51CTO-金融行业安全解决方案.doc

xxxxx 信息安全体系规划建设方案 xxxxx集团 目录 第 1 章 综述 4 1.1 概述 4 1.2 设计目标 5 第 2 章 xxxxx省行安全体系规划 6 2.1 安全体系建设的阶段性 6 2.2 信息安全架构设计 7 2.3 信息安全体系设计 8 2.3.1 安全组织（人员）体系建设 10 2.3.2 安全策略体系建设 11 2.3.3 安全技术体系建设 13 2.3.4 信息资产鉴别和分类 16 2.3.5 系统安全风险评估 17 2.3.6 系统的安全规划和接收 18 2.3.7 维护管理 18 2.3.8 物理和环境安全 18 2.3.9 意外和灾难恢复/入侵事件处理 20 2.3.10 运作的技术化和产品化 20 2.3.11 系统安全管理平台 20 2.4设计原则 21 第 3 章 xxxxx省行信息安全保障体系设计 22 3.1 防御领域划分 22 3.2 网络及基础设施保护 22 3.2.1网络拓扑的安全可靠性 22 3.2.2设备的安全保障 22 3.2.3设备的安全使用和配置 22 3.3 网络边界保护 23 3.3.1 防火墙/UTM系统 23 3.3.2 入侵检测/入侵防御系统 24 3.3.3 应用层安全控制 24 3.3.4 网关防病毒系统 25 3.4内网安全保护 25 3.4.1终端安全管理系统 25 3.4.2终端安全保护系统 26 3.4.3终端行为监控及审计系统 26 3.4.4网络准入控制和强制认证系统 27 3.4.5网络防病毒系统 27 3.4.6弱点评估系统 27 3.5支撑性基础设施建设 28 3.5.1安全事件管理系统 28 3.5.2安全事件响应小组 29 第 4 章 实施建议 30 4.1 第一阶段建设内容 30 4.1.1 从网络基础设施来看 31 4.1.2 从网络边界保护来看 31 4.1.3 从内网安全来看 32 4.1.4 从支撑性基础设施来看 32 4.2 第二阶段建设内容 32 4.3 第三阶段建设内容 33 综述 概述 现代化的企业建设对信息技术的依赖日益加深，生产运营系统的自动控制与日常办公由传统的分立的、手工的方式向自动化、网络化发展，IT及互联网络成为企业运营的基础平台，对企业的发展和战略决策都起着不可替代的作用。 如何让信息技术、IT系统更好的服务于企业，保持与企业战略发展方向的一致，更好的为企业发展服务？国内外纷纷出台相关的法律法规，强制性的要求企业IT系统的建设、管理必须遵循某些规章、制度、流程和最佳实践，以保证IT系统能够保证企业运营目标的顺利实现，以及与IT相关的风险将至最低。如银检会、央行都出台了相关的控制指引和建设规范，要求所有金融单位必须加强企业内部控制，规避运营风险。随着企业信息化建设的推进和深入，企业的日常业务运作已经越来越依赖于IT系统的运行，许多上市企业的核心业务都依赖IT系统。这提升了IT部门在公司中的地位，同时IT系统自身也意味着要承担更大的责任。如果IT系统及网络自身没有完备的安全控制及审计措施，无法保证自身的安全，自然就无法保证企业运营数据不被非授权的泄漏、篡改和破坏，无法为企业运营提供基础的支撑和保障，而且会因自身控制的不完善给企业带来声誉、形象上的负面影响，以及财务损失和法律纠纷，对企业的负面损失难以估计。 xxxxx省行为了满足企业发展和业务需要，构建了连接总部及下属各级单位的综合业务网络系统，以满足企业生产、运营需求，满足生产、经营、管理等应用系统建设和扩展的需要，综合业务网络系统是支持xxxxx省行开展主管对外业务所需要的计算机信息系统，也是xxxxx省行为客户长期提供优质服务的关键业务系统，业务系统长期稳定安全地运行，是xxxxx省行能够提供优质服务的保障。作为业务平台的支撑，其自身的安全控制至关重要，为此必须建设有效的信息安全控制机制。 互联网络给xxxxx省行企业运营、办公、生产带来革命性的突破的同时，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、不因各种安全威胁的破坏而中断，信息安全建设不可或缺。本次xxxxx省行信息安全建设主要考虑采用各种被证明是行之有效的各种信息安全产品和技术，帮助xxxxx省行建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。 设计目标 为xxxxx省行设计完善的信息安全管理体系，增强xxxxx省行信息系统抵御安全风险的能力，为xxxxx省行各项业务的健康发展提供强大的保障。 通过对xxxxx省行综合业务系统的风险分析，了解xxxxx省行信息系统的安全现状和存在的各种安全风险，明确未来的安全建设