网络安全总体规划范文

导语：如何才能写好一篇网络安全总体规划，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

去年5月9日，国务院就信息化和信息安全工作召开常务会议，会议审议通过了《关于大力推进信息化发展和切实保障信息安全的若干意见》 （国发23号）。这意味着在信息安全的顶层设计中更强调对关键信息基础设施、重要信息系统、政府信息系统以及对个人信息、企业信息，乃至信息资源的保护。与《国家信息化领导小组关于加强信息处理安全保障工作的意见》（国发27号）文件相比，23号文件注入了新的政策设置，强调加强信息安全工作的顶层设计，并克服了这种谁主管、谁负责的局限性。

随着今年国家级信息安全政策又密集出台——8月，《国务院关于促进信息消费扩大内需的若干意见》，随后，国家发改委在网站又公布了《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的》通知，明确行业重点，信息安全顶层设计再度成为热议话题，

那么，久为业界讨论的信息安全顶层设计究竟究竟该如何成型？为此，本刊采访了部分业内专家，以飨读者。

——国防大学战略教研部 许蔓舒

随着对网络依赖度越来越高，网络空间安全问题超越了专业技术层面，构成直接影响国家安全的综合挑战。因此，我国网络安全防护也迫切需要走出技术维护和配合的低层次运行水平，上升到统一筹划、综合防护的战略高度。

首先，应加快制定和颁布国家的网络与信息安全战略。趋势表明，争夺未来的焦点是战略规划之争。谁能先知先觉、抢得先机，谁就有可能掌握战略主动权。目前世界上已有40多个国家公开颁布国家级网络空间安全战略，并且随着形势的变化不断出台和调整相关政策。应加快制定相关的国家安全战略及其配套政策。

同时，把战略管理的着力点放在“跨域融合”上。立足于国家安全和现代化建设的全局，平衡好利益冲突，融合好利益诉求，研究解决好信息化发展和管理中那些跨部门、跨领域、超越局部利益和短期利益的瓶颈问题。

其次，在提高自身信息系统防御水平方面，多采取四条措施：成立国家级的协调管理机构；加大投入；加强立法，授权和扩大执法部门的监管；不断更新技术手段。

——国家信息化专家咨询委员会委员 曲成义

篇2

 

1现状与问题

 

1.信息安全现状

 

随着信息化建设的推进，我校信息化建设初具规模，软硬件设备配备完成，运行保障的基础技术手段基本具备。网络中心技术力量雄厚，承担网络系统管理和应用支持的专业技术人员达20余人;针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段，保障了核心业务系统在一般情况下的正常运行，具备了基本的安全防护能力|6];日常运行管理规范，按照信息基础设施运行操作流程和管理对象的不同，确定了网络系统运行保障管理的角色和岗位，初步建立了问题处理的应急响应机制。由网络中心进行日常管理的主要有六大业务应用系统，即网络通信平台、认证计费系统、校园一卡通、电子校务系统、网站群、邮件系统。

 

网络通信平台是大学各大业务平台的基础核心，是整个校园网的基础，其他应用系统都运行在高校的基础网络环境上;认证计费系统是针对用户接入校园网和互联网的一种接入认证计费的管理方式;校园一卡通系统建设在物理专网上，主要实现学生校园卡消费管理，校园卡与大学网络有3个物理接口;电子校务系统是大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息;大学主页网站系统为大学校园的互联网窗口起到学校对外介绍宣传的功能;邮件系统主要为大学教师与学生提供邮件收发服务，目前邮件系统注册用1.2面临的主要问题

 

通过等级保护差距分析和风险评估，目前大学所面临的信息安全风险和主要问题如下：

 

(1)高校领域没有总体安全标准指引，方向不明确，缺少主线。

 

(2)对国际国内信息安全法律法规缺乏深刻意识和认识。

 

(3)信息安全机构不完善，缺乏总体安全方针与策略，职责不够明确。

 

(4)教职员工和学生数量庞大，管理复杂，人员安全意识相对薄弱，日常安全问题多。

 

()建设投资和投入有限，运维和管理人员的信息安全专业能力有待提高。

 

(6)内部管理相对松散，缺乏安全监管及检查机制，无法有效整体管控。

 

(7)缺乏信息安全总体规划，难以全面提升管理

 

(8)缺乏监控、预警、响应、恢复的集中运行管理手段，无法提高安全运维能力。

 

2建设思路

 

2.1建设原则和工作路线

 

学校信息安全建设的总体原则是:总体规划、适度防护，分级分域、强化控制，保障核心、提升管理，支撑应用、规范运维。

 

依据这一总体原则，我们的信息安全体系建设工作以风险评估为起点，以安全体系为核心，通过对安全工作生命周期的理解从风险评估、安全体系规划着手，并以解决方案和策略设计落实安全体系的各个环节，在建设过程中逐步完善安全体系，以安全体系运行维护和管理的过程等全面满足安全工作各个层面的安全需求，最终达到全面、持续、突出重点的安全保障。

 

2.2体系框架

 

信息安全体系框架依据《信息安全技术信息系统安全等级保护基本要求》GBT22239-2008、《信息系统等级保护安全建设技术方案设计要求》(征求意见稿)，并吸纳了IATF模型[7]中“深度防护战略，，理论，强调安全策略、安全技术、安全组织和安全运行4个核心原则，重点关注计算环境、区域边界、通信网络等多个层次的安全防护，构建信息系统的安全技术体系和安全管理体系，并通过安全运维服务和itsm[8]集中运维管理(基于IT服务管理标准的最佳实践)，形成了集风险评估、安全加固、安全巡检、统一监控、提前预警、应急响应、系统恢复、安全审计和违规取证于一体的安全运维体系架构(见图2)，从而实现并覆盖了等级保护基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求，以满足信息系统全方位的安全保护需求。

 

(1)安全策略：明确信息安全工作目的、信息安全建设目标、信息安全管理目标等，是信息安全各个方面所应遵守的原则方法和指导性策略。

 

(2)安全组织：是信息安全体系框架中最重要的

 

各级组织间的工作职责，覆盖安全管理制度、安全管理机构和人员安全管理3个部分。

 

(3)安全运行：是信息安全体系框架中最重要的安全管理策略之一，是维持信息系统持续运行的保障制度和规范。主要集中在规范信息系统应用过程和人员的操作执行，该部分以国家等级保护制度为依据，覆盖系统建设管理、系统运维管理2个部分。

 

(4)安全技术:是从技术角度出发，落实学校组织机构的总体安全策略及管理的具体技术措施的实现，是对各个防护对象进行有效地技术措施保护。安全技术注重信息系统执行的安全控制，针对未授权的访问或误用提供自动保护，发现违背安全策略的行为，并满足应用程序和数据的安全需求。安全技术包含通信网络、计算环境、区域边界和提供整体安全支撑的安全支撑平台。该部分以国家等级保护制度为依据，覆盖物理层、网络层、主机层、应用层和数据层5个部分。

 

()安全运维:安全运维服务体系架构共分两层，实现人员、技术、流程三者的完美整合，通过基于ITIL[9]的运维管理方法，保障基础设施和生产环境的正常运转，提升业务的可持续性，从而也体现了安全运3重点建设工作

 

3.1安全渗透测试

 

2009年4月，学校对38个网站、2个关键系统和6台主机系统进行远程渗透测评。通过测评，全面、完整地了解了当前系统的安全状况，发现了20个高危漏洞，并针对高危漏洞分析了系统所面临的各种风险，根据测评结果发现被测系统存在的安全隐患。渗透测试主要任务包括:收集网站信息、网站威胁分析、脆弱性分析和渗透入侵测评、提升权限测评、获取代码、渗透测评报告。

 

3.2风险评估和安全加固

 

2009年5月，依据安全渗透测试结果，对大学的六大信息系统进行了安全测评。根据评估结果得出系统存在的安全问题，并对严重的问题提出相应的风险控制策略。主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。通过风险评估最终得出了威胁的数量和等级，表1、表2为威胁的数量和等级统计。2009年6月和9月，基于风险评估结果，对涉及到的网络设备(4台)和主机设备(14台)进行了安全加固工作。

 

3.3安全体系规划

 

根据前期对全校的网络、重要信息系统及管理层面的全面评估和了解整理出符合大学实际的安全需求，并结合实际业务要求，对学校整体信息系统的安全工作进行规划和设计，并通过未来3年的逐步安全建设，满足学校的信息安全目标及国家相关政策和标准学校依据国际国内规范及标准，参考业界的最佳实践ISMS[10](信息安全管理体系)，结合我校目前的实际情况，制定了一套完整、科学、实际的信息安全管理体系，制定并描述了网络与信息安全管理必须遵守的基本原则和要求。

 

通过信息安全管理体系的建立，使学校的组织结构布局更加合理，人员安全意识也明显提高，从而保证了网络畅通和业务正常运行，提高了IT服务质量。通过制度、流程、标准及规范，加强了日常安全工作执行能力，提高了信息安全保障水平。

 

4未来展望和下一步工作

 

4.1安全防护体系

 

根据网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，可以考虑使用逻辑隔离技术(VLAN或防火墙技术)将整个学校的网络系统划分为3个层次的安全域：第一层次安全域包括整个学校网络信息系统;第二层次安全域将各应用系统从逻辑上和物理上分别划分;第三层次安全域主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统。

 

公钥基础设施包括：CA安全区：主要承载CAServer、主从LDAP、数据库、加密机、OCSP等;KMC管理区:主要承载KMCServer、加密机等;RA注册区:主要承载各院所的RA注册服务器，为各院所的师生管理提供数字证书注册服务。

 

应用安全支撑平台为各信息系统提供应用支撑服务、安全支撑服务以及安全管理策略，使得信息系统建立在一个稳定和高效的应用框架上，封装复杂的业务支撑服务、基础安全服务、管理服务，并平滑支持业务系统的扩展。主要包括:统一身份管理、统一身份认证、统一访问授权、统一审计管理、数据安全引擎、单点登录等功能。

 

4.2安全运维体系

 

ITSM集中运维管理解决方案面对学校日益复杂的IT环境，整合以往对各类设备、服务器、终端和业务系统等的分割管理，实现了对IT系统的集中、统一、全面的监控与管理;系统通过融入ITIL等运维管理理念，达到了技术、功能、服务三方面的完全整合，实现了IT服务支持过程的标准化、流程化、规范化，极大地提高了故障应急处理能力，提升了信息部门的管理效率和服务水平。

 

根据终端安全的需求，系统应建设一套完整的技术平台，以实现由管理员根据管理制度来制定各种详尽的安全管理策略，对网内所有终端计算机上的软硬件资源、以及计算机上的操作行为进行有效管理。实现将以网络为中心的分散管理变为以用户为中心集中策略管理;对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态定期安全检测，内容包括定期的安全风险评估、安全加固、安全应急响应和安全巡检。

 

4.3安全审计体系