信息化系统安全与存储设计方案.docxVIP

PAGE1

信息化系统安全与存储

设计方案

XXX科技有限公司

20XX年XX月XX日

目录

TOC\h\z\u\t标题1,1,标题2,2,标题3,3一对信息安全等级保护的理解 4

二设计依据 6

三软件安全需求 6

四安全与存储设计方案 7

4.1方案设计目标 7

4.2方案设计框架与主要内容 7

五安全与存储技术体系 10

5.1物理安全 10

5.2网络安全 11

5.3主机安全 13

5.4应用安全 13

5.5数据安全存储和备份恢复 14

六信息保护方案 16

6.1系统实施时考虑的关键安全要素 16

6.2数据存储安全实施方法 17

6.3数据传输安全实施方法 17

6.4数据处理安全实施方法 18

七认证授权方案 18

7.1系统实施时考虑的关键安全要素 18

7.1.1身份鉴别 18

7.1.2访问控制策略 20

7.1.3特权管理 21

7.1.4访问颗粒度 21

7.1.5权限划分 21

7.2粗颗粒度身份认证和授权管理实施方法 22

7.3细颗粒度身份认证和授权管理实施方法 23

7.4管理权限管理实施方法 24

八访问控制方案 25

8.1系统实施时考虑的关键安全要素 25

8.1.1访问控制 25

8.1.2强制访问控制 26

8.2功能访问控制实施方法 26

8.3信息访问控制实施方法 26

8.4访问控制记录实施方法 27

九审计与责任认定方案 27

9.1系统实施时考虑的关键安全要素 27

9.1.1安全审计与监控 27

9.1.2安全审计的范围 28

9.1.3安全审计的内容 29

9.1.4应用系统安全审计通用要求 29

9.1.5审计保护 30

9.1.6审计间隔 31

9.2安全审计服务实施方法 31

9.3审计信息访问控制实施方法 31

9.4审计记录管理实施方法 32

9.5审计记录的增值应用实施方法 32

十安全管理体系 32

10.1安全管理制度 32

10.2最高方针 33

10.3技术标准和规范 34

10.4管理制度和规定 34

10.5组织机构和人员职责 34

10.6安全操作流程 35

10.7用户协议 35

10.8安全管理机构 35

10.9系统建设管理 38

10.10信息安全标准、规范及制度 39

十一安全运维服务设计 41

11.1安全扫描 41

11.2人工检查 42

11.3安全加固 42

11.4日志分析 46

11.5补丁管理 47

11.6安全监控 49

11.7安全通告 50

11.8政务响应 51

11.9安全运维服务的客户价值 53

十二安全防护体系 54

12.1安全策略设计 54

12.2建立操作日志 55

12.3身份鉴别 55

12.4访问控制 56

12.5安全审计 56

12.6入侵检测 56

12.7恶意代码防范 56

12.8软件容错 57

12.9备份恢复 57

12.10系统运维 57

对信息安全等级保护的理解

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家必威体育官网网址局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家必威体育官网网址工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家必威体育官网网址工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生