信息系统安全规划方案

樊山 2014/1/26

本文件中出现的全部内容，除另有特别注明，版权均属樊山所有。任何个人、机构未经樊山的书面授权许可，不得以任何方式复制引用文件的任何片断。樊山负责对本文档的解释。

目录

1

概述......................................................................................................................... 3 1.1 背景 .............................................................................................................. 3

1.1.1 简介.................................................................................................... 3 1.1.2 实施依据............................................................................................ 3 1.2 需求分析 ...................................................................................................... 3

1.2.1 系统风险综述.................................................................................... 3 1.2.2 系统等级化保护需求........................................................................ 9 1.3 建设目标 .................................................................................................... 10

1.3.1 近期目标（2014年） .................................................................... 10 1.3.2 中期目标（2015年） .................................................................... 11 1.3.3 远期目标（2016年） .................................................................... 11

2

安全保障需求概要设计....................................................................................... 12 2.1 设计思路 .................................................................................................... 12

2.1.1 信息安全顶层设计思想.................................................................. 12 2.1.2 信息安全顶层设计内涵.................................................................. 13 2.1.3 信息安全设计模型.......................................................................... 14 2.1.4 信息安全应满足的基本要素.......................................................... 14 2.2 管理保障设计 ............................................................................................ 16 2.3 技术保障设计 ............................................................................................ 17 2.4 过程控制保障设计 .................................................................................... 17 2.5 人员要求设计 ............................................................................................ 17 3

通用安全设计....................................................................................................... 19 3.1 管理保障 .................................................................................................... 19

3.1.1 风险管理体系设计.......................................................................... 19 3.1.2 系统安全审计设计.......................................................................... 23 3.2 技术保障 .................................................................................................... 25

3.2.1 物理安全通用设计.......................................................................... 26 3.2.2 网络安全通用设计.......................................................................... 26

第1页/共43页

3.2.3 系统安全通用设计.......................................................................... 26 3.2.4 应用安全通用设计.......................................................................... 26 3.2.5 数据安全通用设计.......................................................................... 26 3.3 过程保障 .................................................................................................... 27

3.3.1 需求分析通用控制.......................................................................... 27 3.3.2 开发采购通用控制.......................................................................... 27 3.3.3 实施交付通用控制.......................................................................... 27 3.3.4 运行维护通用控制.......................................................................... 28 3.3.5 废弃通用控制.................................................................................. 33 3.4 人员要求 .................................................................................................... 34

3.4.1 人员角色与职责通用设计.............................................................. 34 3.4.2 具体角色.......................................................................................... 35 3.4.3 岗位设置原则.................................................................................. 36

4

层面间安全设计................................................................................................... 38 4.1 S1系统安全设计 ....................................................................................... 38

4.1.1 网络规划拓扑.................................................................................. 38 4.1.2 入侵检测系统部署.......................................................................... 38 4.1.3 数据库审计系统.............................................................................. 38 4.1.4 内网安全风险管理与审计系统...................................................... 38 4.1.5 堡垒机系统...................................................................................... 38

5

工程实施建议....................................................................................................... 39 5.1 第一期工程实施建议 ................................................................................ 39 5.2 第二期工程实施建议 ................................................................................ 40 5.3 第三期工程实施建议 ................................................................................ 40 5.4 工程预算 .................................................................................................... 40 附件1 等级保护定级流程及矩阵 ............................................................................ 41 附件2 岗位职责分离表 ............................................................................................ 42

第2页/共43页

1 概述

1.1 背景

1.1.1 简介

1.1.2 实施依据

本次规划设计是基于国际、国家通行标准的基础之上，主要采用标准如下： ISO/IEC 27001：2005信息安全管理体系要求；

…… 此处隐藏0字 ……

GB/T 20984-2007 信息安全技术-信息安全风险评估规范； ISO/IEC 27005：2008 信息安全技术-信息安全风险管理。 GB/T 22239—2008信息安全技术-信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术-信息系统安全等级保护定级指南 GB/T 20274：2008 信息安全技术信息系统安全保障评估框架

公通字（66号文）关于印发《关于信息安全等级保护工作的实施意见》的通知

1.2 需求分析

1.2.1 系统风险综述 1.2.1.1 管理风险综述 1.2.1.1.1 概述

XXX管理风险评估是建立在ISO/IEC 27001：2005《信息技术-信息安全管理体系-要求》基础上133个控制点的符合性识别和控制。其中不适用24项，不符合57项，详见图：

第3页/共43页

24, 18R, 39%符合不符合不适用57, 43% 图管理风险统计图 分类 信息安全方针 信息安全组织 资产管理 人力资源安全 物理与环境安全 通信与操作管理 访问控制 系统获取、开发与维护 信息安全事件管理 符合性 统计 极高 高 1 3 1 1 1 4 3 4 1 5 24 中 1 3 1 低 一般 统计 2 7 2 1 5 12 11 7 2 9 58 1 1 1 1 2 3 7 5 3 1 4 28 1 4 1 第4页/共43页