xx证券公司信息系统安全规划建议方案.docVIP

目录 xx证券公司信息系统安全规划建议方案 1 一. 概述 1 1.1 背景 1 1.2 目的 2 1.3 范围 2 1.4 工作方法 2 1.5 读者 3 二. 信息系统网络安全简析 4 2.1 系统结构 4 2.2 系统功能 6 2.3 系统用户 6 三. 信息系统网络安全环境 6 3.1 信息系统网络安全现状 6 3.2 信息系统网络安全威胁 7 3.3 信息系统网络安全存在的脆弱性 8 3.4 信息系统网络安全风险分析 9 四. 信息系统安全目标 11 4.1 最高层安全目标 11 4.2 具体安全目标 11 4.2.1 系统安全目标 12 4.2.2 环境安全目标 13 五. 信息系统网络安全规划 14 5.1 总体规划概述 14 5.2 整体网络安全体系建设工期规划 16 5.2.1 一期安全规划内容 16 5.2.1.1 网络体系优化 16 5.2.1.2 主机系统加固 20 5.2.2 二期安全规划内容 21 5.2.2.1 网络流量监控 22 5.2.2.2 系统行为及日志审计 23 5.2.3 三期安全规划内容 25 5.2.3.1 管理体系建设 25 5.2.3.2 灾备系统 28 六. 安全规划效果 28 概述 背景随着业务系统的不断扩充，信息流量正逐渐增加，信息也日益重要。如何保证xx证券公司网络正常运行和网络安全已成为迫切需要关注的问题。目前急需提高xx证券公司的信息安全保障水平，为了更好地促进安全保障工作，切实提高安全保障水平，xx证券公司启动安全评估项目，目的在于了解当前网络安全现状，通过风险评估、建设等一系列步骤，提高xx证券公司网络安全保障水平，并对今后xx证券公司的网络安全工作做出指导。 xx信息技术（北京）有限公司（以下简称xx科技）作为国内专业的安全服务提供商，一直以来的宗旨是“为客户创造价值”。在本期安全建设项目中xx科技将为xx证券公司提供全面的安全建设服务，xx科技将在项目中通过风险评估、安全培训等多个步骤来全面提升xx证券公司网络的安全性，共同为xx证券公司的基础网络安全建设贡献力量。 本方案的目的在于xx科技信息系统当前面临的风险，制定一套适合公司发展的安全规划方案，以建设公司网络信息系统整体安全体系为最终目标，积极面对和处理当前系统面临的高风险，有计划、有步骤地提高信息安全水平，全面建设信息系统的安全保障体系。 本是xx科技公司根据信息系统安全现状提出的网络安全建议方案，以满足的主要安全需求。针对存在的安全问题和面临的风险，提出了相应的安全建议这些的正确实施，可以检测是否有高风险事件的发生，阻止或减小高风险事件发生可能性，最小化或转移高风险事件造成的影响。范围考虑的安全要素涵盖信息系统的体系，包括网络安全组织、制度和人员情况，网络安全技术方法的使用情况，动态安全管理状况，数据及应用安全情况，网络系统访问控制状况等。物理、网络、系统、应用和管理存在的安全问题和面临的风险，从提出了。中xx科技为提供全面的安全服务，通过、等多个步骤来提升网络的安全性，共同为的基础网络安全建设贡献力量。本文档的读者包括的各级领导、部的技术人员、信息管理人员，以及其他可能涉及到信息系统决策、规范、管理和监督等活动的公司内部人员。Catalyst 2948G Catalyst 3550、Catalyst 3750等交换机）以及juniper防火墙、radware负载均衡器等设备组成，CISCO4006交换机通过1G光纤连接到灾备中心实现冗余备份，多台二层交换机用以构建xx证券数据承载平台和业务系统以及终端接入，所有设备共同组成xx证券网络系统的基础平台。承载在网络上的业务系统包括集中交易系统，所有经纪业务都在此平台完成。 公司信息核心交换设备，用于实现划分、隔离和不同系统之间有条件的信息交互nternet区 灾备中心 两台Cisco 4006连接到核心交换区，并且和深沪交易所外联区、银行外联区、营业厅外联区均有线路连接 下级营业厅外联区 营业厅通过多条链路与核心交换区连接，并与灾备中心、深沪交易所有备份线路 图：xx证券公司网络拓扑图 系统功能 从功能上讲，xx证券公司信息系统涵盖并根据业务需要与相关外部系统进行互联系统安全现状管理错误滥用授权误抵赖 图3-1 风险模型 因为安全不是绝对的，风险也风险通过对信息系统采取一定措施的方式进行处理。风险的处理方式有四种：避免、降低、转移和接受，但不可能完全被消灭。系统应能保证各项业务服务、应用在不同安全容忍程度下的正常运行，满足相关业务数据在不同安全要求下的可用性、完整性和机密性。 防止业信息系统必须提供公共存取和被授权用户对信息系统资源的正常存取和服务。 信息系统必须保证对信息系统内部所有信息流和与Internet之间信息流传输的安全。 信息系