前言:中文期刊网精心挑选了网络安全建设规划方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全建设规划方案范文1
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
网络安全建设规划方案范文2
关键词:信息安全;安全风险;风险防控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-03
随着大型企业信息化建设的逐步深入,对信息系统的依赖程度不断提高,信息系统的稳定运行直接关系到社会秩序与国计民生。企业伴随着各信息系统的建成,信息化水平不断提高,信息系统对业务的支撑作用更加明显,迫切需要提高信息安全保障能力,保证网络基础设施与信息系统的安全、可靠运行。
为了加强大型企业信息系统的安全防护,按照《国家信息化领导小组关于加强信息安全保障工作的意见》文中明确提出的“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估"的指导建议,本文对信息系统进行风险评估,确定系统缺陷和安全需求,提出整改建议,为大型企业整体信息安全解决方案提供基础资料和有力依据;结合国家关于信息系统安全等级保护的相关要求,评价已有信息安全建设的适当性、合规性,分析所面临的威胁、影响和脆弱性及其发生的可能性,最终得出所面临的风险,并提出整改建议,为大型企业信息安全战略发展提供参考。
一、大型企业信息安全面临的风险
(一)风险概述
安全风险是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全风险是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全风险的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全风险的认识出现偏差。
(二)威胁类别
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全风险来源如下。
对安全风险进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
二、信息安全风险防控
(一)信息安全风险防控思路
根据大型企业目前信息安全工作的现状,为了充分的利用现有资源、节约成本,并能够有效的对信息资产进行充分保障,我们提出“集中管控、纵深防御”二点方针:
1.集中管控:减少攻防界面是成本较低、成效显著的防御方法。随着网络设备、服务器主机、安全设备的不断增加,网络拓扑日益复杂,如能对安全设施进行集中管理,控制安全边界将能够有效地降低安全成本;
2.纵深防御:现有的任何防护措施都不能完全保证信息系统不发生安全事件,通过多级的安全防御部署,能够在出现未知漏洞外层防御措施失效后,控制安全事件造成的影响,减少损失。
基于以上两个观点,结合大型企业信息安全的现状,制定如下思路:
由于大型企业的网络复杂庞大,在未来的网络安全建设上建议采取大面上封堵,重点防御的策略。大面上封堵即阻断传统终端--网络—服务器—存储的访问方式;重点防御是指采用用户集中通过统一平台访问的方式实现业务应用,然后重点做好统一平台的安全防御工作;
在上述大思路的指导下,未来的网络安全建设还需要重点做好数据中心的网络安全防护工作,即不仅要防止由于服务端口开放带来安全风险,还应该重点防御深度注入web应用类型病毒所带来的安全风险,因为目前集团绝大多数的应用系统为B/S架构下通过web访问方式实现访问。
(二)信息安全风险防控蓝图
本文针对信息安全风险防控的蓝图拟从网络、主机、应用和数据4个方面来对大型企业的信息安全建设提出建议,如图所示:
大型企业信息安全建设规划蓝图
(三)信息安全风险防控措施
信息安全风险防控措施的基础工作是访问控制的细化。建议倾向于安全域的划分的思想,但不强调必须要进行安全域划分的表现形式。与网络相关的控制措施主要有以下3个方面:
1.单点故障:核心链路的各种网络设备往往为单台设备运行,诸如核心交换机、路由器以及防火墙等,一旦出现故障,将对网络的可用性造成严重影响,直接影响内外网间的访问,建议增加核心链路的设备数量,考虑进行双机热备。
2.边界控制:从网络整体来看,如果互联网出口数量较多,一旦发生来自网络外部的安全事件,判断和溯源难度大,管理分析成本较高,需要对企业网络的互联网边界适当管控,关闭或对互联网出口增加监管;
3.VLAN隔离:在服务器机房中存放的服务器主机的资产重要程度是不同的,部分主机所有互联网用户可以访问(如:门户网站),部分主机只有内部人员或内部部分人员可以访问(如:OA、ERP等)如果这些主机都划分在同一VLAN中,一旦任意主机出现安全事件,很容易影响到统一VLAN中的其他主机。需要对业务重要程度不同,系统应用耦合度小的主机间进行网段或其他方式的隔离,降低影响。同时通过隔离,一旦出现病毒、蠕虫等恶意代码,也能够方便管理人员排错和修复,提高网络管理效率。
三、结论和建议
(一)建立事前预警机制
网络安全建设规划方案范文3
论文关键词:数字化校园;建设目标;建设规划;需求分析;教育技术;现代化
近年来,我国特别重视并强调利用教育技术推进教育改革。建设数字化校园,实现教育信息化,强化各项管理,提升综合实力,是各类学校的一项紧迫任务。数字化校园是学校的一张网络名片,是一部永远放映的宣传片,学校可通过这个窗口向世界展示自身的实力和形象。
数字化校园是将现实校园的各项资源数字化,形成的一个数字空间,以现实校园在时间和空间上延伸。它是以网络为基础,从环境(包括设备、教室等)、资源(如图书、讲义、课件等)到活动(包括教学、管理、服务、办公等)的全部数字化。校园网络及其应用系统构成整个校园的神经系统,完成校园的信息传递和服务。在数字化校园里,可以通过现代化手段,方便地实现学校的教学、科研、管理、服务等活动的全部过程,从而达到提高教学质量、科研水平、管理水平的目的。
总体设计方针与目标
设计方针我校的数字化校园建设的总体设计方针是:在未来的三到五年里建设一个包括数字环境建设、数字管理建设、数字教学建设、数字生活建设在内,能充分使用教育技术手段的数字化学校,以资源和数据共享为主导,有步骤、分层次地完成学校数字化校园的建设。
建设目标第一,建设以高速、稳定、可靠、可控校园网为基础,覆盖全校主要楼宇及公共设施的数字化网络通信平台,使之成为数据、监控、广播的综合通信平台,满足数字化图书馆系统、数字化教学系统、校园综合管理信息系统、网络视频会议系统、校园服务一卡通系统等的建设要求,实现真正意义上的“一卡、一库、一网”数字化校园格局。第二,建设覆盖全校楼宇及室外空间的通讯网络,满足实现有线及无线通讯系统,有线电视(包括数字电视接收系统)、校园公共广播、背景音乐、消防应急广播系统、校园安保监控系统等的要求。第三,建设智能化系统,并保证建成后能适应教育发展的需要,建立相应的软、硬件平台,实现信息共享、资源共享、科学管理和网络信息集成。第四,系统软、硬件配置采用模块化、开放式结构,以适应系统灵活组网、扩展和系统能力提升的需要。第五,系统配置采用有长期动态寿命的产品,回避使用短期过渡性技术产品。第六,实现各个子系统有机互联、资源共享、信息共享、增强对突发事件的响应能力;提高设备利用率、降低能耗、节约能源。第七,设备配置在保证系统可靠性、先进性、容错性和易维护性的同时,使系统具有良好的性价比。第八,立足高起点,采用成熟、先进、实用的技术,进行系统的优化集成设计。按照“按需设置、量体裁衣”的方针,提出系统近期的实施方案、中期的扩容方案和远期的发展规划。
建设需求分析
我校数字化校园基础设施建设要将校园网络与教学系统、管理系统、安全监控系统、电视系统、广播系统、校园一卡通系统等进行合理的结合,构建成一套科学、便捷、稳定、有效的,能满足学校教学和管理智能化和数字化运行的综合系统。因此,必须建设好硬件基础平台和网络支撑平台以及若干应用系统。
硬件基础平台建设(1)中心机房建设。该中心是全校主要服务器、交换机等设备放置地,是全校办公、管理、科研、教学、运营中心。整个中心机房建设包括装修、线缆敷设、照明与应急照明、空调系统、机房的防雷接地系统、机房的供电系统等。(2)综合布线系统。该系统用于传输数据、语音、影像等信息,可将教学楼、办公室、电脑、电话等的传输网络与其他信息管理系统相互连接。(3)防雷与接地系统。所有的通信设备、交换设备、控制设备、服务器、电源和用户终端都是互相连接在一起的,各个设备的零电位有差距就有可能给设备的正常工作带来影响,外界所带来的影响也可能使设备造成损坏,尤其是雷电,因此良好的接地是整个系统稳定运行的前提和保障。
网络支撑平台建设(1)网络交换系统。整个校园网设计为主干核心层、汇聚层和接入层三层网络结构。需要利用网络交换设备将全校所有的教学办公区、学生宿舍区楼宇,以及广场、图书馆、电子阅览室、礼堂、体育馆的服务器、pc机等进行网络连接,使整个校区形成一个整体,实现校园网的统一、集中管理。(2)网络存储及备份系统。网络中心将储存各类教育、教学和管理信息,其中包括多媒体教学信息库、外部教学资源数据库、教学音视频数据库、多媒体教学光盘等,主要涵盖了资源管理系统、资源媒体介质管理、资源浏览和检索、数字化教室等,从而具备校园业务变化的适应性、高度的安全性,能大容量数据存储处理等特点。(3)网络管理系统。整个校园网建成后,将有大量的交换机、服务器等网络设备,需通过一种高效的、快捷的手段来完成对网络设备及系统的安全控制、性能优化、运营管理等,同时节约人员成本。
基础应用建设(1)校园一卡通系统。主要包括pos消费机、读卡器、条码机、写卡器、水控器等,从而实现学生收费管理、校园消费、上机管理、学籍管理、图书管理、转账(银行)、会计业务、查询服务、综合业务、门禁考勤、医疗管理、水控管理、科研经费、巡更等。(2)led屏幕显示系统。在学生公寓、综合楼、教学楼、实训楼、食堂等楼宇入口及综合楼、运动场主席台设置led显示屏,用于显示文字、表格、动画、视频等,也可实现新闻节目、文艺晚会、运动会、体育比赛的直播或转播等。(3)有线电视系统。可以实现全校性的视频影音传送,实现教学影音资料的资源共享,还可以实现教学及综合活动同期实况转播,召开全校电视会议等。(4)监控及报警系统。对校门、校园内、图书信息楼等要害部位和重点部门进行监控及入侵报警,只要通过该系统在监控中心就能发现校门、园内、要害部位等的情况,发现问题即时解决,不需要保卫人员到处巡逻,节约人员成本。(5)多媒体教学系统。节目播出均可以实现电脑控制,可以接收并播放音视频信号,具有教学评估功能,多媒体教室也可接收并集中控制各类节目源等。(6)多媒体查询系统。充分利用图、文、声、像以及交互性等多媒体特征对用户的操作、信息查询与接收等进行合理导引,以便用户以最少的时间和精力查询到最多的信息。(7)计费系统。可以按流量、时间和包月计费,可以对接入的用户进行验证和控制,为数字校园的规范管理提供可靠保障。(8)电话语音系统。学校可与当地电信运营商协商,由运营商投资建设和管理,学校只是按照使用付给投资方使用费。(9)智能建筑管理系统(ibms)。包括楼宇自动控制系统,实现集中监视和综合管理、分散控制、系统联动、优化运行等,从而提高本项目的运营管理水平,降低运行成本等。(10)信息网络安全系统。以整个校园网安全建设、管理、运行为重点,保障整个校园网络、各类应用、管理等的正常运行,降低校园网系统存在的各种安全隐患。
建设项目列表
根据以上需求情况,设置建设项目:综合布线;中心机房、计算机网络及整体网络建设;校园一卡通;监控及报警;防雷、接地;有线电视、校园广播;多媒体教学和查询;led屏幕显示;学生机房、数字语音室、模拟导游室、电子阅览室等;办公会议室、教学多功能厅、演播室等;校园精品课程全自动录播;网络数字教学点播平台;各类教育教务、办公自动化及其他网络管理软件;楼宇自控系统、建筑智能管理等。
网络建设规划
网络建设是建设数字化校园的基础,必须放在第一位(无线网络建设可以视条件择机进行)。网络建设包括:
网络基础设施建设包括供电系统;校园管道系统;机房:双路供电、不间断电源、制冷、防雷与接地等系统。
网络环境建设包括校园主干光纤;数字结构化布线;校园网络架构;ip地址与nat;统一储存;认证与计费;出口管理;网络安全;网络管理;运行与维护;行政管理与制度。
网络应用系统建设包括网站;基于网络的视频监控系统;多媒体系统;多种教学系统;精品课程等。
构建数字化校园进程中容易出现的问题
数字化校园的建设推进了学校教学内容的数字化和教学手段的现代化,加快了教育技术现代化进程,进一步改善了学校各专业的教学条件,强化了高素质人才的培养力度。但在建设过程中容易出现以下问题:
经费投入不足、不及时由此延误了部分项目的建设,影响了项目建设的整体效果,影响了项目功能的发挥。
技术力量分散对教育技术的人力资源没有进行充分有效的整合,技术力量分散,不利于发挥技术优势。
管理水平不高注重硬件系统的投入,忽视制度和管理体系建设。学校应投入相应的人力和经费,建设与之相配套的优质管理服务保障体系,还应制定一整套规章制度和工作流程,建立以人为本、以教学为中心的服务体系,促进管理水平的提高。
网络安全建设规划方案范文4
总的来讲,我们目前对信息系统的安全保障工作处在初级阶段,主要表现在信息系统安全建设和管理的目标不明确,信息安全保障工作的重点不突出,信息安全监管体系尚待完善。为了实施信息系统的安全保护,我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准,随后又制定了一系列相关的国家标准,对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级,针对不同的安全等级采取不同的保护措施,以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2],保护能力随着安全保护等级的增高,逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上,需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上,要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上,划分安全保护机制为两部分,关键部分和非关键部分,对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能,负责访问者对所有访问对象的访问活动进行仲裁。
2.企业信息安全等级保护的实施流程
在实施企业信息安全等级保护流程时,主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。
2.1信息系统定级
系统定级是根据整个系统要求达到的防护水平,确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节,根据其重要性和复杂性划分为各个子系统,描述子系统的组成和边界,以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果,对信息系统及其子系统制定全套的安全防护解决方案,并根据方案选取相应的软、硬件防护产品进行具体实施的阶段,这个阶段的工作主要可以归纳为以下三个方面的内容:
2.2.1系统对象的分类划分及相应保护框架的确立。
企业需要对信息系统进行保护对象进行分类和划分,建立起一个企业信息系统保护的框架,根据系统功能的差异和安全要求不同对系统进行分域、分级防护。
2.2.2选择安全措施并根据需要进行调整。
在确定了企业信息系统及各个子系统的安全等级以后,根据需要选择相应的等级安全要求。根据对系统评估的结果,确定出主系统、子系统和各保护对象的安全措施,并根据项目实施过程中的需要进行适当的调整。
2.2.3安全措施规划和安全方案实施。
确定需要的安全措施以后,定制相应安全解决方案和运维管理方案,以此为依据采购必要的安全保护软、硬件及安全服务。
2.3实施、等级评估和改进[4]
依照此前确定的安全措施和解决方案,在企业中进行方案实施。实施完毕之后,对照“信息安全等级保护”相关标准,评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。
3.企业信息安全等级保护体系的主要内容
3.1安全体系设计的原则及设计目标
信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则,达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。
3.2基本技术措施
3.2.1物理安全
物理安全是信息系统安全的基础,物理安全主要内容包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃、防破坏等方面。
3.2.2网络安全
网络是若干网络设备组成的可用于数据传输的网络环境,是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为,可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别,使网络最基本具备基本的防护能力。[5]
3.2.3主机安全
主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面:一是操作系统的脆弱性,二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。
3.2.4应用系统安全
应用系统是提供给用户真正可使用的功能,是以物理层、网络层和主机层为基础的,是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险,对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容,一般需要通过安全审计系统和专业的安全服务来实现。
3.2.5数据安全
数据是指用户真正的数据,信息系统数据安全所面临的主要风险包括:数据遭到盗窃;数据被恶意删除或篡改。在考虑数据安全方案时,除了使用从物理层到应用层的各种层次的安全产品,更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性,制定好数据存储与备份方案,来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、审核和修订等工作,需要在信息安全领导小组的统筹下,按照安全工作的总体方案,根据系统应用安全的实际情况,组织相关人员进行,并进行定期的审核和修订。
3.3.2安全管理机构
要根据要求建立专门的安全职能部门,配置专门的安全管理人员,并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计,内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。
3.3.3人员安全管理
人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。
3.3.4系统建设过程管理
要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控,对所有涉及安全保护的方面提出具体要求。
3.3.5系统运行和维护管理
信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容,可以是内部人员管理维护,也可以根据需要采用内部人员和专业安全厂商相结合的方式。
4.总结
