2011年7月
目录
1.前言 (3)
1.1.项目背景 (3)
轻武器传奇1.2.安全目标 (4)
1.3.设计范围 (4)
1.4.设计依据 (4)
1.5.设计原则 (5)
2.1.网络现状描述 (7)
2.2.计算机基础设施建设方面 (8)
2.3.业务应用系统现状 (8)
2.4.安全定级情况 (8)
3.安全需求分析 (9)
3.1.1.《信息系统安全等级保护基本要求》说明 (9)
3.1.2.技术类安全需求 (11)
3.1.2.1.物理安全 (11)
ocus3.1.2.2.网络安全 (12)
3.1.2.3.主机安全 (14)
3.1.2.4.应用安全 (15)
3.1.2.5.数据安全及备份恢复 (16)
上海公共事业网3.1.3.1.安全管理制度 (16)
3.1.3.2.安全管理机构 (16)
3.1.3.3.人员安全管理 (17)
3.1.3.4.系统建设管理 (17)
3.1.3.5.系统运维管理 (17)
3.2.额外/特殊保护需求分析 (18)
3.2.1.重要资产分析 (18)
3.2.2.安全弱点分析 (18)
3.2.3.安全威胁分析 (20)
3.2.4.安全风险分析 (23)
3.2.4.1.物理层面的安全风险 (23)
3.2.4.2.网络层面的安全风险 (23)
3.2.4.3.主机层面的安全风险 (25)
3.2.4.4.应用层面的安全风险 (26)
3.2.4.5.管理方面的安全风险 (27)
3.2.5.额外/特殊保护需求分析 (28)
3.3.安全需求总结 (29)
3.3.1.安全技术防护 (29)
3.3.1.1.通信网络安全 (30)
3.3.1.2.区域边界安全 (31)
3.3.1.3.计算环境安全 (31)
3.3.1.4.安全管理中心 (32)
3.3.2.安全管理措施 (33)
3.3.2.1.安全管理组织 (34)
3.3.2.2.安全管理制度 (34)
3.3.2.3.安全运维服务 (34)
4.总体安全设计 (35)
4.1.安全体系框架 (35)
4.2.安全策略体系 (35)
4.3.安全组织体系 (36)
4.3.1.安全组织建设 (36)
4.3.2.人员安全管理 (37)发展业务
一位全减器
4.4.安全技术体系 (38)
4.4.1.安全技术体系框架 (38)
4.4.2.安全域划分 (40)
4.4.3.安全技术措施选择 (41)
4.4.3.1.区域边界安全保护措施 (41)
4.4.3.2.通信网络安全保护措施 (42)
4.4.3.3.计算环境安全保护措施 (42)
4.4.3.4.安全管理中心 (46)
4.4.4.安全软硬件产品部署 (48)
4.5.安全运行体系 (50)
5.信息安全建设规划 (51)
5.1.信息安全总体建设过程 (51)
5.2.信息安全工程实施规划 (53)
5.2.1.阶段一:实现基本的安全部署 (53)
5.2.2.阶段二:实现全面的安全部署 (55)
5.2.3.阶段三:实现全面的安全优化 (56)
6.安全产品采购预算 (56)
1.前言
1.1. 项目背景
聚合硫酸铝某集团为提高企业竞争力、适应新环境、实现科学管理、融入全球经济,已经启动ERP项目,吹响了全面实施信息化管理的号角。企业ERP是一个以管理会计为核心的信息系统,识别和规划企业资源,从而获取客户订单,完成加工和交付,最后得到客户付款。换言之,ERP将企业内部所有资源整合在
一起,对采购、生产、成本、库存、分销、运输、财务、人力资源进行规划,从而达到最佳资源组合,取得最佳效益。ERP系统的合理运用将改变企业运作的面貌,给企业的经营管理带来深刻变革,但与此同时,集中的数据处理,多方位多层次的信息应用也将为某集团带来新的问题——信息安全。
由于某集团的信息系统安全问题直接关系到生产、销售、人力资源管理等诸多核心业务的顺利开展,因此,在不断加强企业ERP建设的同时,信息安全也成为集团企业必须努力解决的首要问题。某集团领导也充分认识到了在进行信息系统建设的同时,同步建设信息安全保障体系的必要性,决定启动信息安全建设项目,对信息系统可能面临的风险进行分析、控制,全面提升某集团信息系统的安全防护能力,尽快打造出一个高效、稳定、安全的网络及系统环境,为某集团即将上线的ERP系统保驾护航。
对信息系统分级实行保护是国际上通行的做法,我国也已经把等级保护制度列入国务院《关于加强信息安全保障工作的意见》之中,对影响到国家安全、社会稳定、公众利益的重要部门实施强制监管,对信息系统按照重要程度划分不同的安全等级进行安全保护,并制定和发布了一系列相应的信息安全建设、管理的政策和标准。如何遵照国家的信息安全等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是今后我国信息安全建设的重点。某集团作为我国重点国有企业之一,其信息系统的重要性不言而喻,依据国家等级保护建设的相关要求和规范,结合自身发展要求和业务应用特点,建立一套符合实际的按等级标准进行保护的信息安全体系是必要的,也是必须的。
1.2. 安全目标
本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合某集团ERP系统的安全需求分析,通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等,全面提升某集团ERP系统的安全性,能面对目前和未来一段时期内的安全威胁,实现对全网安全状况的统一管理,更好地保障某集团ERP系统的正常运行,全面提升某集团信息系统的安全保护水平,并达到国家信息安全等级保护相关标准的要求。
通过本次项目的实施,将为某集团信息系统构建技术与管理相结合的全方位、多层次、可动态发展的纵深安全防范体系。
1.3. 设计范围
本项目的设计范围为某集团ERP系统,以集团总部为重点进行建设,并对各分支机构提出建议。
1.4. 设计依据
基于某集团业务的特殊性,其信息安全保障体系的建设,除了要满足系统安全可靠运行的需求,还必须符合国家和行业相关政策和要求。我们国家对信息安全保障工作非常重视,国家相关部门陆续出台了相应的文件和要求,因此本项目的建设应当遵从国务院、公安部、国资委等相关机构的要求,参考
国际、国内、行业信息安全标准和规范,对信息安全保障体系进行全面、深入的规划和设计,确保某集团信息系统安全保障体系建设的先进性和规范化。
某集团信息安全建设中需遵从的信息安全政策法规包括:
✓《中华人民共和国计算机信息系统安全保护条例》(国务院1994年147号令)
✓《国家信息化领导小组关于加强信息安全保障工作的意见》(中办[2003]27号)
✓《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议