XXX学院
信息系统安全服务合同
委托人(甲方):XXX学院
受托人(乙方):XXX信息中心
甲方委托乙方对其指定的信息系统进行安全服务。为保证安全服务工作顺利进行,经协商一致,双方达成以下协议:
一、安全服务依据
1、安全服务合法性依据,主要包括如下文件:
1)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号);
2)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定的《信息安全等级保护管理办法》(公通字〔2007〕43号)。
2、安全服务技术规范依据,包括但不限于如下技术标准:
1)《信息安全技术信息系统安全等级保护基本要求》;
2)《信息安全技术信息系统安全等级保护测评要求》;
3)《信息安全技术信息系统安全等级保护测评过程指南》。
二、安全服务内容
乙方应在坚持科学、客观、公正原则的基础上,如实反映信息系统的真实情况,不受第三方干扰,完整、准确地向甲方提供其信息系统安全等级保护职责履行情况的数据和信息,并给出相应的安全服务报告,其结果不受他方干扰。
乙方对信息系统进行如下内容的安全服务工作:
●安全差距分析
乙方结合甲方信息系统的实际情况,进行安全现状调研,针对本项目信息系统,依据第一章“安全服务依据”第二点相关技术标准,对项目信息系统进行差距分析和风险评估,并对分析和评估的结果进行归纳整理,形成信息系统差距分析报告并提供安全整改建议。
●安全技术评估
乙方通过物理安全、网络安全、主机安全、应用安全和数据安全等五个层面测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况。
●安全管理评估
乙方通过查阅文档、抽样调查等方法,针对甲方在信息安全方面制定规章制度的合理性、适用性等进行评估,主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。
●系统整体评估
乙方依据《信息系统安全等级保护基本要求》和《信息系统安全等级保护测评准则》,根据现场评估记录和甲方提供的安全体系相关的设计和建设方案历史数据,并结合业务特点,对信息系统进行整体安全等级符合性分析。
三、服务标的
1) XXX网站系统(二级);
2) XXX系统(二级);
3) XXX系统(二级);
四、服务方式
服务方式:人员访谈、文档审查、配置核查、工具测试、实地查看、测评报告等。
五、服务开始时间、地点和期限
开始时间:合同签订后10日内;
服务地点:XX学院;
完成期限:合同签订后2个月内。
六、服务费用及其支付方式
本项目服务费用共计人民币元整(¥)。
甲方按照以下条款向乙方支付合同总价:
1)首付款
甲方于本合同生效之日起10 个工作日内向乙方支付合同金额的50 %,
即人民币:¥(大写人民币:元整)。
2)验收付款
甲方于收到公安部门颁发的《信息系统安全等级保护备案证明》及相关
系统的测评报告起10 个工作日内向乙方支付合同金额的50%,即人民
币:¥(大写人民币:元整)。
3)开具发票
乙方收到甲方验收付款前10个工作日内向甲方开具符合国家及本合
同规定的相应数据额的发票。
七、合同责任
1)甲方应按合同要求向乙方交付服务费用。
2)甲、乙双方应积极配合保证服务工作顺利进行,因一方责任导致服务工作延
期的,应当以本项目服务费用的千分之二为标准按日向对方计付违约金;如确因乙方原因延期超过30日的,甲方有权要求乙方支付服务费的10%作为违约金,并另行委托第三方完成服务事项,相关费用由乙方承担。
3)乙方在安全服务开展之前,甲方应协调相关单位做好相应的系统数据备份等工作,乙方应明示具体的测试方法、采用的测试工具、操作步骤、参与的人员以及可能出现的风险。
4)乙方在现场服务时,应遵守甲方的工作纪律,不破坏甲方的工作设备和软、硬件设施;如果乙方对甲方的工作设备和软、硬件设施造成破坏,应承担相应的经济责任。
5)乙方应按时完成服务工作,服务完成后出具书面服务报告。
6)乙方出具的服务报告应包括对被测信息系统的检查结果及安全等级符合情况(或根据实际需要填写)。
7)乙方保证提供给甲方的等级保护测评报告符合国家和公安部颁布标准及合同规定的要求。
8)乙方保证在项目实施过程中甲方的网络正常运行。
9)乙方保证向甲方提供的技术资料是清晰的、正确的、完整的。
10)如因乙方提供的相关资料或提供的技术资料错误,或乙方在现场的技术人员指导有错误而使报告不能达到要求,乙方负责修改,由此引起的费用由乙方承担。乙方逾期40个工作日仍不能提供达到甲方要求的报告,甲方有权解除合同,乙方全额退回首付款,并支付相当于合同金额5%的违约金。
11)甲方应配合乙方的工作,按时提供相应的数据、信息和资料,并保证其正确性、真实性,如果由于甲方提供的数据、信息和资料有误或不能如期提供,影响工作质量和进度的,乙方无需承担逾期责任;甲方逾期22个工作日不提供约定的物质技术条件的,乙方有权解除合同,甲方应当支付相当于合同金额5%的违约金。
八、工作成果提交及项目验收方式
在安全服务工作完毕后,乙方将提交《信息系统安全差距分析与整改建议报告》、《信息系统安全等级测评报告》以及公安部门颁发的《信息系统安全等级保护备案证明》;甲方确认乙方完成上述各项工作后,在《信息系统安全等级测评报告验收单》上签字确认本项目验收完毕。
九、售后服务承诺
乙方承诺在项目实施完工后一年内,免费为甲方提供一年应急响应服务,并承诺在安全事件发生后2小时到达现场,24小时内定位问题。
十、免责条款
1)甲方应积极协调配合乙方进行安全服务工作,保证提供的相关资料真实可靠,在服务过程中不设置障碍,因非乙方原因导致服务工作无法正常进行或按时完成,乙方不承担违约责任。
2)甲方应在乙方开始服务前协调做好系统数据备份等准备工作,因非乙方的原因导致甲方的经济损失,乙方不承担责任。
3)乙方出具的测试结论只针对用户现有的网络与信息系统,不涉及该系统结构或功能等要素发生变化后的情况。
4)若由于甲方操作不当或其他原因造成的问题,乙方也应提供技术支持,所造成的费用由甲乙双方协商共同承担。
十一、本项目的技术秘密保密范围和期限
1)在服务期间及服务工作结束后,一方应将另一方提供的资料和信息限制在与本服务有关的人员、保密协议签署者范围内,不应发表或提供给第三方,并不得使用于本合同之外的目的。该条款不因合同的终止、解除而失效。
2)一方或其工作人员违反前款规定给对方造成损失的,应当负责赔偿。
十二、不可抗力
如果一方或双方因出现水灾、火灾、台风、地震、战争或其它不可抗力因素不能正常履行合同,须在15个工作日内通知对方,并出具证明文件。按事件对履行合同的影响程度,由双方协商决定是否解除合同,部分免除或延期履行合同的责任。
十三、争议解决
在本合同执行过程中发生纠纷时,双方应及时通过协商或第三方调解解决。协商、调解不成时,任何一方均可提请西安人民法院诉讼解决。
十四、其他
1)一方如提出停止安全服务的单方面要求,须经另一方签字确认并赔偿由此而对其造成的损失。该赔偿金额不少于服务费的20%。
2)本合同的未尽事宜,本着服务顺利实施的原则,由双方友好协商解决。
3)本合同经甲乙双方单位签字盖章,立即生效。
4)本合同一式六份,甲方两份,乙方四份,附件具有同等法律效力。
5)本合同任何修改和补充都应采用书面形式,并经双方授权代表签字盖章后生效。
十五、乙方银行信息
户名:XXX信息中心
开户行:中国工商银行
账号:02000033000000000
甲方:
(盖章)
委托代理人签字:
日期:年月日乙方:XXXX信息中心
(盖章)
委托代理人签字:
日期:年月日
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
医疗信息系统安全实施方案 随着数字化医院建设的不断发展和深入,医院的数字化应用越来越多,目前我院已实现了区域HIS、LIS、PACS等系统的应用,主要业务实现了电子化,处方、医嘱、病历、慢病等已实现了无纸化。医院信息系统在医院运行中占据了非常重要的地位,但随之而来系统安全管理的重要性也越来越突出,系统的稳定性和安全性关系到医院各项业务能否顺利开展,关系到患者就诊信息的安全性及连续性,为保障信息系统的安全和运行,特制订以下方案: 一、成立领导小组 医院主任为组长,各副主任为副组长,各科室科长为成员,医院办公室为具体执行科室。 二、建立健全规章制度 建立各项规章制度,如医疗服务档案管理制度、信息管理制度、网络系统管理制度、计算机使用和管理制度等,据统计90%以上的管理和安全问题来自终端,提高各部门人员的安全意识非常重要,我院由分管主任负责组织协调有关人员,加强培训与安全教育,强化安全意识和法制观念,提升职业道德,掌握安全技术,确保这些措施落实到位,责任到人。 三、保证网络的安全 我院采用的是区域HIS、LIS、PACS系统,服务器设在市卫生局,故服务器的安全问题不用我们考虑,目前需要我们解决的是医院网络的安全问题,为了保障单位内部信息安全,规范职工上网行为、降低泄密风险、防止病毒木马等网络风险,我院将统一安装上网行为管理器及管理软件,通过此方法可实现以下主要功能: 通过制定统一的安全策略,限制了移动电脑和移动存储设备随意接入内网;杜绝内网电脑通过拨号、ADSL、双网卡等方式非法外联;保证了医院内网与外界的隔离度,从而大大提高了医院内网的安全性。 通过网络流量控制模块,实时地临控网络终端流量,对异常网络行为,如大流量下载、并发连接数大、网络垃圾广播等行为可以进行自动预警、阻断和事件源定位,极大减少网络拥堵事件,大大提高了网络利用率。
信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展,促进和加强信息化建设,确保信息化网络和设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组是信息安全管理的最高管理层,单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度,配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有:
委员会主任:向云驹 委员会副主任:冉茂金、彭宽 信息化领导小组职责(信息安全领导小组/信息安全工作委员会): (1)负责指导和管理信息化建设和信息安全工作。 (2)负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括: 组长:向云驹 副组长:冉茂金、彭宽 下设领导小组办公室: 下设领导小组办公室:由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责: (1)拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 (2)督促检查各处室应急预案的执行情况,并给予指导。 (3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。 (4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。(5)监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 (6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。
制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。 本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技
信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行 1.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施
1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理,实施系统安全运行细则 2.2.2 严格用户权限管理,维护系统安全正常运行 2.2.3 认真记录系统安全事项,及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理,实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
电子政务系统信息安全建设方案 概述 电子政务作为国家信息化建设的重点工程,按敏感级别和业务类型,可划分为:涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为提供协同办公、信息传输交互和业务数据处理的网络平台;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。 2安全建设内容 为了保障政府的管理和服务职能的有效实现,需要为电子政务网络建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在电子政务系统的建设中实施信息安全工程,保证电子政务三大网络的安全。电子政务安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。 3安全管理体系 安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。 4技术和运行 一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。 4.1局域网主机与应用系统安全 局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境
信息安全管理机构及岗位设置
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。
3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治
***医院 信息安全建设方案 ■文档编号■密级 ■版本编号V1.0■日期 ? 2019
目录 一. 概述 (2) 1.1项目背景 (2) 1.2建设目标 (3) 1.3建设内容 (3) 1.4建设必要性 (4) 二. 安全建设思路 (5) 2.1等级保护建设流程 (5) 2.2参考标准 (6) 三. 安全现状分析 (7) 3.1网络架构分析 (7) 3.2系统定级情况 (7) 四. 安全需求分析 (8) 4.1等级保护技术要求分析 (8) 4.1.1 物理层安全需求 (8) 4.1.2 网络层安全需求 (9) 4.1.3 系统层安全需求 (10) 4.1.4 应用层安全需求 (10) 4.1.5 数据层安全需求 (11) 4.2等级保护管理要求分析 (11) 4.2.1 安全管理制度 (11) 4.2.2 安全管理机构 (12) 4.2.3 人员安全管理 (12) 4.2.4 系统建设管理 (13) 4.2.5 系统运维管理 (13) 五. 总体设计思路 (14) 5.1设计目标 (14) 5.2设计原则 (15) 5.2.1 合规性原则 (15) 5.2.2 先进性原则 (15) 5.2.3 可靠性原则 (15) 5.2.4 可扩展性原则 (15) 5.2.5 开放兼容性原则 (16) 5.2.6 最小授权原则 (16) 5.2.7 经济性原则 (16)
六. 整改建议 (16) 6.1物理安全 (16) 6.2网络安全 (17) 6.3主机安全 (19) 6.3.1 业务系统主机 (19) 6.3.2 数据库主机 (21) 6.4应用安全 (22) 6.4.1 HIS系统(三级) (22) 6.4.2 LIS系统(三级) (24) 6.4.3 PACS系统(三级) (26) 6.4.4 EMR系统(三级) (27) 6.4.5 集中平台(三级) (29) 6.4.6 门户网站系统(二级) (31) 6.5数据安全与备份恢复 (32) 6.6安全管理制度 (33) 6.7安全管理机构 (33) 6.8人员安全管理 (34) 6.9系统建设管理 (34) 6.10系统运维管理 (35) 七. 总体设计网络拓扑 (38) 7.1设计拓扑图 (38) 7.2推荐安全产品目录 (39) 八. 技术体系建设方案 (41) 8.1外网安全建设 (41) 8.1.1 抗DDos攻击:ADS抗DDos系统 (41) 8.1.2 边界访问控制:下一代防火墙NF (43) 8.1.3 网络入侵防范:网络入侵防御系统NIPS (46) 8.1.4 上网行为管理:SAS (48) 8.1.5 APT攻击防护:威胁分析系统TAC (50) 8.1.6 Web应用防护:web应用防火墙 (54) 8.2内外网隔离建设 (58) 8.2.1 解决方案 (59) 8.3内网安全建设 (61) 8.3.1 边界防御:下一代防火墙NF (61) 8.3.2 入侵防御 (62) 8.3.3 防病毒网关 (63) 8.3.4 APT攻击防护 (67) 8.4运维管理建设 (68) 8.4.1 运维安全审计:堡垒机 (68) 8.4.2 流量审计:网络安全审计-SAS (70) 8.4.3 漏洞扫描:安全评估系统RSAS (75)
一.组织机构 1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室, 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。 职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括: 1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; 3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安 全总体策略规划,并监督执行; 4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原 因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括: 1)审定公司网络与信息系统的安全应急策略及应急预案; 2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统;
3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全 技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有: 1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行; 3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有: 1)负责网络的运行管理,实施网络安全策略和安全运行细则; 2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运 行; 3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向 信息安全人员报告安全事件; 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有: 1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的 准确实现; 2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督,主要职能包括:
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。 3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作;
2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历,具备专科以上学历。 4.3违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员的配备和变更情况,应向分管院长报告、备案。
信构企业信用信息管理系统安全规 划建议书
目录 1.总论 (3) 1.1. 项目背景 (3) 1.2. 项目目标 (3) 1.3. 依据及原则 (4) 1.3.1. 原则 (4) 1.3.2. 依据 (5) 1.4. 项目范围 (7) 2.总体需求 (7) 3.项目建议 (8) 3.1. 信构企业信用信息管理系统安全现状评估与分析 (8) 3.1.1. 评估目的 (8) 3.1.2. 评估内容及方法 (9) 3.1.3. 实施过程 (14) 3.2. 信构企业信用信息管理系统安全建设规划方案设计 (23) 3.2.1. 设计目标 (23) 3.2.2. 主要工作 (24) 3.2.3. 所需资源 (27) 3.2.4. 阶段成果 (27) 4.附录 (27) 4.1. 项目实施内容列表及报价清单 (27)
1.总论 1.1.项目背景 ******************(以下简称“********”)隶属***********,主要工作职责是根据…………………………………………………………的授权,负责………………;负责…………………………等工作。 ********作为*********部门,在印前,需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。 1.2.项目目标 以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合********信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。 从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。
... 网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (23)
根据《网络安全法》《信息安全等级保护管理办法》的相关规范 及指导要求,参照GB/T22080-2008idtISO27001:2005 《信息技术- 安全技术- 信息安全管理体系要求》,为进一步加强公司运营系统及办 公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭 受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本 网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公 司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自2018 年XX 月XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
企业网络与信息安全管理组织构架 公司成立信息安全领导小组,是信息安全的最高决策机构,下设负责信息安全领导小组的日常事务。 二、信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 1.根据国家和行业有关信息安全的政策、法律和法规; 2.批准公司信息安全总体策略规划、管理规范和技术标准; 3.确定公司信息安全有关部门工作职责,指导、监督信息安全工作。 二、信息安全领导小组下设两个工作组: 1.信息安全工作组于海峰负责、 2.应急处理工作组张会负责。 3.组长均由公司负责人郑建国担任。 三、信息安全工作组的主要职责包括: 1.贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2.根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3.组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 4.负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5.组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
6.负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7.及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8.跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 四、应急处理工作组的主要职责包括: 1.审定公司网络与信息系统的安全应急策略及应急预案; 2.决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 3.每年组织对信息安全应急策略和应急预案进行测试和演练。 五、公司指定分管信息的领导负责本单位信息安全管理,并配备信息安全相关人员对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 面对强大的对手,明知不敌,也要毅然亮剑,即使倒下,也要化成一座山
XX公司 ××项目 安全设计方案 (模板) <备注:模板中斜体部分用于指导用户填写内容,在采用该模板完成交付物时,需要删除所有斜体内容> XX公司 二〇一X年X月
批准:审核:校核:编写:
版本记录
目录 1编写依据 0 2安全需求说明 0 2.1风险分析 0 2.2数据安全需求 0 2.3运行安全需求 0 3系统结构及部署 0 3.1系统拓扑图 0 3.2负载均衡设计 (2) 3.3网络存储设计 (2) 3.4冗余设计 (2) 3.5灾难备份设计 (3) 4系统安全设计 (3) 4.1网络安全设计 (3) 4.1.1访问控制设计 (3) 4.1.2拒绝服务攻击防护设计............................ 错误!未定义书签。 4.1.3嗅探(sniffer)防护设计 (4) 4.2主机安全设计 (5) 4.2.1操作系统 (5) 4.2.2数据库 (6) 4.2.3中间件 (8) 4.3应用安全设计 (10)
4.3.1身份鉴别防护设计 (10) 4.3.2访问控制防护设计 (11) 4.3.3自身安全防护设计 (12) 4.3.4应用审计设计 (12) 4.3.5通信完整性防护设计 (13) 4.3.6通信保密性防护设计 (13) 4.3.7防抵赖设计 (14) 4.3.8系统交互安全设计 (14) 4.4数据及备份安全设计 (15) 4.4.1数据的保密性设计 (15) 4.4.2数据的完整性设计 (15) 4.4.3数据的可用性设计 (16) 4.4.4数据的不可否认性设计 (16) 4.4.5备份和恢复设计 (17) 4.5管理安全设计..................................................... 错误!未定义书签。 4.5.1介质管理.................................................... 错误!未定义书签。 4.5.2备份恢复管理............................................ 错误!未定义书签。 4.5.3安全事件处置............................................ 错误!未定义书签。 4.5.4应急预案管理............................................ 错误!未定义书签。
《安全系统整体解决方案设计》
第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误!未定义书签。
企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造
成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。 2.2 主机安全 对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 与日常生活当中一样,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
信息安全管理体系建立方案 (初稿) 信息技术部 2012年2月
随着企业的发展状大,信息安全逐渐被集团高层所重视,但直到目前为止还没有一套非常完善的信息安全管理方案,而且随着新技术的不断涌现,安全防护又如何能做到一劳永逸的坚守住企业信息安全的大门便成为每个信息技术部门永恒不变的课题。 作为天一药业集团的新兴部门,信息技术部存在的意义绝对不是简单的电脑维修,它存在的意义在于要为企业建设好信息安全屏障,保护企业的信息安全,同时通过信息交互平台,简化办公流程,提高工作效率,这才是部门存在的目的和意义,信息技术部通过不断的学习,研究,通过大量的调研,终于开始着手建立属于天一药业自己的信息堡垒。 企业信息安全主要包括了四个方面的容,即实体安全、运行安全、信息资产安全和人员安全,信息技术部将从这四个方面详细提出解决方案,供领导参考,评议。 一、实体安全防护: 所谓实体安全就是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体安全就必须要保证以下几点的安全: 1、环境安全: 每个实体都存在于环境当中,环境的安全对于实体来讲尤为重要,但对于环境来讲要想做到100%的安全那
是不现实的,因为环境是在不断的变化的,所以我们只能做到相对的安全,对于天一集团来讲,集团及各子厂所在的地理位置即称之为环境,计算机实体设备都存放于这个环境之中,所以要求集团及各子厂的办公楼要具备一定的防灾(防震,防火,防水,防盗等)能力。 机房作为服务器所在的环境,要求机房要具备防火、防尘、防水、防盗的能力,所以根据现用《机房管理制度》要求,集团现用机房的环境除不具备防尘能力外,基本上仍能满足环境安全条件。 2、设备及媒体安全: 计算机设备、设施(含网络)、媒体设备的安全需要具备一定的安全保障,而为了保障设备安全,首先需要确定设备对象,针对不同的管理设备制订相应的保障条例,比如计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产,应对散件加强管理,每次固定资产盘点时应仔细核对其配置信息,而不是只盘点主机数量。同时为了保障机器中配件的安全,需要对所有设备加装机箱锁,由信息技术部,行政部共同掌握钥匙。 散件的使用情况必须建立散件库台帐,由信息技术部管理,行政部将对信息部进行监督。 对于移动设备(笔记本、移动硬盘、U盘等)不允许带离集团,如必须带离集团需要经信息部、行政
一.组织机构 1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5应急处理工作组的主要职责包括: 1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
信息系统安全建设 方案
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。当前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。
信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,能够按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容,网络架构的合理性直接关系到网络层安全。(网络架构设计需要做到:统筹考虑信息系统系统安全等