第一篇:信息系统安全建设整改方案要素
信息系统安全建设整改方案要素
6信息系统安全建设整改方案要素
以下整改方案的设计要素主要是针对单个信息系统的,也可参照进行针对整个单位或多个信息系统的整改方案设计。
6.1 项目背景
简述信息系统概况,信息系统在等级保护工作方面的进展情况,例如定级备案情况和安全现状测评情况。
6.2 开展信息系统安全建设整改的法规、政策和技术依据。
列举在建设整改工作中所依据的信息安全等级保护有关法规、政策、文件和信息安全等级保护技术标准。
6.3 信息系统安全建设整改安全需求分析
从技术和管理两方面描述信息系统建设情况、系统应用情况及安全建设情况。结合安全现状评估结果,分析信息系统现有保护状况与等级保护要求的差距,结合信息系统的自身安全 需求形成安全建设整改安全需求。
6.4 信息系统安全等级保护建设整改技术方案设计
根据安全需求,确定整改技术方案的设计原则,建立总体技术框架结构,可以从物理环境、通信网络、计算环境、区域边界、安全管理中心等方面设计落实基本技术要求的物理、网 络、系统、应用和数据的安全要求的技术路线。
6.5 信息系统安全等级保护建设整改管理体系设计
根据安全需求,确定整改管理体系的建设原则和指导思想,涉及安全管理策略和安全管理制度体系及其他具体管理措施。
6.6 信息系统安全产品选型及技术指标
依据整改技术设计,确定设备选型原则和部署策略,给出各类安全产品的选型指标和部署图,为设备采购提供依据。
6.7 安全建设整改后信息系统残余风险分析
安全整改可能不能解决所有不符合项目的问题,对于没有解决的问题,分析其可能的风险,提出风险规避措施。
6.8 信息系统安全等级保护整改项目实施计划
安全整改项目的实施需要制定相应的实施计划,落实项目管理部门和人员,对设备招标采购、工程实施协调、系统部署和测试验收、人员培训等活动进行规划安排。
6.9 信息系统安全等级保护项目预算
根据本单位信息化的中长期发展规划和近期的建设投资预算,将等级保护安全整改建设工作纳入整体规划,可以分期分批、有计划地实施建设整改,因此需要对建设项目进行费用预算,预算项目不仅包括安全设备投入,还应根据需要考虑集成费用、等级测评 费用、服务费用和运行管理费用等。
第二篇:信息系统安全管理方案
信息系统安全管理方案
信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全
硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标
准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:
1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;
2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;
3、软件管理制度;
4、机房设备(包括电源、空调)管理制度;
5、网络运行管理制度;
6、硬件维护制度;
7、软件维护制度;
8、定期安全检查与教育制度;
9、下属单位入网行为规范和安全协议。
三、网络安全
按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:
1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。主要采用划分 VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通
讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
明确网络资源。事实上我们不能确定谁会来攻击网络系统,所以作为网络管理员在制定安全策略之初应充分了解网络结构,了解保护什么,需要什么样的访问以及如何协调所有的网络资源和访问。
第三篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第四篇:西安市含光中学网络信息系统安全整改方案
西安市含光中学网络信息系统安全整改方案
我校对网络信息安全系统工作一直十分重视,成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,由学校网络管理中心统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我校网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
一、计算机涉密信息管理情况
今年以来,我校加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照校计算机保密信息系统管理办法落实了有关措施,确保了学校信息安全。
二、计算机和网络安全情况
一是网络安全方面。我校配备了防病毒软件、防火墙,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“三层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我校每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我校网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我校电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高师生算机技能。同时在校开展网络安全知识宣传,使全体人员意识到,计算机安全是学校安全的组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全
我校对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我校结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全校师生学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我校网络安全有效地运行,减少病毒侵入,我校就网络安全及系统安全的 有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
九、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
西安市含光中学
2012年9月17日
第五篇:XX信息系统安全规划方案 专题
目录一文档信息2二版本控制2三分发说明2 1前言10 1.1背景介绍10 1.2目标和范围10 2安全现状和需求分析14 2.1安全现状14 2.1.1×信息系统安全构成要素14 2.2×信息系统面临的威胁17 2.2.1威胁的来源18 2.2.2威胁的方法19 2.3×系统信息安全风险分析21 2.3.1物理层面的安全风险21 2.3.2网络层面的安全风险22 2.3.3系统层面的安全风险24 2.3.4应用层面的安全风险26 2.3.5管理层面的安全风险28 2.4安全体系需求分析30 2.4.1建设安全基础设施的需求30 2.4.2信息和网络安全级别划分的需求30 2.4.3信息安全策略需求30 2.4.4安全组织保障需求31 2.4.5信息安全管理需求32 2.4.6信息安全标准与规范需求32 2.4.7物理安全需求33 2.4.8网络安全需求34 2.4.9系统安全需求35 2.4.10数据库系统安全需求36 2.4.11应用安全需求38 2.4.12运行安全需求38 3安全设计的依据41 3.1依据的标准和规范41 3.2依据《计算机信息系统安全保护等级划分准则》43 3.3参照《国家27号文件精神》43 3.4参照《信息保障技术框架》44 3.4.1安全方法论模型44 3.4.2逻辑结构模型44 4安全规划思路和体系结构45 4.1规划原则和目标45 4.1.1安全设计原则45 4.1.2安全设计目标46 4.1.3安全设计策略46 4.2规划思路48 4.3安全总体体系结构52 4.3.1信息安全总体体系52 4.3.2安全模型的分层安全保护53 4.3.3安全机制和服务55 4.3.4安全管理56 4.4安全等级保护的要求59 4.5安全等级管理要求59 4.5.1第一级一般管理要求59 4.5.2第二级重要管理要求60 4.5.3第三级关键管理要求65 4.6等级安全域的设计68 4.6.1安全域的概念68 4.6.2安全域设计的原则68 4.6.3安全域的设计69 4.7×信息资产的分级和分类70 4.7.1应用系统业务安全级别划分71 4.7.2信息和数据安全级别划分71 4.7.3服务器安全级别划分72 4.7.4操作系统安全级别划分72 4.7.5数据库管理系统安全级别划分73 4.7.6网络节点安全级别划分73 4.7.7机房安全级别划分74 4.7.8介质安全级别划分74 4.7.9安全设施的安全级别75 5信息系统安全管理体系76 5.1概述76 5.2安全组织管理78 5.2.1安全组织体系79 5.2.2人员安全管理82 5.3安全管理策略86 5.3.1安全策略规划86 5.3.2物理环境和设备安全90 5.3.3运行及维护安全98 5.3.4业务应用安全106 5.3.5系统规划与开发安全109 5.3.6信息安全应急管理114 5.4系统安全运作管理117 5.4.1系统安全生命周期117 5.4.2系统安全风险评估118 5.4.3系统的安全规划和验证118 5.4.4日常运维和操作118 5.4.5安全集中管理120 5.5安全管理规章制度完善122 5.5.1安全管理制度范围122 5.5.2安全管理规章制度的制定和评审125 5.5.3安全管理规章制度的实施和监督126 5.5.4安全管理规章制度要点128 5.6安全体系建设管理保障131 5.6.1领导重视131 5.6.2规范管理131 5.6.3信息安全保障组织体系132 5.6.4信息安全队伍的建设132 5.6.5资金保证132 6网络与系统安全体系133 6.1目标133 6.2原则133 6.3总体架构133 6.4边界确认和安全域划分133 6.5骨干网安全134 6.5.1骨干网传输安全134 6.5.2流量与带宽控制135 6.5.3改善措施135 6.6边界防护135 6.6.1对外信息发布系统的防护135 6.6.2下属省局接入控制137 6.6.3第三方网络接入控制139 6.6.4业务系统的防护141 6.7计算环境安全143 6.7.1主机和数据库安全143 6.7.2网络设备安全145 6.7.3安全管理平台147 6.7.4用户环境安全148 6.8备份系统152 6.8.1线路备份152 6.8.2设备备份152 6.8.3系统备份152 6.8.4应用数据的备份方案152 6.9数据容灾备份154 6.9.1灾难备份和灾难恢复中心建设需求155 6.9.2灾难恢复与灾难备份中心的现状155 6.9.3建设灾难恢复与灾难备份中心的考虑155 7安全基础设施157 7.1技术原理157 7.2×网上系统的安全基础设施160 7.2.1网上系统CA系统的部署结构160 7.2.2网上系统证书认证系统配置160 7.2.3网上系统授权管理系统部署1 61 7.2.4网上系统授权管理系统配置162 7.3×内网系统的安全基础设施162 7.3.1系统结构设计163 7.3.2策略设计164 7.3.3内网CA系统设计165 7.3.4网络结构和具体部署171 7.3.5综合技术指标要求172 7.3.6内网pKI/CA安全基础设施系统配置174 8应用系统安全体系176 8.1应用支撑平台176 8.1.1平台的设计目标176 8.1.2平台结构与功能177 8.2应用系统安全方案179 8.2.1业务系统现状179 8.2.2业务系统安全需求分析181 8.2.3安全改造方案基本原则183 8.2.4安全方案的主要依据183 8.2.5业务系统安全改造策略184 8.2.6内网应用安全结构设计187 8.2.7内网应用安全功能设计188 8.2.8业务系统安全流程设计190 9安全培训与第三方服务196 9.1安全培训196 9.1.1信息安全教育与培训的重要意义196 9.1.2信息安全培训对象197 9.1.3培训内容分类设置198 9.1.4×信息安全培训建议202 9.2第三方安全服务设计203 9.2.1安全威胁管理203 9.2.2设计与实施203 9.2.3安全运维支持203 9.2.4安全检测服务203 10项目规划与投资预算205 10.1规划项目的导出205 10.2项目列表206 10.3项目优先级分析207 10.4总体实施计划209 10.5投资估算211 10.5.1投资估算原则211 10.5.2投资预算213 10.5.3总投资215仅供参考!目前正需要学习,谢谢,看看有没有帮助很详细的目录光看目录就知道很全面了,感谢分享,XX信息系统安全规划方案,规划方案《XX信息系统安全规划方案》。国盟币是怎么得到的?是要用钱买?