中石化XX公司信息安全整体解决方案模板Word文件下载.doc

1、2.3具体的信息安全需求分析92.3.1网络的安全风险及需求分析92.3.2应用的安全风险及需求分析112.3.3终端的安全风险及需求分析132.3.4管理的安全风险及需求分析15第3章信息安全建设原则与依据173.1信息安全建设原则173.2信息安全建设的依据18第4章信息安全解决方案设计194.1边界安全解决方案194.1.1防火墙系统204.1.2安全网关204.1.3远程访问安全234.1.4入侵检测系统254.2内网安全解决方案264.2.1企业防病毒系统274.2.2终端安全管理294.3应用安全解决方案344.3.1身份认证344.3.2数据备份与存储344.4安全管理解决方案3

2、44.4.1安全管理平台的建立344.4.2安全运营中心（SOC）364.5安全服务解决方案414.5.1安全咨询服务414.5.2安全评估服务424.5.3安全加固服务444.5.4日常维护服务464.5.5应急响应服务474.5.6安全培训服务484.6安全方案效益分析494.6.1安全方案的特点494.6.2安全方案的效益分析494.6.3安全方案的总结494.7方案中应用的安全产品、安全服务列表49第5章安全方案的实施505.1项目实施方案505.2安全培训方案505.3安全测试和验收505.4售后服务及技术支持体系50第6章附录516.1公司介绍516.2产品介绍516.3成功案例5

3、1信息安全整体解决方案建议书第1章 信息安全建设背景信息化浪潮席卷全球，一种全新的先进生产力的出现已经把人类带入了一个新的时代。网络技术的发展极大地改变了人们的生活，工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。显示出对生产力变革的巨大作用。但随着计算机以及互联网在全球的迅猛发展，在带来巨大的进步与利益的同时，随之而来的也是潜伏着的巨大的安全威胁，随着全球互联网的飞速发展，人们的日常生活、国家的正常运作，全球经济一体化、社会信息化、军事信息化、金融、证券、保险、银行、电信等等领域在享受着互联网所带来的便利的同时，也必须面对着脆弱的网络

4、所带来的巨大安全隐患。信息安全的发展，从早期的只关注信息保密的通信保密（COMSEC）内涵到关注信息及信息系统的保密性、完整性和可用性的信息安全（INFOSEC）时代，再到今天的信息保障（Information Assurance-IA），信息安全已经包含了五个主要内容，即信息及信息系统的保密性、完整性、可用性、可控性和不可否认性，单纯的保密和静态的保护已经不能适应时代的需要，而针对信息及信息系统的保护、检测、反应、恢复（PDRR）四个动态反馈环节构成了信息保障模型概念的基础。如何在用户的现实网络环境中真正体现和贯彻信息保障的基础模型也是信息安全界的一个重要课题。美国国家安全局（NSA）编写的

5、信息保障技术框架（IATF）提出：信息保障离不开人、操作、技术三大要素，而从技术层面看，信息保障取决于对信息基础设施实施名为“深层防御战略”（Defense-in-Depth）的多层防护，具体就是要保护网络基础设施、保护飞地边界、保护主机计算环境以及它们所依赖的支撑性基础设施（KMI/PKI、检测和响应）几个用户网络安全层面。信息保障深层防御战略已经得到不断的发展，并且日益被广泛采纳，成为美国政府和工业界的信息与信息基础设施的安全技术指南。同样，随着业务的拓展，网络不断的扩展和日趋复杂，对内对外服务不断增多，保障网络的安全运行是非常重要的。如果网络在安全方面稍微有点漏洞，就有可能被黑客利用，截

6、取帐号密码、更改或删除数据，后果相当严重，直接带来无法估量的经济损失。采用网络安全技术和产品，部署网络安全系统，可以极大地提高网络系统的安全性，减少安全隐患，防止恶意侵害的发生。上海方正信息安全技术有限公司致力于为广大用户提供信息网络安全服务和解决方案，在长期的信息安全实践中，对深层防御战略有着深刻的体会，并将它完全融合于我们的安全设计理念和设计体系之中。在某某公司网络安全设计过程中，我们在充分了解用户的网络结构和安全环境之上，对用户的安全需求进行了认真、细致的分析。在为用户进行安全设计过程中，坚持深层防御战略的设计思想和设计理念，力图实现对某某公司网络系统全方位、多层次的安全体系，从主机、网

7、络和网络边界几个层面为某某公司建设一个安全的网络环境，保障系统的正常运作。本方案首先介绍我们的安全设计理念和设计原则，正确的安全技术理念是安全方案的灵魂和基础，更是方案中产品选择的根据。没有理念指导的方案本身就是不安全、不可靠的。在对用户的网络环境和安全需求进行全面分析后，本方案提出了我们针对某某公司的安全解决方案并对方案进行了详细描述和特点介绍。最后，用户还可以从本方案中得到上述建议方案的配置细节。我们在为用户提供本方案的同时，还在附件中对上述方案中相关配置所涉及到的产品进行了详细的描述。第2章 信息安全建设需求分析2.1 某某公司的网络及应用系统现状（略）2.2 信息安全的需求来源分析根据

8、国际标准ISO/IEC 17799:2005信息技术信息安全管理业务规范中对信息安全需求的来源定义。信息安全需求有三个主要来源：n 第一个来源是法律的、规定的和合同约定的要求。这些要求是一个组织、它的贸易伙伴、立约人和服务提供商都要满足的；n 第二个来源是一个组织已经制订的特殊原则、目标和需要，它们是用来支持信息处理操作的；n 第三个来源是组织风险的评估。通过风险评估，辨别出对资产的威胁、评价了组织对这种威胁的易损性和威胁发生的可能性，并且对可能的冲击进行了估计。从企业IT管理的角度来看，其中第一、第二个来源主要是法律及业务相关的硬性要求，即在IT安全建设方面必须满足的内容。而第三个来源则是信

9、息系统本身所面临的各种风险及其应当采用的安全防护、安全管理等。下面我们分别针对以上的三个需求来源对某某公司的信息安全需求进行定义。2.2.1 法律法规对信息安全的要求在我国信息安全保障体系的建设中，法律环境的建设是必不可少的一环，也可以说是至关重要的一环，信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务的明确、违反信息安全行为的处罚，等等，都是通过相关法律法规予以明确的。有了一个完善的信息安全法律体系，有了相应的严格司法、执法的保障环境，有了广大机关、企事业单位及个人对法律规定的遵守及应尽义务的履行，才可能创造信息安全的环境，保障国家、经济建

10、设和信息化事业的安全。目前我国现行法律法规及规章中，与信息安全直接相关的有65部，它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域，在文件形式上，有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。这些信息安全法律法规体现了我国信息安全的基本原则，可以简单归纳为国家安全、单位安全和个人安全相结合的原则，等级保护的原则，保障信息权利的原则，救济原则，依法监管的原则，技术中立原则，权利与义务统一的原则；而基本

11、制度可以简单归纳为统一领导与分工负责制度，等级保护制度，技术检测与风险评估制度，安全产品认证制度，生产销售许可制度，信息安全通报制度，备份制度等。国家在法律法规方面对信息安全的要求是企业信息安全建设的硬性要求。所以，企业进行信息安全建设的时候，应该首先满足这些。因此法律法规的重要性让其成为企业信息安全建设的首要需求。2.2.2 行业性规范对信息安全的要求我国现有信息安全相关法律规定普遍存在的问题是篇幅较小，规定得比较笼统，主要内容集中在对物理环境的要求、行政管理的要求等方面，对于涉及信息安全的行为规范一般都规定的比较简单，在具体执行上指引性还不是很强；目前这些法律法规普遍在处罚措施方面规定得不

12、够具体，导致在信息安全领域实施处罚时法律依据的不足；由于各个行业千差万别，在一些特定的信息化应用领域，相应的信息安全规范相对欠缺，有待于进一步发展。针对以上问题，就要求根据不同行业的不同应用环境，制定相关的规范和政策性文件，并以此作为国家信息安全法律法规的有益补充。中国石化自2000年开展以ERP为主线的信息化建设以来，各项信息化建设事业蓬勃发展，信息化能力和水平有了很大提升，石化信息化整体面貌发生了明显改观。目前，ERP上线企业的总数已经达到22家，而且多为上中下游的一些有影响的大型、特大型企业。电子商务系统截止到2004年10月底，网上物资采购成交额今年已达343.43亿元；化工产品网上销

13、售量达179.39万吨。甬沪宁管输系统、二次物流优化、炼化一体化MPIMS等一批供应链优化项目建成投用。企业生产层面信息系统和先进过程控制系统进一步扩大推广应用范围。标准化、网络等信息基础建设和信息服务水平得到进一步重视和加强。为适应工作需要，还建立了一支专门的信息化建设队伍（石化盈科）。在信息化建设过程中，中石化坚定不移地执行了“五统一”方针，就是统一规划、统一标准、统一投资、统一建设、统一管理。按照“五统一”原则，总部建立了统一的组织领导机构ERP项目指导委员会，重大事项统一决策；制定了统一的建设规划和建设策略，统一安排每年的实施计划，编制了中国石化ERP系统总体规划、2002-2005年

14、中国石化信息化建设目标和任务、2004-2006年中国石化信息化发展计划纲要；提出关于ERP、供应链、电子商务、网络建设和信息系统安全等5个建设策略，理顺了信息化的工作思路，明确了方向、目标和任务，这些规划、策略、办法保证了中国石化信息化建设以健康、有序的步伐迈入高速发展的新阶段，并不断取得新的突破和进展。2.2.3 信息系统风险管理对信息安全的要求上面我们从法律法规和行业规范讨论了石化行业信息安全的需求，这是信息安全建设的宏观需求，具体到每一个企事业单位，还应改明确其信息安全建设的微观需求，因为信息安全是保障企事业单位业务的正常发展的，所以我们还需要从具体企事业单位的业务着手，分析其微观的信息安全需求。下图是石化行业的整个业务流程，石化行业的业务网里跑着不同油品的数据，这些数据实际就是资金。所以，企业必须保障这些数据的传输不中断，以使企业业务运转不会因安全问题停滞。近年来，中石化加快推进以ERP为主线的信息化建设，积极开展地震资料处理、油藏描述、电子商务、供应链技术、MES、先进控制、加油IC卡等信息系统的推广应用，加强网络、标准化等信息基础建设，逐渐培养建立起了中国石化信息化管理、建设、运行维护和应用四支队伍，信息化建设走上了健康、有序、快速发展的轨道。为了保证中石化在严酷的竞争中取得胜利，除了严格按照中国石化ERP系统总体规划、