《IT系统整体安全解决方案一.docVIP

关于 IT.系统整体安全解决方案 一、对信息系统安全的理解 1 二、TDS信息系统涉及的内容 1 三、现有信息系统存在的突出问题 2 1、信息系统安全管理问题突出 2 2、缺乏信息化安全意识与对策 2 3、重安全技术，轻安全管理 2 四、TDS信息安全管理问题对策 2 1、网络管理 2 2、服务器管理 2 3、客户端管理 2 4、数据备份与数据加密 2 4.1 数据备份需求分析 2 4.2 备份设备的选择 2 4.3 分析应用环境--选择备份方式 2 4.4 存储备份策略 2 4.5 项目实施过程应注意的问题 2 5、病毒防治 2 一、对信息系统安全的理解 信息系统安全包括两方面的含义，一是信息安全，二是网络安全，涉及到的是信息化过程中被保护信息系统的整体的安全，是信息系统体系性安全的综合。具体来说，信息安全指的是信息的保密性、完整性和可用性的保持；网络安全主要从通信网络层面考虑，指的是使信息的传输和网络的运行能够得到安全的保障，内部和外部的非法攻击得到有效的防范和遏制。 信息系统安全涉及的内容既有技术方面的问题，更重要的是管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范、记录、诊断、审计、分析、追溯各种攻击，管理方面侧重于相应于技术实现采取的人员、流程管理和规章制度。因此，从某种意义上讲，信息系统安全不仅是技术难题，而且也是管理问题。 二、TDS信息系统涉及的内容 我公司信息系统安全所涉及到的主要内容包括： 系统运行的安全： 主要侧重于保证信息处理和通信传输系统的安全。其安全的要求是保证系统正常运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免物理的不安全导致运行的不正常或瘫痪，避免由于电磁泄露而产生信息泄漏，干扰他人或受他人干扰。 访问权限和系统信息资源保护： 对网络中的各种软硬件资源（主机、硬盘、文件、数据库、子网等）进行访问控制，防止未授权的用户进行非法访问，访问权限控制技术包括口令设置、身份识别、路由设置、端口控制等。系统信息资源保护包括身份认证、用户口令鉴别、用户存取权限控制、数据库存取权限控制、安全审计、计算机病毒防治、数据保密、数据备份、灾难恢复等。 信息内容安全： 侧重与保护信息的保密性、真实性和完整性。避免攻击者利用系统的漏洞进行窃听、冒充、诈骗等有损合法用户的行为。信息内容安全还包括信息传播产生后果的安全、信息过滤等，防止和控制非法、有害的信息进行传播后的后果。 作业和交易的安全： 网络中的两个实体之间的信息交流不被非法窃取、篡改和冒充，保证信息在通信过程中的真实性、完整性、保密性和不可否认性。作业和交易安全的技术包括数据加密、身份认证。数字签名等，其核心是加密技术的应用。 人员和安全的规章制度保障： 重大的信息化安全事故通常来自单位阻止的内部，所以对于人员的管理、确定信息系统安全的基本方针和相应的规章管理制度，是信息系统安全不可缺少的一个部分。在人员角色、流程、职责、考察、审计、聘任、解聘、辞职、培训、责任分散等方面，建立可操作的管理安全防范体系。 安全体系整体的防范和应急反应功能： 对于信息系统涉及到的安全问题，建立系统的防范体系，对可能出现的安全威胁和破坏进行预演，对出现的灾难、意外的破坏能够及时的恢复。 三、现有信息系统存在的突出问题 1、信息系统安全管理问题突出 信息系统安全管理包括三个层次的内容：组织建设、制度建设和人员意识。组织建设问题是指有关信息安全管理机构的设立。信息安全的管理包括安全规划、风险管理、应急反应计划、安全教育培训、安全策略制定、安全系统的评估和审计等多方面的内容。安全管理已基本形成，部分已经通过技术进行管控。 问题点完善点：规章制度仍需要进一步完善。领导对信息化还不够重视，没有形成群防群治的意识。信息安全的教育和培训还不够。 2、缺乏信息化安全意识与对策 管理层新在对信息资产所面临威胁的严重性认识不足，或者只限于信息技术安全方面，没有形成一个合理的信息化安全整体方针来指导和组织信息化安全管理工作，表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和安全风险防范教育和培训，现有的安全规章制度组织机构未能严格发挥作用。 3、重安全技术，轻安全管理 ?虽然现在使用计算机、内部办公局域网来构建信息系统，但是相应的管理措施不到位，如系统运行、维护、开发等岗位不清，职责部分，存在一人身兼数职现象。信息化安全问题，不仅仅从技术方面入手，同时更应该加强安全管理的工作。 4、系统管理意识淡薄 以现有的资源，安全管理模式仍偏向于传统的管理方法，出了问题才去想补救的办法，头疼医头，脚疼医脚，是一种就事论事，静态的管理办法，不是建立唉安全风险评估基础之上的动态的持续改进管理办法。 四、TDS信息安全管理问题对策 ?信息