集团信息安全建设方案.doc

某集团信息安全建设方案 2011年7月 目录 1. 前言 3 1.1. 项目背景 3 1.2. 安全目标 4 1.3. 设计范围 4 1.4. 设计依据 4 1.5. 设计原则 5 2. 信息系统分析 7 2.1. 网络现状描述 7 2.2. 计算机基础设施建设方面 8 2.3. 业务应用系统现状 8 2.4. 安全定级情况 8 3. 安全需求分析 9 3.1. 等级保护基本需求分析 9 3.1.1. 《信息系统安全等级保护基本要求》说明 9 3.1.2. 技术类安全需求 11 . 物理安全 11 . 网络安全 12 . 主机安全 14 . 应用安全 15 . 数据安全及备份恢复 16 3.1.3. 管理类安全需求 16 . 安全管理制度 16 . 安全管理机构 16 . 人员安全管理 17 . 系统建设管理 17 . 系统运维管理 17 3.2. 额外/特殊保护需求分析 18 3.2.1. 重要资产分析 18 3.2.2. 安全弱点分析 18 3.2.3. 安全威胁分析 20 3.2.4. 安全风险分析 23 . 物理层面的安全风险 23 . 网络层面的安全风险 23 . 主机层面的安全风险 25 . 应用层面的安全风险 26 . 管理方面的安全风险 27 3.2.5. 额外/特殊保护需求分析 28 3.3. 安全需求总结 29 3.3.1. 安全技术防护 29 . 通信网络安全 30 . 区域边界安全 31 . 计算环境安全 31 . 安全管理中心 32 3.3.2. 安全管理措施 33 . 安全管理组织 34 . 安全管理制度 34 . 安全运维服务 34 4. 总体安全设计 35 4.1. 安全体系框架 35 4.2. 安全策略体系 35 4.3. 安全组织体系 36 4.3.1. 安全组织建设 36 4.3.2. 人员安全管理 37 4.4. 安全技术体系 38 4.4.1. 安全技术体系框架 38 4.4.2. 安全域划分 40 4.4.3. 安全技术措施选择 41 . 区域边界安全保护措施 41 . 通信网络安全保护措施 42 . 计算环境安全保护措施 42 . 安全管理中心 46 4.4.4. 安全软硬件产品部署 48 4.5. 安全运行体系 50 5. 信息安全建设规划 51 5.1. 信息安全总体建设过程 51 5.2. 信息安全工程实施规划 53 5.2.1. 阶段一：实现基本的安全部署 53 5.2.2. 阶段二：实现全面的安全部署 55 5.2.3. 阶段三：实现全面的安全优化 56 6. 安全产品采购预算 56 前言 项目背景 某集团为提高企业竞争力、适应环境、融入全球经济。企业ERP是一个以管理会计为核心的信息系统，识别和规划企业资源，从而获取客户订单，完成加工和交付，最后得到客户付款。换言之，ERP将企业内部所有资源整合在一起，对采购、生产、成本、库存、分销、运输、财务、人力资源进行规划，从而达到最佳资源组合，取得最佳效益。ERP系统的合理运用改变企业运作的面貌，企业的经营管理带来深刻变革。在不断加强企业ERP建设的同时，信息安全成为集团企业必须努力解决的首要问题。对信息系统分级实行保护是国际上通行的做法，我国已经把等级保护制度列入国务院《关于加强信息安全保障工作的意见》之中对到国家安全、社会稳定的重要部门实施强制监管，系统按照划分不同的安全等级安全保护制定的安全建设政策和标准如何信息等级保护制度更为有效地保护重要领域的信息网络，建立安全保障的长效机制将是今后我国信息安全建设的重点。遵从、等相关的要求，对信息安全保障体系进行全面的规划和设计，确保信息安全保障体系。[2003]27号） 《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 《信息安全等级保护管理办法》（公通字[2007]43号）[2010]70号） 某集团信息安全建设中需参照的信息安全标准规范包括： 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 信息系统安全等级保护实施指南》 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008） 《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006） 《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006） 《信息系统等级保护安全设计技术要求》（GB/T 24856-2009） 某集团ERP系统信息安全建设中可借鉴的其他信息安全标准包括： GB/T 22080-2008（idt ISO/IEC 27001:20