XXX软件系统安全保障方案.pdf

XXXX系统安全保障方案

XXXX系统

安全保障方案

（版本号：V1.3.2）

第1页共16页

XXXX系统安全保障方案

目录

XX软件系统

安全保障方案

目录

1、保障方案概述

2、系统安全目标与原则

2.1安全设计目标.

2.2安全设计原则.

3、系统安全需求分析

4、系统安全需求框架

5、安全基础设施

5.1安全隔离措施.

5.2防病毒系统.

5.3监控检测系统.

5.4设备可靠性设计.

5.5备份恢复系统.

6、系统应用安全

6.1身份认证系统.

6.2用户权限管理.

6.3信息访问控制.

6.4系统日志与审计.

6.5数据完整性.

7、安全管理体系

8、其他错误!未定义书签。

第2页共16

页

XXXX系统安全保障方案

1、保障方案概述

XX软件系统运行在网络系统上，依托内外网向系统相关人员提供相关信息与服

务，系统中存在着大量非公开信息，如何保护这些信息的机密性和完整性、以及系统

的持续服务能力尤为重要，是信息化系统建设中必须认真解决的问题。

XX软件系统使用中国电信股份有限公司云计算分公司服务器。中国电信股份有限

公司云计算分公司是中国电信旗下的专业公司，集约化发展包括互联网数据中心

（IDC）、内容分发网络（CDN）等在内的云计算业务和大数据服务。中国电信股份有

限公司云计算分公司在网络安全方面有丰富的实战经验，获得了国家信息安全测评信

息技术产品安全测评证书及27001信息安全管理体系认证证书等一系列网络安全方面

的证书（见8章附件）。

2、系统安全目标与原则

2.1安全设计目标

信息化系统安全总体目标是：结合当前信息安全技术的发展水平，设计一套科学

合理的安全保障体系，形成有效的安全防护能力、隐患发现能力、应急反应能力和系

统恢复能力，从物理、网络、系统、应用和管理等方面保证“信息化系统”安全、高

效、可靠运行，保证信息的机密性、完整性、可用性和操作的不可否认性，避免各种

潜在的威胁。具体的安全目标是：

1）、具有灵活、方便、有效的用户管理机制、身份认证机制和授权管理机制，

保证关键业务操作的可控性和不可否认性。确保合法用户合法使用系统资源；

2）、能及时发现和阻断各种攻击行为，特别是防止DoS/DDoS等恶意攻击，确保

信息化系统不受到攻击；

3）、确保信息化系统运行环境的安全，确保主机资源安全，及时发现系统和数据

库的安全漏洞，以有效避免黑客攻击的发生，做到防患于未然；

4）、确保信息化系统不被病毒感染、传播和发作，阻止不怀好意的Java、ActiveX

小程序等攻击网络系统；

5）、具有与信息化系统相适应的信息安全保护机制，确保数据在存储、传输过程

第3页共16

页

XXXX系统安全保障方案

中的完整性和敏感数据的机密性