网络与信息安全保障方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络与信息安全保障方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络与信息安全保障方案范文

不久前，农业部信息中心金农工程一期信息系统安全等级测评和风险评估公示，对金农工程的信息安全保障工作给予了肯定。金农工程是国家电子政务“十二金”工程之一，其一期工程对网络信息系统的安全性提出了很高的要求。对于这样一个大型的系统工程来说，信息安全不但要有技术、设备方面的保障，更要有过硬的理论指引。

等级保护指导

金农安全

“金农”工程是1994年12月在国家经济信息化联席会议第三次会议上提出的，目的是加速和推进农业和农村信息化。该工程被称为国家电子政务“十二金”工程之一。据农业部相关人士介绍，金农工程主要有以下四点任务：一是网络的控制管理和信息交换服务，包括与其他涉农系统的信息交换与共享；二是建立和维护国家级农业数据库群及其应用系统；三是协调制定统一的信息采集、的标准规范，对区域中心、行业中心实施技术指导和管理；四是组织农业现代化信息服务及促进各类计算机应用系统，如专家系统、地理信息系统、卫星遥感信息系统的开发和应用。

据介绍，金农工程一期的建设目标是通过两年时间，初步形成农业电子政务体系框架。框架中需构建农业监测预警系统、农产品和农业生产资料市场监管信息系统、农村市场与科技信息服务系统，迅速增强农业部门的经济调节、市场监管和公共服务能力；开发国内、国际两类信息资源，建立农业数据中心和粮食流通数据中心，健全采集渠道，增加信息总量，加强统筹规划，改善内容结构，加大整合力度，统一标准规范，建立协作机制，提高共享程度；应用计算机网络技术装备县乡农业信息服务机构，培训信息服务队伍，初步形成延伸到基层的农村信息服务网络，迅速扩大信息服务的覆盖面。

虽然时间紧、任务急，信息系统及安全保障体系的建设却容不得一点马虎。“信息网络安全是一项政策指导性较强的工作，项目的关键在于如何在‘金’字工程中落实国家等级保护政策要求。”金农工程项目负责人解释说，该工程系统结构的核心是金农工程的国家中心，而其基础是国家重点农业县、大中型农产品市场、主要的农业科研教育单位和各农业专业学会、协会等，因此金农工程一期建设的业务系统和网络系统需要考虑如何与国家等级保护标准相结合。而等级保护制度所要求的信息系统定级、备案、建设整改、测评和监督检查等环节如何落实在项目整体中，起初并没有相关经验的积累，需要深入分析和研究。具体来说，项目实施一方面要深刻理解国家等级保护的政策要求，另一方面要深入分析金农工程的重要意义和主要内容，以及各个系统面临的主要安全风险。只有两方面结合起来考虑，才能保证工程建设的正确无误。

同时，据透露，有关部门还要求本期项目要进一步深入落实我国《国家信息化领导小组关于加强信息安全保障工作的意见》中的各项工作，夯实农业行业关于信息安全保障的体系化建设基础，在风险评估、监控体系、信任体系、标准化建设和人才队伍积累等方面都做出深入积累。尤其是对在建设期间如何落实风险评估工作加大了实践力度，在信息系统需求总结、设计和上线等过程中充分融合风险评估工作，为后期的安全运维奠定基础。

有了相关文件、条例做指引，金农工程的规划建设也就有了理论依据。但由于该项目是国家”金”字头重点工程，不可避免地涉及多家承建商，需要在完成初步设计要求的同时全面统一地落实国家等级保护政策要求，所以具有复杂度大、技术难度大、管理难度大等特点，对信息安全服务企业的实施能力、技术水平和服务保障能力都提出很大的挑战。

完善方案

保驾金农工程

“网御神州根据多年积累的对农业行业整体需求的理解，针对本项目制定了完善的技术及支持方案，在业内几乎所有安全厂商都参与的激烈竞争中脱颖而出，力拔头筹。”据金农工程项目负责人介绍，网御神州之所以能中标安全服务和安全集成包，就是凭借其完善的技术支持服务能力及对国家等级保护政策和农业行业的深刻理解。

据了解，金农一期项目的安全建设目标是：在国家信息系统安全等级保护相关政策和标准的指导下，结合金农工程一期网络信息系统的安全需求分析，通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等，全面提升金农工程一期网络信息系统的安全性,能面对目前和未来一段时期内的安全威胁，实现对全网安全状况的统一管理，更好地保障金农工程各系统的正常运行，全面提升金农工程一期信息系统的安全防护水平，达到国家信息安全等级保护相关标准的要求。

第2篇：网络与信息安全保障方案范文

摘要：近些年来,我国电力建设速度明显加快,在加大对电力基础设施投入的同时,我国也在电力信息化方面加大了投入,现今我国在电力信息化方面应经初具规模,在电力生产、电力销售、管理等方面都得到了应用，在享受电力信息化带来的便利的同时，怎样做好在信息化方面的保障工作，使其能够建立合理的电力信息化的安全保障体系是一项繁重的任务。本文将就电力信息化的现状以及如何建立合理的安全保障体系进行阐述。

关键词：电力信息化；安全保障体系

中图分类号：TM76 文献标识码：A

近些年来，我国在加强对电力系统的建设投入的基础上开展了电力系统的电力体制改革，随着这项改革的深入，企业对电力信息化的需求越来越强烈。下文将就电力信息化的现状以及如何建立合理的安全保障体系进行阐述。

1 电力信息化安全体系简介

1.1电力信息化简介。电力工业生产过程包括电力工业规划、设计、施工、生产发电、输电、变电、配电、电网调度、供电营销、物资及管理等环节。电力信息化是指电子、计算机、网络等信息技术在电力工业规划、设计、施工、生产发电、输电、变电、配电、电网调度、供电营销、物资及管理等环节应用全过程的统称，是电力工业在电子信息技术的驱动下由传统工业向高度集约化、高度知识化、高度技术化工业转变的过程。计算机信息通信网络是电力信息化的技术，各类电力资源的开发和利用是电力信息化的核心，提高电力企业的经营决策水平和经济效益是电力信心化的核心，提高电力企业的经营决策水平和经济效益是电力信息化的宗旨，其本质是加强电力企业的“核心竞争力”。电力企业信息化包括生产过程自动哈和管理信息化两个方面。

1.2我国电力信息化发展现状。我国自上世纪60年代开始在发电厂和变电站自动监测、控制等方面应用电力信息化，进入90年代后信息技术应用进一步发展到综合应用，由操作层面向管理层面延伸，实现管理信息化，建立各级企业的管理信息化。我国的电力信息化发展从原来的单机、单项目向网络化、整体性、综合性应用发展，从局部应用发展到全局应用，从单机运行发展到网络化运行，同时其它专项应用系统也进一步发展到更高的水平，现今，我国的电力信息化建设已纳入企业总体发展战略，信息化进一步与电力企业的生产、管理与经营融合。

1.3电力信息化的安全保障体系。电力信息化安全保障体系建立的目的是为了建立在网络上的电力系统的信息的安全，保障这些信息不会被非法用户登陆、查看甚至是修改，因为一旦以上这些现象发生将会造成巨大的损失。同时需要对合法用户提供安全、可信的信息服务。

2 电力信息化的安全保障体系的简介

2.1电力信息化安全保障的意义。进入新时代，网络信息安全问题得到了广泛的重视，像前段时间美国的“棱镜门”事件，更是加剧了民众对于信息安全的担忧，我国现今已经建成了广发的网络的应用，我国是信息化应用方面的大国，而非强国，来自于网络上的攻击威胁着我国金融、电信、电力等行业的安全，而电力行业是一个国家基础行业，更应加强信息安全方面的投入，建立起相应的信息化的安全保障体系，抵御来自于网络方面攻击，提高电力信息化方面抗风险能力。

2.2电力信息化安全保障方面存在的问题。近些年来，我国虽然加大了对于电力信息化安全保障方面的投入，但是在电力信心化安全保障方面还是存在着一些问题：（1）信息安全意识薄弱。由于信息安全是存在着看不见摸不着且无法定义的弊端，造成企业单位及个人对于信息安全方面的意识不足，同时由于对于信息安全形式认识方面的不足造成很对的人对于信息安全方面的忽视。（2）没有常态化的信息安全保障工作，在信息安全方面各个单位及个人没有在日常工作中落实到实处，仅仅在上级领导及上级单位检查时应付为主。（3）对于电力信息化的安全保障工作在信息安全运作机制不完善。（4）各地对于信息保障工作的完成度不同，由于电力企业的办公地理位置分散，因此在信息化安全保障体系的建设方面需要投入的人力巨大，而且由于各地对于信息化的运行维护、保障体系管理缺乏一定的经验以及相应的规范，因此，在信息化建假设维护方面各地进度不一，落后的地方的信息化安全方面的建设将会成为整体建设方面的短板。（5）由于在电力信息化安全方面的经验不足，造成在设计相关的系统安全方面时经验不足，设计方案漏洞较多。

2.3电力信息化建设面临威胁。现今网络中面临多方面威胁，而电力企业信息安全面临的风险有病毒木马、非法篡改信息、信息泄露、服务瘫痪等方面威胁。

3 电力信息化安全保障体系的建立

3.1加紧制定相应的信息安全策略。信息安全策略是电力系统解决信息安全问题最重要的步骤，也是电力系统整个信息安全体系的基础。电力系统最主要的管理文件就是信息安全策略，信息安全策略明确规定需要保护什么，为什么需要保护和由谁进行保护；没有合理信息安全策略，再好的信息安全专家和安全工具也没有价值。电力系统的信息安全策略可以反映出电力系统对现实安全威胁和未来安全风险的预期，也可反映出组织内部业务人员和技术人员对安全风险认识与应对。

3.2加强对于电力信息化的信息安全管理。电力系统的信息安全管理中存在着诸多问题，例如：（1）信息安全管理部门的不作为，虽然相关的机构建立起来了但是并未发挥相应的作用。（2）员工对于信息安全的认知不够，并未树立起全员信息安全意识，（3）相应的安全管理职责划分不明，没有建立起风险管理控制机制等。

应当建立起定期的巡检制度，每个月进行排查，提交月报，同时需要对员工加强关于电力信息化安全方面的讲座，将电力信息化安全缺失造成的危害对员工进行详细的接收，提高员工对于电力信息化安全的认识，做好相关的安全工作。

3.3保证电力信息安全的技术措施

通过建立统一IDE身份认证和访问控制方式来对登陆用户进行身份认证，同时需要对网络中传输的信息进行加密措施，应使用加解密、数字签名、消息认证码等手段进行保护。但现今电力企业中的通信过程都未采取加密、数字签名等安全措施。同时需要建立起对于病毒、攻击等的防范措施。加强对于信息化安全的保障。

结语

电力是一个国家的基础，因此我们需要加强对于电力信息化的安全保障体系的建设，确保电力信息系统安全、可靠、稳定、高效地运行。

第3篇：网络与信息安全保障方案范文

 

1现状与问题

 

1.信息安全现状

 

随着信息化建设的推进，我校信息化建设初具规模，软硬件设备配备完成，运行保障的基础技术手段基本具备。网络中心技术力量雄厚，承担网络系统管理和应用支持的专业技术人员达20余人;针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段，保障了核心业务系统在一般情况下的正常运行，具备了基本的安全防护能力|6];日常运行管理规范，按照信息基础设施运行操作流程和管理对象的不同，确定了网络系统运行保障管理的角色和岗位，初步建立了问题处理的应急响应机制。由网络中心进行日常管理的主要有六大业务应用系统，即网络通信平台、认证计费系统、校园一卡通、电子校务系统、网站群、邮件系统。

 

网络通信平台是大学各大业务平台的基础核心，是整个校园网的基础，其他应用系统都运行在高校的基础网络环境上;认证计费系统是针对用户接入校园网和互联网的一种接入认证计费的管理方式;校园一卡通系统建设在物理专网上，主要实现学生校园卡消费管理，校园卡与大学网络有3个物理接口;电子校务系统是大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息;大学主页网站系统为大学校园的互联网窗口起到学校对外介绍宣传的功能;邮件系统主要为大学教师与学生提供邮件收发服务，目前邮件系统注册用1.2面临的主要问题

 

通过等级保护差距分析和风险评估，目前大学所面临的信息安全风险和主要问题如下：

 

(1)高校领域没有总体安全标准指引，方向不明确，缺少主线。

 

(2)对国际国内信息安全法律法规缺乏深刻意识和认识。

 

(3)信息安全机构不完善，缺乏总体安全方针与策略，职责不够明确。

 

(4)教职员工和学生数量庞大，管理复杂，人员安全意识相对薄弱，日常安全问题多。

 

()建设投资和投入有限，运维和管理人员的信息安全专业能力有待提高。

 

(6)内部管理相对松散，缺乏安全监管及检查机制，无法有效整体管控。

 

(7)缺乏信息安全总体规划，难以全面提升管理

 

(8)缺乏监控、预警、响应、恢复的集中运行管理手段，无法提高安全运维能力。

 

2建设思路

 

2.1建设原则和工作路线

 

学校信息安全建设的总体原则是:总体规划、适度防护，分级分域、强化控制，保障核心、提升管理，支撑应用、规范运维。

 

依据这一总体原则，我们的信息安全体系建设工作以风险评估为起点，以安全体系为核心，通过对安全工作生命周期的理解从风险评估、安全体系规划着手，并以解决方案和策略设计落实安全体系的各个环节，在建设过程中逐步完善安全体系，以安全体系运行维护和管理的过程等全面满足安全工作各个层面的安全需求，最终达到全面、持续、突出重点的安全保障。

 

2.2体系框架

 

信息安全体系框架依据《信息安全技术信息系统安全等级保护基本要求》GBT22239-2008、《信息系统等级保护安全建设技术方案设计要求》(征求意见稿)，并吸纳了IATF模型[7]中“深度防护战略，，理论，强调安全策略、安全技术、安全组织和安全运行4个核心原则，重点关注计算环境、区域边界、通信网络等多个层次的安全防护，构建信息系统的安全技术体系和安全管理体系，并通过安全运维服务和itsm[8]集中运维管理(基于IT服务管理标准的最佳实践)，形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构(见图2)，从而实现并覆盖了等级保护基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求，以满足信息系统全方位的安全保护需求。

 

(1)安全策略：明确信息安全工作目的、信息安全建设目标、信息安全管理目标等，是信息安全各个方面所应遵守的原则方法和指导性策略。

 

(2)安全组织：是信息安全体系框架中最重要的

 

各级组织间的工作职责，覆盖安全管理制度、安全管理机构和人员安全管理3个部分。

 

(3)安全运行：是信息安全体系框架中最重要的安全管理策略之一，是维持信息系统持续运行的保障制度和规范。主要集中在规范信息系统应用过程和人员的操作执行，该部分以国家等级保护制度为依据，覆盖系统建设管理、系统运维管理2个部分。

 

(4)安全技术:是从技术角度出发，落实学校组织机构的总体安全策略及管理的具体技术措施的实现，是对各个防护对象进行有效地技术措施保护。安全技术注重信息系统执行的安全控制，针对未授权的访问或误用提供自动保护，发现违背安全策略的行为，并满足应用程序和数据的安全需求。安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。该部分以国家等级保护制度为依据，覆盖物理层、网络层、主机层、应用层和数据层5个部分。

 

()安全运维:安全运维服务体系架构共分两层，实现人员、技术、流程三者的完美整合，通过基于ITIL[9]的运维管理方法，保障基础设施和生产环境的正常运转，提升业务的可持续性，从而也体现了安全运3重点建设工作

 

3.1安全渗透测试

 

2009年4月，学校对38个网站、2个关键系统和6台主机系统进行远程渗透测评。通过测评，全面、完整地了解了当前系统的安全状况，发现了20个高危漏洞，并针对高危漏洞分析了系统所面临的各种风险，根据测评结果发现被测系统存在的安全隐患。渗透测试主要任务包括:收集网站信息、网站威胁分析、脆弱性分析和渗透入侵测评、提升权限测评、获取代码、渗透测评报告。

 

3.2风险评估和安全加固

 

2009年5月，依据安全渗透测试结果，对大学的六大信息系统进行了安全测评。根据评估结果得出系统存在的安全问题，并对严重的问题提出相应的风险控制策略。主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。通过风险评估最终得出了威胁的数量和等级，表1、表2为威胁的数量和等级统计。2009年6月和9月，基于风险评估结果，对涉及到的网络设备(4台)和主机设备(14台)进行了安全加固工作。

 

3.3安全体系规划

 

根据前期对全校的网络、重要信息系统及管理层面的全面评估和了解整理出符合大学实际的安全需求，并结合实际业务要求，对学校整体信息系统的安全工作进行规划和设计，并通过未来3年的逐步安全建设，满足学校的信息安全目标及国家相关政策和标准学校依据国际国内规范及标准，参考业界的最佳实践ISMS[10](信息安全管理体系)，结合我校目前的实际情况，制定了一套完整、科学、实际的信息安全管理体系，制定并描述了网络与信息安全管理必须遵守的基本原则和要求。

 

通过信息安全管理体系的建立，使学校的组织结构布局更加合理，人员安全意识也明显提高，从而保证了网络畅通和业务正常运行，提高了IT服务质量。通过制度、流程、标准及规范，加强了日常安全工作执行能力，提高了信息安全保障水平。

 

4未来展望和下一步工作

 

4.1安全防护体系

 

根据网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，可以考虑使用逻辑隔离技术(VLAN或防火墙技术)将整个学校的网络系统划分为3个层次的安全域：第一层次安全域包括整个学校网络信息系统;第二层次安全域将各应用系统从逻辑上和物理上分别划分;第三层次安全域主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统。

 

公钥基础设施包括：CA安全区：主要承载CAServer、主从LDAP、数据库、加密机、OCSP等;KMC管理区:主要承载KMCServer、加密机等;RA注册区:主要承载各院所的RA注册服务器，为各院所的师生管理提供数字证书注册服务。

 

应用安全支撑平台为各信息系统提供应用支撑服务、安全支撑服务以及安全管理策略，使得信息系统建立在一个稳定和高效的应用框架上，封装复杂的业务支撑服务、基础安全服务、管理服务，并平滑支持业务系统的扩展。主要包括:统一身份管理、统一身份认证、统一访问授权、统一审计管理、数据安全引擎、单点登录等功能。

 

4.2安全运维体系

 

ITSM集中运维管理解决方案面对学校日益复杂的IT环境，整合以往对各类设备、服务器、终端和业务系统等的分割管理，实现了对IT系统的集中、统一、全面的监控与管理;系统通过融入ITIL等运维管理理念，达到了技术、功能、服务三方面的完全整合，实现了IT服务支持过程的标准化、流程化、规范化，极大地提高了故障应急处理能力，提升了信息部门的管理效率和服务水平。

 

根据终端安全的需求，系统应建设一套完整的技术平台，以实现由管理员根据管理制度来制定各种详尽的安全管理策略，对网内所有终端计算机上的软硬件资源、以及计算机上的操作行为进行有效管理。实现将以网络为中心的分散管理变为以用户为中心集中策略管理;对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态定期安全检测，内容包括定期的安全风险评估、安全加固、安全应急响应和安全巡检。

 

4.3安全审计体系

第4篇：网络与信息安全保障方案范文

关键词：网络 信息安全 保障体系 策略

一、引言

信息化是当今世界发展的大趋势，也是我国面临的重大发展机遇。大力推进信息化，以信息化带动工业化，以工业化促进信息化，走新型工业化道路，是全面建设海峡西岸经济区、构建和谐社会的必然选择。

网络与信息安全工作是数字福建建设的重要组成部分。加快建设与数字福建发展水平相适应的福建省网络与信息安全保障体系，对维护国家安全和社会稳定，保障公民合法权益，促进数字福建健康、有序发展具有重要意义。

二、福建省网络与信息安全的现状与挑战

“十五”期间，福建省信息安全保障整体布局已初步形成，信息安全基础性工作和基础设施建设取得了显著成绩，信息安全产业初具规模。目前，福建省已建成了福建省电子商务认证中心、省政务数字认证中心和密钥管理中心，发放了13万张企业数字证书和4400多张电子政务数字证书；建成了省政务信息网和国际互联网安全监控中心，实现对政务网和互联网的安全监控；利用密码技术在省政务信息网上建成覆盖全部省直单位的省政务网子网，确保联网单位之间秘密信息的安全通信；建成全省保密系统的信息网络及其网络安全防范体系，防止国家秘密信息的泄漏；建成了数字福建数据灾难备份中心。

信息安全管理体制和工作机制逐步建立，信息安全责任制基本落实；信息安全等级保护、信息安全风险评估、信息安全产品认证认可、信息安全应急协调机制建设、网络信任体系建设、信息安全标准化制定等基础性工作和基础设施建设取得较大进展；信息安全问题受到了福建全省人民的普遍关注，民众对信息安全的理解和认识更加深入全面。总的来看，通过全社会的共同努力，一种齐抓共管、协调配合的有效机制基本形成，信息安全保障工作的局面已经打开。

但从总体上看，福建省的信息安全防护水平还不高，与国际水平和先进省份相比还有一定的差距，网络与信息系统的防护水平依然有限，应急处理能力还不强；信息安全管理和技术人才还比较缺乏，信息安全法律法规还不够完善；信息安全管理还比较薄弱，面临的风险和威胁仍然比较突出。随着数字福建的进一步推进，海峡西岸经济区建设对信息化的依赖程度将进一步提高，网络与信息安全的问题将摆上更重要的议事日程。福建省将充分利用已有的信息安全保障资源，按照中央提出的“确保国家经济安全、政治安全、文化安全和信息安全”的要求，加快建设数字福建网络与信息安全保障体系，以保障和促进国民经济和社会信息化的持续快速健康发展。

三、网络与信息安全保障体系总体框架

网络与信息安全保障体系主要包含组织管理、技术保障、基础设施、产业支撑、人才培养、法规标准六个部分，如图1所示。

图1 网络与信息安全保障体系

四、关于网络与信息安全策略的建议

⒈构建电子政务信息安全技术保障体系

技术保障体系是电子政务安全保障体系的重要组成部分，它涉及3个层面的内容：一是信息安全的核心技术和基本理论的研究与开发，包括数据加密技术、信息隐藏技术以及安全认证技术；二是基于信息安全技术的信息安全产品或系统，如反病毒系统、防火墙系统、入侵检测系统和物理隔离系统等；三是运用信息安全产品和系统构建综合防护系统，主要做法是采用各安全厂商提供的综合安全解决方案。

信息安全保障工作，一方面，要加强核心技术的研发。我国网络与安全保障关键是要有自主的知识产权和关键技术，从根本上摆脱对外国技术的依赖，积极加大科技投入，尽快形成有自主产权的信息安全产业，加强安全技术的研究与开发，推进信息安全技术创新，增强网络与信息安全保障的能力。另一方面，构建一整套符合实际需求的安全体系。包括各种具体的安全系统、安全操作系统及相关的安全软件和技术、各种系统间的综合集成和有关的服务等，构筑坚实的网络与信息安全屏障。

⒉强化网络与信息安全管理

安全管理是实现信息安全的落实手段，而建立有效的安全管理机构是保障信息安全的组织保证。通过建立统一的、立体的、多维的信息安全管理体系。安全管理机构需要制定一系列严格的管理制度和建立电子政务信息安全机制来保障共建共享的信息安全。管理制度包括系统运行维护管理制度、文档资料管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、安全等级保护制度等。电子政务的信息安全机制是指实现信息安全目标的支持元素，它主要包括以下3方面的内容：

一是支撑机制。作为大多数信息安全能力的共同基础，支撑机制是最常用的安全机制。支撑机制包括标识和命名、密钥管理、安全管理、系统保护。

二是防护机制。主要用于防止安全事故的发生，受保护的通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。

三是检测和恢复机制。主要用于检测共享系统中安全事故的发生并采取措施减少安全事故的负面影响。包括审计、入侵检测和容忍、完整性验证、安全状态重置。

⒊加强信息安全标准化建设

建立健全信息安全法律体系和标准化体系，并且将标准化体系纳入法律体系和法制范畴，使其具有强制实施的法律效力。这是促进信息化建设健康发展、构建信息安全保障新体系的内在要求和主要内容。通过学习和借鉴国外先进经验，认真总结自身经验，积极探索加强信息安全法制建设和标准化建设的新思路。这方面的重点是综合考虑信息网络系统安全立法的整体结构，尽快建成门类齐全、结构严谨、层次分明、内在和谐、功能合理、统一规范的信息安全法律法规体系，用来调节信息安全领域的各种法律关系。加强信息安全标准化建设，根据信息安全评估的国际通行准则，参照国际标准，学习借鉴先进国家的成功经验，从实际出发，抓紧制定急需的信息系统安全等级保护标准、系统评估标准、产品检测标准、公钥基础设施标准、电子身份认证标准、防火墙技术标准以及关键技术、产品、系统、服务商资质、专业技术人员资质、各类管理过程与测评的标准等。建立健全信息安全标准化体系，重视现有的信息安全标准的贯彻实施，充分发挥其基础性、规范性的作用。

⒋大力培养信息安全专业人才

信息安全的保障离不开专业的技术人员，信息安全管理的核心要素是高素质的人和技术队伍。人是保证信息安全的最重要的因素，因为法律、管理、技术都要人去掌握。信息安全管理人员的安全意识、素质水平、创新能力直接影响到信息的安全。必须重视和加强对信息安全专业人才的培养，全面提高人员的道德品质和技术水平，这是保障信息安全的关键所在。通过大众传播媒介、远程教育、组织各种专题讲座和培训班等方式，培养各种层次和类型的信息安全专业人才。此外，还要不断加强对广大公务员的教育、培养和管理，增强广大公务员的信息安全意识、遵纪守法意识，提高其技术和业务水平，从而增强其保障信息安全的能力。

作者简介：

第5篇：网络与信息安全保障方案范文

关键词： 企业信息系统；信息安全；安全策略

中图分类号：F270.7 文献标识码：A 文章编号：1671－7597（2012）0220165－01

随着市场经济的不断发展，企业竞争越来越激烈，国际化合作不断增多，随之而来的企业信息安全是目前我国企业普遍存在的问题。对企业来说，信息安全是一项艰巨的工作，关系到企业的发展。近年来，围绕企业信息安全问题的话题不断，企业信息安全事件也频频发生，如何保证企业信息的安全，保证信息系统的正常运转，已经成为信息安全领域研究的新热点。

1 企业信息安全的意义

信息安全是一个含义广泛的名词，是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏，或防止信息被非法辨识、控制，即确保信息的保密性、可用性、完整性和可控性。企业的正常运转，离不开信息资源的支撑。企业信息安全建设对企业的发展意义重大。

首先，信息安全是时展的需要。计算机网络时代的发展，改变了传统的商务运作模式，改变了企业的生产方式和思想观念，极大推动了企业文化的发展。企业信息安全的建设将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。

其次，信息安全是企业发展的需要。企业的信息化建设带来了生产效率提高、成本降低、业务拓展等诸多好处。当前越来越多的企业信息和数据，都是以电子文档的形式存在，对企业来说，信息安全是使企业信息不受威胁和侵害的保证，是企业发展的基本保障，所以，在积极防御，综合防范的方针指导下，有效地防范和规避风险，建立起一套切实可行的长效防范机制，逐步建立起信息安全保障体系，有利于企业的发展。

最后，信息安全是企业稳定的必要前提。信息安全成为保障和促进企业稳定和信息化发展的重点，要充分认识信息安全工作的紧迫感和长期性，从企业的安全、经济发展、企业稳定和保护企业利益的角度来思考问题，扎扎实实地做好基础性工作和基础设施建设，在建立信息安全保障体系的过程中，必须搞好链接信息安全保障体系建设安全、建设健康的网络环境，关注信息战略，保障和促进信息化的健康发展。

2 企业信息安全的现状

我国企业信息安全包括计算机系统的硬、软件及系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，使得系统连续、可靠、正常的运行，网络服务不中断。计算机和网络技术具有复杂性和多样性，使得企业信息安全成为一个需要持续更新和提高的领域。就目前来看，主要存在以下三个方面的隐患。

2.1 企业缺少信息安全管理制度

企业信息安全是一个比较新的领域，目前还缺少比较完善的法规，现有的法规，由于相关安全技术和手段还没有成熟和标准化，法规也不能很好地被执行，安全标准和规范的缺少，导致无从制定合理的安全策略并确保此策略能被有效执行。企业的信息系统安全问题是一个系统工程，涉及到计算机技术和网络技术以及管理等方方面面，同时，随着信息系统的延伸和新兴技术集成应用升级换代，它又是一个不断发展的动态过程。因此对企业信息系统运行风险和安全需求应进行同期化的管理，不断制定和调整安全策略，只有这样，才能在享受企业信息系统便利高效的同时，把握住信息系统安全的大门。

2.2 员工缺少安全管理的责任心

一个企业的信息系统是企业全体人员参与的，不考虑全员参与的信息安全方案，恰恰忽视信息安全中最关键的因素――人，因为他们才是企业信息系统的提供者和使用者，他们是影响信息安全系统能否达到预期要求的决定因素。在众多的攻击行为和事件中，发生最多的安全事件是信息泄露事件。攻击者主要来自企业内部，而不是来自企业外部的黑客等攻击者，安全事件造成最大的经济损失主要是内部人员有意或无意的信息泄露事件。针对内部员工的泄密行为，目前还没有成熟的、全面的解决，对于来自企业信息内部信息泄密的安全问题，一直是整个信息安全保障体系的难点和弱点所在。

2.3 信息系统缺乏信息安全技术

计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。由于认识能力和技术发展的局限性，在硬件和软件设计过程中，难免留下技术缺陷，网络硬件、软件系统多数依靠进口，由此可造成企业信息安全的隐患，现在黑客的攻击并不是为了破坏底层系统，而是为了入侵应用，窃取数据，带有明显的商业目的，许多黑客就是通过计算机操作系统的漏洞和后门程序进入企业信息系统。随着网络应用要求的越来越多，针对应用的攻击也越来越多，除了在管理制度上确保信息安全外，还要在技术上确保信息安全。

3 企业信息安全中存在的问题

信息时代的到来，从根本上改变了企业经营形式，企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。由于我国企业信息安全工作还处于起步阶段，基础薄弱，导致信息安全存在一些亟待解决的问题。比较常见的问题有病毒危害、“黑客”攻击和网络攻击等，这些问题给企业造成直接的经济损失，成为企业信息安全的最大威胁，使企业信息安全存在着风险因素。

3.1 病毒危害

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它是具有破坏作用的程序或指令集合。计算机病毒已经泛滥成灾，几乎无孔不入，据统计，计算机病毒的种类已经超过4万多种，而且还在以每年40%的速度在递增，随着Internet技术的发展，病毒在企业信息系统中传播的速度越来越快，其破坏性也越来越来越强。

3.2 “黑客”攻击

“黑客”是英文Hacker的谐音，黑客是利用技术手段进入其权限以外的计算机系统的人。黑客破解或破坏某个程序、系统及网络安全，或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。通常采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源，黑客攻击已经成为近年来经常出现的问题。

3.3 网络攻击

网络攻击就是对网络安全威胁的具体表现，利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。尤其是在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的企业面临着前所未有的风险。由此可知，企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全，就必须找出存在信息安全问题的根源，并具有良好的安全管理策略。

4 企业信息安全的解决方案

为确保企业信息安全，要坚持积极防御，综合防范的方针，全面提高信息安全防护能力。因此，面对企业信息安全的现状和企业信息安全发展中出现的问题，必须实施对企业的信息安全管理，建设信息安全管理体系，只有建立完善的安全管理制度，将信息安全管理自始至终贯彻落实于信息管理系统的方方面面，企业信息安全才能得以实现。企业信息安全的解决方案，具体表现在以下三个方面：

4.1 建立完善的安全管理体系

完整的企业信息系统安全管理体系首先要建立完善的组织体系，完成制定并信息安全管理规范和建立信息安全管理组织等工作，保障信息安全措施的落实以及信息安全体系自身的不断完善。并建立一套信息安全规范，详细说明各种信息安全策略。一个详细的信息安全规划可以减轻对于人的因素带来的信息安全问题。最基本的企业安全管理过程包括：采用科学的企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型、建立科学的可实施的安全策略，采取规范的安全防范措施、选用可靠稳定的安全产品等。安全防范体系的建立不是一劳永逸的，企业网络信息自身的情况不断变化，新的安全问题不断涌现，必须根据暴露出的一些问题，进行更新，保证网络安全防范体系的良性发展，

4.2 提高企业员工的安全意识

科技以人为本，在信息安全方面也是靠人来维护企业的利益，我们在企业信息网络巩固正面防护的时候不能忽视对人的行为规范和绩效管理。企业员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。企业应当制定企业人员信息安全行为规范，必须有专门管理人才，才能有效地实现企业安全、可靠、稳定运行，保证企业信息安全。教育培训是培训信息安全人才的重要手段，企业可以对所有相关人员进行经常性的安全培训，强化技术人员对信息安全的重视，提升使用人员的安全观念，有针对性的开展安全意识宣传教育，逐步提高员工的安全意识，强调人的作用，使他们明确企业各级组织和人员的安全权限和责任，使他们的行为符合整个安全策略的要求。

4.3 不断优化企业信息安全技术

企业一旦制定了一套详细的安全规划来武装自己，保护其智力资产，它就开始投入到选择采用正确信息安全技术上。可供企业选择的防止信息安全漏洞的安全技术有很多。当企业选择采用何种技术时，首先了解信息安全的三个领域是十分有帮助的，这三个领域变得：验证与授权、预防和抵制、检测和响应。其中，用户验证是确认用户身份的一种方法，一旦系统确认了用户身份，那么它就可以决定该用户的访问权限，比如使用用户名和密码。预防和抵抗技术是指企业阻止入侵者访问。对于任何企业，必须对那些故障做好准备和预测，目前可以帮助预防和建设抵抗攻击的技术主要有内容过滤、加密和防火墙，在选用防火墙的时候，需要对所安装的防火墙做一些攻击测试。此外，企业信息安全的最后一道屏障是探测和反应技术，最常见的探测和反应技术是杀毒软件。

5 结语

总之，企业信息安全是一项复杂的系统工程，企业要适应现代化发展的需要，要提高自身信息安全意识，加强对信息安全风险防范意识的认识，重视安全策略的施行及安全教育，必须做到管理和技术并重，安全技术必须结合安全措施，并加强信息安全立法和执法的力度，建立备份和恢复机制， 为企业设计适合实际情况的安全解决方案，制定正确和采取适当的安全策略和安全机制，保证企业安全体系处于应有的健康状态。

参考文献：

[1]张帆，企业信息安全威胁分析与安全策略[J].网络安全技术与应用，2007（5）.

[2]谌晓欢，企业信息安全问题及解决方案[J].企业技术开发，2008（8）.

[3]付沙，企业信息安全策略的研究与探讨[J].商场现代化，2007（26）.

[4]姜桦、郭永利，企业信息安全策略研究[J].焦作大学学报，2009（1）.

第6篇：网络与信息安全保障方案范文

1网络工程专业学生网络系统安全保障能力培养的现状分析

网络工程专业是依托于计算机科学与技术专业发展起来的。网络工程专业的人才应该具备计算机类专业人才的四大基本能力：计算思维、算法设计与分析、程序设计与实现和系统能力。网络工程专业人才的专业能力可以进一步细化为：网络协议分析设计与实现、网络设备研发能力、网络应用系统设计与开发能力、网络工程设计与实施能力、网络系统管理与维护能力、网络系统安全保障能力等。因此，网络系统安全保障能力是网络工程专业有别于其他计算机类专业的一个重要能力。但在目前的现实情况下，大家对网络工程专业和其他相关专业在专业能力构成上的差异认识不够，很多学校不同专业在网络系统安全保障能力培养方面存在同质化现象。

在专业知识体系上，网络系统安全保障知识领域的核心知识单元应有：信息安全基础、安全模型、加密、认证、数字签名、安全协议、防火墙、入侵检测系统、漏洞检测与防护、安全评估与审计等。从知识体系上来看，网络工程专业中的网络系统安全保障知识基本上是信息安全专业中密码学、网络攻防技术及信息系统安全领域基础知识的综合，具有内容多、涉及面广的特点。另外，目前的知识体系主要从防御角度出发，攻击和渗透的知识还很欠缺。如何在确保知识体系覆盖完整的条件下，突出网络工程专业的特色，是一个尚待深入研究的课题。在课程体系结构上，网络系统安全保障能力对应的网络安全课程，对网络工程、信息安全和信息对抗专业来说是主干课程，而对计算机类其他专业来说，往往是扩展课程；信息安全专业和信息对抗专业一般将其细化为至少4门主干课程，如密码学、网络安全、信息系统安全和信息内容安全。网络工程专业需要强化网络安全课程，并开设相应的扩展课程，以完善网络系统安全保障课程体系的完整性。

教学条件上，在网络与信息安全方面比较突出的国内高校主要以密码学领域的科学研究与人才培养见长，缺少网络系统安全保障的师资，特别是缺少既有工程背景和网络攻防实战经验又有高学术水平的师资，导致一些高校网络安全课程的教学质量不高，甚至无法开设，影响了网络系统安全保障能力的培养。网络系统安全保障不仅有理论性，也具有实践性，许多方法和手段需要在实践过程中认识和领会。一些高校的网络工程专业缺少必要的实验条件，有些仅仅进行加密与解密、VPN、入侵检测或防火墙等方面的简单配置性实验，缺少网络对抗等复杂的综合性实验，致使网络系统安全保障实践环节质量不高，影响学生动手能力的培养。

2网络工程专业学生网络系统安全保障能力构成

网络系统安全保障能力的教育需要以网络系统安全保障知识为载体，通过探讨知识发现问题求解过程，培养学生灵活运用所学知识有效地解决网络系统安全防御、检测、评估、响应等实际问题的能力。计算机类专业培养学生的计算思维、算法思维、程序思维、系统思维、过程思维、数据思维、人机系统思维等思维能力，而网络工程专业还要培养学生的对抗思维、逆向思维、拆解思维、全局思维等网络系统安全保障所特有的思维能力。网络系统安全保障体系是一个复杂系统，必须从复杂系统的观点，采用从定性到定量的综合集成的思想方法，追求整体效能。从系统工程方法论的观点出发，网络系统安全保障不能简单地采用还原论的观点处理，必须遵循“木桶原理”的整体思维，注重整体安全。网络系统安全保障的方法论与数学或计算机科学等学科相比，既有联系又有区别，包括观察、实验、猜想、归纳、类比和演绎推理以及理论分析、设计实现、测试分析等，综合形成了逆向验证的独特方法论。

从不同的角度看网络系统安全保障可以得到不同的内涵和外延。从物理域看，是指网络空间的硬件设施设备安全，要求确保硬件设施设备不扰、破坏和摧毁；从信息域看，重点是确保信息的可用性、机密性、完整性和真实性；从认知域看，主要是关于网络传播的信息内容对国家政治及民众思想、道德、心理等方面的影响；从社会域看，要确保不因网络信息传播导致现实社会出现经济安全事件、民族宗教事件、暴力恐怖事件以及群体性聚集事件等。网络系统安全保障涉及网络协议安全及相关技术研究、网络安全需求分析、方案设计与系统部署、网络安全测试、评估与优化、网络安全策略制订与实施等内容。培养网络系统安全保障能力就是培养学生熟悉信息安全基本理论和常见的网络安全产品的工作原理，掌握主流网络安全产品如防火墙、入侵检测、漏洞扫描、病毒防杀、VPN、蜜罐等工具的安装配置和使用，能够制定网络系统安全策略与措施，部署安全系统，同时具有安全事故预防、监测、跟踪、管理、恢复等方面的能力以及网络安全系统的初步设计与开发能力，以满足企事业单位网络安全方面的实际工作需求。

3网络工程专业学生网络系统安全保障能力课程设置

网络工程专业涉及计算机网络的设计、规划、组网、维护、管理、安全、应用等方面的工程科学和实践问题，其网络安全课程使学生了解网络系统中各种潜在的安全威胁与攻击手段以及针对这些威胁可采用的安全机制与技术。掌握常见的网络安全工具和设备，如防火墙、入侵检测、漏洞扫描等工具的工作原理，学生可以了解网络安全的相关政策法规，并具有网络安全策略与措施制定、安全事故监测等能力。为了保质保量地完成网络工程专业学生的网络系统安全保障能力的培养，可设置相应的主干课程：网络安全技术和网络安全技术实践及扩展课程安全测试与评估技术。课程涉及的核心知识点如表1所示。通过开设安全测试与评估技术，教师引导和培养学生用逆向、对抗和整体思维来学习并思考网络系统安全保障问题。

4培养学生网络系统安全保障的实践和创新能力

实践动手能力是网络系统安全保障能力培养中的重要一环。许多网络信息系统安全保障能力知识点比较难掌握，必须通过实践环节来消化、吸收、巩固和升华，才成为学生自己的技能。为此，我们一方面努力争取解决实验条件，与企业联合共建网络安全教学实验室；另一方面，自主开发实现了一系列的教学演示和实践工具，弥补部分环节难以让学生动手实践的不足。通过完善的实践体系（包括课内实验、综合实验、创新实践、实习及学科竞赛等），培养学生网络系统安全保障的实践和创新能力。课内实验包括安全测试与评估技术课程的信息收集、内部攻击、KaliLinux的安装与使用、Metasploit、缓冲溢出攻击、Shellcode、Web攻击、数据库安全、逆向分析等实验。网络安全技术课程对应的实践课程网络安全技术实践设置了加解密编程、PGP、PKI、VPN服务器和客户端、病毒与恶意代码行为分析、Iptables防火墙、Snort入侵检测、以太网网络监听与反监听、端口扫描、WinPcap编程、Windows和Linux安全配置等实验；另外还设置了两个综合实验——综合防御实验(安全配置、防火墙、入侵检测、事件响应)和综合渗透测试实验(信息收集、缓冲溢出渗透、权限提升、后门安装、日志清除)。在课内实验和综合实验环节采用分工合作、以强带弱、小组整体与个人测试评分相结合等措施，确保让每个学生掌握相应的网络系统安全保障实践能力。目前，我们正积极与网络安全相关企业建设实习和实训基地，开展社会实习和实践，探索利用社会力量培养实践能力的模式。专业实践是一门2学分的创新实践和实习课程。通过专业实践和毕业设计，学生可以根据自己的兴趣选择网络系统安全保障方面的创新实践拓展和深化。一方面，积极鼓励并组织优秀学生参加全国性和地方性的网络安全技能竞赛；另一方面，让高年级的同学参与教师的网络系统安全保障科研项目中来，让学生在竞争与对抗中和解决实际问题过程中增强自己的动手能力和创新能力，培养学生的自主学习能力和研究能力，激发他们的网络系统安全保障创新思维。

5结语

第7篇：网络与信息安全保障方案范文

近日，记者获悉，中国航信为提高信息化管理水平、加强安全监管措施，分阶段进行了安全管理平台的建设工作。在深入理解用户业务、准确定位用户需求的基础上，网御神州科技（北京）有限公司（以下简称“网御神州”）为中国航信制定了一整套完善的安全管理解决方案，通过扩展与优化的手段提升了业务网络的主动防御及持续服务的能力。这一项目的实施，有效地缓解了运营维护人员的工作压力，也从根本上提升了中国航信信息系统的安全管理水平。

安全管理不可缺位

中国航信为中国民航信息集团旗下的重点企业，是中国航空旅游业信息科技解决方案的主导供应商。该公司担负着为国内除春秋航空之外的全部航空公司和300余家外国及地区航空公司提供电子旅游分销（ETD）的任务，具体包括航班控制系统服务（ICS）、计算机分销系统服务（CRS）和机场旅客处理（APP）等。

可以说，由中国航信负责的这些大型关键系统均极为复杂，且有着极高的安全要求。其中，中国航信负责管理的辖下民航出票与旅客离港信息系统，更是网络环境复杂、设备众多。总体来说，该系统按业务划分为三大网络，各网络间采取了较严格的隔离措施。与之对应的，因复杂部署带来的管理难题，也令中国航信的管理人员感到头疼不已。

“中国航信的出票与旅客离港信息系统已有较完善的NOC系统，防火墙、VPN、IDS、病毒防护、脆弱性扫描等安全设备均已部署，但我们最初缺乏对这些安全设备所产生事件的综合分析管理手段。” 中国航信信息安全项目相关负责人介绍说，这些设备每天产生的大量事件使管理员应接不暇。发生较大安全事件后，也缺乏有效的审计手段，不能满足公司对企业信息安全整体控管的要求。在这种情况下，中国航信急需一套信息安全管理方案和配套的管理软件，对所有安全事件进行整体分析。

“中国航信的信息安全管理平台一期建设就是网御神州做的。基于对网御神州良好服务品质的认知，我们选择网御神州在一期平台的基础上，继续进行安全管理二期系统的建设，以保障中国航信业务系统高效、稳定、安全地运行，从而全面提升信息安全保障等级。” 中国航信相关负责人表示。

为了提高中国航信业务系统对安全事件的预警能力和安全管理水平，网御神州在深入理解用户业务、准确定位用户需求的基础上，为中国航信量身制定了一整套完善的产品解决方案。据了解，该系统投入使用后，已成功发现多起网络蠕虫、内部用户违规操作、外部用户窃取机密数据及疑似DDoS攻击等具有不同安全威胁的事件，并及时发出告警，协助安全管理人员定位、解决了问题。此外，该系统还根据中国航信的需要，定期生成各类安全统计报告，供相关人员进行分析。

专业服务

提升安管水平

据介绍，网御神州在中国航信安全管理二期建设工作中的主要任务，是在一期系统的基础上，更新硬件平台，增加收集的事件源，加入对业务系统的安全监控，增强事件的分析和报表统计功能，加速事件的处理流程和运维建设。这些改进使得SOC系统可以实现对业务链的信息安全整体监控，切实担负起综合安全运维管理的功能，提高整网的安全防护和安全响应能力。

此外，网御神州还在项目二期建设工作中为中国航信提供了安全管理和技术咨询服务。根据中国航信信息安全的发展方向和信息安全的保障需求，二期信息安全服务的主要目标是通过提供科学和长期的正向安全运营技术保障，降低异常问题的出现概率；同时针对异常问题的出现给予及时地保障，把中国航信信息安全风险和SOC安全运维平台紧密结合起来。

“二期项目在安全事件覆盖和分析方面较一期有了更广、更深层次的突破，已经基本上保证了中国航信所有安全设备的事件集中收集与分析。对于资产、弱点、入侵检测事件、防火墙事件、服务器事件、防病毒事件、主机事件、网络设备事件等元素，可以做到多者间的关联分析和基于风险模式的分析。这其中提供给用户的既有实时监控信息，也有事后的统计分析。”网御神州相关项目负责人介绍说。

同时，这位负责人还向记者介绍，中国航信安全管理二期建设项目将运维工作的重点放在事件响应处理的流程和解决方法上。基于网御神州和中国航信在SOC系统上长时间的合作和SOC运维的更高要求，通过制定突发事件和常见事件处理的一些规范流程和方法，更及时有效地处理各类安全事件。有了规范的流程和完备的安全防护措施，就可以防微杜渐，将一些安全问题消灭在萌芽当中。

第8篇：网络与信息安全保障方案范文

理解CISP知识体系

CISP的核心在于将保障贯穿于整个知识体系。保障应覆盖整个信息系统生命周期，通过技术、管理、工程过程和人员，确保每个阶段的安全属性（保密性、完整性和可用性）得到有效控制，使组织业务持续运行。IT作为保障业务的重要手段和工具成为传统保障目的的核心。由于风险会影响业务的正常运行，因此，降低风险对业务的影响是保障的主要目标（如图）。在建立保障论据的过程中，首先应该考虑的是组织业务对IT的依赖程度；其次要考虑风险的客观性；第三要考虑风险消减手段的可执行度。CISP从体系结构上提供了信息安全规划设计的良好思路和方法论，在整个课程体系中涵盖了从政策（战略层）到模型、标准、基线（战术层）的纵向线条，同时在兼顾中国国情的情况下，系统介绍国际常用评估标准、管理标准和国家相关信息安全标准与政策。

根据CISP知识体系建立安全规划设计

安全规划是信息安全生命周期管理的起点和基础，良好的规划设计可以为组织带来正确的指导和方向。根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”

1.通过保障的思想建立安全规划背景

信息安全规划设计可以根据美国信息保障技术框架（IATF）ISSE过程建立需求，本阶段可对应ISSE中发掘信息保护需求阶段。根据“信息安全保障基本内容”确定安全需求，安全需求源于业务需求，通过风险评估，在符合现有政策法规的情况下，建立基于风险与策略的基本方针。因此，安全规划首先要熟悉并了解组织的业务特性，在信息安全规划背景设计中，应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息，并根据组织结构选择适用的安全标准，例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选CISP知识域简图择PCI-DSS作为可依据的准则等。信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。传统的风险评估可以基于GB/T20984《信息安全风险评估规范》执行具体的评估，评估分为技术评估与管理评估两部分。从可遵循的标准来看，技术评估通过GB/T22240—2008《信息安全等级保护技术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估；管理安全可以选择ISO/IEC27001：2013《信息技术信息安全管理体系要求》进行，该标准所包含的14个控制类113个控制点充分体现组织所涉及的管理风险。在工作中，可以根据信息系统安全目标来规范制定安全方案。信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方（厂商）角度制定的信息系统安全保障方案。根据组织的安全目标设计建设目标，由于信息技术的飞速发展以及组织业务的高速变化，一般建议建设目标以1-3年为宜，充分体现信息安全规划设计的可实施性，包括可接受的成本、合理的进度、技术可实现性，以及组织管理和文化的可接受性等因素。

2.信息系统安全保障评估框架下的概要设计

概要设计的主要任务是把背景建立阶段中所获得的需求通过顶层设计进行描述。本阶段可对应ISSE中定义信息保护系统，通过概要设计将安全规划设计基于GB/T20274-1：2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》进行模块化划分，并且描述安全规划设计的组织高层愿景与设计内涵；在概要设计中，还应该描述每个模块的概要描述与设计原则。设计思路是从宏观上描述信息安全规划设计的目的、意义以及最终目标并选择适用的模型建立设计原则。本部分主要体现信息安全保障中信息系统安全概念和关系。根据《网络安全法》相关规定，顶层设计可以建立在信息安全等级保护的基础上，综合考虑诸如建立安全管理组织、完善预警与应急响应机制、确保业务连续性计划等方面GB/T20274-1：2006《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》提供了一个优秀的保障体系框架。该标准给出了信息系统安全保障的基本概念和模型，并建立了信息系统安全保障框架。该标准详细给出了信息系统安全保障的一般模型，包括安全保障上下文、信息系统安全保障评估、信息系统保护轮廓和信息系统安全目标的生成、信息系统安全保障描述材料；信息系统安全保障评估和评估结果，包括信息系统保护轮廓和信息系统安全目标的要求、评估对象的要求、评估结果的声明等。信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。策略体现的是组织的高层意旨，模型与措施作为战术指标分别为中层和执行层提供具体的工作思路和方法，以完成设计的具体实现。当信息安全满足所定义的基本要素后，为每个层面的设计提出概要目标，并在具体的设计中将其覆盖整个安全规划中。

3.实现建立在宏观角度的合规性通用设计

通用设计可对应ISSE中设计系统体系结构，本阶段是整个安全规划设计的核心部分，本阶段必须全面覆盖背景建立阶段所获得的安全需求，满足概要设计阶段所选择的模型与方法论，全面、系统的描述安全目标的具体实现。通用安全设计是建立在宏观角度上的综合性设计，设计首先将各个系统所产生的共同问题及宏观问题统一解决，有效降低在安全建设中的重复建设和管理真空问题。在通用设计中，重点针对组织信息安全管理体系和风险管理过程的控制元素，从系统生命周期考虑信息安全问题。（1）管理设计在信息安全管理体系ISMS过程方法论中，可遵循的过程方法是PDCA四个阶段：首先，需要在P阶段解决信息系统安全的目标、范围的确认，并且获得高层的支持与承诺。安全管理的实质就是风险管理，管理设计应紧紧围绕风险建立，所以，本阶段首要的任务是为组织建立适用的风险评估方法论。其次，管理评估中所识别的不可接受风险是本阶段主要设计依据。通过D环节，需要解决风险评估的具体实施以及风险控制措施落实，风险评估仅能解决当前状态下的安全风险问题，因此，必须建立风险管理实施规范，当组织在一定周期（例如1年）或者组织发生重大变更时重新执行风险评估，风险评估可以是自评估，也可以委托第三方进行。本环节的设计必须涵盖管理风险中所有不可接受风险的具体处置，从实现而言，重点关注管理机构的设置与体系文件的建立和落实。第三个环节是建立有效的内审机制和监测机制，没有检测就没有改进，通过设计审计体系完成对信息安全管理体系的动态运行。第四个环节，即A环节，是在完成审计之后针对组织是否有效执行纠正措施的落实设计审计跟踪和风险再评估过程。A环节既是信息安全管理体系的最后一个环节，也是新的PDCA过程的推动力。（2）技术设计技术设计主要是建立在组织平均安全水平基础上，应可适用于组织所有的系统和通用的技术风险。设计可遵循多种技术标准体系，首先建立基于信息安全等级保护的五个层面技术设计要求。通过美国信息保障技术框架建立“纵深防御”原则，其具体涉及在访问控制技术和密码学技术支撑下的物理安全、网络安全、系统安全、应用安全和数据安全。技术设计可在原有的技术框架下建立云安全、大数据安全等专项技术安全设计，也可在网络安全中增加虚拟网络安全设计等方式，应对新技术领域的安全设计。技术设计可以包括两个主要手段：第一，技术配置。技术配置是在现有的技术能力下通过基于业务的安全策略和合规性基线进行安全配置。常见的手段包括补丁的修订、安全域的划分与ACL的设计、基于基线的系统配置等手段；第二，技术产品。技术产品是在现有产品不能满足控制能力时通过添加新的安全产品结合原有的控制措施和产品统一部署、统一管理。在技术设计中，必须明确的原则是产品不是安全的唯一，产品也不是解决安全问题的灵丹妙药，有效的安全控制是通过对产品的综合使用和与管理、流程、人员能力相互结合，最终形成最佳的使用效果。（3）工程过程设计工程过程设计重点考虑基于生命周期每个阶段的基于安全工程考虑的流程问题，在信息系统生命周期的五个层面。信息安全问题应该从计划组织阶段开始重视，在信息系统生命周期每个阶段建立有效的安全控制和管理。工程过程包括计划组织、开发采购、实施交付、运行维护和废弃五个阶段，本阶段的设计主要通过在每个阶段建立相应的流程，通过流程设计控制生命周期各个阶段的安全风险。在计划组织（需求分析）阶段，体现信息安全工程中明确指出的系统建设与安全建设应“同步规划、同步实施”，体现《网络安全法》中“三同步”的要求。在开发采购阶段，通过流程设计实现软件安全开发的实现和实现供应链管理。实施交付阶段，关注安全交付问题，应设计安全交付流程和安全验收流程。运行维护阶段要体现安全运维与传统运维差异化，安全运维起于风险评估，应更多关注预防事件的发生，事前安全检查的基线设计、检查手段及工具的选择和使用根据设备的不同重要程度建立不同的检查周期；当系统产生缺陷或者漏洞时，设计合理的配置管理、变更管理及补丁管理等流程解决事中问题；当事件已经产生影响时，可以通过预定义的应急响应机制抑制事件并处置事件；当事件造成系统中断、数据丢失以及其他影响业务连续性后果时，能够通过规划中的灾难恢复及时恢复业务。废弃阶段通过流程控制用户系统在下线、迁移、更新过程中对包含有组织敏感信息的存储介质建立保护流程和方法，明确废弃过程中形成的信息保护责任制，并根据不同的敏感采取不同的管理手段和技术手段对剩余信息进行有效处置。（4）人员设计人员安全是信息安全领域不可或缺的层面，长期以来，过于关注IT技术的规划设计而忽略了人的安全问题，内部人员安全问题构成了组织安全的重要隐患，人为的无意失误造成的损害往往远大于人为的恶意行为。人员设计重点关注人员岗位、技术要求、背景以及培训与教育，充分体现最小特权、职责分离及问责制等原则。根据《网络安全法》第四章要求，关键基础设施应建立信息安全管理机构，并设置信息安全专职人员。在人员设计中还应充分考虑到第三方代维人员的管理及供应商管理等新问题的产生。

4.构建等级化保护的层面间设计

第9篇：网络与信息安全保障方案范文

关键词：电子政务外网 安全保障体系 计算区域 网络基础设施 计算区域边界 安全域 等级保护 风险评估

一、前言

国家电子政务外网（以下简称政务外网）是中办发[2002]17号文件明确规定要建设的政务网络平台。政务外网是政府的业务专网，主要为党委、人大、政府、政协、法院和检察院各级政务部门服务，运行各级政务部门面向社会的专业业务和不需要在内网上运行的业务。

为保证电子政务外网的安全运行，中办发[2003]27号文和[2006]18号文明确提出，电子政务外网与政务内网之间采用物理隔离，政务外网与互联网之间采用逻辑隔离。政务外网的建设要按照信息安全等级保护的有关要求，分别采用相应的保护措施，通过建立统一的密码和密钥管理体系、网络信任体系和安全管理体系，分级、分层、分域保障信息安全。

二、政务外网（一期工程）安全需求

⒈政务外网安全防护对象

政务外网的基础网络环境如图1所示。

依据政务外网的网络环境，政务外网的安全防护对象分为如下三类：计算区域、网络基础设施和计算区域边界。

⑴计算区域

政务外网所涉及的计算环境有：中央网络管理中心计算区域、各省市节点的二级网络管理中心计算区域、中央城域网接入单位计算区域以及外网骨干网接入的各省市节点的计算区域。

在各计算区域内主要防护如下对象：

①数据资源，主要包括各应用系统管理的数据资源；

②软件资源，包括系统软件、网络软件、支撑软件和应用系统等；

③中心计算机；

④存储介质，包括数据备份磁带、软盘、可读写光盘等；

⑤用户，包括普通操作员、业务管理员、高级业务管理员以及系统（数据库）管理员和网络管理员等。

⑵网络基础设施

政务外网所要防护的网络基础设施主要有：各计算区域的网络基础设施，以及实现各计算区域相联的网络基础设施。

⑶计算区域边界

由于计算区域与其他外部实体相联而产生区域边界，区域边界与计算区域直接相关，与计算区域相联的外部实体的性质直接决定区域边界的保护的策略。

政务外网中的计算区域边界主要有：与中央城域网相联的各计算区域因与中央城域网相联而产生的区域边界以及这些区域与互联网等外部实体相联而产生的区域边界、各省市节点计算区域因与政务外网骨干网相联而产生的区域边界以及这些区域与互联网等外部实体相联而产生的区域边界。

⒉安全需求

根据政务外网的特点，政务外网的安全需求体现在如下几方面：

①建设政务外网安全信任体系，确保政务外网资源不能被非法用户访问；

②建设政务外网数据交换中心，确保不同安全域之间的安全数据交换；

③确保政务外网的安全保障体系具有高可靠性，并具有可审计、可监控性；

④实现政务外网统一的安全管理体系；

⑤确保政务外网与互联网的安全互连。

三、政务外网安全保障体系框架

政务外网要为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务。从政务外网的实际出发，政务外网的安全保障体系设计应重点针对政务外网的如下特点：

①政务外网必须与互联网逻辑隔离；

②政务外网主要运行面向社会的专业业务，这些业务所涉及的业务信息具有面向公众的特性，所以保护业务信息的完整性、可鉴别性以及抗抵赖性十分重要；

③政务外网是国家电子政务的基础性网络环境，支持电子政务系统互联互通、数据交换、信息共享、业务互动、便民服务的需求，所以政务外网要满足公用网络安全可信的需求；

根据以上分析，政务外网（一期工程）安全保障体系由网络防护体系、网络信任体系、安全管理体系、安全服务体系等构成，逻辑模型如图2所示。

⒈网络安全防护体系

网络安全防护系统是政务外网安全保障体系中最重要的安全设施，主要保护电子政务外网的各子网网络节点及整个电子政务外网，保证整个政务外网及相关业务系统的可用性、完整性、可控性等。网络安全防护系统重点要考虑防火墙系统、入侵防御系统、防病毒系统、远程安全接入系统、流量监测系统等的配置和建设。

政务外网的网络安全防护体系将涵盖以下几个方面：

⑴物理安全

保证政务外网中各种骨干设备的物理安全是整个政务外网安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

⑵网络安全

网络安全主要考虑VPN、防火墙、入侵检测系统、非法外联监控系统、PKI接入认证网关等安全设备在政务外网中的配置与部署。

⑶系统层安全

系统层安全主要包括漏洞扫描、操作系统安全加固、数据库安全加固。

⑷应用层安全

应用层安全主要考虑应用系统的鉴别、授权和访问控制等安全机制。

⒉网络信任体系

网络信任体系是为网络用户、设备提供信息安全服务的具有普适性的信息安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证、授权管理和责任认定。其核心是要解决信息网络空间中的信任问题，确定信息网络空间中各种经济和管理行为主体(包括组织和个人)身份的唯一性、真实性和合法性，保护信息网络空间中各种主体的安全利益。政务外网网络信任体系的建设与政务外网的安全运营息息相关，是电子政务安全运行的支撑基础设施。

政务外网（一期工程）的网络信任体系，主要是在国家主管部门的指导下，建设政务外网身份认证系统，组建政务外网身份认证管理协调机构和技术保障队伍，制定有关政务外网身份认证的相关标准体系、管理运行规章制度和规范，逐步形成统一的政务外网网络信任体系。

⒊安全服务体系

政务外网安全服务体系主要由安全评估和安全培训组成。安全评估主要是对政务外网及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和扫描评估的过程。安全评估的主要目的是定期对网络系统进行安全性分析，及时发现并修正动态运行的网络系统中存在的弱点和漏洞，认清信息安全环境、信息安全状况，明确责任，采取或完善安全保障措施，并使信息安全策略保持一致性和持续性。

⒋安全管理体系

安全并非只是一个技术问题，它也是一个关于人和管理的问题。安全不是个产品，它是一个完整的过程。作为一个过程，它有人、技术、流程这3个组成部分，这些组成部分匹配得越好，过程进展得就越顺利。

安全管理在政务外网的安全保密中占有非常重要的地位，即使有了较完善的安全保密技术措施，如果管理的力度不够，将会造成很大的安全隐患。因此，必须加强安全保密管理，设置安全保密管理机构，制定严格的安全保密管理制度，采用适当的安全保密管理技术将政务外网中各种安全保密产品进行集成，并加强对人员的管理。

安全管理体系的建设包括安全保密管理机构的建立、安全保密制度的制定、安全保密管理技术的使用以及人员的管理等几方面内容，这里不再予以赘述。只有通过建立科学、严密的安全管理体系，不断完善管理行为，形成一个动态的安全过程，才能为政务外网提供制度上的保证。

四、几个重要问题

在整个政务外网（一期工程）安全保障体系的规划和建设当中，有几个重要问题需要特别说明。

⒈安全域划分

政务外网要为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务，要满足政府公用网络安全可信的需求。所以，在政务外网内有必要划分不同的安全域，定义每个安全域的物理或逻辑边界，形成隶属于由单一安全策略权威定义和执行的公共安全策略的安全要素的集合，有利于每个安全域共享相似的安全策略。

政务外网具有数据量庞大、业务复杂多样、安全等级各异的特点，因此安全域的划分遵循以下原则：

①根据信任等级划分安全域。在政务外网中，要为政务信息资源和国家基础信息资源的登记、备案、、交换和共享提供服务，同时相关的业务系统也要有连接到互联网和有需求的其它单位，不同的系统由于处理的数据和交互的实体不同，需要在不同的位置或业务流程中，划分不同的安全域。

②根据业务节点类型，对不同的节点划分相应的安全域，并配置和节点业务量相匹配的安全措施和安全设备。在政务外网中，政务外网要连接不同类型的网络节点，网络节点的安全等级决定了安全域的划分和安全设施的投资建设规模。

③依据数据的安全等级，在存储和传输的不同区域，划分安全域，并采用不同的安全策略，体现数据的分等级保护。

根据以上原则，在政务外网中，网络各节点的局域网构成相对独立的安全域，并在各节点内部进行安全域细化。政务外网中，按节点所划分的安全域有中央网络管理中心局域网、中央城域网接入节点单位、各省市节点的二级网络管理中心局域网和各省市节点的各自的接入网络。

⒉等级保护

根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室2007年联合颁布的43号文件《信息安全等级保护管理办法》的相关规定，为保障电子政务外网的网络安全，对电子政务外网需采用等级保护机制。等级保护以网络安全域划分为基础，电子政务外网包括网络基础设施，包括众多接入网络，各个子网络又包括不同的应用系统。只有根据这些资产的重要性以及它们面临的安全威胁的不同，结构化地划分为安全域，才能有效地进行安全保护。

根据政务外网的逻辑结构、安全域划分情况、面向对象及应用模式，中央网络管理中心局域网、中央城域网接入节点单位二级网络管理中心局域网和各省区市接入节点二级网络管理中心局域网，至少要达到第三级（监督保护级）的要求。对于这类的安全域，将依照国家管理规范和技术标准进行自主保护，并接受信息安全监管职能部门的监督、检查。

中央城域网接入节点单位接入网络和各省区市接入节点单位接入网络至少要达到第二级（指导保护级）的要求。对于这类安全域，将在信息安全监管职能部门的指导下，依照国家管理规范和技术标准进行自主保护。

⒊风险评估

在政务外网（一期工程）安全保障体系规划和设计时，国家信息中心网络安全部将风险管理的思想引入到政务外网的建设中，获取规划和设计阶段的政务外网的安全风险，提出并确定外网安全建设的要求，改进规划中的不合理因素，为后续的网络建设的实施提供安全建设依据。此次事前评估范围主要是政务外网一期工程第一阶段工程初步设计规划方案，评估着重考虑外网规划中系统平台的安全性。为支持整个风险评估过程的推进，国家信息中心网络安全部成立了由领导层、相关业务骨干、外网相关人员等组成的风险评估小组。评估结束后，针对不可接受的风险，风险评估小组对规划和设计做了相应的修改，很好地兼顾了风险与成本的平衡。

五、结语

根据政务外网（一期工程）安全保障体系整体规划和一期工程建设进度安排，政务外网中央节点安全保障体系已初步建成。通过几个月的试运行，整个政务外网安全保障体系运转良好，初步达到了预期的设计目标。下一步的工作重点将是：进一步完善政务外网安全保障体系，建立健全政务外网安全管理机制，明确各级网管部门安全管理责任；开展信息安全风险评估工作，按照信息安全等级保护的要求，对全网分级、分层、分域确定信息安全等级；从技术和管理两方面入手，不断完善信息安全保障体系，初步建成统一的政务外网信任体系，形成面向外网用户的服务能力。

作者简介：

王勇，男，汉族，1977年生，山东鄄城人，国家信息中心网络安全部工程师；研究方向：网络安全。