- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
系统安全保障方案V1.3.2概要1
互联网信息化系统
安全保障方案
(版本号:V1.3.2)
德州左宁商贸有限公司
2017年03月份
目 录
互联网信息化系统 1
安全保障方案 1
目 录 2
1、 保障方案概述 3
2、 系统安全目标与原则 3
2.1 安全设计目标 3
2.2 安全设计原则 3
3、 系统安全需求分析 4
4、 系统安全需求框架 9
5、 安全基础设施 9
5.1 安全隔离措施 10
5.2 防病毒系统 10
5.3 监控检测系统 10
5.4 设备可靠性设计 10
5.5 备份恢复系统 10
6、 系统应用安全 11
6.1 身份认证系统 11
6.2 用户权限管理 11
6.3 信息访问控制 12
6.4 系统日志与审计 12
6.5 数据完整性 12
7、 安全管理体系 13
8、 其他 13
保障方案概述
信息化系统运行在网络系统上,依托内外网向系统相关人员提供相关信息与服务,系统中存在着大量非公开信息,如何保护这些信息的机密性和完整性、以及系统的持续服务能力尤为重要,是信息化系统建设中必须认真解决的问题。
系统安全目标与原则
安全设计目标
信息化系统安全总体目标是:结合当前信息安全技术的发展水平,设计一套科学合理的安全保障体系,形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢复能力,从物理、网络、系统、应用和管理等方面保证“信息化系统”安全、高效、可靠运行,保证信息的机密性、完整性、可用性和操作的不可否认性,避免各种潜在的威胁。具体的安全目标是:
1)、 具有灵活、方便、有效的用户管理机制、身份认证机制和授权管理机制,保证关键业务操作的可控性和不可否认性。确保合法用户合法使用系统资源;
2)、能及时发现和阻断各种攻击行为,特别是防止DoS/DDoS等恶意攻击,确保信息化系统不受到攻击;
3)、确保信息化系统运行环境的安全,确保主机资源安全,及时发现系统和数据库的安全漏洞,以有效避免黑客攻击的发生,做到防患于未然;
4)、确保信息化系统不被病毒感染、传播和发作,阻止不怀好意的Java、ActiveX小程序等攻击网络系统;
5)、具有与信息化系统相适应的信息安全保护机制,确保数据在存储、传输过程中的完整性和敏感数据的机密性;
6)、拥有完善的安全管理保障体系,具有有效的应急处理和灾难恢复机制,确保突发事件后能迅速恢复系统;
7)、制定相关有安全要求和规范。
安全设计原则
信息化系统安全保障体系设计应遵循如下的原则:
1)、需求、风险、代价平衡的原则:对任何信息系统,绝对安全难以达到,也不一定是必要的,安全保障体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到技术上可实现,组织上可执行。
2)、分级保护原则:系统有多种信息和资源,每类信息对保密性、可靠性要求不同。以应用为主导,科学、合理划分信息安全防护等级,并依据安全等级确定安全防护措施。
3)、多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。建立多重保护系统,各层保护相互补充,提供系统安全性。
4)、整体性和统一性原则:信息化系统安全涉及各个环节,包括设备、软件、数据、人员等,只有从系统整体的角度去统一看待、分析,才可能实现有效、可行的安全保护。
5)、技术与管理相结合原则:信息化系统安全是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此在考虑信息化系统安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
6)、统筹规划,分步实施原则:由于政策规定、服务需求的不明朗,环境、时间的变化,安全防护与攻击手段的进步,在一个比较全面的安全体系下,可以根据系统的实际需要,先建立基本的安全保障体系,保证基本的、必须的安全性。随着今后系统应用和复杂程度的变化,调整或增强安全防护力度,保证整个系统最根本的安全需求。
7)动态发展原则:要根据系统安全的变化不断调整安全措施,适应新的系统环境,满足新的系统安全需求。
系统安全需求分析
要保证信息化系统的安全可靠,必须全面分析信息化系统面临的所有威胁。这些威胁虽然有各种各样的存在形式,但其结果是一致的,都将导致对信息或资源的破坏或非法占有,并可能造成严重后果。
信息化系统应考虑以下安全需求,如下表所示。
安全层面 安全需求 安全需求描述 物理安全 异地容灾 异在容灾主要是预防场地问题带来的数据不可用等突发情况。这些场地问题包括:电力中断、通信线路破坏及战争、地震、火灾、水灾等造成机房毁坏或不可用等。通过异地容系统将这种故障造成的损失减到最小。由IT整体建设考虑。 机房监控 机房监控机房监控主要是预防盗窃、人为破坏、私自闯入等情况。监控手段有门禁系统、监视系统、红外系统等。安全层面安全需求安全需求描述后续项目可利用目
您可能关注的文档
- 听力 IV, U 5概要1.ppt
- 硕士专业论文 龚超概要1.doc
- 听力与阅读相关语言学理论、二者关系及教学启示概要1.ppt
- 听力原文及题目答案Unit 8概要1.doc
- 硕士论文选题报告(上官超超)终版概要1.doc
- 糖尿病中医治疗概要1.pptx
- 听力技巧与训练概要1.ppt
- 硕士论文答辩ppt模板概要1.ppt
- 精装工程现场主控问题汇总概要1.ppt
- 硒-解密健康概要1.ppt
- 2025年烟台市正大城市建设发展有限公司招聘工作人员12名笔试参考题库附带答案详解.doc
- 2025年衢州市属国企公开招聘工作人员笔试参考题库附带答案详解.doc
- 2025中铁四局集团有限公司法律合规部公开招聘1人笔试参考题库附带答案详解.docx
- 2025中国建筑股份有限公司岗位招聘【人力资源部(干部人事部)】笔试参考题库附带答案详解.docx
- 2025年滁州定远县中盐东兴盐化股份有限公司招聘2人笔试参考题库附带答案详解.doc
- DB1331T109-2025雄安新区建设工程抗震设防标准(963.84KB)(1).pdf
- 2025辽宁省能源控股集团所属抚矿集团招聘76人笔试参考题库附带答案详解.pdf
- 2024陕西延长石油集团华特新材料股份有限公司社会招聘8人笔试参考题库附带答案详解.pdf
- 2023内蒙古大唐国际锡林浩特矿业有限公司采煤自营专项社会招聘32人笔试参考题库附带答案详解.pdf
- 2024年12月云南大学国际合作与交流处公开招聘(1人)笔试历年典型考题(历年真题考点)解题思路附带答案详解.doc
最近下载
- 个体防护装备配备规范.pdf VIP
- 尾矿库安全规程.docx VIP
- 工作场所有害因素职业接触限值 第2部分物理有害因素.doc VIP
- DX—TH2使用与维护说明书附图.doc VIP
- 危险化学品单位应急救援物资配备要求.pdf VIP
- GB30000.26-2013 化学品分类和标签规范 第26部分:特异性靶器官毒性 反复接触.pdf VIP
- 2025《速度、力度与常用音乐术语》大单元整体教学设计.docx
- GB 30000.28-2013 化学品分类和标签规范 第28部分:对水生环境的危害.docx VIP
- GB30000.27-2013 化学品分类和标签规范 第27部分:吸入危害.pdf VIP
- GB30000.25-2013 化学品分类和标签规范 第25部分:特异性靶器官毒性 一次接触.pdf VIP
文档评论(0)