呵呵哈哈哈还好还好哈哈哈哈
范文一:信息安全体系建设
信息安全体系建设分享
中国人民大学网络与教育技术中心 孟坛魁 10-11-7
提纲
信息安全保障体系建设背景 ?? 中国人民大学的具体实施 ?? 几项重点工作 ?? 下一步工作
??
信息安全的历史发展
通信保密:20世纪40-70年代 ?? 计算机系统安全:20世纪70-80年代 ?? 网络时代信息安全:20世纪90年代以来 ?? 信息安全保障:信息的保密性、完整性、 可用性、可控性、可审查性
??
??
对信息安全的认识过程可概括为数据安全阶段、 网络信息安全时代和目前的信息安全保障时代 三个阶段
学校信息安全现状
教育信息化全面深入发展 ?? 学校运行日益依赖各类信息系统,其基 础性、全局性作用日益增强 ?? 已经部署大量安全产品:防火墙、防病 毒、IPS、IDS、漏洞扫描等 ?? 安全事件仍然层出不穷,安全形势不容 乐观 ?? 高校的特殊影响力更使其信息系统成为 攻击重点目标
??
国家政策
2003年中办、国办转发的《国家信息化 领导小组关于加强信息安全保障工作的 意见》 ?? 2005年发布的《关于信息安全等级保护 的实施意见》(公通字 [2005] 66号)
??
信息化建设过程分析
?网 80% 20% 80% 20%
80% 20% ?人 ?行行 20%
80%
?无
20%
80%
WEB ?用
20%
80% ?无 权
20%
80% ?用
渗透测试
风险评估
体系规划
解决方案
体系建设
安全运维
安全与大学信息化体系
应用拓展中心 运行服务中心
安全运行 管理中心 网络基础
数据中心 身份认证中心
信息素养 训练中心
提纲
信息安全保障体系建设背景 ?? 中国人民大学的具体实施 ?? 几项重点工作 ?? 下一步工作
??
指导原则和实施路线
??
??
指导原则:总体规划、适度防护,分级分域、 强化控制,保障核心、提升管理,支撑应用、 规范运维。 路线图
安全现状主要问题
?? ?? ?? ?? ?? ?? ?? ??
高校领域没有总体安全标准指引,方向不明确,缺少主线。 对国际国内信息安全法律法规缺乏深刻意识和认识。 信息安全机构不完善,缺乏总体安全方针与策略,职责不够明确。 教职员工和学生数量庞大,管理复杂,人员安全意识相对薄弱, 日常安全问题多。 建设投资和投入有限,运维和管理人员的信息安全专业能力有待 提高。 内部管理相对松散,缺乏安全监管及检查机制,无法有效整体管 控。 缺乏信息安全总体规划,难以全面提升管理与防护水平,“头痛 医头,脚痛医脚”。 缺乏监控、预警、响应、恢复的集中运行管理手段,无法提高安 全运维能力。
??
人、制度、技术
安全体系建设目标
信息安全建设总体目标
??
建立、完善信
息安全保障体系,满足国家层面相关政策以及法 律法规要求; 确立高校教育行业信息化建设领先地位,为建立行业信息化建 设与运维标准规范积累经验; 立足为人民大学整体提供支撑服务,建立统一安全策略支撑平 台,确保学校主要信息系统实现其设计目的; 有效防范和控制信息安全风险,增强信息系统安全预警和应急 处置能力,显著提高人民大学信息安全保障水平。
??
??
??
安全体系设计依据
??
政策依据
?? ?? ?? ?? ??
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令,1994年) 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 《信息安全等级保护管理办法》(公通字[2007]43号) 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
??
技术标准
?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??
《信息安全技术 信息系统安全等级保护定级指南》(GBT 22240-2008) 《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008) 《信息安全保障体系》ISO27001 国际标准 《信息系统等级保护安全建设技术方案设计要求》(征求意见稿) 《信息系统安全等级保护实施指南》(国标报批稿) 《信息系统安全等级保护测评规范》(国标报批稿) 《电子政务信息安全等级保护实施指南》(试用稿) 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《信息系统通用安全技术要求》(GB/T20271) 《网络基础安全技术要求》(GB/T20270) 《信息保障技术框架》(IATF) 《操作系统安全技术要求》(GB/T20272) 《数据库管理系统安全技术要求》(GB/T20273) 《终端计算机系统安全等级技术要求》(GA/T671) 《信息系统安全管理要求》(GB/T20269) 《信息系统安全工程管理要求》(GB/T20282) 《电子计算机场地通用规范》(GB/T 2887-2000) 《计算站场地安全要求》(GB 9361-1988) 《电子计算机机房设计规范》(GB 50174)
信息安全保障体系基础模型IATF
IATF:Information Assurance Technical Framework
人(安全组织和人员),按照规则(安全管理制度及流程),使用技术工具 (安全技术)进行操作(系统建设和系统运维) ,最终实现信息安全保障目标。
信息安全保障体系框架
信息安全保障体系框架
??
??
?? ??
??
安全策略:指导性,明确目的、目标和管理意 图 安全组织:明确组织体系及职责,包括制度、 机构和人员管理 安全运行:过
程规范,含系统建设和运维 安全技术:具体技术实现,覆盖物理、网络、 主机、应用和数据五个层面 安全运维:基于ITIL,实现人、技术与流程的 完美结合
信息安全体系建设小结
安全体系主要由人、制度和技术构成 ?? 人是安全体系中最薄弱环节 ?? 制度是安全体系的基础 ?? 技术是安全体系的保障手段
??
提纲
信息安全保障体系建设背景 ?? 中国人民大学的具体实施 ?? 几项重点工作 ?? 下一步工作
??
安全渗透测试
测试对象:38个网站、2个关键系统和6 台主机系统 ?? 测试任务:收集网站信息、网站威胁分 析、脆弱性分析和渗透入侵测评、提升 权限测评、获取代码、渗透测评报告 ?? 测试结果:发现高危漏洞20个
??
风险评估和安全加固
实施对象:网络平台、认证计费系统、 校园一卡通、电子校务系统、电子邮件 系统和网站群共六大信息系统 ?? 主要工作任务:系统调研、方案编写、 现场检测、资产分析、威胁分析、脆弱 性分析和风险分析以及安全加固 ?? 安全加固:涉及4台网络设备和14台主机 设备
??
风险评估和安全加固
严重程度 最高 高 中等 较低 威胁类别 误用 信息收集 信息截取 拒绝服务攻击 恶意代码和病毒 溢出攻击 物理损坏 数量 4 95 88 15 数量 85 27 39 36 26 19 3
安全体系规划
??
??
?? ?? ??
对学校整体信息系统的安全工作进行规划和设 计,通过逐步建设来满足学校的信息安全目标 及国家相关政策和标准的要求 参考业界的最佳实践ISMS(信息安全管理体系), 结合学校实际情况,制定本校信息安全管理体 系 组织结构更为合理:设立信息安全专员 人员安全意识提高 信息安全体系保障了IT服务质量的提高
提纲
信息安全保障体系建设背景 ?? 中国人民大学的具体实施 ?? 几项重点工作 ?? 下一步工作
??
下一步工作
安全防护体系 ?? 安全运维体系 ?? 安全审计体系
??
安全防护体系
??
三个层次安全域:采用多层防护策略可成倍增加攻击成本和难度
?? ?? ??
整个信息系统 应用系统 应用系统内部不同子系统 CA安全区 KMC管理区 RA注册区 统一身份管理 统一身份认证 统一访问授权 统一审计管理 数据安全引擎 单点登录
??
公钥基础设施
?? ?? ??
??
应用安全支撑平台
?? ?? ?? ?? ?? ??
安全运维体系
??
ITSM集中运维管理
?? 集中统一监控 ?? 基于ITIL的IT服务管理
??
以用户为中心集中策略管理
?? 终端安全统一管理 ?? 事前认证、事中监控、事后审计
??
定期安全检测
安全审计体系
记录和分析:为安全
管理制度和规范提 供更进一步的安全预防和完善 ?? 定期审计:确保当前安全策略的有效性、 集中发现网络行为的合规性、识别非授 权访问和入侵 ?? 为系统管理员及高层管理员提供监督检 查信息系统运行状况的手段
??
安全建设规划
序号 1 类别 管理类 安全建设项目 安全管理体系建设 2009年 2010年 2011年
2
服务类
安全运维服务
安全域划分与隔离(包含设备采购)
4A平台建设 3 技术类 应用及数据库监控
安全运行管理中心(SOC)
谢谢!
范文二:科研信息安全保障体系建设方案
. 厮 ■doi二10.3969,j.issn.1671-1122.2010.佃.009
科研信息化安全
保障体系建设方案 卜鬃◆豢。
●
作者简介:吴丽辉(1974-),女,博士,主要研究方向:网络信息安全等;张海霞(1981一),女,博士,主要研究方向:网络信息安全等;连一
峰(1974一),男,副研究员,博士,主要研究方向:网络信息安全等。
——27广 万方数据
20lO.10\
1设计原理与思路
1.1方案原理
信息安全保障体系建设需要解决信息保护需求是什么、 何种技术能够满足保护需求以及采用何种产品或服务完成需 求实现pJ。科研信息化安全保障体系参照P2DR模型18】的核 ’
心思想进行体系的构建,从而形成一整套运维管理体系。
由美国ISS公司提出的动态网络安全体系的代表模 型P2DR模型,包括四个主要部分:Policy(安全策略)、 Protection(防护)、Detection(检测)和Response(响应)o该模 型是在整体的安全策略的控制和指导下,在综合运用防护工 具(如防火墙、操作系统身份认证、加密等)的同时,利用检 测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状 态,通过适当的反应将系统调整到“最安全”和“风险最低” 的状态。防护、检测和响应组成了一个完整的、动态的安全循环, 在安全策略的指导下保证信息系统的安全。该模型重点阐述 的是防护的原理,在实际信息安全保障体系建设中为了保证策 略的落实和防护体系措施等的正常运转,往往需要借助技术 手段、管理组织架构和运维服务体系i大方面来确保模型的 实现。因此,科研信息化安全保障体系建设解决方案采用的 是扩展的P2DR模型,原理如图l所示。
的建设方案同样需要符合通用安全保障体系的框架。
第三,科研信息化安全保障体系针对科研信息化支撑平 台形成涵盖安全技术保障、安全管理保障和安全运维保障体 系在内的三个相互支撑的综合保障。
图2科研信息化安全保障体系建设方案思路
1.3设计步骤
图3所示为科研信息化安全保障体系建设方案的设计步 骤。一是通过需求的调研访谈和安全现状的评估进行安全需 求分析;二是进行信息系统总体架构设计;三是针对总体框 架设计进行保障体系设计,包括管理保障体系设计、技术保 障体系设计和运维保障体系设计;四是经过评审的方案用于指 导规划与实施工作。图3所示虚线标示部分不在本文论述范 围之内。
图1科研信息化安全保障体系建设解决方粟原理图
1.2方案思路
图2所示为科研信息化安全保障体系建设的方案思路。 该思路的主要思想包括以下几点:
第一,科研信息化安全保障体系建设是标准规范和政策
图3科研信息化安全保障体系建设方案设计步骤
篓妻苎竺銎合和应用。例妣此紫笔竺墨笔雯慧差矍曼2应用分析 际相关标准CC、ITSEC、TCSEC等,同时参照国内安全相关
~…“”。 标准GB
17859、GB/T 22239、GB/T 20271、GB/T
20984等。
2.1需求分析
此外科研信息化安全保障体系建设也与国家的政策法规密切 中国科学院在其信息化建设州不断开展的过程中逐步累 相关,例如中办发【2003127号文、公通字【2007143号文、发 积形成其自身独具特色的信息安全保障体系建设需求,主要 改高技2071号文等。
包括来自中国科学院院内各单位、信息化建设与管理部门的科 第二。科研信息化安全保障体系建设从安全现状评估出
研管理需求、科研业务需求和信息安全需求。
发,经过需求分析、依据标准规范的安全体系设计、结合保
科研管理需求指在中国科学院正常业务运转过程中管理 障体系的框架设计,形成最终的科研信息化安全保障体系建 决策、科研管理需要的相关信息。其中,科研管理需求满足 设方案。不了解现状和需求无从进行体系建设方案设计,因此, 相关部门对于中国科学院科研信息的汇总、存储和处理需求; 需求分析源于对安全现状的评估和安全需求的深入分析和了
管理决策需求便于了解中国科学院各单位的科研业务,为中国 解。在当前国内等级保护体系下,满足需求的同时需要考虑标
科学院相关工作决策提供依据。
准规范对系统建设等提出的要求。另外,作为安全保障体系
科研业务需求指中国科学院各单位业务流转与信息交互的
万方数据
,历而
环境需求,即中国科学院各单位在正常业务运作过程中需要通 过网络进行业务处理和信息交互的平台和环境需求。科研业务 需求主要包括内部业务流转与信息处理、信息交互需求。
信息安全需求指中国科学院各单位需要全面的信息安全保 障体系,包括统一病毒防范体系、灾备中心、应急机制和主机 安全防护。统一的病毒防范体系即在中国科学院范围内实现统 一的病毒防护和病毒库的统—更新;灾备啦0与应急机制则是 建立针对全院重要信息和应用系统的灾备基础设施及保障机制; 主机安全防护是对全院范围内重点主机进行统一的安全加固。 2.2保障体系设计
2.2.1原则
为了最大限度地满足中国科学院各类应用系统需求,确 保信息系统的安全稳定运行,且能与当前计算机及网络技术 发展水平相适应,中国科学院安全保障体系建设方案的设计 遵循如下原则:
高可靠性原则——具有很高的容错能力,具有抵御外界 环境和人为操作失误的容错能力,确保单点故障不影响整个 网络的征程运作;
高性能原则——具有较高的传输带宽,在高负荷情况下 仍然具有较高的吞吐能力和效率,延迟低;
安全性原则——具有保证系统安全,防止系统被人为破 坏的能力。支持AAA功能、ACL、IPSEC、NAT、路由验证、 CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能; 扩展性原则——易于增加新设备、新用户,易于和各种公 用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分 保护现有投资利益;
开放性原则——符合开放性规范,方便接入不同厂商的 设备和网络产品;
标准化原则——网络规划设计符合国家等级保护等相关 国家安全标准; ’
实用性原则——具有良好的性能价格比,经济实用,拓 扑结构和技术符合骨干网信息量大、信息流集中的特点。 2.2.2安全管理体系
图4管理安全体系主要内容
科研信息化安全保障体系建设重点建设完成安全策略体 系、组织体系和运作体系,如图4所示。其中安全策略体系框 架如表1所示。
襄1安全策略体系
策略层面 策略描述
对抗自然灾害.防JI:强点磁场、强震动源和强噪声源 防止宙击事件大画积发生
物理层
能够实现自动灭火、火灾检测和报警
水患检测和报警
安全策略
防Jj:静电导致大面积设备被破坏
温度fI动枪测和控制
防J}电压波动,对抗长时间断电
带宽分6C合理
网络、系统、应用、数据、文件和其他资源的访问控制 网络层 入侵行为检测、分析、响应和阻断
安全策略 恶意代码的检测、分析、阻止和清除
恶意代码库和搜索tjl擎及时更新
网络用户访问身份豁别
安全域 数据.文什或其他资源的自主访『丌l控制
内部策略 数据、文件或其他资源的强制访问控制
系统层
安全策略
系统软件.应用软件的容错保护
存储信息的剩余fj息保护
防止恶意代码杠网络中的扩散
网络.系统应用访问的身份鉴别
网络.系统、应川,数据.文件或其他资源的访问控制 应用层
存储介质的剩余信息保护
传输和存储数据的完整件保护和纠错
安全策略
传输和存储数据的保密性保护
信息源发的鉴别和基J:密码技术的抗抵赖
软件容错与用户误操作检测、撤警和恢复
数据层
数据和程序的完整性检测和纠错
鉴别数据传输保密
安全策略
对抗fI然灾害(数据备份和恢复)
网络、系统和应用的自主访问控制
安全域边界策略
边界完整俘检测。j甜t断
非敏感数据可在各级别之间双向传输
安全域互联策略 低等级的敏感数据?l『以向高等级传输
高等级的敏感数据不能向低等级传输
机房、网络、主机、安全设备、应用等各类设施、设备 的安仑部署与安伞配胃策略
各类设备的日常安全运维管理策略
数据备份恢复策略
安全管理运维策略
安全事件应急策略
服务人员日常J.作策略
服务人员录用.考核,管理策略
系统新建、改造、日常运维策略
2_2.3安全技术体系
具体建设内容包括:统一规划技术建设体系,符合国家 标准与满足用户自身需求,合理划分安全域;合理规划用户 权限,做到既保障了数据的安全性又方便了用户的使用;统一 加强安全防护,包括安全检测、安全加固配置、防病毒软件安 装等;统一构建数据中心,制定有效的灾备方案,保障数据存 储管理的安全性;通过安全管理体系及相关安全策略规范安全 部门、安全工作人员的岗位职责与t作内容,提升工作效率。安 全技术体系如表2所示。
表2安全技术体系框架
体系分类 具体措施
机房安全建设与安全管理
基础设施统一安全规划 网络统一规划。统一运维管理
安全设备的擘业化管理‘j高效实用
{!15障业务应用安全
应用与数据安全保护 数据安全使.|fj管理
构建安全灾备体系
2.2.4安全运维体系
安全运维体系重点包括如下,几个部分:
1)人员岗位职责管理。定义和规范安全管理、支持和维 @下转第82页
——29万方数据
2010.10\
练在应急事件中依国家政策与程序进行战略决策和机构间协 调;3)验证信息共享关系和通信线路,以利于有关网络事件 态势、响应、恢复等信息的搜集与分析;4)检验跨边界与领 域共享敏感信息方法与程序,以不至于危害信息特性及国家 利益。演习攻击手段:DOS,BOTNET、FISHING、黑客人侵、 域名重放、电子攻击等,攻击高达1800次。攻击目标:化工、 交通运输(铁路、管线)、IT设施、通信及其他资产。演习指 挥部:华盛顿。演习场所各国共60余处。
网络风暴3演习(CSE3)预计于2010年9月底或lO月初 举行,美、英、加、澳、新、日本及欧洲的9个国家参加。该 演习不攻击实用系统。
网络空间防御演习(CDX)是2001年开始的由美国国防 部国家安全局主导的以军事学校为主要参加单位的演习。西点 军校、空军学院、海军研究生院、海军学院、海岸警卫学院、 美国商船学院、空军技术学院等学校参加了演习。每年举行 一次,按规则评出优胜者。目的是培养军队网络战人才.现已 成为美国培养网络攻防方面人才的重要基地。
2008年起美国DARPA开始执行一个网络靶场建造计划, 这是一个战略性庞大工程,对美国争当网络空间霸主将产生‘革 命性”(DARPA语)影响。
7广泛开展网络安全意识教育
西方国家在构建网络空间安全机制过程中十分重视全民 信息安全意识教育。
@上接第29页
1)安排专门经费对全国有关人员进行教育。如美国国土 安全部近几年来,就在国土安全教育上付出数十亿美元,其 中包括网络安全教育;2)安排专门时间进行教育。美国周土 安全部规定每年10月1日起国土安全部组织一个月的安全教 育,其中重要内容是网络安全问题。部长级干部亲自出席主持、 讲话、宣传;3)在网络安全组织中,安排专门人员从事日常 安全教育工作。欧美各国均做了这种安排;4)指定重点院校 专门培养网络安全人才,国家资助学费,毕业学生在国家或军 队部门按合同工作若干年;5)通过演习等接受信息安全、网 络安全教育。美、英、澳等国均在演习时邀请机关、企业、学 生参与或参观。
8大力加强内联外合
美国在国家网络安全政策评估报告中已明确提出,单靠 美国自己解决不了网络空间安全问题。欧美在自己的战略规划 中都强调:在国内要加强政府、企业和私人之间的紧密联合, 在国外要加强与盟国、利益攸关方合作或接触。
近几年来,通过网络风暴演习.美国事实上已与英、加、澳、 新在—定程度上结成网络空间联盟,明年将有15国参加网络 风暴演习,进一步扩大了联合范围。此外,双边、多边合作也 在发展,如美印合作、英澳合作、德爱等七国合作,都已有 国家间正式协议。
可以预料,不久的将来,在网络空间的斗争上,我们可能 面对的不再是某个国家,而是某一个国家集团。◆(责编张岩)
护的不同岗位、职责,明确定义对不同安全工具的维护、检 查策略和周期。通过安全人员调度管理模块自动调度、分派、 跟踪这些任务,督促和强制运维支持人员落实、实施各项安 全管理规范、制度;2)安全事件处理。接收安全管理工具发 现的安全问题以及运维支持人员维护中发现的安全问题,督 促这些问题的解决。把故障处理过程记录下来,形成科研信 息化宝贵的安全故障案例库;3)安全任务调度管理。按照安 全管理维护策略,自动生成安全任务,督促运行维护人员按 时执行安全维护任务,保证安全管理策略和制度的落实;4) 安全知识共享。集中记录和维护安全管理员获取的安全知识 经验、运维人员日常积累的运维经验以及安全管理—r具自动获 取的安全管理经验,供支持维护人员参考借鉴,以加快安全 问题处理速度,提升安全意识;5)设备配置维护。集中维护 各个安全管理工具的设备配置情况,保证配置修改的规范性。 为运维支持人员日常解决安全问题、执行安全任务提供帮助。 3结论
科研信息化安全保障体系建设方案参照国内外相关标准 进行设。、汁’将P2DR模型与安全保障体系建设的实践相结合, 是信息安全相关理论、标准规范在实际中的一次应用。运用 该流程方法形成的中国科学院信息安全保障体系建设方案在 突出科研信息化系统自身特点的基础上,以安全管理为约束、 安全技术为手段、安全运维为保障的方式为科研信息化支撑 提供了有力的保障,可为国内科研领域信息化安全保障体系建 设提供参考。◆(责编杨晨)
参考文献:
【ll沈昌祥.关于加强我国信息安全保障体系建设思考fEB/oLl,http://
www.miit.gov.cn/n11293472/n11295344/n11297007/12430892.hm-J.
【2】中华人民共和国国务院.中华人民共和国计算机信息系统安全保 护务例.国务院147号令.
【3】国家质量技术监督局.计算机信息系统安全保护等级划分准则, GB 17859-1999.
f4】4国家质量技术监督局.信息技术安全技术信息技术安全性评估准 则.GB/T 18336—2008.
【515国家质量技术监督局.信息系统安全等级保护基本要求,GB/T 22239-20A)8.
【616中共中央办公厅.国家信息化领导小组关于加强信息安全保障工 作的意见,中办发f2003127号文.
【7】美国国家安全局(NSA).The Information Assurance Technical Fmmework(IATF),2000.
【81刘远生.计算机网络安全fM】.北京:清华大学出版社,2006. 【9J中国科学院.中国科学院信息化发展报告【R】.2009.
万方数据
科研信息化安全保障体系建设方案
作者:吴丽辉 , 张海霞 , 连一峰
作者单位:吴丽辉(中国科学院办公厅信息化工作处,北京,100864) , 张海霞,连一峰(中国科学院软件 研究所,北京,100190)
刊名:
信息网络安全
英文刊名:NETINFO SECURITY
年,卷(期):2010,(10)
被引用次数:0次
参考文献(9条)
1. 沈昌祥 关于加强我国信息安全保障体系建设思考
2. 美国国家安全局(NSA)The Information Assurance Technical Framework(IATF) 2000
3. 刘远生 计算机网络安全 2006
4. 中国科学院 中国科学院信息化发展报告 2009
5. 中华人民共和国国务院 中华人民共和国计算机信息系统安全保护条例
6. 国家质量技术监督局 GB 17859-1999.计算机信息系统安全保护等级划分准则
7. 国家质量技术监督局 GB/T 18336-2008.信息技术安全技术信息技术安全性评估准则
8. 国家质量技术监督局 GB/T 22239-2008.信息系统安全等级保护基本要求
9. 中共中央办公厅 国家信息化领导小组关于加强信息安全保障工作的意见
本文链接:http://d.g.wanfangdata.com.cn/Periodical_xxwlaq201010010.aspx
授权使用:北京方正奥德计算机系统有限公司(zhghgxx),授权号:6be2d448-c010-48d1-9cb7-9e960101545e下载时间:2011年2月26日
范文三:信息安全体系方案
信息安全体系方案
(第一部分综述)
目
1录概述.........................................................................................................................4
1.1
1.2信息安全建设思路...................................................................................4信息安全建设内容...................................................................................6
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.2.6
1.2.7
1.2.8
1.2.9
1.3建立管理组织机构............................................................................6物理安全建设....................................................................................6网络安全建设....................................................................................6系统安全建设....................................................................................7应用安全建设....................................................................................7系统和数据备份管理........................................................................7应急响应管理....................................................................................7灾难恢复管理....................................................................................7人员管理和教育培训........................................................................8信息安全建设原则...................................................................................8
1.3.1
1.3.2
1.3.3
1.3.4统一规划............................................................................................8分步有序实施....................................................................................8技术管理并重....................................................................................8突出安全保障....................................................................................92
3信息安全建设基本方针.........................................................................................9信息安全建设目标.................................................................................................9
3.1
3.2
3.3一个目标.................................................................................................10两种手段.................................................................................................10三个体系.................................................................................................10
4信息安全体系建立的原则...................................................................................10
4.1
4.2
4.3标准性原则.............................................................................................10整体性原则.............................................................................................11实用性原则.............................................................................................11
4.4
5先进性原则.............................................................................................11信息安全策略.......................................................................................................11
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
5.9
5.10物理安全策略.........................................................................................12网络安全策略.........................................................................................13系统安全策略.........................................................................................13病毒管理策略.........................................................................................14身份认证策略.........................................................................................15用户授权与访问控制策略.....................................................................15数据加密策略.........................................................................................16数据备份与灾难恢复.............................................................................17应急响应策略.........................................................................................17安全教育策略.........................................................................................17
6信息安全体系框架...............................................................................................18
6.1
6.2安全目标模型.........................................................................................18信息安全体系框架组成.........................................................................20
6.2.1
6.2.2
6.2.3
6.2.4
6.2.5安全策略..........................................................................................21安全技术体系..................................................................................21安全管理体系..................................................................................22运行保障体系..................................................................................25建设实施规划..................................................................................25
1.1信息安全建设思路
XX 信息安全建设工作的总体思路如下图所示:
XX 的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开,这两条主线在安全建设的过程中的关键节点又相互衔接和融和,最终形成一个完整的安全建设方案,并投入实施。
首先,XX 的信息化建设是基于当前通用的网络与信息系统基础技术,这使得信息化建设和安全技术有了一个共同的基础,使得XX 的针对性安全需求与通用的安全解决技术和方案有了一定的共通点和结合点。
在这个基础上,通过安全评估,对信息化建设和信息安全建设进行分析和总结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。
从支撑性安全技术的主线展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和方法。
在此基础之上,两条主线进入融和的阶段。信息安全领域的理论、框架和技术基础与XX 的安全问题有机地进行结合,有针对性地提出XX 安全保障总体策略。在这个安全保障总体策略中,包括了整体建设目标,安全技术策略,以及相应的管理策略。总体安全策略一方面充分体现了XX 对自身信息化建设中安全问题的针对性,另一方面也充分基于现有的信息安全领域的安全模型和技术支持能力,因此具备了可行性、针对性和前瞻性。
以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制定,包括安全技术体系,安全管理体系和运营保障体系。在现实的运营过程中,安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来提高整体安全性效果。
在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制定详细的信息安全系统实施方案和运营维护计划。
为了更加稳妥地进行全面的信息安全建设,在信息安全系统实施过程中首先进行试点项目建设,在试点项目建设中进一步积累经验,并对某些实施方案的细节进行调整,为建设实施顺利地全面开真打下基础。
信息安全体系建设的思路体现了以下的特点:
?
?
?
?统筹规划和设计在建设过程中占有非常重要的地位;充分结合建设现状与信息安全通用技术和理念;充分考虑了当前的建设现状以及未来业务发展的需要;注重安全管理体系的建设,以及管理、技术和保障的相互结合;
采取试点工程计划,使得信息安全建设实施更加稳妥。
1.2信息安全建设内容
XX 的信息安全建设所涉及的工作内容包括以下部分。
1.2.1建立管理组织机构
建立专职的信息安全监管机构,明确各级管理机构的人员岗位配置和职能权限,全面负责信息安全建设工作和维护信息安全系统的运营。
1.2.2物理安全建设
按照国家对于计算机机房的相关建设标准,制定统一的计算机机房建设标准和管理规范,对于计算机机房建设中的环境参数、保障机制,以及运行过程中的人员访问控制、监控措施等进行统一约定,颁布统一的计算机机房管理制度,对设备安全管理、介质安全管理、人员安全管理等作出详细的规定。
1.2.3网络安全建设
网络安全是信息安全保障的重点,制定统一的网络结构技术标准,对如何划分内部信息系统的安全区域,安全区域的边界采取的隔离措施,进行约定,保证内部网络与外部网络、办公网与业务生产网之间的安全隔离。
制定统一的互联网接入点、外联网接入点的技术标准和管理规范,统一约定网络边界接入点的网络结构、安全产品的部署模式,保证内部网络与外部网络之间的安全隔离。
制定统一的远程移动办公技术标准和管理规范,保证远程移动办公接入的安全性。
制定统一的网络安全系统建设标准和管理规范,包括防火墙、网络入侵检测、网络脆弱性分析、网络层加密等。
1.2.4系统安全建设
系统安全的工作内容包括制定统一的系统安全管理规范,包括主机入侵检测、系统安全漏洞分析和加固,提升服务器主机系统的安全级别。
制定统一的网络病毒查杀系统的建设标准和管理规范,有效抑制计算机病毒在内部网络和信息系统中的传播和蔓延。
1.2.5应用安全建设
应用安全机制在应用层为业务系统提供直接的安全保护,能够满足身份认证、用户授权与访问控制、数据安全传输等安全需求。
制定统一的身份认证、授权与访问控制、应用层通信加密等应用层安全系统的建设标准和管理规范,改善业务应用系统的整体安全性。
1.2.6系统和数据备份管理
系统和数据备份是重要的安全保障机制,为了保障业务数据的安全性,降低突发意外事件所带来的安全风险,制定统一的系统和数据备份标准与规范,采取先进的数据备份技术,保证业务数据和系统软件的安全性。
1.2.7应急响应管理
制定统一的应急响应计划标准,建立应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。在发生安全事件后,尽快作出适当的响应,将安全事件的负面影响降至最低,保障金融业务正常运转。
1.2.8灾难恢复管理
灾难是指对网络和信息系统造成任何破坏作用的意外事件,要制定详细的灾难恢复计划,考虑到数据大集中的安全需求,采用异地容灾备份等技术,确保数
据的安全性和业务的持续性,在灾难发生后,尽快完成恢复。
1.2.9人员管理和教育培训
制定统一的人员安全管理和教育培训规范,定期对信息系统的用户进行安全教育和培训,对普通用户进行基本的安全教育,对安全技术岗位的用户进行岗位技能培训,提高全员的安全意识,培养高素质的安全技术和管理队伍。
1.3信息安全建设原则
信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建设和运营的效果。
1.3.1统一规划
要对的信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。
1.3.2分步有序实施
信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行。
1.3.3技术管理并重
仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性,XX 信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范,指导的安全管理工作。
1.3.4突出安全保障
信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。
XX 信息安全体系建设的基本安全方针是“统一规划建设、全面综合防御、技术管理并重、保障运营安全”。
统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统一技术标准、管理规范,以及实施步骤的安排,也保证了人员和资金的投入。全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全机制的保护效果有机地结合起来,构成完整的立体防护体系。
技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,实现了最佳的保护效果。
保障运营安全,突出了安全保障的重要性,利用多种安全保障机制,保障了网络和信息系统的运行安全,也保障了金融业务的持续性和业务数据的安全性。
根据XX 信息安全体系建设的基本方针,XX 信息安全的建设目标,可以用“一个目标、两种手段、三个体系”进行概括。
3.1一个目标
XX 信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高XX 信息系统的整体安全等级,为XX 的业务发展提供坚实的信息安全保障。
3.2两种手段
信息安全体系的建设应该包括安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
3.3三个体系
XX 信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系、安全管理体系、以及运行保障体系。
XX 信息安全体系的设计与建设过程,遵循了以下基本指导原则。
4.1标准性原则
尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,包括在技术框架中与具体的信息安全技术相关的标准,以及在管理框架中与安全管理相关的标准。标准性原则从根本上保证了XX 的信息安全体系建设具有良好的全面性、标准性、和开放性。
4.2整体性原则
从宏观的、整体的角度出发,系统地建设XX 信息安全体系,不仅仅局限于安全技术层面,或者技术层面中孤立的安全技术,而是全面构架信息安全技术体系,覆盖从物理安全、通信和网络安全、主机系统安全、到数据和应用系统安全各个层面。同时,建立全面有效的安全管理体系和运行保障体系,使得安全技术体系发挥最佳的保障效果。
4.3实用性原则
建立信息安全体系,必须针对XX 网络和信息系统的特点,在现状分析和风险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的信息安全保障方案。同时,信息安全体系中的所有内容,都被用来指导XX 信息安全系统的建设和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。
实用性还体现在信息安全体系的建设过程中,由于内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行建设。
4.4先进性原则
信息安全体系中所涉及的安全技术和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,XX 的信息安全系统建设的需要,为网络和信息系统提供有效的安全服务保障。
信息安全策略是信息安全建设的核心,它描述了在信息安全建设过程中,需要对哪些重要的信息资产进行保护,以及如何进行保护。
在对营业部进行的安全风险评估的基础之上,明确了信息安全建设工作的内
容和重点,并形成了指导信息安全建设的《XX 信息安全总体策略》,总体策略的设计坚持了管理与技术并重的原则,以确保网络和信息系统的安全性为主,采用多重保护、最小授权、和严格管理等措施,从宏观整体的角度进行阐述,是信息安全建设总的指导原则。
按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。
随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。
5.1物理安全策略
?计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布
线施工方面的标准,保证物理环境安全。
?关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置
于计算机机房内部的适当位置,通过物理访问控制机制,保证这些设备自身的安全性。
?应当建立人员出入访问控制机制,严格控制人员出入计算机机房和其它
重要安全区域,访问控制机制还需要能够提供审计功能,便于检查和分析。
?应当指定专门的部门和人员,负责计算机机房的建设和管理工作,建立
24小时值班制度。
?建立计算机机房管理制度,对设备安全管理、介质安全管理、人员出入
访问控制管理等做出详细的规定。
?管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性
和实施状况进行检查,发现问题,进行改进。
5.2网络安全策略
?必须对网络和信息系统进行安全域划分,建立隔离保护机制,并且在各安全域之间建立访问控制机制,杜绝发生未授权的非法访问现象,特别的,必须对生产网和办公网进行划分和隔离。
?应当部署网络管理体系,管理网络资源和设备,实施监控网络系统的运行状态,降低网络故障带来的安全风险。
?应当对关键的通信线路、网络设备提供冗余设计,防止关键线路和设备的单点故障造成通信服务中断。
?应当在各安全域的边界,综合部署网络安全访问措施,包括防火墙、入侵检测、** ,建立多层次的,立体的网络安全防护体系。
?应当建立网络弱点分析机制,发现和弥补网络中存在的安全漏洞,及时进行自我完善。
?
?应当建立远程访问机制,实现安全的远程办公和移动办公。应当指定专门的部门和人员,负责网络安全系统的规划、建设、管理维护。
?应当建立网络安全系统的建设标准和相关的运营维护管理规范,在范围内指导实际的系统建设和维护管理。
?管理机构应当定期对网络安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
5.3系统安全策略
?应当对关键服务器主机设备提供冗余设计,防止单点故障造成网络服务中断。
?应当建立主机弱点分析机制,发现和弥补系统软件中存在的不当配置和安全漏洞,及时进行自我完善。
?应当建立主机系统软件版本维护机制,及时升级系统版本和补丁程序版
本,保持系统软件的最新状态。
?应当建立主机系统软件备份和恢复机制,在灾难事件发生之后,能够快
速实现系统恢复。
?可以建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对
主机发起的攻击行为,并及时向管理员报警。
?
?应当指定专门的部门和人员,负责主机系统的管理维护。应当建立主机系统管理规范,包括系统软件版本管理、主机弱点分析、
主机审计日志检查和分析、以及系统软件的备份和恢复等内容。
?应当建立桌面系统使用管理规范,约束和指导用户使用桌面系统,并对
其进行正确有效的配置和管理。
?管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检
查,发现问题,进行改进。
5.4病毒管理策略
?应当建立全面网络病毒查杀机制,实现XX 全网范围内的病毒防治,抑
止病毒的传播。
?所有内部网络上的计算机在联入内部网络之前,都应当安装和配置杀毒
软件,并且通过管理中心进行更新,任何用户不能禁用病毒扫描和查杀功能。
?
?所有内部网络上的计算机系统都应当定期进行完整的系统扫描。从外部介质安装数据和程序之前,或安装下载的数据和程序之前,必须
对其进行病毒扫描,以防止存在病毒感染操作系统和应用程序。
?第三方数据和程序在安装到内部网络的系统之前,必须在隔离受控的模
拟系统上进行病毒扫描测试。
?任何内部用户不能故意制造、执行、传播、或引入任何可以自我复制、
破坏或者影响计算机内存、存储介质、操作系统、应用程序的计算机代码
?
?应当指定专门的部门和人员,负责网络病毒防治系统的管理维护。应当建立网络病毒防治系统的管理规范,有效发挥病毒防治系统的安全
效能。
?应当建立桌面系统病毒防治管理规范,约束和指导用户在桌面系统上的
操作行为,以及对杀毒软件的配置和管理,达到保护桌面系统、抑止病毒传播的目的。
?管理机构应当定期对与病毒查杀有关安全管理制度的有效性和实施状况
进行检查,发现问题,进行改进。
5.5身份认证策略
?应当在范围内建立统一的用户身份管理基础设施,向应用系统提供集中
的用户身份认证服务。
?应当选择安全性高,投入收益比率较好,易管理维护的身份认证技术,
建立身份管理基础设施。
?每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前,
必须提交身份标识,并对其进行认证;员工离职时,要撤销其在信息系统内部的合法身份。
?应当对现有的应用系统进行技术改造,使用身份管理基础设施的安全服
务。
?应当建立专门的部门和岗位,负责用户身份的管理,以及身份管理基础
设施的建设、运行、维护。
?应当在范围内建立用户标识管理规范,对用户标识格式,产生和撤销流
程进行统一规定。
5.6用户授权与访问控制策略
?应当依托身份认证基础设施,将集中管理与分布式管理有机结合起来,
建立分级的用户授权与访问控制管理机制。
?每个内部员工在信息系统内部的操作行为必须被限定在合法授权的范围
之内;员工离职时,要撤销其在信息系统内部的所有访问权限。
?应当对现有的应用系统进行技术改造,使用授权与访问控制系统提供的
安全服务。
?应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建
设、运行、维护。
?应当在范围内,建立包括用户权限的授予和撤销在内的一整套管理流程
和制度。
5.7数据加密策略
?
?加密技术的采用和加密机制的建立,应该符合国家有关的法律和规定。应当建立内部信息系统的密级分级标准,判定信息系统在消息传输和数
据存储过程中,是否需要采用加密机制。
?应当建立密钥管理体制,保证密钥在产生、使用、存储、传输等环节中
的安全性。
?加密机制应当使用国际标准的密码算法,或者国内通过密码管理委员会
审批的专用算法,其中对称密码算法的密钥长度不得低于128比特,公钥密码算法的密钥长度不得低于1024比特。
?应当在物理上保证所有的硬件加密设备和软件加密程序,以及存储涉密
数据的介质载体的安全。
?
?应当指定专门的管理机构,负责本策略的维护,监督本策略的实施。任何内部信息系统,都需要向管理机构提出申请,经管理机构审批,获
得授权后,才能够使用加密机制。禁止任何内部信息系统和人员,在未授权的情况下,使用任何加密机制。
?管理机构应当每年对加密算法的选择范围和密钥长度的最低要求进行一
次复审和评估,使得本策略与加密技术的发展相适应。
5.8数据备份与灾难恢复
?在业务系统主要应用服务器中采用硬件冗余技术,避免硬件的单点故障导致服务中断。
?综合考虑性能和管理等因素,采用先进的系统和数据备份技术,在范围内建立统一的系统和数据备份机制,防止数据出现逻辑损坏。
?对业务系统采取适当的异地备份机制,使得数据备份计划具备一定的容灾能力。
?建立灾难恢复计划,提供灾难恢复手段,在灾难事件发生之后,快速对被破坏的信息系统进行恢复。
?应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
?
?建立日常数据备份管理制度,对备份周期和介质保管进行统一规定。建立灾难恢复计划,对人员进行灾难恢复培训,定期进行灾难恢复的模拟演练。
5.9应急响应策略
?应当建立应急响应CERT 中心,配置专门岗位,负责制定范围内的信息安全策略、完成计算机网络和系统安全事件的紧急响应、及时发布安全漏洞和补丁修补程序等安全公告、进行安全系统审计数据分析、以及提供安全教育和培训。
?应当制定详细的安全事件的应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。
5.10安全教育策略
?
?应该建立专门的机构和岗位,负责安全教育与培训计划的制定和执行应当制定详细的安全教育和培训计划,对信息安全技术和管理相关人员
进行安全专业知识和技能培训,对普通用户进行安全基础知识、安全策略和管理制度培训,提高人员的整体安全意识和安全操作水平。
管理机构应当定期对安全教育和培训的成果进行抽查和考核,检验安全
教育和培训活动的效果。
XX 进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,在这个体系中,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,才能够使得信息安全体系发挥最优的保障效果。
为此制定了《XX 信息安全体系框架》,该框架主体由《综述》、《安全技术框架》、《安全管理框架》、《运营保障框架》、《建设实施规划》五部分组成,从宏观上规划和管理的信息安全建设工作。
同时还制定了《XX 信息安全管理规范汇编》,包括了一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。
6.1安全目标模型
根据XX 信息安全体系建设目标和总体安全策略,建立了与之对应的目标模型,称为WP 2DRR 安全模型,该模型是基于时间的,由预警(Warning )、策略(Policy )、保护(Protection )、检测(Detection )、响应(Response )、恢复(Recovery )六个要素环节构成了一个完整的、动态的信息安全体系。预警、保护、检测、响应、恢复等环节都由技术内容和管理内容所构成。
?Policy(安全策略):根据风险分析和评估产生的安全策略描述了系统中
哪些资源要得到保护,以及如何实现对它们的保护等。在WP 2DRR 安全模型中,策略处于核心地位,所有的防护、检测、响应、恢复都依据安全策略展开实施,安全策略为安全管理提供管理方向和支持手段。
?Warining (预警):根据以前所掌握的系统的弱点和当前了解的犯罪趋势
预测未来可能受到的攻击和及危害。包括风险分析、病毒预报、黑客入侵趋势预报和情况通报、系统弱点报告和补丁到位。
?Protection (防护):通过修复系统漏洞、正确设计开发和安装安全系统
来预防安全事件的发生;通过定期检查来发现可能存在的系统弱点;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监控等手段来防止恶意威胁。
?Detection(检测):检测是非常重要的一个环节,检测是动态响应和加
强防护的依据,它也是强制落实安全策略的有力工具,通过检测和监控网络和信息系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
?Response (响应):响应是对安全事件做出反应,包括对检测到的系统异
常或者攻击行为做出响应动作,以及处理突发的安全事件。恰当的响应
动作和响应流程可以降低安全事件的不良影响,加强对重要资源的保护。 Recovery (恢复):灾难恢复能力直接决定了业务应用的持续可用性,任
何意外的突发事件都可能造成服务中断和数据受损,优秀的灾难恢复计划能够针对灾难事件做到未雨绸缪,即使系统和数据遭受破坏,也能够在最短的时间内,完成恢复操作。
WP 2DRR 安全模型的特点就是动态性和基于时间的特性。它阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。
WP 2DRR 模型是在传统的P2DR 模型的基础上新增加了预警Warning 和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行。
安全目标模型是信息安全体系框架的基础,XX 的信息安全体系框架紧密围绕这个安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。
6.2信息安全体系框架组成
通过对XX 的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了XX 信息安全体系框架,制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。
该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。在此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障三个层次的安全体系,达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。
XX 信息安全体系框架的总体结构如下图所示:
6.2.1安全策略
在这个框架中,安全策略是指导。安全策略与安全技术体系、安全组织和管理体系以及运行保障体系这三大体系之间的关系也是相互作用的。一方面,三大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标;另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。
6.2.2安全技术体系
安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这三个部分,以统一的信息安全基础设施
平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。
安全基础设施平台是以安全策略为指导,从物理和通信安全防护,网络安全防护,主机系统安全防护,应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。
安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题,应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供金融业务服务和内部信息管理服务。
安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。
统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。
6.2.3安全管理体系
安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。
技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在XX 信息安全体系
框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799(ISO17799)》的建议和国家《银行及相关金融服务信息安全管理规范》的要求。
XX 信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。信息安全管理体系一共包括了12项管理类:
?安全策略与制度,确保XX 拥有明确的信息安全方针以及配套的策略和
制度,以实现对信息安全工作的支持和承诺,保证信息安全的资金投入。?安全风险管理,信息安全建设不是避免风险的过程,而是管理风险的过
程。没有绝对的安全,风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。
?人员和组织安全管理,建立组织机构,明确人员岗位职责,提供安全教
育和培训,对第三方人员进行管理、协调信息安全监管部门与行内其它部门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险。
?环境和设备安全管理,控制由于物理环境和硬件设施的不当所产生的风
险。管理内容包括物理环境安全、设备安全、介质安全等。
?网络和通信安全管理,控制和保护网络和通信系统,防止其受到破坏和
滥用,避免和降低由于网络和通信系统的问题对XX 金融业务系统的损害。
?主机和系统安全管理,控制和保护XX 的计算机主机及其系统,防止其
受到破坏和滥用,避免和降低由此对金融业务系统的损害。
?应用和业务安全管理,对各类应用和业务系统进行安全管理,防止其收
到破坏和滥用。
?数据安全和加密管理,采用数据加密和完整性保护机制,防止数据被窃
取和篡改,保护银行业务数据的安全。
?项目工程安全管理,保护信息系统项目工程过程的安全,确保项目的成
果是可靠的安全系统。
?运行和维护安全管理,保护信息系统在运行期间的安全,并确保系统维
护工作的安全。
?业务连续性管理管理,通过设计和执行业务连续性计划,确保信息系统
在任何灾难和攻击下,都能够保证业务的连续性。
?合规性(符合性)管理,确保XX 的信息安全保障工作符合国家法律、
法规的要求;且XX 的信息安全方针、规定和标准得到了遵循。
12项信息安全管理类之间的关系,如下图所示。
12项信息安全管理类的作用关系为:
?方针和策略:是XX 整个信息安全管理工作的基础和整体指导,对于其
它所有的信息安全管理类都有指导和约束关系。
?人员和组织管理:是要依据方针和策略来执行信息安全管理工作。
?合规性:指导如何检验信息安全管理工作的效果。特别是对于国家法律
法规、方针政策和标准符合程度的检验。
?根据“方针和策略”,由“人员和组织”实施信息安全管理工作。在实
施中主要从两个角度来考虑问题,即风险管理和业务连续性管理。
?根据信息系统的生命周期,可以将信息系统划分为两个阶段,即项目工
程开发阶段和运行维护阶段。这两个信息安全管理类体现了信息系统和信息安全工作的生命周期特性。
?最终所有的信息安全管理工作都作用在信息系统之上。信息系统可以划
分成5个层次,从底层到上层依次为环境与设备管理、网络与通信管理、主机与系统管理、应用与业务管理、数据/文档/介质管理。这5个信息安全管理类体现了信息系统和信息安全工作的层次性。
6.2.4运行保障体系
运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于XX 网络和信息系统的可持续性运营提供了重要的保障手段。
6.2.5建设实施规划
建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。
任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。
信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照
的统一标准进行建设,并且按照统一的管理规范进行管理。
接下来应该进行网络安全建设,应该对计算机网络的安全域进行划分,对网络结构进行调整,确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。
在进行网络安全建设的同时,可以进行系统安全建设,在内部网络中全面部署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害;另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。
应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全传输系统等,对金融业务应用系统和内部信息管理系统提供各种安全服务。
按照的统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。
对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。
范文四:信息安全建设方案
篇一:食品安全信息化建设工程实施方案(4308字)
一、现状及存在问题
(一)现状。近年来,我区食品安全各部门不断加强食品安全信息化建设,已建立或正在建立有关食品安全信息系统,部分信息系统还在规划中。如:自治区卫生厅已建成食品安全风险监测网络(国家级)、食品安全事故上报网络(国家级)、食源性疾病监测网络,正在建设食品安全风险预测预警与溯源系统;自治区商务厅已建成生猪屠宰监测系统,正在建立生猪屠宰视频监控系统,规划建立食品安全应急指挥系统;自治区工商局已建成食品流通许可登记系统和食品检验信息录入系统;广西出入境检 验检疫局已建成出口食品化妆品信息通报核查管理系统、进出口食品化妆品不合格信息管理及风险预警快速反应系统、出口食品中食品添加剂和原辅料使用备案管理系统;自治区质监局建成了金质工程食品生产监管系统、食品生产许可网上审批系统,正在建设食品安全三抓手重要数据报送溯源监管系统。
1
(二)存在问题。一是食品安全信息化建设未统一规划布局。 目前全区各级食品安全监管部门普遍未设置专门的食品安全信息化机构,没有配备专门的技术人员。食品安全投诉举报未做到统一的受理和处置。二是食品安全信息化建设经费投入不足。全区食品安全监管部门信息化建设经费投入累计14750万元,而食品安全信息化建设经费投入仅为20XX万元,食品安全信息化建设远远不能满足食品安全监管工作的需要。三是已建成的部门信息化系统之间没有实现数据共享、互联互通,应急联动能力薄弱。商 务、工商、质监、出入境检验检疫等部门已经建成的其他信息化系统一般局限于本部门的许可登记、信息备案、现场监控等。信息化系统功能单一,互不兼容。
二、建设目标
根据国家统一部署,建设功能完善、标准统一、信息共享、 互联互通的自治区、市、县三级食品安全信息平台。建设食品安全舆情监测系统、投诉举报协同处置系统、应急处置指挥信息系统和覆盖婴幼儿配方乳粉和原料乳粉、猪肉、蔬菜、酒类产品、 保健食品等品种的食品安全追溯系统。通过技术手段汇集全区各 类食品安全信息,实现各部门、各环节信息互联互通和数据共享, 对食品安全实施科学有效监管。
2
三、规划布局
自治区建设全区统一标准的食品安全信息平台、食品安全舆情监测系统、食品安全投诉举报处置系统、食品安全电子追溯系统、食品安全风险评估信息系统、实时监控系统(试点)和食品安全应急指挥系统,纵向上与国家级相应的系统对接,下与市、县级平台(系统)联通;横向与相关部门的子系统建立联系,整合现有各部门信息化系统资源,实现食品安全信息数据共享。由自治区食品安全办统一协调、规划建设、监督管理。各监管部门充分发挥各自资源优势,整合现有资源。市、县(市、区)相应建设本级平台(系统)。
四、工作任务
(一)建设食品安全信息平台。由各级食品安全办负责组织平台建设。平台设计为分布式的应用平台网络,由1个自治区级平台、14个市级平台和109个县(市、区)级平台组成,纵向每级节点与同级(食品安全委员会成员单位)建立横向联系网络。平台建设充分考虑各监管部门、食品生产经营企业现有系统的兼容和对接,以及数据的融合,为现有系统留有接口。自治区级平台重点承担综合管理功能,汇集来
3
自全区各类食品安全信息,提供决策、分析支持,同时也作为各级食品安全监管部门的信息共享交换平台,实现全区食品安全信息数据共享。平台建成后可以 实时开展风险预警、风险交流、信息发布,有关数据实时入网,充分发挥信息技术在食品安全中重要支撑作用。
责任单位:各市、县(市、区)人民政府及相关部门;牵头部门为自治区食品安全办,协同部门为自治区农业、商务、卫生、工商、质监、食品药品监管、水产畜牧兽医和广西出入境检验检疫局等部门。
(二)建设舆情监测系统。由各级食品安全办负责组织建设。通过运用搜索引擎技术、文本处理技术、视频扫描技术、手机短信平台以及人工监测等手段,重点开展对网络、报纸、电视、广播、杂志、手机短信等的舆情监测,收集国内外食品安全相关政策、法规标准、评估预警、下架召回、食物中毒、人畜疫情、重大事件、专家建议等动态信息;查阅专业期刊和文献,密切跟踪科技前沿、重要污染物及有害因素监测评价等研究成果。实现多角度食品安全舆情信息监测、采集、智能分析、处理、预警、上报等功能,并定期形成《食品安全动态》、区内外、国内外食品 安全形势分析等。在自治区食品安全办的统一协调下,建设自治区级舆情监测中心
4
系统,各级有关监管部门建立分系统,自治区级与各级分系统互联互通,信息共享。通过系统,充分了解公众 对食品安全的关注重点,全面掌握食品安全动态,及时回应社会关切的食品安全热点问题,实施有效监管措施和舆论引导。
责任单位:各市、县(市、区)人民政府及相关部门; 牵头部门为自治区食品安全办,协同部门为自治区农业、商务、卫生、工商、质监、食品药品监管、水产畜牧兽医和广西出入境检验检疫局等部门。
(三)建设投诉举报协同处置系统。由自治区食品安全办负责组织建设。明确承担食品安全投诉举报受理工作机构和相应职责,对外增挂自治区食品安全投诉举报受理中心牌子,落实人员负责相关工作,启用全区统一的 12331 食品安全举报电话,建立举报协同处置系统,并与工商 12315、质监 12365、商务 12312 等部门举报系统对接,实现全区食品安全投诉举报的四统一, 即统一受理页面和编码、统一受理标准、统一分类处理方法、统一信息报表和数据分析格式,确保统一受理数据和分口办理数据能够实时衔接。
责任单位:各市、县(市、区)人民政府及相关部门; 牵头部门为自治区食品安全办,协同部门为自治区农业、商务、
5
卫生、工商、质监、食品药品监管、水产畜牧兽医和广西出 入境检验检疫局等部门。
(四)建设电子追溯系统。加强食品安全日常监管手段的建设,结合广西实际情况,建立以婴幼儿配方乳粉和原料乳粉、猪肉、蔬菜、酒类产品、保健食品等产品在生产、流通、存储、消费各环节的追溯系统,并逐步拓展到其它重点食品品种领域。整合各监管部门现有系统,充分发挥各监管部门的技术优势,通过推行食品标识和食品生产档案电子化、推进食品索证索票购销台 帐电子化、建立生产环节重要数据报送溯源全覆盖系统、网络终端食品信息查询和投诉系统等技术手段,实现对重点食品的全程可追溯。实现追溯系统的数据和信息统一归集到自治区食品安全监控机构。
责任单位:各市、县(市、区)人民政府及相关部门; 牵头部门为自治区食品安全办,协同部门为自治区工信、财政、农业、商务、工商、质监、食品药品监管、水产畜牧兽医和 广西出入境检验检疫局等部门。
(五)建设食品安全风险评估信息系统。在卫生部门已建成食品安全风险监测网络、食品安全事故上报网络、食源性疾病监测网络和正在建设的食品安全风险预测预警与溯源
6
系统基础上,建设食品安全风险评估信息系统,收集与食品污染和健康危害信息,科学评价广西不同食品的安全状况和隐患,提出针对性的措施,为政府决策提供依据。
责任单位:各市、县(市、区)人民政府及相关部门; 牵头部门为自治区卫生厅,协同部门为自治区工信、农业、商务、工商、质监、食品药品监管、水产畜牧兽医和广西出入境 检验检疫局等部门。
(六)建立实时监控系统(试点)。在南宁市青秀区餐饮服 务单位开展电子化实时监控试点工作。建立餐饮服务试点单位的 电子地图,安装数据采集客户端软件和监控摄像头,实现实时监控,并逐步推进。
责任单位:南宁市政府及相关部门; 牵头部门为自治区食品药品监管局。
(七)建设应急处置指挥信息系统。由自治区食品安全办负责组织建设。在食品安全监控机构的整体框架下建设高科技、功 能全面的自治区、市食品安全应急指挥中心,建立全区食品安全突发事件和重大事故应急处置联动网络平台和自治区、市、县三级食品安全应急指挥与处置系统和移动
7
指挥应急系统,包括应急通讯、图像监控、风险监测、预警发布、问题产品紧急核查与召 回等模块,具备信息传输、综合研判、指挥协调、资源调配、视频会商、辅助决策和总结评估等功能,实现全区食品安全突发事件的应急指挥的信息化,提升食品安全事件的应急指挥决策能力。
责任单位:各市、县(市、区)人民政府及相关部门;牵头部门为自治区食品安全办,协同部门为自治区农业、商 务、卫生、工商、质监、食品药品监管、水产畜牧兽医和广西出入境检验检疫局等部门。
(八)加强人员培训。通过走出去和走进来的方式,有计划安排信息化工作人员到区外学习考察,请专家到广西来进行讲课、培训,与区内外高等院校建立全区食品安全信息化人才培训机制,定期或不定期对信息化专业人员进行培训,不断提高信息化建设人才队伍的专业水平。
责任单位:各市、县(市、区)人民政府及相关部门; 牵头部门为自治区食品安全办,协同部门为自治区农业、商务、卫生、工商、质监、食品药品监管、水产畜牧兽医和广西出 入境检验检疫局等部门。
8
五、工作进度
(一)20XX,20XX 年。
1(在正在建设的 12331 投诉举报中心的基础上,建立全区食 品安全投诉举报协同处置系统。
2(建立自治区级舆情监测系统。
3(建立自治区级食品安全应急处置指挥信息系统。
4(初步搭建自治区级食品安全信息平台。
5. 初步搭建食品安全风险评估信息系统。
6(初步搭建食品安全电子追溯系统。
(二)20XX 年。
1(完善全区食品安全投诉举报协同处置系统,覆盖自治区、 市、县三级。
9
2(完成舆情监测系统建设,覆盖自治区、市、县三级。
3(完善食品安全应急处置指挥信息系统,覆盖自治区、市两级。
4(完善食品安全信息平台,覆盖自治区、市两级。
5(完善食品安全风险评估信息系统。
6(完善食品安全电子追溯系统。
(三)20XX 年。
1(完善全区食品安全投诉举报协同处置系统。
2(完成食品安全应急处置指挥信息系统建设,覆盖自治区、 市、县三级。
3(完成食品安全信息平台建设,覆盖自治区、市、县三级。
4(完成食品安全电子追溯系统。
10
5(建设中小学、幼儿园食堂实时监控系统。
六、保障措施
(一)加强组织领导。自治区食品安全委员会牵头组织协调全区食品安全信息化建设工作,各级食品安全办承担日常工作。 各监管部门明确食品安全信息化专兼职工作人员。要严格按照程 序做好项目的调研和可行性论证。
(二)加大投入力度。建立健全食品安全信息化建设资金财政投入保障机制。自治区食品安全办要会同食品安全监管部门科学测算信息化建设所需的资金,积极向国家申请项目资金,争取给予食品安全信息化建设更多支持。自治区财政要落实好国家项目配套资金,合理确定自治区与市、县财政分担比例。
(三)加强督导检查。制定详细的建设方案和验收方案。各地各部门把食品安全信息化建设工作纳入年度绩效考评指标,加强对信息化建设项目的检查和督导工作,确保项目顺利实施。
11
篇二:安全生产信息化建设系统方案(4423字)
一、 概述和技术方案总体目标
在**理论和三个代表重要思想领导下,市委、市政府对安全生产工作给予了高度的重视,纳入了市政工信息化建设的统一规划,并做为近期工作的重点来抓,为了配合此项工作,提出以下方案供安监局各位领导和专家参考。
上级规划目标:
1(形成涵盖市安全生产监督管理局职能范围的安全生产信息体系
(1) 基本形成各级安全生产信息人员组织体系;
(2) 基本形成市、区安全生产信息网络;
(3) 基本形成服务于安全生产监督管理的应用体系;
(4) 形成安全生产信息化培训、安全生产信息技术开发、安全生产监测监控、安全救护电子装备等技术保障体系框
12
架;
(5) 形成各级安全生产信息化领导管理体系。
2(指定市安全生产信息管理办法。规范各级职能部门和有关企业的安全生产信息作业流程,进行必要的安全生产管理组织体系调整。
3(在市安全生产监督管理部门和安全生产重点企业基本实现安全生产信息管理数字化、信息传输网络化、信息处理自动化,实现安全生产信息资源共享
按照上级计划安排,整个系统按照总计设计、统一规划、统一标准、分布实时的原则分二期实施。此方案主要针对第一期目标设计,同时为二期目标的实施提出初步设想
一期目标需要实施的工作如下:
1( 建立市安监局中心数据库,并逐步开展市(区)级数据库的建立工作
2( 实现市安监局数据库与国家、省局数据库的联网
13
3( 实现市局与部分重点单位、重大危险源单位和各专项整治单位的信息联网
4( 建立市重大事故源和重大事故隐患动态监控系统
5( 建立市局与省局的视频会议系统
安全生产工作的重点和特殊性决定了安监局中心数据库向下和基层各单位、危险源数据库以及向上和国家、省局数据库的联网和通讯是此次项目一期实施的重点,也就是一期目标中的1、2、3、4项;视频会议系统则是其中相对独立的一部分。对于前者,在此方案中相应的描述为危险源集中联网监测系统
二、危险源集中联网监控系统设计功能及意义
危险源集中监视系统是各单位在生产、安全及管理方面的一个实时监测监控系统,对于企业的生产运行状况、安全水平、预测预报具有重要的作用。通过安监局建立的一套安全监测信息系统,将各单位、各危险源的各种监测数据集成在局监测中心,组建为一监控子网,使安监局各个部门及领导
14
可在网上浏览各自所需的信息,做到对各单位的安全生产状况进行综合性动态分析,形成领导决策,实现资源的有机共享。同时也可加强企业内部协作与通信,提高生产和管理效率,增强企业的市场竞争力,使企业的信息化进程实质性的跨上一个新台阶。
近年来,随着网络技术的普及和工业控制技术的发展,危险源和危险品监控系统从过去的就地监控体系结构向网络分布式监控系统发展。多层分布式控制系统是在集散式控制系统和网络技术的基础上发展起来的,在技术上,即可从本地局域网上访问所需要的数据,也可以通过远程网络或Internet访问所需要的数据,甚至在特别授权的情况下可以对危险源监测进行远程控制和监测操作。在安全可靠性上,本地和远程的操作人员、 安监局安全管理人员和有关专家可及时了解危险源的安全情况,实现数据共享,有利于上级监管单位对危险源、品的集中管理和事故预防。
本系统利用网络控制技术,选用工控机结合PLC或采集模块、板卡作为现场控制站,控制现场设备,对企业相关危险源各种参数进行监控,实时控制空调或排风机等设备运转,并实时记录、存储监控数据。通过光纤、GPRS\CDMA、无线电台等方式与安监局实时数据库连接,利用WEB技术
15
对各单位进行远程监控和管理。
本系统是个实时调用显示系统,本系统通过安监局以太网络将各单位危险源远程监测监控信息传送到局中心数据库,并可以对各单位监测监控信息进行分析汇总,为领导提供辅助决策功能,系统主要功能:
l 通过实时数据库实时显示各矿监测系统动态图形
l 实时报警故障记录
l 逐级报警功能
l 对各矿安全监测系统查询统计分析
l 历史监测信息曲线显示
l 监测数据系统分级管理
l 历史报警记录、历史故障记录
三、系统总体结构设计
16
本方案实施主要分三部分:各单位现场数据采集、控制系统的搭建;安监局中心实时数据库系统与Web发布系统的组建以及与各单位、国家、省局系统的联网;市安监局网站及视频会议等建设。系统网络图如下所示:
1、 场数据采集与控制系统:
现场数据采集系统一般是利用PLC可编程控制器结合高精度传感器,对现场各危险源监测点温湿度、二氧化碳含量、一氧化碳浓度、甲醛、臭氧及各种有害气体或其他参数含量进行监测。PLC具有控制能力和抗干扰能力强、工作可靠性高等优点,不仅可以实现一般的逻辑控制,还具备了包括模拟量在内的数值处理和网络通信等功能,具有抗恶劣环境能力强,使用方便等特点。在自由口模式下现场PC机与PLC之间是主从关系,利用PC机通过RS-485网络与各危险源现场的PLC控制站连接起来,现场的各种实时参数由传感器监测探头进入PLC,经处理后送入上位机,进入紫金桥组态软件的现场数据库。监测探头由传感器、变送器与防爆型或防火型外壳组成。其中传感器有:温湿度传感器、可燃气体传感器、有毒气体传感器、气象参数传感器(风向、气温、气压)、作业系统的温度和压力及烟雾传感器等。
17
同时,由于各监控单位的设备和系统不可能统一,这就邀请将各单位的现有的系统统一与紫金桥组态软件做数据通讯接口,然后通过紫金桥软件现场数据库把数据统一上传到安监局的实时数据库系统。
2、 安监局中心实时数据库系统与Web发布系统的组建以及与各单位、国家、省局系统的联网
安监局的中心数据库是以紫金桥的实时数据库为核心搭建起来,通过光纤等网络与分布在各危险源现场的紫金桥现场数据库进行数据的双向传输,把各种监测到的数据进行统一分析、处理和存储,同时提供相关的报警、报表查询与打印,
并把相关内容做Web发布,供不同单位和管理人员进行查询。同时还提供异常数据短信发送功能,当系统发现异常数据时,通过手机短信(SMS)方式自动报警,将报警信息发送至各级相关人员的手机上。
市安监局的中心数据库与国家、省局的数据库一般通过光纤或因特网进行双向的数据交换和传输,由于各数据库的通
18
讯接口和定义不同,可能需要开发相应的数据库接口组件,以完成各数据库的联接。
3、 市安监局网站及视频会议系统等建设:此方案中略
四、方案完成的功能
实时显示:通过紫金桥实时数据库实时显示各单位监测系统各种参数、报表
实时报警故障记录、逐级报警功能:保证各级领导实时掌握故障、报警信息
各矿安全监测系统查询统计分析、历史监测信息曲线显示
数据安全采集:通过数据采集接口安全地从各单位现有监测系统读取数据,并且保证数据传输的单向性。
采集数据组态化:通过紫金桥实时数据库的组态工具可以改变要采集的数据,从而使数据采集变得更加灵活。
提供关系数据库接口:通过紫金桥实时数据库的的关系数
19
据库接模块可以数据写入到关系数据库表中,为管理系统使用相关数据提供方便。
保存历史数据:紫金桥实时数据库可以保存和显示历史数据。
数据处理及转发:紫金桥实时数据库能够对采集的数据进行处理,并将数据转发给数据请求者。
IE浏览:通过在网页上建立超链接,使查询不同地点数据时更加灵活方便。
五、总方案优点
1)开放性好:紫金桥实时数据库提供了开放数据访问接口,可以实现数据库的二次开发。
2)良好安全性:所有的设计方案都充分考虑了系统的安全性,现场数据采集系统对监控系统的影响达到最小。设立数采计算机的方法使局域网与控制网相互隔离,从而避免局域内人为因素或计算病毒对监控系统的影响。
20
3)数据容量大:由于采用了虚拟内存管理技术,理论上数据点数是无限制的(受硬盘空间和内存大小的影响)。
4)响应速度快:客户端访问实时数据库的速度低于1秒。
5)运行稳定:紫金桥实时数据平台经过严格的测试和长期的运行考查具有良好的稳定性(在大庆乙烯国家863 CIMS示范工程中2000年7月投入运行)。
6)扩展性强:开放IO接口规范,增强系统扩展性。
注:以上的方案实施是在网络条件具备的基础上进行的,即假设市安监局的网络设施、设备、条件都已经具备。
当然在实际实施过程中不可能具备全部条件,相关的市局局域网建设、市局与各危险源、监测单位网络(光纤为主)建设都是要同步进行,与这些相关的方案不在此方案中,会另案列出。
第二期目标设想:
第二期实施目标主要是在第一期的基础上的完善和加强,
21
具体如下:
1、 实现所有重点监控单位、企业和行业危险源的联网,特别是第一阶段没有纳入监控网络的单位
2、 构建全市安全生产管理网络化GIS地理信息系统,构成全市安全生产监控点的电子地图,实现对所有重大事故源的远程监控、指挥,加强对事故的预防和事故救援应急处理工作
3、 实现市安全生产信息中心与市属各救援组织体系联网,形成应急救援的全市联动机制
以我公司实时数据库平台开发的危险源安全生产联网监测系统比起国内外同类方案和系统具有架构合理、运行稳定、扩容方便、易于维护、功能灵活等诸多优势,可实现全局无纸化报表生成、上报、查询等功能,同时可以把所有单位的监控信息通过局域网或因特网发布,这就意味着任何领导或经过授权的个人、机关随时可以在各地了解实时生产情况和安全监测系统的运行情况。实施以后可有效提高安全生产的监管水平,大幅降低成本,促进企业信息化程度的提高。
22
紫金桥软件技术有限公司相关介绍
紫金桥软件技术有限公司是中国石油集团下属大庆金桥计算机开发公司出资成立的专门从事计算机软件产品开发的高科技企业。公司专门从事自主知识产权软件产品实时数据库系统 和监控组态软件的开发与推广
1996年承接国家计委项目《大型骨干石化生产系统控制及计算机应用技术》中的子课题实时数据平台。1997年完成,清华大学自动化系和中科院自动化所在我们数据平台为基础开发先进控制和优化控制。该项目在1999年11月经国家计委验收通过。
1998年承接国家863项目,编号863-511(99通字)005号。由我公司实施完成.
2002年承接国家863项目《生产计划与实时优化调度系统》中实时数据库研究子课题,编号2002AA,现在已经完成.
公司与中科院自动化所、清华大学、中国科技大学、石油大学等国内著名高等学府和科研机构保持着紧密的合作关
23
系,同时还与国外知名大公司HONEYWELL、YOKOGAWA、FOXBORO、FISHER-ROUSEMOUNT、GE、OMRON、、ASPEN TECH、SIEMENS保持技术协作关系。
公司拥有一支业务能力强、综合素质高、专业结构合理的技术人才队伍,60%的开发人员具有多年的实时数据库系统开发经验和工厂实际工作经验,有多人曾出国接受专业培训,还有数人曾获得过部级科技进步奖。
紫金桥软件技术有限公司作为中国石油天然气集团公司的软件开发基地,秉承务实、创新的企业精神,依托中石油和中石化的综合优势,凭借自身雄厚的科研实力和良好的技术服务,定会成为您信息化建设的强有力伙伴~
紫金桥软件技术有限公司
篇三:电子政务系统信息安全建设方案(2588字)
1、概述
电子政务作为国家信息化建设的重点工程,按敏感级别和
24
业务类型,可划分为:涉密机要专网、电子政务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒体,直接同因特网连接;政务专网上运行关键的政务应用,是为公务员提供协同办公、信息传输交互和业务数据处理的网络平台;涉密机要专网与电子政务专网实行物理隔离、与政府外网实行物理隔离。
2安全建设内容
为了保障政府的管理和服务职能的有效实现,需要为电子政务网络建立完善的信息安全体系,选择符合国家信息安全主管部门认证的安全技术和产品,在电子政务系统的建设中实施信息安全工程,保证电子政务三大网络的安全。电子政务安全保障体系包括:建立信息系统安全管理体系、网络安全技术和运行体系、系统安全服务体系、安全风险管理体系。
3安全管理体系
安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、
25
资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。
4技术和运行
一个信息系统的信息安全保障体系包括人、技术和运行三部分,其中技术体系包括保卫主机与应用系统、保卫边界、保卫网络和基础设施以及支持性基础设施等部分。
4.1局域网主机与应用系统安全
局域网主机与应用系统的安全性比较复杂,数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏行为就是攻击局域网。局域网环境保护所关注的问题是:在用户进入、离开或驻留于用户终端与服务器的情况下,采用信息保障技术保护其信息的可用性、完整性与机密性。
4.1.1主机防护
主机保护与监控系统用于保护电子政务内部局域网用户
26
的主机,针对连接到Internet上的个人主机易受外部黑客和内部成员攻击的特性,提供对个人主机操作(文件、注册表、网络通讯、拨号网络等方面)的实时监测,有效保障个人主机数据的完整性和真实性。
4.1.2非法外联监控
物理隔离网内经常出现私自拨号等非法上网行为,导致物理隔离措施形同虚设,泄密、非法入侵事件时有发生。就需要拨号监控系统可以实时地对这些行为进行监控与报警,并记录操作者的主机名、主机IP以及拨号时间。
4.2边界安全
保卫边界的目的就是要对流入、流出边界的数据流进行有效的控制和监督,包括基于网络的入侵检测系统、脆弱性扫描器、局域网上的病毒检测器等。综合应用以构成完整的动态防御体系,从而对边界内的各类系统提供保护。
4.2.1入侵检测
网络入侵检测系统位于有敏感数据需要保护的网络上,通
27
过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中存在安全风险的地方。天阗黑客入侵检测与预警系统是启明星辰信息技术公司自行研制开发的入侵检测系统,通过了公安部、人民解放军、国家保密局、中国信息安全产品测评认证中心的权威评测。产品包括基本型、多级分布型、大规模高速千兆型、主机(ForSolairs,ForWIN,ForAIX)六种适用于不同网络环境的系统。
4.2.2脆弱性检查
网络漏洞扫描系统能够测试和评价系统的安全性,并及时发现安全漏洞,包括网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,发现安全隐患。
4.2.3网络防毒
网络防病毒系统加强对服务器进行保护,提供对病毒的检
28
测、清除、免疫和对抗能力。在客户端的主机也安装防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
4.3网络与网络基础设施安全
电子政务系统,广域网络以及为其提供支撑的相关基础设施必须受到更深层次的保护。保卫电子政务系统和基础设施的总的策略是,使用安全性较高的专线和密码技术来传输系统网络节点之间的机密数据,加密方式采用国家相关部门批准的算法。
4.4支撑基础设施
4.4.1应急响应
设立安全应急小组目的在于:对于网络中的突发事件能够及时地响应;减少业务停顿的时间;避免非法入侵对数据破坏;避免主页被黑造成影响;对于已经破坏的数据采取相应的技术手段进行恢复;通过培训提高人员对突发事件的处理能力;追踪非法入侵人员。
29
4.4.2灾难恢复
灾难恢复是在发生计算机系统灾难后,可利用在本地或远离灾难现场的地方的备份系统重新组织系统运行和恢复业务的过程。灾难恢复的目标是:保护数据的完整性,使电子政务数据损失最少、甚至没有数据损失;快速恢复工作,使业务停顿时间最短,甚至不中断业务。
4.4.3系统备份
建立备份系统的主要目标:避免由于各种情况造成的网络、数据、系统的不可用给网络中运行的业务造成影响,一旦灾难发生,可以通过该系统为网络的恢复提供有力的保证。备份措施要保证主要线路、关键设备、重要数据、重要系统等要素的可用性,从而保证电子政务系统的稳定运行,提高其对各类事件的免疫能力。
5安全服务
5.1风险评估
30
信息安全管理体系是建立在风险分析和评估的基础上的。风险分析是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。其结果是制定安全政策的重要依据,可以按照资产列表制定相应的安全政策。风险分析与评估基本包括准备阶段;培训阶段;资产确定阶段;风险评估阶段;风险策略阶段。
5.2C-SAS安全服务体系
客户化安全保障服务强调以安全人为核心来进行安全理念、风险评估、策略制定、体系设计、安全管理、实施防御、应急响应、安全培训等安全措施。
6保障体系建设原则
1、安全保密原则:安全保密性是系统建设的重要前提。
2、先进性原则:采用国际上最先进和成熟的体系结构,使系统能够适应今后的业务发展变化需要。
3、可扩展原则:在尽量节省投资同时实现系统平滑扩展。
31
4、可靠性原则:采用成熟的主流技术和产品和详尽的故障处理方案。
5、可行性原则:在风险分析的基础之上,发掘重要、关键的资源进行保护,做到适量投入、有效防护。
6、标准化原则:遵循技术标准、国家相关规范。
32
范文五:信息安全体系建设探讨
【摘要】随着城市的不断发展,科学技术也在不断地进行完善,在信息的传播过程中,安全体系的建设变得越加重要。在现有的信息通信背景下,将信息安全体系进行针对性的完善,就可以将信息的传播推向更高的平台。本文以信息安全体系建设进行分析和探讨。
【关键词】信息安全 体系建设
在现有的社会背景下,互联网以及网络通信技术的完善,使得信息传播的速度变得更加的迅速。由于现在信息技术的广泛使用,在企业的运行模式中,信息技术的融合面积也变得更加的广阔,对于信息的依赖程度也日渐加重,信息技术在企业中的渗透变得更加的深入和彻底,在企业正常运作的方方面面中进行了有效的融合。
在企业中使用信息技术,相对应信息技术自身的安全体系要求就变得更加的细致,在信息技术使用过程中安全体系的建设是必不可少的一项重要内容。使用信息安全体系建设来有效的解决信息安全的问题,在今后企业的信息使用中有十分重要的实现价值。针对信息安全体系的构建应该进行以下的分析:
按照现有的信息安全状况进行信息安全体系建设,就是将信息安全的构架进行模块之间相互构建和连接,将它们形成不可分割的整体,使它们共同的结合成为信息安全体系。信息安全体系自身带有系统性,完整性以及全面性的信息安全保障能力,这种整合之后的能力比之前独立的信息安全模块能力之和要具有更多的优势,在现有的信息安全体系建设中,会将企业安全技术,企业安全风险管理,企业安全组织以及运行模式进行安全体系的融合,这种信息安全体系的构建才能符合现在企业的使用要求。
一、信息安全体系信息安全策略的制定
在信息安全体系的构建中,信息安全策略的实施就是信息安全体系的核心内容,这种核心内容的展现就是将企业的信息安全模式进行针对性保护的规划。按照企业保护形式的不同进行细致的分类以及汇总。在信息安全体系的构建中,信息安全策略的实施就是将整体信息安全进行正面的引导,将信息安全体系能够较好的为企业进行服务,将信息安全体系各个方面进行可行性技术的管理,在模块的运行模式中进行有效的保障,并且,信息安全策略在使用的过程中,也包含着信息安全体系构建所有细小分支的内容,这些内容想要全面的进行展现,就应该采用一些方法和技术进行有效的管理,以此来保证信息安全系统整体运行模式的准确性和完备性。
二、信息安全体系安全风险管理体系的制定
在信息安全体系实施过程中,针对于信息安全风险管理的设置,就是按照企业风险为主线,以信息安全相关标准以及需求为策略,将主线与策略进行结合,就是信息安全体系安全风险管理的方案制定标准。在信息安全风险管理体系的制定过程中,首先,应该对企业自身的保护系统进行目标性的确定,将目标进行合理有效的规划;然后,在信息安全体系安全风险管理实施的过程中,对企业自身的风险系数进行可控性的评估,对于现在的风险以及将来的风险进行系数的控制,为企业今后的发展奠定平稳的基础;最后,在信息安全体系安全风险管理体系的制定中,应该将所有的体系规划进行相关专业人员的审核以及评估,在评估的过程中,对企业进行全面的分析,保证安全风险管理体系制定可行性。由于企业安全风险管理体系是贯穿企业全过程的,对于该管理体系的制定,不仅仅应该进行企业的评估,还应该对现有的社会状况进行有效的结合,以便企业在社会竞争状况中有稳固的成长。
三、信息安全体系安全技术体系的构建
在信息安全体系中,安全技术体系的构建就是信息安全体系构建的基础,这种基础性的建设是按照企业安全策略以及安全风险管理进行针对性指导的,这种体系的构建,应该按照现有的状况进行多方面的研究与分析,只有这样才能将企业的各个部门进行结合,将部门的问题进行技术上的落实,共同建立企业各个部门相互协同发展的信息安全体系。这种安全技术体系的良好构建,可以将企业的信息系统进行全方位,多角度,整体性的安全掌控,以保证企业的正常信息安全体系的运转。
四、信息安全体系安全组织与管理体系的构建
在信息安全体系安全组织与管理体系的构建中,应该将安全组织与管理进行有效的设计,这种安全组织与管理体系的构建,就是企业信息安全体系发挥作用的最关键的后盾保障,这种保障的基础就是安全管理体系的科学设计。
五、结语
信息安全体系的构建将会在今后信息技术的发展中得到更加广泛的传播和使用,将信息安全的问题进行完善,就可以有效促进信息技术在现实生活中的推广程度。
