某石油企业标准网络信息系统安全建设指南VIP免费

某某石油管理局企业标准网络信息系统安全建设、规划指南1适用范围本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。2规范解释权规范解释权归某某油田管理局信息中心所有。3网络信息系统安全建设、规划的概述：网络信息系统安全建设和规划所要解决的主要问题是，如何在现有法规政策的允许下，综合考虑当前网络信息系统的安全要求，长远规划，以及公司或者单位的物力、财力等因素，设计和实施网络信息安全工程。以及在系统工程过程中设计和实施网络信息系统安全模块。4网络信息安全工程过程描述网络信息系统安全工程主要实施于以下情况：描述信息保护需求；根据系统工程的前期需要产生信息保护的具体需要；在一个可以接受的信息保护风险下满足信息保护需求；根据需求，构建一个信息保护需要的逻辑结构；根据物理结构和逻辑结构分派信息保护的具体功能；设计系统用于实现信息保护的结构；从整个系统的耗费、规划和执行效率综合考虑，在信息保护风险与其它问题之间进行权衡；参与涉及其它信息保护和系统学科的综合研究；将网络信息安全工程与其它系统工程相结合；以验证信息保护设计方案并确认信息保护的需求为目的，对系统进行测试；根据用户需要对整个过程进行扩充和裁减，以此支持用户使用。为确保信息保护被纳入整个系统，必须在系统工程最开始进行设计时便考虑网络信息系统的安全。另外，要针对具体的情况，综合考虑信息保护的目标、需求、功用、结构、设计、测试和实际应用中所出现的系统工程设计情况。5发掘信息保护需求实施网络信息系统安全工程首先调查对用户需求、相关政策、规则、标准以及系统工程所定义的用户环境中的信息所面临的威胁。然后识别信息系统中的具体用户和信息，以及他们在信息系统中的相互关系、规则及其在信息保护生命周期各阶段所承担的责任。信息保护允许用户有自己的观点，不能局限于特定的设计或者应用。在信息保护政策中，应该使用通用语言来描述如何在一个综合的信息环境中获得所需要的信息安全保护。当系统发现需要这种信息安全保护时，信息保护将成为一个必须同时考虑的系统模块。下图解释了系统任务、威胁和政策如何影响信息保护需求以及如何进行分析。图（3.1）系统任务、信息安全威胁和政策对确定信息保护需求的影响5.1任务的信息保护需求信息和信息系统在一个大型任务或特定组织中的作用应当受到足够的重视。实施网络信息系统安全工程必须考虑组织元素（人和系统）的任务可能受到的影响，即：无法使用所依赖的信息系统或信息，尤其是丧失保密性、完整性、可用性、不可否认性及其组合。在此意义上开始探讨用户信息保护需求问题。为发现用户信息保护需求，必须了解遗漏、丢失或者修改什么信息会对总体任务造成危害。实施工程应该做到以下几点：帮助用户对自己的信息管理建模；帮助用户定义信息威胁；帮助用户确立信息保护需求的优先次序；准备信息保护策略；任务信息威胁信息政策信息保护策略系统需求信息保护需求获得用户许可。工程中提供了识别用户需求的界面，以确保任务需求包含信息保护需求，并且保证系统功能包含信息保护功能。工程将安全规则、技术、机制相结合，并将其应用于解决用户信息保护的时间需求，从而建立了一个信息保护系统。该系统包含信息保护体系结构和机制，并能够依据用户所允许的耗费、功能和计划获得最佳的信息保护性能。实施网络信息系统安全工程在设计信息系统时必须遵循用户的层次设置，这样才能使整个系统的性能达到预期指标。信息和信息系统在支持系统任务方面必须满足如下要求：对信息的记录进行观察、更新、删除、初始化或者处理（机密信息、金融信息、产权信息、个人隐私信息等）。授权谁观察、更新、删除、初始化和处理信息记录？经授权的用户如何履行其责任？经授权的用户使用何种工具（文档、硬件、软件、固件或者规程）履行其职责？清楚地知道个人发送或者接收的一则消息或一个文件这件事具有怎样的重要性？工程小组和系统用户将精诚合作，使信息系统更好的满足用户总任务要求。5.2信息管理面临的威胁从系统的组成上应能够识别信息系统的功能和...