深圳市XXX公司信息安全设计方案-精品.docVIP

深圳市**公司信息安全 深圳***有限公司 20目　录 1 概述 1 2 深圳市**公司业务网络现状及需求分析 2 3 信息安全规划思路 3 3.1 信息安全目标和工作思路 3 3.2 信息安全建设主要任务 3 4 第一阶段-迫切阶段 7 4.1 加强区公司与地州公司的边界访问控制 7 4.2 解决区公司的网页安全问题 7 4.3 提升入侵防御能力 7 4.4 加强对区公司、地州终端的桌面管理能力 8 4.5 解决VPN系统的更新并且有效过渡的问题 9 4.6 提升区公司及地州公司对网络可管理的能力 9 4.7 加强对上网行为审计的能力 10 5 第二阶段信息安全建设方案 11 5.1 建设原则 11 5.2 遵照的标准或规范 12 5.3 安全建设的思路和方法 13 5.4 安全域建设 13 5.4.1 安全域基本概念 14 5.4.2 安全域划分的原则 14 5.4.3 安全域理论 17 5.5 统一认证授权系统技术方案 22 5.6 深圳市**公司网络安全评估 31 6 第三阶段信息安全建设方案 61 6.1 建设内容 61 6.2 建设需求 61 6.3 4A统一管理平台建设方案 61 6.3.1 统一日志审计子系统技术方案 63 6.3.2 功能概述 63 6.3.3 安全日志采集 64 6.3.4 安全日志多维分析 64 6.3.5 安全日志实时展现 65 6.3.6 报表分析 67 6.3.7 审计策略配置 69 6.4 系统平台和应用系统安全建设方案 70 6.4.1 认证、授权与行为审计的基本概念 70 6.4.2 认证、授权与行为审计体系的建设原则 70 6.4.3 实施效果 71 6.5 综合信息安全支撑平台的概念 72 6.5.1 综合安全支撑平台的建设原则 73 6.5.2 实施效果 73 7 第四阶段信息安全建设方案 77 7.1 建设内容 77 7.2 建设方案 77 7.3 信息安全管理体系规划制定 77 7.3.1 深圳市**公司信息安全体系规划建议 79 7.3.2 安全策略体系 80 7.3.3 三年规划建设任务 82 概述 **行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，深圳市**公司结合本单位实际情况认真落实《**行业信息安全保障体系建设指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。 深圳市**公司业务网络现状及需求分析 深圳市**公司业务网络是全省业务办公与通信的基础和支撑平台，整个信息系统目前存在诸多安全隐患： 1）没有一个完整的信息安全体系，不能对**公司信息安全程度进行有效评估。 2）缺少完整的安全管理制度规范，一旦发生安全问题，没有解决依据。 3）安全域划分不清晰，网络安全边界防护采取的技术比较单一;防火墙只能基于端口和流量进行控制，却无法防御复杂的攻击和入侵。 4）内部信息系统所存在的安全漏洞和隐患，不能及时发现；对于网络而言，内外网互连私接的情况不能进行有效监控。 5）终端安全没有保障，缺乏统一终端管理平台。无法有效的对**公司网络进行准入控制，致使网络接入存在一定的风险。 6）没有数据安全保障体系，数据的传输和存储都没办法保证不被窃取。 7）没有一个统一的员工身份管理系统，无法做到各类内部权限的细分，以及信息安全的加密以及事前、事中、事后的审计。 8）缺乏主机和应用系统安全保障机制，没有及时发现和弥补系统的漏洞和弱点，存在大量弱口令等问题。 9）没有统一的审计和响应机制，即便是发生攻击事件无法快速定位到源头，并进行针对性的解决。 信息安全规划思路 信息安全目标和工作思路 我们应该按照信息安全总体规划，从信息安全管理、信息安全风险控制、信息安全技术等方面入手，采用先进可行的技术手段和管理理念，逐步建成全面、完整、有效的一套信息安全体系。 通过系统化的安全技术和安全管理建设，深圳市**公司逐步形成安全管理规范和安全体系架构，逐步有机的融合安全技术和安全管理，使深圳市**公司的安全建设逐渐成熟，为整个业务的正常运行提供强有力的支持和保障。 信息化安全体系建设过程中应遵循以下工作思路： “分级保护”原则：应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别，分级保护，合理投资。 “三分技术、七分管理”原则：**公司信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。 “内外并重”原则：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和审计机制。