信息系统安全解决资料.doc

密 级： 内部 文档编号：2007002-002 项目编号：2007002 XX市地税局 信息系统安全解决方案  目 录 1 概述 6 1.1 目的 6 1.2 主要内容 6 1.3 目标读者 7 2 政策与标准 8 3 信息安全体系框架 10 3.1 信息安全体系概述 10 3.1.1 信息安全战略目标 10 3.1.2 信息安全工作基本原则 11 3.1.3 信息安全体系目标和范围 13 3.2 等级保护设计思路 13 3.2.1 系统识别与定级 13 3.2.2 安全域划分 13 3.2.3 安全域安全要求 16 3.2.4 安全要求等级选择 16 3.2.5 安全域安全技术要求 17 3.3 信息安全管理体系框架 17 3.3.1 安全管理体系概述 17 3.3.2 安全管理主要措施 19 3.3.3 一级安全管理措施指标 21 3.3.4 二级安全管理措施指标 22 3.4 信息安全技术体系框架 24 3.4.1 第一级安全技术要求 24 3.4.2 第二级安全技术要求 24 3.5 信息安全运行体系框架 25 4 安全域划分 29 4.1 XX市地税局网络现状 29 4.1.1 边界和子网 30 4.1.2 现有安全域状况 30 4.2 XX市地税局信息系统安全划分 30 4.2.1 安全域划分 31 5 安全技术解决方案 35 5.1 概述 35 5.1.1 建设目标 35 5.1.2 基本原则 35 5.2 安全域设计方案 38 5.2.1 安全域安全需求分析 39 5.2.2 安全域安全措施 41 5.3 边界防护解决方案 43 5.3.1 边界防护设计原则 43 5.3.2 防火墙部署方案 45 5.3.3 防病毒解决方案 46 5.3.4 UTM部署方案 49 5.4 VPN设计 52 5.4.1 VPN介绍 52 5.4.2 VPN设计 54 5.4.3 VPN部署方案 56 5.5 内网安全解决方案 58 5.5.1 内网管理系统 58 5.5.2 补丁分发服务器 62 6 系统安全建设状况与实施规划 63 6.1 系统安全建设状况 63 6.2 实施规划 64 7 附件一：信息安全管理体系框架 66 7.1 概述 66 7.2 信息安全认知 68 7.2.1 概述 68 7.2.2 信息安全认知体系框架 69 7.3 信息安全组织 72 7.3.1 信息安全组织架构 73 7.3.2 信息安全角色与相关职责 79 7.3.3 第三方安全管理 85 7.4 信息安全审计监督 88 7.4.1 概述 88 7.4.2 信息安全审计监督体系框架 89 7.4.3 信息安全审计工作开展指导原则 90 8 附件二：信息安全运行体系框架 92 8.1 概述 92 8.1.1 信息安全与业务持续性计划的关系 95 8.2 信息安全运行流程 96 8.2.1 风险评估 96 8.2.2 规划实施 108 8.2.3 安全监控 116 8.2.4 响应恢复 123 8.2.5 信息安全审计 144 8.3 信息安全运作管理 147 8.3.1 用户管理 147 8.3.2 资产管理 153 8.3.3 数据及文档安全运作管理 156 8.3.4 系统安全运作管理 161 8.3.5 网络安全运作管理 171 8.3.6 物理安全运作管理 177 9 附件三：信息安全技术体系框架 179 9.1 防恶意代码 179 9.1.1 概述 179 9.1.2 防恶意代码体系框架 180 9.1.3 指导原则 183 9.2 加固 186 9.2.1 概述 186 9.2.2 加固框架 186 9.2.3 指导原则 202 9.3 监控与审核跟踪 203 9.3.1 监控服务 203 9.3.2 审核跟踪 207 9.4 备份恢复 217 9.4.1 概述 217 9.4.2 备份恢复技术框架 217 9.4.3 指导原则 222 概述 目的 根据《XX省人民政府信息化工作办公室关于印发信息安全风险评估试点工作实施方案的通知》文件精神，XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。 XX市地税局的信息安全战略则是从税务行业的业务需求出发，遵从风险管理的理念，在信息技术战略规划的基础上，借鉴国际最佳实践经验，为全面指导XX市地税局的信息安全工作而制定的方针政策。 信息安全保障体系的架构，是从税务行业的业务需求