公司信息安全建设方案.docVIP

XXXXXXX公司 信息安全建设方案 目 录 TOC \o 1-3 \h \z \u 1 项目背景 2 2 建设需求 2 2.1 现状分析 2 2.2 建设原则 3 2.2.1 等级保护建设原则 3 2.2.2 体系化的设计原则 3 2.2.3 产品的先进性原则 3 2.2.4 服务细致化原则 3 2.3 建设思路 3 2.4 需求分析 4 2.4.1 外网平台安全需求 4 2.4.2 计算环境安全需求 4 2.4.3 应用系统安全需求 5 2.4.4 管理系统安全需求 5 2.4.5 运维管理安全需求 5 3 安全技术体系方案 6 3.1 设计框架 6 3.2 建设标准 6 3.3 设计方案 7 3.4 网络拓扑图 8 4 安全技术详细设计 8 4.1 防火墙设计 8 4.1.1 需求分析 8 4.1.2 解决方案 10 4.2 入侵检测设计 11 4.2.1 需求分析 11 4.2.2 解决方案 11 4.3 WEB应用防护设计 12 4.3.1 需求分析 12 4.3.2 解决方案 12 4.4 日志审计设计 14 4.4.1 需求分析 14 4.4.2 安全设计 15 项目背景 在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，以计算机网络技术为核心的信息技术在社会经济发展中正发挥着越来越要的作用。信息化改变着我们的工作生活方式和思维方式，同时计算机及网络信息系统的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。在信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视，便捷、开放的网络环境，是信息化建设的基础，在数据传递和共享的过程当中，数据的安全性要切实地得到保障，才能保障信息化业务的正常运行。 建设需求 现状分析 XX公司信息系统是统一硬件平台，操作系统与数据库平台，共享数据平台，基础业务在线办理与单位综合应用等内容。整体网络由客户端和服务器组成，客户端通过有线和无线两种方式接入，服务器核心为OA系统和财务系统，其中OA系统对互联网发布。 建设原则 等级保护建设原则 XX公司业务系统属重要信息系统，其安全建设可依据国家相关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》。 体系化的设计原则 XX公司的系统安全设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。 产品的先进性原则 XX公司安全保障体系建设规模庞大，意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好XX公司的技术基础。 服务细致化原则 要使得安全保障体系发挥最大的功效，除安全产品的部署外还提供安全服务，根据XX公司具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合XX公司的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。 建设思路 “等级保护安全体系”是依据国家信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。按照此次项目招标要求，XX公司必须参照国家信息安全等级保护二级要求进行建设，XX公司的信息安全等级化保护需坚持“积极防御、综合防范”的方针，全面提高XX公司的信息安全防护能力，并适应自身业务发展对安全保障的的需要，安全建设完成之后将全面提高防护能力，并支撑XX公司信息化以及未来业务的发展。 需求分析 外网平台安全需求 外部边界防护 主要指XX公司的所有外部网络边界，目前，XX公司有一条互联网边界接入主要用于提供对外WEB业务、各业务人员的接入，因此外部边界直接面临各界用户，使用环境复杂面临的安全风险极大，各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。应予以严格的安全防护手段在此边界进行设防，维护整个XX公司不被外部侵入。 计算环境安全需求 保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有可用性、完整性和秘密性。主要是指主机硬件、OS，应用软件等的安全需