安全体系建设方案VIP专享

1 安全体系根据《数字 XX 发展纲要》及《XX 行业信息化标准体系》，XX 行业人力资源系统将依托 XX 行业信息安全体系设计，采用身份认证技术及对各种应用服务的安全性增强配置服务来保障系统在应用层的安全。1.1 建设原则XX 行业人力资源系统安全保障体系涉及到整个工程的各个层次，网络和信息安全的建设应该遵循以下原则：1. 整体安全信息化是一个复杂的工程，必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和业务应用系统提供全方位的安全服务。2. 有效管理网络信息系统所提供的各种安全服务，涉及到各个层次、多个实体和各种安全技术，只有有效的安全管理（如密钥定期更新、防火墙监控、审计日志的分析等），才能保证这些安全控制机制真正有效地发挥作用。3.合理折衷在系统建设中，安全与投资、系统性能、易用性、管理的复杂性都是矛盾的，安全保障体系的建设应该在以上四个方面找到一个合理的折衷点，在可接受的风险范围内，以最小的投资换取最大的安全性，同时不因使用和管理的复杂而影响整个系统的快速反应和高效运行的总体目标。4. 适应一致安全管理模式应该尽量与行业核心需求相一致，既要保证行业上下级之间的统一领导、统一管理，同时又给基层单位以足够的灵活性，以保障业务系统的高效运行。5. 权责分明一方面，XX 行业的各级系统可以分为三层：信息网络、计算机系统和应用系统；另一方面，网络和应用系统都有国家、省、市等的分级结构。因此，应采用分层、分级管理的模式，各级网络管理中心负责网络的安全可靠运行，为应用信息系统提供安全可靠的网络服务，各级信息中心负责计算机系统和应用系统的安全管理。6.综合治理各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。1.2 身份认证和授权1.2.1 公开密钥基础设施(PKI)公钥基础设施对于实现电子的或网上的业务处理，使电子政府达到其成熟阶段具有不可或缺的，极为重要的意义。同时，公钥基础设施也是信息时代所有社会经济活动中所不可缺少的一项基础设施。公钥基础设施是由硬件、软件、各种产品、过程、标准和人构成的一个一体化的结构，正是由于它的存在，才能在电子事务处理中建立信任和信心。公钥基础设施可以做到：确认发送方的身份保证发送方所发信息的机密性保证发送方所发信息不被篡改发送方无法否认已发该信息的事实公...