市**公司信息安全***有限公司2014年3月---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---目录---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---1概述**行业信息安全保障体系是行业信息化健康发展的基础和保障，是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设，提高信息安全管理水平和保障能力，市**公司结合本单位实际情况认真落实《**行业信息安全保障体系建设指南》的各项要求，构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系，做到信息安全工作与信息化建设同步规划、同步建设、协调发展。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---2市**公司业务网络现状及需求分析市**公司业务网络是全省业务办公与通信的基础和支撑平台，整个信息系统目前存在诸多安全隐患：1）没有一个完整的信息安全体系，不能对**公司信息安全程度进行有效评估。2）缺少完整的安全管理制度规，一旦发生安全问题，没有解决依据。3）安全域划分不清晰，网络安全边界防护采取的技术比较单一;防火墙只能基于端口和流量进行控制，却无法防御复杂的攻击和入侵。4）部信息系统所存在的安全漏洞和隐患，不能及时发现；对于网络而言，外网互连私接的情况不能进行有效监控。5）终端安全没有保障，缺乏统一终端管理平台。无法有效的对**公司网络进行准入控制，致使网络接入存在一定的风险。6）没有数据安全保障体系，数据的传输和存储都没办法保证不被窃取。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---7）没有一个统一的员工身份管理系统，无法做到各类部权限的细分，以及信息安全的加密以及事前、事中、事后的审计。8）缺乏主机和应用系统安全保障机制，没有及时发现和弥补系统的漏洞和弱点，存在大量弱口令等问题。9）没有统一的审计和响应机制，即便是发生攻击事件无法快速定位到源头，并进行针对性的解决。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---3信息安全规划思路3.1信息安全目标和工作思路我们应该按照信息安全总体规划，从信息安全管理、信息安全风险控制、信息安全技术等面入手，采用先进可行的技术手段和管理理念，逐步建成全面完整、有效的一套信息安全体系。通过系统化的安全技术和安全管理建设，市**公司逐步形成安全管理规和安全体系架构，逐步有机的融合安全技术和安全管理，使市**公司的安全建设逐渐成熟，为整个业务的正常运行提供强有力的支持和保障。信息化安全体系建设过程中应遵循以下工作思路：“分级保护”原则：应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别，分级保护，合理投资。“三分技术、七分管理”原则：**公司信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---全管理规章制度和操作规程，全面提高安全管理水平。“外并重”原则：安全工作需要做到外并重，在防外部威胁的同时，加强规部人员行为和审计机制。“整体规划，分步实施”原则：需要对**公司信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。“风险管理”原则：进行安全风险管理，确认可能影响信息系统的安全风险，并以较低的成本将其降低到可接受的水平。“适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。3.2信息安全建设主要任务基于企业信息安全逐步建设和节省投资的考虑，市**公司信息安全建设采用分阶段实施的式，按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。具体实施步骤如下图所示：---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---安全建设阶段和容1、第一阶段——紧迫阶段按照本次市**公司安全建设的要求，主要是对市**公司网络中的服务器群区域进行安全防护，尤其是对办公业务网进行安全防护。1.1建设要求本次网络基础安...