集团信息安全建设方案学习资料.docx

集团信息安全建设方案学习资料.docx

《集团信息安全建设方案学习资料.docx》由会员分享，可在线阅读，更多相关《集团信息安全建设方案学习资料.docx（49页珍藏版）》请在冰豆网上搜索。

集团信息安全建设方案学习资料

集团信息安全建设方案

某集团信息安全建设方案

2011年7月

1.前言

1.1.项目背景

某集团为提高企业竞争力、适应新环境、实现科学管理、融入全球经济，已经启动ERP项目，吹响了全面实施信息化管理的号角。

企业ERP是一个以管理会计为核心的信息系统，识别和规划企业资源，从而获取客户订单，完成加工和交付，最后得到客户付款。

换言之，ERP将企业内部所有资源整合在一起，对采购、生产、成本、库存、分销、运输、财务、人力资源进行规划，从而达到最佳资源组合，取得最佳效益。

ERP系统的合理运用将改变企业运作的面貌，给企业的经营管理带来深刻变革，但与此同时，集中的数据处理，多方位多层次的信息应用也将为某集团带来新的问题——信息安全。

由于某集团的信息系统安全问题直接关系到生产、销售、人力资源管理等诸多核心业务的顺利开展，因此，在不断加强企业ERP建设的同时，信息安全也成为集团企业必须努力解决的首要问题。

某集团领导也充分认识到了在进行信息系统建设的同时，同步建设信息安全保障体系的必要性，决定启动信息安全建设项目，对信息系统可能面临的风险进行分析、控制，全面提升某集团信息系统的安全防护能力，尽快打造出一个高效、稳定、安全的网络及系统环境，为某集团即将上线的ERP系统保驾护航。

对信息系统分级实行保护是国际上通行的做法，我国也已经把等级保护制度列入国务院《关于加强信息安全保障工作的意见》之中，对影响到国家安全、社会稳定、公众利益的重要部门实施强制监管，对信息系统按照重要程度划分不同的安全等级进行安全保护，并制定和发布了一系列相应的信息安全建设、管理的政策和标准。

如何遵照国家的信息安全等级保护制度更为有效地保护重要领域的信息网络，建立安全保障的长效机制将是今后我国信息安全建设的重点。

某集团作为我国重点国有企业之一，其信息系统的重要性不言而喻，依据国家等级保护建设的相关要求和规范，结合自身发展要求和业务应用特点，建立一套符合实际的按等级标准进行保护的信息安全体系是必要的，也是必须的。

1.2.安全目标

本项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下，结合某集团ERP系统的安全需求分析，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提升某集团ERP系统的安全性，能面对目前和未来一段时期内的安全威胁，实现对全网安全状况的统一管理，更好地保障某集团ERP系统的正常运行，全面提升某集团信息系统的安全保护水平，并达到国家信息安全等级保护相关标准的要求。

通过本次项目的实施，将为某集团信息系统构建技术与管理相结合的全方位、多层次、可动态发展的纵深安全防范体系。

1.3.设计范围

本项目的设计范围为某集团ERP系统，以集团总部为重点进行建设，并对各分支机构提出建议。

1.4.设计依据

基于某集团业务的特殊性，其信息安全保障体系的建设，除了要满足系统安全可靠运行的需求，还必须符合国家和行业相关政策和要求。

我们国家对信息安全保障工作非常重视，国家相关部门陆续出台了相应的文件和要求，因此本项目的建设应当遵从国务院、公安部、国资委等相关机构的要求，参考国际、国内、行业信息安全标准和规范，对信息安全保障体系进行全面、深入的规划和设计，确保某集团信息系统安全保障体系建设的先进性和规范化。

某集团信息安全建设中需遵从的信息安全政策法规包括：

✓《中华人民共和国计算机信息系统安全保护条例》（国务院1994年147号令）

✓《国家信息化领导小组关于加强信息安全保障工作的意见》（中办[2003]27号）

✓《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

✓《信息安全等级保护管理办法》（公通字[2007]43号）

✓《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）

✓《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号）

某集团信息安全建设中需参照的信息安全标准规范包括：

✓《计算机信息系统安全保护等级划分准则》（GB17859-1999）

✓《信息安全技术信息系统安全等级保护实施指南》

✓《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）

✓《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）

✓《信息安全技术信息系统安全管理要求》（GB/T20269-2006）

✓《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

✓《信息系统等级保护安全设计技术要求》（GB/T24856-2009）

某集团ERP系统信息安全建设中可借鉴的其他信息安全标准包括：

✓GB/T22080-2008（idtISO/IEC27001:

2005）《信息技术安全技术信息安全管理体系要求》

✓GB/T22081-2008（idtISO/IEC27002:

2005）《信息技术安全技术信息安全管理实用准则》

✓ISO/IEC13335《信息技术安全技术信息技术安全管理指南》

✓IATF《信息保障技术框架》

1.5.设计原则

某集团信息安全保障体系的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。

在方案设计和项目建设中应当遵循以下的原则：

统一规划、分步实施原则

在信息安全保障技术体系的建设过程中，将首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。

从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。

标准性和规范化原则

信息安全保护体系建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。

重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统；本方案在设计中将重点保护某集团总部网络信息系统，防范来自内、外网络的安全威胁。

适度安全原则

任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合成本的角度，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

技术管理并重原则

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。

先进形和成熟性原则

所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。

本方案设计采用国际、国内先进实用的安全技术和安全产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。

动态调整原则

信息安全问题不是静态的。

信息系统安全保障体系的设计和建设，必须遵循动态性原则。

必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。

经济性原则

项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。

2.信息系统分析

信息系统分析是为了确定信息安全体系设计应覆盖的范围，并根据分析结果进行信息系统划分和安全保护级别定义。

2.1.网络现状描述

目前集团信息系统主要分布在北京、上海、兰州、长春、武汉、成都等几个地方，每个地方的信息系统都不是非常的完善，信息化的步伐需要大大加强。

图21集团信息系统分布示意图

2.2.计算机基础设施建设方面

目前集团有9个分支机构，集团有三台IBMX系列服务器和一个EMC磁盘阵列。

服务器上有集团网站、OA系统、用友U8财务系统、久琪预算系统。

2.3.业务应用系统现状

目前，集团先后建立办公OA、预算系统、邮件系统、生产系统、财务系统等多个信息化应用系统。

这些系统对于一个集团公司的发展来说，远远不够。

2.4.安全定级情况

信息系统定级是等级保护工作的首要环节，是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。

根据《信息安全等级保护管理办法》，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

某集团ERP系统目前定为三级。

3.安全需求分析

安全需求的主要依据是合规性要求分析和安全风险评估，通过分析国家等级保护标准要求确定基本安全需求，同时通过分析信息系统自身可能存在的安全风险对基本需求进行特殊/额外需求的必要补充，形成最终的安全建设需求。

3.1.等级保护基本需求分析

等保合规性需求分析的目标是根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。

由于某集团ERP系统为一个新建系统，尚未进行安全建设，因此无法进行等保差距分析，以下将直接采用等级保护基本要求作为某集团ERP系统安全建设的基本需求。

在此基础上，结合对已知安全风险的分析结果进行额外/特殊安全需求的补充。

3.1.1.《信息系统安全等级保护基本要求》说明

根据《信息安全等级保护管理办法》的规定，信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。

不同安全保护等级的信息系统有着不同的安全需求，为此，针对不同等级的信息系统提出了相应的基本安全保护要求，各个级别信息系统的安全保护要求构成了GB/T22239-2008《信息系统安全等级保护基本要求》（以下简称《基本要求》）。

《基本要求》分为基本技术要求和基本管理要求两大类，其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面，管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。

技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等，以及物理环境和设施安全保护要求。

技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。

根据保护侧重点的不同，技术类安全要求进一步细分为信息安全类要求（简记为S）、服务保证类要求（简记为A）和通用安全保护类要求（简记为G）。

信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；服务保证类要求是指保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用。

技术要求整体框架如下图所示：

图3-1等级保护基本要求-技术要求

管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构，加强人员管理、系统