信息系统安全规划建议书

项目编号： 信息系统安全规划 2006信息系统安全规划建议书 第 2 页 共 214 页 文档控制 一 文档信息 文档名称 信息系统安全规划建议书 保密级别 秘密 项目编号 文档管理编号 管理人 制作人 制作日期 审人 复审日期 散范围 项目相关人员 二版本控制 版本 提交日期 修改者 版本描述 初稿 三 分发说明 鉴于本文档介绍了 实施信息系统安全规划及其他安全服务的主要思路和方法，为保障 的利益，建议 采取可信的渠道分发本文档，要求如下： 由负责信息安全的专职机构统一规定可获取本文档的授权人员。未经专职机构允许，授权人员不得将本文档（包括复制件）传递给他人。 专职机构应规定获取本文档的途径，包括以纸面文本形式下发，以电子版方式分发，以电子邮件的方式传递等。对各种分发途径应采取密封或者加密的保密方式。 专职机构应及时将本文档的版本变更情况通知给授权人员。对变更内容的分发也应遵循以上所有要求。 信息系统安全规划建议书 第 3 页 共 214 页 目录 一 文档信息 . 2 二版本控制 . 2 三 分发说明 . 2 1 前言 . 10 景介绍 . 10 标和范围 . 10 2 安全现状和需求分析 . 14 全现状 . 14 信息系统安全构成要素 . 14 信息系统面临的威胁 . 17 胁的来源 . 18 胁的方法 . 19 系统信息安全风险分析 . 21 理层面的安全风险 . 21 络层面的安全风险 . 22 统层面的安全风险 . 24 用层面的安全风险 . 26 理层面的安全风险 . 28 全体系需求分析 . 30 设安全基础设施 的需求 . 30 息和网络安全级别划分的需求 . 30 息安全策略需求 . 30 全组织保障需求 . 31 息安全管理需求 . 32 息安全标准与规范需求 . 32 理安全需求 . 33 络安全需求 . 34 统安全需求 . 35 据库系统安全需求 . 36 用安全需求 . 38 行安全需求 . 38 3 安全设计的依据 . 41 据的标准和规范 . 41 据计算机信息系统安全保护等级划分准则 . 43 照国家 27 号文件精神 . 43 照信息保障技术框架 . 44 全方法论模型 . 44 信息系统安全规划建议书 第 4 页 共 214 页 辑结构模型 . 44 4 安全规划思路和体系结构 . 45 划原则和目标 . 45 全设计原则 . 45 全设计目标 . 46 全设计策略 . 46 划思路 . 48 全总体体系结构 . 52 息安全总体体系 . 52 全模型的分层安全保护 . 53 全机制和服务 . 55 全管理 . 56 全等级保护的要求 . 59 全等级管理要求 . 59 一级 一般管理要求 . 59 二级 重要管理要求 . 60 三级 关键管理要求 . 65 级安全域的设计 . 68 全域的概念 . 68 全域设计的原则 . 68 全域的设计 . 69 信息资产的分级和分类 . 70 用系统业务安全级别划分 . 71 息和数据安全级别划分 . 71 务器安全级别划分 . 72 作系统安全级别划分 . 72 据库管理系统安全级别划分 . 73 络节点安全级别划分 . 73 房安全级别划分 . 74 质安全级别划分 . 74 全设施的安全级别 . 75 5 信息系统安全管理体系 . 76 述 . 76 全组织管理 . 78 全组织体系 . 79 员安全管理 . 82 全管理策略 . 86 全策略规划 . 86 理环境和设备安全 . 90 行及维护安全 . 98 务应用安全 . 106 统规划与开发安全 . 109 息安全应急管理 . 114 信息系统安全规划建议书 第 5 页 共 214 页 统安全运作管理 . 117 统安全生命周期 . 117 统安全风险评估 . 118 统的安全规划和验证 . 118 常运维和操作 . 118 全集中管理 . 120 全管理规章制度完善 . 122 全管理制度范围 . 122 全管理规章制度的制定和评审 . 125 全管理规章制度的实施和监督 . 126 全管理规章制度要点 . 128 全体系建设管理保障 . 131 导重视 . 131 范管理 . 131 息安全保障组织体系 . 132 息安全队伍的建设 . 132 金保证 . 132 6 网络与系统安全体系 . 133 标 . 133 则 . 133 体架构 . 133 界确认和安全域划分 . 133 干网安全 . 134 干网传输安全 . 134 量与带宽控制 . 135 善措施 . 135 界防护 . 135 外信息发布系统的防护 . 135 属省局接入控制 . 137 三方网络接入控制 . 139 务系统的防护 . 141 算环境安全 . 143 机和数据库安全 . 143 络设备安全 . 145 全管理平台 . 147 户环境安全 . 148 份系统 . 152 路备份 . 152 备备份 . 152 统备份 . 152 用数据的备份方案 . 152 据容灾备份 . 154 难备份和灾难恢复中心建设需求 . 155 难恢复与灾难备份中心的现状 . 155 信息系统安全规划建议书 第 6 页 共 214 页 设灾难恢复与灾难备份中心的考虑 . 155 7 安全基础设施 . 157 术原理 . 157 网上系统的安全基础设施 . 160 上系统 统的部署结构 . 160 上系统 证书认证系统配置 . 160 上系统授权管理系统部署 . 161 上系统授权管理系统配置 . 162 内网系统的安全基础设施 . 162 统结构设计 . 163 略设计 . 164 网 统设计 . 165 络结构和具体部署 . 171 合技术指标要求 . 172 网 A 安全基础设施系统配置 . 174 8 应用系统安全体系 . 175 用支撑平台 . 175 台的设计目标 . 175 台结构与功能 . 176 用系统安全方案 . 178 务系统现状 . 178 务系统安全需求分析 . 180 全改造方案基本原则 . 182 全方案的主要依据 . 182 务系统安全改造策略 . 183 网应用安全结构设计 . 186 网应用安全功能设计 . 187 务系统安全流程设计 . 189 9 安全培训与第三方服务 . 195 全培训 . 195 息安全教育与培训的重要意义 .