的准入操纵

繁琐枯燥的系统维护和安全治理：怎么更有效利用有限的信息人力资源

工具带来的新咨询题：怎么保证安全策略的强制要求，统一治理和实施效果

终端接入别受控：怎么确保终端满脚制定的终端安全策略-终端准入操纵

网页式攻击(Web-basedAttack)已成为最主流的攻击手法：怎么确保拜访可靠网站

内外部故意无意的信息泄露将严峻妨碍企业的声誉和重大经济损失从目前大多数企业的信息安全建设来看，针对以上的目前主流的新形势的信息威胁，企业在安全建设上还面临安全防护需要进一步依赖国际先进技术增强主动防备，纵深防备的能力，目前大多数企业在安全防护上还有如下的欠缺：

目前信息安全存在的咨询题

在信息系统安全评估中我们对网络设备、主机系统、数据库系统、应用系统、网络扫描、安全治理等等方面举行了安全评估，发觉要紧有如下的咨询题：网络设备安全：

拜访操纵咨询题

网络设备安全漏洞

设备配置安全

系统安全：

补丁咨询题

运行服务咨询题

安全策略咨询题

弱口令咨询题

默认共享咨询题

防病毒事情

应用安全：

exchange邮件系统的版本咨询题

apache、iis、weblogic的安全配置咨询题

serv-U的版本咨询题

radmin远程治理的安全咨询题

数据安全：

数据库补丁咨询题

Oracle数据库默认帐号咨询题

Oracle数据库弱口令咨询题

Oracle数据库默认配置咨询题

Mssql数据库默认有威胁的存储过程咨询题

网络区域安全：

市局政务外网安全措施完善

市局与分局的拜访操纵咨询题

分局政务外网安全措施加强

安全治理：

没有建立安全治理组织

没有制定总体的安全策略

没有降实各个部门信息安全的责任人

缺少安全治理文档

经过安全评估中的安全修复过程，我们对上述大部分的的安全咨询题举行了修补，然而还是存在残余的风险，要紧是数据安全（已安排升级打算）、网络区域安全和安全治理方面的咨询题。因此当前信息安全存在的咨询题，要紧表如今如下的几个方面：

1.在政务外网中，市局建立了基本的安全体系，然而还需要进一步的完善，例如政务外网总出口有单点故障的隐患、门户网站有被撰改的隐患。另外分局并没有实施任何的防护措施，存在被黑客入侵的安全隐患；

2.在政务内网中，市局和分局之间没有做拜访操纵，存在蠕虫病毒相互扩散的也许。另外，假如黑客入侵了分局的政务内网后，也许进一步的向市局举行渗透攻击。

3.原有的信息安全组织没有实施起来，没有制定安全总体策略；没有降实信息安全责任人。导致信息安全治理没有可以自上而下的下发策略和制度，信息安全治理没有降到实处。

4.经过安全评估，建立了基本的安全治理制度；然而这些安全治理制度还没有降实到日常工作中，同时也许在实际的操作中依照实际的事情做一些修改。

5.没有成立安全应急小组，没有相应的应急事件预案；缺少安全事件应急处理流程与规范，也没有对安全事件的处理过程做记录归档。

6.没有建立数据备份与恢复制度；应该对备份的数据做恢复演练，保证备份数据的有效性和可用性，在浮现数据故障的时候可以及时的举行恢复操作。

7.目前市局与分局之间的政务内网是租用天威的网络而没有其它的备用线路。万一租用的天威网络发生故障将也许导致市局与分局之间的政务内网网络中断。

经过信息安全风险评估，对发觉的对于操作系统、数据库系统、网络设备、应用系统等等方面的漏洞，同时由于当时信息安全治理中并没有规范的安全治理制度，也是浮现操作系统、数据库系统、网络设备、应用系统等漏洞的缘故之一。为了达到对安全风险的长期有效的治理，我们建议建设ISMS（信息安全治理体系），对安全风险经过PDCA模型，输出为可治理的安全风险。

依照目前的安全威胁，企业的信息安全面临的咨询题是

?信息安全仅作为后台数据的保障

?前端业务应用和后端数据库信息安全等级别高

?信息安全不过建立在简单的“封、堵”上，别利提升工作效率和协同办公所以，关于企业来讲，在新的IT环境下，需要就如下的安全思考，依照合理的规划举行分期建设。

?业务模式正在发生改变，生产、研发等系统的实施，信息安全应全面面向应用，信息安全须前置，以习惯业务的安全要求。

?用户终端的多样化也应保持脚够的安全。

?数据集中化管控和网络融合后所需的安全要求。

?数据中心业务分区模块化治理及灾备应急机制

设计目标

为企业设计完善的信息安全治理体系，增强企业信息系统抵御安全风险的能力，为企业生产及销售业务的健康进展提供强大的保障。

1.经过对企业各IT系统的风险分析，了解企业信息系统的安全现状和存在的各种安全风险，明确将来的安全建设需求。

2.完成安全治理体系规划设计，涵盖安全治理的各个方面，设计合理的建设流程，满脚中长期的安全治理要求。提供如下安全治理项目：?人员治理

?规划制订和建设流程规划

?安全运维治理及资产治理

3.完成安全技术体系规划设计，设计有前瞻性的安全解决方案，在举行成本/效益分析的基础上，选用主流的安全技术和产品，建设主动、全面、高效的技术防备体系，将企业面临的各种风险操纵在能够同意的范围之内。针对整体安全规划打算，在接下来的几年内分期建设，最后满脚如下安全防护需求：?网络边界安全防护

?安全治理策略

?关键业务服务器的系统加固，入侵防护，关键文件监控和系统防护

?网络和服务器安全防护及安全基线检查与漏洞检测

?增强终端综合安全防护

?强化内部人员上网行为治理

?建设机密数据防泄漏和数据加密，磁盘加密

?网络信任和加密技术防护

?建设，强化容灾和备份治理

4.加强企业内部的IT操纵与审计，确保IT与法律、法规，上级监管单位的要求相符合，比如：

?需要满脚国家信息系统安全系统的安全检查要求

?需要满脚国家《信息系统安全等级爱护基本要求》

信息安全总体规划

设计目标、依据及原则

2.1.1设计目标

电子政务网是深圳市电子政务业务的承载和体现，是电子政务的重要应用，存储着的重要的数据资源，流淌着经济建设和社会日子中重要的数据信息。因此必须从硬件设施、软件系统、安全治理几方面，加强安全保障体系的建设，为电子政务应用提供安全可靠的运行环境。

2.1.2设计依据

《国家信息化领导小组对于我国电子政务建设指导意见》

《国家信息化领导小组对于加强信息安全保障工作的意见》

《电子政务总体框架》

《电子政务信息安全保障技术框架》

《电子政务信息安全等级爱护实施指南》

《信息安全等级爱护治理方法》

《信息技术安全技术信息技术安全性评估准则》

《计算机信息系统安全爱护等级划分准则》

《电子计算机场地通用规范》

《计算机场地安全要求》

《计算机信息系统安全保密测评指南》

并且在评定其信息资产的价值等级时，也将参考

ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等国际标准。

电子政务网将依据信息价值的保密性妨碍、信息价值完整性妨碍、信息价值的可用性妨碍等多个方面，来对信息资产的价值等级举行划分为五级，第一级为最低级，第五级为最高级。

2.1.3设计原则

电子政务网安全系统在整体设计过程中应遵循如下的原则：

需求、风险、代价平衡的原则：对任何信息系统，绝对安全难以达到，也别一定是必要的，安全保障体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到技术上可实现，组织上可执行。

分级爱护原则：以应用为主导，科学划分网络安全防护与业务安全爱护的安全等级，并依据安全等级举行安全建设和治理，保证服务的有效性和快捷性。

最小特权原则：整个系统中的任何主体和客体别应具有超出执行任务所需权力以外的权力。

标准化与一致性原则：电子政务网是一具庞大的系统工程，其安全保障体系的设计必须遵循一系列的标准，如此才干确保各个分系统的一致性，使整个电子政务网安全地互联互通、信息共享。

多重爱护原则：任何安全措施都别是绝对安全的，都也许被攻破。然而建立一具多重爱护系统，各层爱护相互补充，当一层被攻破时，其他层仍可爱护系统的安全。

整体性和统一性原则：一具大型网络系统的各个环节，包括设备、软件、数据、人员等，在网络安全中的地位和妨碍作用，惟独从系统整体的角度去统一看待、分析，才也许实现有效、可行的安全爱护。

技术与治理相结合原则：电子政务网是一具复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠治理都不会实现。所以在思考安全保障体系时，必须将各种安全技术与运行治理机制、人员思想教育与技术培训、安全规章制度建设相结合。

统筹规划，分步实施原则：由于政策规定、服务需求的别明朗，环境、时刻的变化，安全防护与攻击手段的进步，在一具比较全面的安全体系下，能够依照网络的实际需要，先建立基本的的安全保障体系，保证基本的、必须的安全性。随着今后网络应用和复杂程度的变化，调整或增强安全防护力度，保证整个网络最全然的安全需求。

动态进展原则