XXX公司网络信息安全保障体系总体方案.doc

XXX公司网络 信息安全保障体系总体方案 XXXX年XX月 目 录 第一章 前言 1 第二章 网络系统的风险评估与安全需求分析 2 2.1 网络系统描述 2 2.2 信息系统的安全风险分析 3 2.2.1 安全脆弱性分析 3 2.2.2 安全威胁分析 3 2.3 信息系统的安全需求分析 4 第三章 总体设计思路 6 3.1 总体安全目标 6 3.2 指导思想 7 3.3 设计原则 8 3.4 风险管理的设计思路 9 3.4.1 风险评估 10 3.4.2 风险评价 13 3.5 安全系统等级划分 13 3.5.1 安全系统等级划分依据 13 3.5.2 安全等级的划分 17 3.5.3 安全技术保障的等级化 18 3.5.4 安全组织保障的等级化 20 3.5.5 安全运行保障的等级化 22 3.6 技术规范与标准 24 第四章 安全保障体系设计 25 4.1 安全体系结构模型 25 4.2 安全体系框架 26 4.2.1 安全体系总体框架 26 4.2.2 信息安全基础平台 29 4.3 信息安全基础设施建设 30 4.3.1 证书管理系统 30 证书管理系统的功能要求 30 证书管理系统体系架构 31 4.3.2 集中监控与审计系统建设 32 4.3.3 集中密钥管理系统建设 34 4.3.4身份认证与访问控制系统建设 36 身份认证系统 36 访问控制系统 37 4.3.5终端安全防护 41 4.4 信息安全防护体系 42 4.4.1 物理安全 42 4.4.2 安全网络结构 43 4.4.3 安全域划分 43 4.4.4 防火墙系统 43 4.4.5 VPN系统 44 4.4.6 漏洞扫描系统 44 4.4.7 邮件防病毒网关 45 4.4.8 防病毒系统 45 4.4.9 抗拒绝服务系统 46 4.4.10 网络威胁分析评估系统 46 4.5 信息安全监控体系 47 4.5.1网络入侵检测系统 47 4.5.2安全态势评估系统 48 4.5.3安全管理平台 48 4.6 信息安全应急体系 48 4.6.1 应急响应流程 48 4.6.2系统备份和容灾 49 4.7 应用系统安全 51 4.7.1 数据库系统安全 51 4.7.2 应用系统安全 52 第五章 安全系统策略 53 5.1 安全系统策略的研究 54 5.2 策略的组织方式 55 5.3 策略的框架设计 57 5.4 策略的等级划分 58 5.5 安全策略的具体内容 59 第六章 信息安全管理体系 60 6.1 安全管理机构 60 6.1.1 管理机构的结构 60 6.1.2 信息安全管理人员及其职能 62 6.2 安全管理制度 62 6.3 人员安全管理 63 6.3.1 人员安全管理基本制度 63 6.3.2 人员教育与培训 64 教育和培训的内容 64 法律法规教育 65 安全基础知识培训 65 职业道德教育 66 保密教育 67 6.4 技术安全管理 67 6.4.1 技术文档管理 67 6.4.2 密钥管理 68 密钥管理原则 68 密钥管理的内容 68 6.4.3 电子证书的管理 69 电子证书的申请 69 电子证书的产生 70 电子证书的存储与发放 70 电子证书的查询 70 电子证书的撤销 70 电子证书的删除 71 6.4.4 软件管理 71 软件的使用和维护 71 应用软件开发管理 72 软件的防病毒管理 72 6.4.5 设备管理 73 设备检测 73 设备购置安装 73 设备登记 73 设备使用管理 73 设备维修管理 74 设备仓储管理 74 介质管理 75 便携式计算机的安全管理 77 信息发布的安全管理 77 0 系统运行环境安全管理 77 1 出人控制 78 2 电磁辐射防护 78 3 应急安全管理 79 第七章 安全服务 81 7.1 策略评估与规划服务 81 7.2风险评估服务 82 7.2.1 安全扫描服务 82 7.2.2 渗透测试服务 83 7.2.3 体系评估服务 84 7.2.4 风险评估服务 84 7.3 系统加固服务 85 7.4 安全审计服务 86 7.5 应急响应服务 86 7.6 攻击取证服务 87 7.7 安全通告服务 87 7.8 安全培训服务 88 7.8.1 安全意识培训 88 7.8.2 安全管理培训 88 7.8.3 安全技术培训 89 7.8.4 黑客攻防培训 89 第八章 工程实施 91 8.1 工程实施分期规划 91 8.2 安全设备配置和经费预算 91 第一章 前言 随着Internet的发展，用Internet来进行股票交易和买卖，已成为趋势。目前，xxx公司在网络建设上逐渐形成了一套现代化的运营和管理体系。xxx