信息系統(tǒng)安全解決方案
《信息系統(tǒng)安全解決方案》由會(huì)員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)安全解決方案(220頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
密 級(jí): 內(nèi)部 文檔編號(hào): 2007002目編號(hào) : 2007002 信息系統(tǒng) 安全解決方案 地稅局信息系統(tǒng)安全解決方案 第 1 頁 共 220 頁 目 錄 1 概述 . 6 的 . 6 要內(nèi)容 . 6 標(biāo)讀者 . 7 2 政策與標(biāo)準(zhǔn) . 8 3 信息安全體系框架 . 10 息安全體系概述 . 10 息安全戰(zhàn)略目標(biāo) . 10 息安全工作基本原則 . 11 息安全體系目標(biāo)和范圍 . 13 級(jí)保護(hù)設(shè)計(jì)思路 . 13 統(tǒng)識(shí)別與定級(jí) . 13 全域劃分 . 13 全域安全要求 . 16 全要求等級(jí)選擇 . 16 全域安全技術(shù)要求 . 17 息安全管理體系框架 . 17 全管理體系概述 . 17 全管理主要措施 . 19 級(jí)安全管理措施指標(biāo) . 21 地稅局信息系統(tǒng)安全解決方案 第 2 頁 共 220 頁 級(jí)安全管理措施指標(biāo) . 22 息安全技術(shù)體系框架 . 23 一級(jí)安全技術(shù)要求 . 23 二級(jí)安全技術(shù)要求 . 24 息安全運(yùn)行體系框架 . 25 4 安全域劃分 . 29 X 市地稅局網(wǎng)絡(luò)現(xiàn)狀 . 29 界和子網(wǎng) . 29 有安全域狀況 . 29 X 市地稅局信息系統(tǒng)安全劃分 . 30 全域劃分 . 30 5 安全技術(shù)解決方案 . 34 述 . 34 設(shè)目標(biāo) . 34 本原則 . 34 全域設(shè)計(jì)方案 . 37 全域安全需求分析 . 38 全域安全措施 . 40 界防護(hù)解決方案 . 42 界防護(hù)設(shè)計(jì)原則 . 42 火墻部署方案 . 44 病毒解決方案 . 45 地稅局信息系統(tǒng)安全解決方案 第 3 頁 共 220 頁 署方案 . 48 計(jì) . 51 紹 . 51 計(jì) . 53 署方案 . 55 網(wǎng)安全解決方案 . 57 網(wǎng)管理系統(tǒng) . 57 丁分發(fā)服務(wù) 器 . 61 6 系統(tǒng)安全建設(shè)狀況與實(shí)施規(guī)劃 . 62 統(tǒng)安全建設(shè)狀況 . 62 施規(guī)劃 . 63 7 附件一:信息安全管理體系框架 . 65 述 . 65 息安全認(rèn)知 . 67 述 . 67 息安全認(rèn)知體系框架 . 68 息安全組織 . 71 息安全組織架構(gòu) . 72 息安全角色與相關(guān)職責(zé) . 78 三方安全管理 . 84 息安全審計(jì)監(jiān)督 . 87 述 . 87 地稅局信息系統(tǒng)安全解決方案 第 4 頁 共 220 頁 息安全審計(jì)監(jiān)督體系框架 . 88 息 安全審計(jì)工作開展指導(dǎo)原則 . 89 8 附件二:信息安全運(yùn)行體系框架 . 91 述 . 91 息安全與業(yè)務(wù)持續(xù)性計(jì)劃 的關(guān)系 . 94 息安全運(yùn)行流程 . 95 險(xiǎn)評(píng)估 . 95 劃實(shí)施 . 107 全監(jiān)控 . 115 應(yīng)恢復(fù) . 122 息安全審計(jì) . 142 息安全運(yùn)作管理 . 146 戶管理 . 146 產(chǎn)管理 . 152 據(jù)及文檔安全運(yùn)作管理 . 155 統(tǒng)安全運(yùn)作管理 . 160 絡(luò)安全運(yùn)作管理 . 169 理安全運(yùn)作管理 . 175 9 附件三:信息安全技術(shù)體系框架 . 177 惡意代碼 . 177 述 . 177 惡意代碼體系框架 . 178 地稅局信息系統(tǒng)安全解決方案 第 5 頁 共 220 頁 導(dǎo)原則 . 181 固 . 184 述 . 184 固框架 . 184 導(dǎo)原則 . 198 控與審核跟蹤 . 200 控服務(wù) . 200 核跟蹤 . 204 份恢復(fù) . 214 述 . 214 份恢復(fù)技術(shù)框架 . 214 導(dǎo)原則 . 219 地稅局信息系統(tǒng)安全解決方案 第 6 頁 共 220 頁 1 概述 的 根據(jù) 人民政府信息化工作辦公室關(guān)于印發(fā) 的通知 文件精神 , 信息安全測(cè)評(píng)中心承擔(dān)了 地稅局征管信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作。我中心以建立符合我省情況的風(fēng)險(xiǎn)評(píng)估方法、積累風(fēng)險(xiǎn)評(píng)估工作經(jīng)驗(yàn)、培養(yǎng)隊(duì)伍、協(xié)助 地稅局更深入地了解其信息系統(tǒng)安全現(xiàn)狀為目標(biāo) , 通過文檔分析、現(xiàn)場(chǎng)訪談、問卷調(diào)查、技術(shù)評(píng)估等方法,對(duì) 地稅局征管信息系統(tǒng)進(jìn)行了全面的 信息 安全 風(fēng)險(xiǎn)評(píng)估。 地稅局 的信息安全戰(zhàn)略則是從 稅務(wù)行業(yè) 的業(yè)務(wù)需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,在信息技術(shù)戰(zhàn)略規(guī)劃的基礎(chǔ)上,借鑒國際最佳實(shí)踐經(jīng)驗(yàn),為全面指導(dǎo) 地稅局 的信息安全工作而制定的方針政策。 信息安全保障體系的架構(gòu), 是從稅務(wù)行業(yè)的業(yè)務(wù)需求出發(fā),遵從信息安全風(fēng)險(xiǎn)管理的理念,在信息技術(shù)戰(zhàn)略規(guī)劃的基礎(chǔ)上,借鑒國際最佳實(shí)踐經(jīng)驗(yàn),為全面指導(dǎo)地稅局的信息安全工作而制定的 , 明確 了 地稅局 未來信息安全建設(shè)的方向。經(jīng)過 3 5 年信息安全規(guī)劃的實(shí)施,可以根本改變目前信息安全的現(xiàn)狀,為未來地稅局 信息系統(tǒng)的平穩(wěn) 運(yùn)行和業(yè)務(wù)的持續(xù)開展提供強(qiáng)有力的保障。 信息安全保障體系架構(gòu)體現(xiàn)了全面、系統(tǒng)的特性, 地稅局 的信息安全保障體系架構(gòu)是在參照了國內(nèi)外 相關(guān)稅務(wù) 行業(yè)信息安全的最佳實(shí)踐,并結(jié)合 地稅局的信息化發(fā)展規(guī)劃和信息安全現(xiàn)狀的基礎(chǔ)上提出 的 。 要內(nèi)容 本文檔主要描述了 地稅局信息 系統(tǒng) 等級(jí)保護(hù)設(shè)計(jì)和各系統(tǒng)實(shí)施設(shè)計(jì)方案 。 地稅局信息系統(tǒng)安全解決方案 第 7 頁 共 220 頁 其中包括: 等級(jí)保護(hù)設(shè)計(jì)思路 信息安全體系框架 安全域劃分 安全技術(shù)解決方案 系統(tǒng)安全建設(shè)現(xiàn)狀與實(shí)施規(guī)劃 安全實(shí)施效果 標(biāo)讀者 本文檔的目標(biāo)讀者是 地稅局 與信息安全相關(guān)的決策人員、規(guī)劃人員、管理人員和執(zhí)行人員。 地稅局信息系統(tǒng)安全解決方案 第 8 頁 共 220 頁 2 政策與標(biāo)準(zhǔn) 信息安全體系的建設(shè)需要滿足國家和監(jiān)管部門的相關(guān)要求,并需要參考國內(nèi)和國際的安全標(biāo)準(zhǔn)和最佳實(shí)踐。本項(xiàng)目安全體系調(diào)研與規(guī)劃所依據(jù)的信息安全政策與標(biāo)準(zhǔn)主要有如下: 國內(nèi)標(biāo)準(zhǔn) 9715信息 技術(shù)安全管理指南 9716信息安全管理實(shí)用規(guī)則 0269信息系統(tǒng)安全管理要求 0282信息系統(tǒng)安全工程管理要求 8336 信息技術(shù)安全性評(píng)估準(zhǔn)則 9361 計(jì)算機(jī)場(chǎng)地安全要求 7859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 18336信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則( 5408: 1999) 19716 信息技術(shù) 信息安全管理實(shí)用規(guī)則( 7799: 2000, 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 信息安全風(fēng)險(xiǎn)管理規(guī)范 法規(guī)政策 (中辦發(fā) 200327 號(hào))國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信 息安全保障工作意見 地稅局信息系統(tǒng)安全解決方案 第 9 頁 共 220 頁 (公通字 200466 號(hào))關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見。 地稅局信息系統(tǒng)安全解決方案 第 10 頁 共 220 頁 3 信息安全體系框架 息安全體系概述 信息安全工作是針對(duì) 地稅局各信息系統(tǒng)中存在的信息安全風(fēng)險(xiǎn)而開展的。市地稅局的信息安全戰(zhàn)略則是從稅務(wù)行業(yè)的業(yè)務(wù)需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,在信息技術(shù)戰(zhàn)略規(guī)劃的基礎(chǔ)上,借鑒國際最佳實(shí)踐經(jīng)驗(yàn),為全面指導(dǎo)市地稅的信息安全工作而制定的方針政策。 息安全戰(zhàn)略目標(biāo) 1、保障業(yè)務(wù)持續(xù),促進(jìn)業(yè)務(wù)發(fā)展(最終目標(biāo)) 信息安全必須為業(yè)務(wù)服務(wù),脫離業(yè)務(wù)的信息安全也就失去了其真正的意義。隨著業(yè)務(wù)的發(fā)展,機(jī) 構(gòu)對(duì)信息系統(tǒng)的依賴越來越高,因此信息安全的重要性也就越來越突出。數(shù)據(jù)大集中工程項(xiàng)目的實(shí)施和全市地稅業(yè)務(wù)數(shù)據(jù)的集中處理,使業(yè)務(wù)服務(wù)的連續(xù)性風(fēng)險(xiǎn)也隨之集中。大到自然災(zāi)害、設(shè)計(jì)規(guī)劃不當(dāng),小到意外的人為錯(cuò)誤,都可能會(huì)導(dǎo)致系統(tǒng)故障,直接威脅全市地稅范圍內(nèi)的業(yè)務(wù)開展,嚴(yán)重的甚至造成業(yè)務(wù)中斷。因此保證信息系統(tǒng)的正常運(yùn)行,進(jìn)而使市地稅局的業(yè)務(wù)持續(xù)開展,就成為了信息安全建設(shè)的最根本目標(biāo)。 另一方面,隨著信息技術(shù)的飛速發(fā)展,信息技術(shù)已實(shí)現(xiàn)了從支持業(yè)務(wù)發(fā)展到促進(jìn)業(yè)務(wù)發(fā)展的轉(zhuǎn)變,信息安全的含義也從保障系統(tǒng)的穩(wěn)定運(yùn)行發(fā)展到全面促進(jìn)業(yè) 務(wù)開展。例如互聯(lián)網(wǎng)的發(fā)展已使稅務(wù)的業(yè)務(wù)開展突破了時(shí)間和空間的限制,大大推進(jìn)了業(yè)務(wù)的發(fā)展,甚至在一定程度上已改變了業(yè)務(wù)模式。而所有新技術(shù)的運(yùn)用都伴隨著信息安全風(fēng)險(xiǎn)的產(chǎn)生。隨著信息技術(shù)進(jìn)一步深入業(yè)務(wù)層面,信息安全與業(yè)務(wù)開展的關(guān)系也越來越緊密。簡單地說, 地稅局的信息安全建設(shè)必須能保證新技術(shù)運(yùn) 地稅局信息系統(tǒng)安全解決方案 第 11 頁 共 220 頁 用的安全,使其能在保證安全的情況下發(fā)揮巨大的業(yè)務(wù)促進(jìn)作用。 業(yè)務(wù)創(chuàng)新背后離不開信息安全技術(shù)的支撐。而運(yùn)用信息安全技術(shù)支持業(yè)務(wù)創(chuàng)新的能力是一種很難模仿的能力,將會(huì)成為市地稅的核心競(jìng)爭力。 2、保證信息的機(jī)密性、完整性和可用 性(直接目標(biāo)) 信息機(jī)密是指信息僅可讓授權(quán)獲取的人士訪問。 信息完整是指保護(hù)信息和處理方法的準(zhǔn)確和完善。 信息可用是指確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。 信息安全必須保證信息的機(jī)密性、完整性和可用性,這是信息安全建設(shè)的重要目標(biāo)。信息的保密性、完整性和可用性對(duì)保持市地稅的競(jìng)爭優(yōu)勢(shì)、效益、法律法規(guī)符合性和商務(wù)形象都是至關(guān)重要的。 地稅局的許多信息都高度機(jī)密,不允許外泄,也不允許未經(jīng)授權(quán)的訪問,如客戶信息、交易信息等,如果不能保證信息的機(jī)密性,那不僅可能會(huì)被競(jìng)爭對(duì)手所利用,還可能要負(fù)法律責(zé)任。 地 稅局對(duì)信息的完整性也有很高的要求,如果業(yè)務(wù)信息不完整,甚至出錯(cuò),那勢(shì)必會(huì)引起業(yè)務(wù)的混亂,給 地稅局帶來很大的負(fù)面影響,信息的完整直接關(guān)系到信息是否可用,當(dāng)部分和全部信息被破壞或丟失,導(dǎo)致信息的不可用時(shí),對(duì) 地稅局造成的沖擊和損失將會(huì)是無法估量的。因此,信息安全的建設(shè)必須以保證信息的機(jī)密、完整和可用為戰(zhàn)略目標(biāo),這是市地稅的需要,是業(yè)務(wù)發(fā)展的需要,也是所有客戶的要求。 息安全工作基本原則 1、整體規(guī)劃、分步實(shí)施原則 一方面信息安全建設(shè)是系統(tǒng)工程,必須統(tǒng)一規(guī)劃;另一方面信息安全建設(shè)不可能一蹴而就,需要分 布實(shí)施。 2、全員參與的原則 地稅局信息系統(tǒng)安全解決方案 第 12 頁 共 220 頁 信息安全絕不只是信息安全部門的責(zé)任,而是全市地稅每一個(gè)部門,每一名員工的基本職責(zé)之一。 3、全面保障的原則 信息安全風(fēng)險(xiǎn)的控制需要多角度、多層次,從各個(gè)環(huán)節(jié)入手,全面的保障。 4、技術(shù)與管理并重原則 技術(shù)是手段、管理是保障,技術(shù)與管理缺一不可,忽略任何一方都會(huì)阻礙信息安全保障工作的開展。 5、積極防護(hù)、動(dòng)態(tài)管理原則 安全風(fēng)險(xiǎn)是動(dòng)態(tài)發(fā)展的,因此必須動(dòng)態(tài)的管理風(fēng)險(xiǎn),及時(shí)應(yīng)對(duì)各種新的風(fēng)險(xiǎn)。 6、同步建設(shè)原則 為提高效率,信息安全建設(shè)與信息化建設(shè)必須同步開展。 7、重點(diǎn)保護(hù)原則 風(fēng)險(xiǎn)的 控制有輕重緩急,必須把有限的資源集中到需重點(diǎn)防范的環(huán)節(jié)、對(duì)象上。 8、標(biāo)準(zhǔn)化原則 管理要規(guī)范化、標(biāo)準(zhǔn)化,只有這樣才能保證在市地稅龐大的組織中有效的控制風(fēng)險(xiǎn)。 9、適度保護(hù)原則 風(fēng)險(xiǎn)永遠(yuǎn)不可能徹底消除,明確可接受的風(fēng)險(xiǎn),進(jìn)行適度的保護(hù)是風(fēng)險(xiǎn)管理的精華所在。 10、合規(guī)性原則 市地稅的信息安全工作必須考慮外部法律法規(guī)的符合度,否則可能阻礙業(yè)務(wù)的開展,為市地稅帶來損失。 地稅局信息系統(tǒng)安全解決方案 第 13 頁 共 220 頁 息安全體系目標(biāo)和范圍 通過信息安全保障體系的架構(gòu),明確 地稅局未來信息安全建設(shè)的方向。經(jīng)過 3 5 年信息安全規(guī)劃的實(shí)施,可以根本改變目前信息 安全的現(xiàn)狀,為未來 地稅局信息系統(tǒng)的平穩(wěn)運(yùn)行和業(yè)務(wù)的持續(xù)開展提供強(qiáng)有力的保障。 信息安全保障體系架構(gòu)體現(xiàn)了全面、系統(tǒng)的特性, 地稅局的信息安全保障體系架構(gòu)是在參照了國內(nèi)外相關(guān)稅務(wù)行業(yè)信息安全的最佳實(shí)踐,并結(jié)合 地稅局的信息化發(fā)展規(guī)劃和信息安全現(xiàn)狀的基礎(chǔ)上提出。 級(jí)保護(hù)設(shè)計(jì)思路 等級(jí)保護(hù)設(shè)計(jì)和實(shí)施通過以下步驟進(jìn)行: 1. 系統(tǒng)識(shí)別與定級(jí) 2. 安全域劃分 3. 確定安全域安全要求 4. 安全技術(shù)解決方案設(shè)計(jì) 5. 安全管理解決方案設(shè)計(jì) 統(tǒng)識(shí)別與定級(jí) 參見 : 地稅局信息系統(tǒng)定級(jí)報(bào)告 。 全域劃分 等級(jí)保護(hù)設(shè)計(jì)首先需 要對(duì)組織機(jī)構(gòu)進(jìn)行安全域劃分。通過逐一對(duì)組織機(jī)構(gòu)應(yīng)用系統(tǒng)的安全域劃分和多系統(tǒng)安全域整合,形成組織機(jī)構(gòu)的安全域架構(gòu)。 安全域的定義是 同一安全域內(nèi)的系統(tǒng)有相同 的 安全保護(hù)需求、并相互信任 。安全區(qū)域劃分分析是以結(jié)構(gòu)化的方法為基礎(chǔ)進(jìn)行分解性分析,所謂結(jié)構(gòu)化就是通過特 地稅局信息系統(tǒng)安全解決方案 第 14 頁 共 220 頁 定的結(jié)構(gòu)將問題拆分成若干個(gè)子問題的迭代方法。結(jié)構(gòu)化方法包括以下幾條基本原則: 充分覆蓋 所有子問題的總和必須覆蓋原問題。如果不能充分覆蓋,那么解決問題的方法就可能出現(xiàn)遺漏,嚴(yán)重影響本方法的可行性。 互不重疊 所有子問題都不允許出現(xiàn)重復(fù),類似以下的情況不應(yīng)出現(xiàn) 在一個(gè)框架中: 兩個(gè)不同的子問題其實(shí)是同一個(gè)子問題的兩種表述 某一個(gè)子問題其實(shí)是另外兩個(gè)問題或多個(gè)問題的合并 不可再細(xì)分 所有子問題都必須細(xì)分到不能再被細(xì)分。 當(dāng)一個(gè)問題經(jīng)過框架分析后,所有不可再細(xì)分的子問題構(gòu)成了一個(gè)框架。 安全域劃分是將系統(tǒng)作為一個(gè)安全域,通過對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的梳理和整合,將此安全域劃分為子安全域和子安全域的子安全域。以此類推,形成系統(tǒng)的結(jié)構(gòu)化的安全域劃分結(jié)構(gòu)。安全域結(jié)構(gòu)化劃分須遵守充分覆蓋、互不重疊、不可再細(xì)分的原則。 安全域應(yīng)該以業(yè)務(wù)的邏輯為主要原則,輔以安全的原則,才能合理地對(duì) 網(wǎng)絡(luò)系統(tǒng)進(jìn)行梳理,在不損失或較小損失業(yè)務(wù)運(yùn)作效率的前提下來保障安全。安全的主要目的是為了保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行,超越業(yè)務(wù)邏輯來談安全是沒有意義的。 安全域劃分采用的原則如下: 1. 安全域僅對(duì)資產(chǎn)所有者為本部門的資產(chǎn)進(jìn)行劃分, 對(duì)不屬于本部門資產(chǎn)的訪問端一般可以 通 過邊界進(jìn)行保護(hù)在安全域內(nèi)的資產(chǎn)。 2. 業(yè)務(wù)和功能特性 業(yè)務(wù)系統(tǒng)邏輯和應(yīng)用關(guān)聯(lián)性 ; 地稅局信息系統(tǒng)安全解決方案 第 15 頁 共 220 頁 業(yè)務(wù)系統(tǒng)所屬的管理部門和行政結(jié)構(gòu) 。 3. 安全特性的要求 安全要求差異:可用、保密和完整三性的要求差異,如有保密性要求的資產(chǎn)單獨(dú)劃區(qū)域 ; 面臨威脅的差異:面臨主要威脅不同,如第三方接入 區(qū)單獨(dú)劃區(qū)域 ; 資產(chǎn)價(jià)值差異:重要與不重要資產(chǎn)分離,如核心生產(chǎn)區(qū)和管理終端區(qū)分離 。 4. 參照現(xiàn)有狀況 現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的狀況:現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、地域和機(jī)房等 ; 參照現(xiàn)有的管理部門職權(quán)劃分 。 具體到某一業(yè)務(wù)系統(tǒng),安全域劃分原則可以繼續(xù)細(xì)化為: 1. 功能相似、資產(chǎn)價(jià)值相似屬于同一區(qū)域; 2. 功能存在差異、資產(chǎn)價(jià)值相似,對(duì)于功能中可以提煉出共同的屬性的資產(chǎn)同屬一個(gè)區(qū)域,對(duì)于不能提煉出共性的資產(chǎn)劃分到不同區(qū)域; 3. 功能相似、資產(chǎn)價(jià)值存在差異,可以判斷威脅來源和影響程度,對(duì)于威脅來源和影響相似的資產(chǎn)同屬一個(gè)區(qū)域,不同程度的劃分到不同區(qū)域; 4. 功能存在差異、資產(chǎn)價(jià)值存在差異,劃分為不同區(qū)域; 5. 整合業(yè)務(wù)系統(tǒng)到同一外部網(wǎng)絡(luò)的所有物理邊界; 6. 根據(jù)威脅分析結(jié)果,從邏輯上整合威脅相近的外部邏輯邊界。 對(duì)于同一組織機(jī)構(gòu)的多個(gè)業(yè)務(wù)系統(tǒng),首先逐一分析應(yīng)用系統(tǒng),劃分安全域。分析每個(gè)應(yīng)用系統(tǒng)安全域劃分結(jié)果,充分考慮實(shí)施可行性和管理可行性,將多個(gè)系統(tǒng)的安全域進(jìn)行合并和邊界整合。多個(gè)系統(tǒng)安全域合并和邊界整合需充分考慮以下因素: 1. 網(wǎng)絡(luò)結(jié)構(gòu)、地域和機(jī)房等; 2. 網(wǎng)絡(luò)和應(yīng)用管理可行性; 3. 多系統(tǒng)間可能的影響; 4. 安全技術(shù)手段實(shí)施可控制范圍; 地稅局信息系統(tǒng)安全解決方案 第 16 頁 共 220 頁 5. 多系統(tǒng)等級(jí)和安全域重要程度差異; 6. 功能相 似性和威脅相似性; 7. 安全要求相似性。 全域安全要求 根據(jù)系統(tǒng)的等級(jí),確定劃分的安全域適用的安全要求,安全要求包括安全域安全要求、不同單位系統(tǒng)互連互通安全要求和同單位不同系統(tǒng)互連互通安全要求。 安全域安全要求包括一個(gè)安全區(qū)域的網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用和數(shù)據(jù)的安全防護(hù)要求。同時(shí),安全域安全要求包括一個(gè)系統(tǒng)多個(gè)安全域互連互通的安全防護(hù)要求。 不同單位系統(tǒng)互連互通安全要求包括一個(gè)系統(tǒng)與外單位系統(tǒng)互連時(shí)的安全防護(hù)要求。 同單位不同系統(tǒng)互連互通安全要求包括一個(gè)系統(tǒng)與本單位其他系統(tǒng)互連時(shí)的安全防護(hù)要求。 通過分析系統(tǒng)的安全 域和 安全域的邊界,可以確定系統(tǒng)的安全要求,同時(shí)確定系統(tǒng)與其他系統(tǒng)互連時(shí)所需的安全要求。根據(jù)這些安全要求,選擇合適的安全技術(shù)解決方案,設(shè)計(jì)合理的部署方案,最終實(shí)現(xiàn)系統(tǒng)的等級(jí)保護(hù)。 全要求等級(jí)選擇 依據(jù)安全域劃分結(jié)果形成的組織機(jī)構(gòu)的安全域架構(gòu),注意確定安全域的重要程度。結(jié)合組織機(jī)構(gòu)系統(tǒng)的等級(jí)和安全域的重要程度,形成組織機(jī)構(gòu)各安全域恰當(dāng)?shù)陌踩蟆?根據(jù)安全域結(jié)構(gòu)化劃分結(jié)果,首先需要確定安全域重要程度。安全域重要程度確認(rèn)需遵循以下原則: 1. 數(shù)據(jù)區(qū)域?yàn)橹匾獏^(qū)域 2. 系統(tǒng)核心網(wǎng)絡(luò)為安全域重要區(qū)域 地稅局信息系統(tǒng)安全解決方案 第 17 頁 共 220 頁 3. 系統(tǒng)核心應(yīng)用為安全域重要 區(qū)域 4. 安全監(jiān)控、審計(jì)、認(rèn)證授權(quán)等安全相關(guān)區(qū)域?yàn)榘踩蛑匾獏^(qū)域 5. 設(shè)備維護(hù)、應(yīng)用維護(hù)的終端區(qū)域?yàn)榇我獏^(qū)域 6. 終端應(yīng)用區(qū)域?yàn)榇我獏^(qū)域 7. 系統(tǒng)未上線測(cè)試部分為普通區(qū)域 根據(jù)系統(tǒng)等級(jí)和安全域重要程度,依據(jù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 的安全要求確定各區(qū)域的安全要求。確定區(qū)域的安全要求需遵循以下原則: 1. 重要區(qū)域采用系統(tǒng)同等級(jí)的安全要求 2. 次要區(qū)域采用系統(tǒng)等級(jí)下一級(jí)的安全要求 3. 普通區(qū)域采用系統(tǒng)等級(jí)下二級(jí)的安全要求 4. 區(qū)域的最低等級(jí)為一級(jí) 5. 多系統(tǒng)合并區(qū)域后的安全要求采用最高級(jí)別區(qū)域的安全要求 6. 區(qū)域的安全要求必須根據(jù)系統(tǒng)實(shí)際情況進(jìn) 行調(diào)整以適用本系統(tǒng)。選擇是需要充分考慮該區(qū)域可用性、完整性和保密性級(jí)別和 系統(tǒng)可操作技術(shù)實(shí)施,對(duì)于無法技術(shù)實(shí)現(xiàn)或技術(shù)實(shí)現(xiàn)成本過高的部分通過管理手段進(jìn)行 控制 全域安全技術(shù)要求 息安全管理體系框架 全管理 體系概述 如前文所述,信息安全管理體系是信息安全保障體系的一個(gè)重要組成部分,其三層防護(hù)結(jié)構(gòu)如圖: 地稅局信息系統(tǒng)安全解決方案 第 18 頁 共 220 頁 信息安全管理的三層防護(hù)結(jié)構(gòu) 1. 認(rèn)知 宣傳教育 員工在信息安全方面的自我約束、自我控制,是信息安全管理控制的第一個(gè)層次。大部分的信息安全控制在運(yùn)行中需要依靠員工的主觀能動(dòng)性。 信息安全認(rèn)知分為提升信息安全 意識(shí)、了解信息安全職責(zé)和培養(yǎng)信息安全專業(yè)技能 3個(gè)層次。而到達(dá)這三個(gè)層次的目標(biāo)的手段則包括宣傳、培訓(xùn)和教育。 1) 提升信息安全意識(shí)是信息安全認(rèn)知工作開展的基本內(nèi)容,是針對(duì)全體員工的。同時(shí)信息安全意識(shí)提升也是之后 2 個(gè)層次的信息安全工作開展的基礎(chǔ) 2) 提升信息安全意識(shí)的目的是告訴員工為什么要參與信息安全工作,而了解信息安全職責(zé)的目的則是告訴員工有哪些信息安全工作需要參與。只有了解了自身的職責(zé)才能保證真正履行信息安全職責(zé)。 3) 培養(yǎng)信息安全專業(yè)技能的目的是保證員工知曉如何履行自己的信息安全職責(zé),讓所有得人員都具備為履行其職責(zé)所 必須的信息安全專業(yè)技能。特別對(duì)于 地稅局內(nèi)部信息安全專職人員信息安全專業(yè)技能的培訓(xùn)是必需的。 2. 組織 管理控制 明確管理職責(zé)是信息安全管理控制工作的第二個(gè)層次,以保證在實(shí)際工作中有相關(guān)的管理崗位對(duì)相應(yīng)的控制點(diǎn)進(jìn)行控制。信息安全組織管理從對(duì)象上包括 地審計(jì)二次監(jiān)督審計(jì)二次監(jiān)督組織管理控制組織管理控制認(rèn)知宣傳教育認(rèn)知宣傳教育二次監(jiān)督二次監(jiān)督管理控制管理控制宣傳教育宣傳教育 地稅局信息系統(tǒng)安全解決方案 第 19 頁 共 220 頁 稅局內(nèi)部的各機(jī)構(gòu)和接觸 地稅局信息資產(chǎn)的第三方機(jī)構(gòu)。信息安全組織管理的內(nèi)容主要包括: 1) 信息安全組織架構(gòu) 信息安全組織架構(gòu)是針對(duì) 地稅局內(nèi)部負(fù)責(zé)開展信息安全決策、管理、執(zhí)行和監(jiān)控等工作的各部門進(jìn)行結(jié)構(gòu)化、系統(tǒng)化的結(jié)果。信息安全組織架構(gòu)需明確各類信息 安全組織的定位、相互關(guān)系和職能。 2) 信息安全角色和職責(zé) 信息安全角色和職責(zé)主要是針對(duì)信息安全組織中的個(gè)體在信息安全工作中扮演的各種角色進(jìn)行定義、劃分和明確職責(zé)。 3. 審計(jì) 二次監(jiān)督 審計(jì)監(jiān)督是機(jī)構(gòu)內(nèi)部風(fēng)險(xiǎn)控制的重要組成部分,而信息安全管理是機(jī)構(gòu)風(fēng)險(xiǎn)管理內(nèi)部控制的一項(xiàng)重要內(nèi)容,一般由機(jī)構(gòu)內(nèi)部相對(duì)獨(dú)立的專職部門對(duì)信息安全管理效果進(jìn)行二次監(jiān)督。其主要內(nèi)容包括: 1) 信息安全政策與標(biāo)準(zhǔn)的符合性- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
6 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息系統(tǒng)安全 解決方案
鏈接地址:http://m.italysoccerbets.com/p-59670.html