信构企业信用信息管理系统安全规划建议书信息系统安全规划建议书2/33-目录1.总论.............................................................31.1.项目背景.......................................................31.2.项目目标.......................................................31.3.依据及原则.....................................................41.3.1.原则........................................................41.3.2.依据........................................................51.4.项目范围.......................................................72.总体需求.........................................................73.项目建议.........................................................83.1.信构企业信用信息管理系统安全现状评估与分析.....................83.1.1.评估目的....................................................83.1.2.评估内容及方法..............................................93.1.3.实施过程...................................................143.2.信构企业信用信息管理系统安全建设规划方案设计..................233.2.1.设计目标...................................................233.2.2.主要工作...................................................243.2.3.所需资源...................................................273.2.4.阶段成果...................................................274.附录............................................................274.1.项目实施内容列表及报价清单....................................27信息系统安全规划建议书3/33-1.总论1.1.项目背景******************(以下简称“********”)隶属***********,主要工作职责是根据…………………………………………………………的授权,负责………………;负责…………………………等工作。********作为*********部门,在印前,需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。1.2.项目目标以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合********信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。信息系统安全规划建议书4/33-1.3.依据及原则1.3.1.原则以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务、信构企业信用信息管理系统,在方案设计中遵循以下的原则:适度安全原则从网络、主机、应用、数据等层面加强防护措施,保障信构企业信用信息管理系统的机密性、完整性和可用性,同时综合成本,针对信构企业信用信息管理系统的实际风险,提供对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。重点保护原则根据信构企业信用信息管理系统的重要程度、业务特点,通过划分不同安全保护等级的信构企业信用信息管理系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信构企业信用信息管理系统。技术管理并重原则把技术措施和管理措施有效结合起来,加强********信构企业信用信息管理系统的整体安全性。标准性原则信息安全建设是非常复杂的过程,在规划、设计信息安全系统时,单纯依赖经验是无法对抗未知的威胁和攻击,因此需要遵循相应的安全标准,从更全面的角度进行差异性分析。信息系统安全规划建议书5/33-同时,在规划、设计********信息安全保护体系时应考虑与其他标准的符合性,在方案中的技术部分将参考IATF安全体系框架进行设计,在管理方面同时参考27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性。动态调整原则信息安全问题不是静态的,它总是随着********的安全组织策略、组织架构、信构企业信用信息管理系统和操作流程的改变而改变,因此必须要跟踪信构企业信用信息管理系统的变化情况,调整安全保护措施。成熟性原则本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的。科学性原则在对********信构企业信用信息管理系统进行安全评估的基础上,对其面临的威胁、弱点和风险进行了客观评价,因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求,另一方面也能够很好地解决********信息网络中存在的安全问题,满足特性需求。1.3.2.依据1.3.2.1.政策文件关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知(中办[2003]27号文件)关于印发《信息安全等级保护工作的实施意见》的通知(公通字信息系统安全规划建议书6/33-[2004]66号文件)关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号文件)《信息安全等级保护管理办法》(公通字[2007]43号)《关于开展全国重要信构企业信用信息管理系统安全等级保护定级工作的通知》(公信安[2007]861号)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)1.3.2.2.标准规范计算机信构企业信用信息管理系统安全保护等级划分准则(GB/T17859-1999)信息安全技术信构企业信用信息管理系统安全等级保护实施指南信息安全技术信构企业信用信息管理系统安全保护等级定级指南(GB/T22240-2008)信息安全技术信构企业信用信息管理系统安全等级保护基本要求(GB/T22239-2008)信息安全技术信构企业信用信息管理系统安全等级保护测评要求信息安全技术信构企业信用信息管理系统安全等级保护测评过程指南信息安全技术信构企业信用信息管理系统等级保护安全设计技术要求信息系统安全规划建议书7/33-1.4.项目范围按照国家有关规定和标准规范要求,坚持管理和技术并重的原则,将技术措施和管理措施有机结合,建立信构企业信用信息管理系统综合防护体系,提高信构企业信用信息管理系统整体安全保护能力。依据《信构企业信用信息管理系统安全等级保护基本要求》(以下简称《基本要求》),落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。根据********现状和********规划,确定本项目主要建设内容包括:网络结构调整、物理安全建设、主机及应用系统安全建设、数据存储与备份安全建设、终端安全建设、运行及优化等。2.总体需求********在充分利用现有信息化成果的基础上,进一步将信息化技术深入应用于管理、设计、协同等各方面,建立和完善以信息和网络技术为支撑,满足************服务等所需的信息网络体系和协同工作平台,满足公司运营管控的信息化平台,实现技术、人力、资金、设备、知识资源的共享。目前********随着业务不断增加信息化建设的进度必须满足业务发展的需要。********信构企业信用信息管理系统安全建设,旨在从技术与管理上信息系统安全规划建议书8/33-加强公司网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止********信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。针对********信构企业信用信息管理系统安全现状及未来的需求分析,亟需建立一整套完善的安全体系。该体系包括信构企业信用信息管理系统的安全管理体系和技术产品的技术体系。通过两个体系的建立,实现********信构企业信用信息管理系统的所有信息资产以及与******之间进行安全的管理和技术保护。同时通过多层次、多角度的安全服务和产品,覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。整个安全体系包括网络平台安全、应用安全、系统平台安全以及物理和环境的安全等内容。3.项目建议主要完成两项工作,一是信构企业信用信息管理系统安全现状调查与分析;二是信构企业信用信息管理系统安全建设规划方案设计。3.1.信构企业信用信息管理系统安全现状评估与分析3.1.1.评估目的为了准确把握*****************当前现状,了解当前存在的缺陷和不足,完善信构企业信用信息管理系统整体安全。以信构企业信用信息管理信息系统安全规划建议书9/33-系统安全等级保护标准为基础,对信构企业信用信息管理系统安全进行符合性分析,作为**********************信构企业信用信息管理系统安全规划的原始标准和改进依据。3.1.2.评估内容及方法3.1.2.1.评估内容结合信构企业信用信息管理系统安全等级保护基本要求标准,对********的信构企业信用信息管理系统进行测试评估,应包括两个方面的内容:一是安全控制评估,主要评估信息安全等级保护要求的基本安全控制在信构企业信用信息管理系统中的实施配置情况;二是系统整体评估,主要评估分析信构企业信用信息管理系统的整体安全性。其中,安全控制评估是信构企业信用信息管理系统整体安全评估的基础。对安全控制评估的描述,使用评估单元方式组织。评估单元分为安全技术评估和安全管理评估两大类。安全技术评估包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制评估;安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制评估。具体见下图:信息系统安全规划建议书10/33-由于********在信构企业信用信息管理系统安全规划建议是基于信构企业信用信息管理系统安全等级保护基本要求标准(二级)之上,因此,共需要对技术与管理两大方面、十个层面的66个控制项、175个控制点进行安全评估。3.2.2.2.1技术部分技术部分将对********的物理安全、网络安全、主机安全、应用安全、数据安全及备份的五个层面进行安全控制评估。3.2.2.2.2管理部分安全管理机构、安