信息系统安全建设方案.doc

信息系统安全建设方案摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。关键词信息系统安全系统建设 1建设目标当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2设计要点主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3建设内容信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 物理层安全物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 网络安全对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容,网络架构的合理性直接关系到网络层安全。(网络架构设计需要做到:统筹考虑信息系统系统安全等级、网络建设规模、业务安全性需求等;准确划分安全域(边界);网络架构应有利于核心服务信息资源的保护;网络架构应有利于访问控制和应用分类授权管理;网络架构应有利于终端用户的安全管理。) 网络层安全主要涉及网络安全域的合理划分问题,其中最重要的是进行访问控制。网络安全域划分包括物理隔离、逻辑隔离等,访问控制技术包括防火墙技术、身份认证技术、入侵检测技术等。(1) 虚拟局域网(VLAN )技术及逻辑隔离措施逻辑隔离主要是利用 VLAN 技术将内部网络分成若干个安全级别不同的子网,有效防止某一网段的安全问题在整个网络传播[1] 。因此, 对于一个网络,若某网段比另一个网段更受信任,或某网段安全性要求更高,就将它们划分在不同的 VLAN 中,可限制局部网络安全问题对全网造成影响。(2) 身份认证技术及访问控制措施身份认证技术即公共密钥基础设施( PKI ) ,是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构。PKI 可以做到:确认发送方的身份;保证发送方所发信息的机密性; 保证发送方所发信息不被篡改;发送方无法否认已发该信息的事实