您的位置:首页 >规章制度>中心制度>详细内容

中心制度

安全方案设计

来源: 发布时间:2015-07-22 15:10:29 浏览次数: 【字体:

第一条 信息系统要进行信息安全发展规划,形成安全发展方案,方案的形成并逐步实施有利于保证审计厅审计平台的近期和长期信息安全。

第二条 信息安全建设要包含近期和远期安全建设内容,形成配套文件。

第三条 确定规划的总体目标,从系统的长期建设考虑,拟定中远期发展规划,从长计议,总体把握。

第四条 管理制度中增添安全保障体系的总体安全策略、安全技术框架、安全管理策略。可将信息系统分为4个部分,即本地计算环境、区域边界、网络和基础设施、支撑基础设施,从4个方面建立技术框架。同时以及信息安全保护相关国家标准制定安全管理策略,强化安全保障工作。

第五条 近期信息系统建设应考虑基础设施安全建设,在各个应用层次上按照不同功能模块,分别配置应用服务器和计算机终端。

第六条 信息安全远期规划可根据业务数据分析业务拓展方向,随着信息系统规模加大,信息安全建设内容应包含信息网络的拓展和安全建设,即审计平台的拓展,发展终端接入多样的形式,链接到各审计下属单位。

第七条 采用计算机网络技术,将各个应用层次连结为一个整体,形成业务处理网络系统。远期建设规划应建立安全可靠的信息数据系统,加大应用层、网络层的安全建设,投入安全设备投入。

例:信息安全近期远期建设规划

1、确定规划的总体目标

一个信息系统的建设必须从系统的长期建设考虑,拟定中远期发展规划,从长计议,总体把握,否则就会陷入盲目性。由于业务数据庞大的特点,近期建设规划是建立一个综合各业务系统数据的管理平台,加强业务数据的维护。围绕业务数据安全建设信息系统应用安全、网络安全、物理安全、管理制度安全等。信息安全远期规划可根据业务数据分析业务拓展方向,随着信息系统规模加大,信息安全建设内容应包含信息网络的拓展和安全建设等等。

2、确定规划的阶段目标

近期信息系统建设应考虑基础设施安全建设:第一步:在各个应用层次上按照不同功能模块,分别配置应用服务器和计算机终端。第二步:采用计算机网络技术,将各个应用层次连结为一个整体,形成业务处理网络系统。远期建设规划应建立安全可靠的信息数据系统,加大应用层、网络层的安全建设,投入安全设备投入,如安全审计、漏洞扫描、入侵检测系统等。

信息系统安全技术框架

框架内容

具体要求及范围

本地计算环境

服务器

客户端及其上面的应用(如打印服务、目录服务等)

操作系统

数据库

基于主机的监控组件(病毒检测、入侵检测)

区域边界

区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合

区域边界是区域与外部网络发生信息交换的部分

区域边界确保进入的信息不会影响区域内资源的安全,而离开的信息是经过合法授权

网络和基础设施

局域网(LAN

校园网(CAN

城域网(MAN

广域网等

支撑基础设施

对网络和基础设施的安全要求主要是

鉴别

访问控制

机密性

完整性

抗抵赖性

可用性


终审:超管