01、信息安全工作總體規(guī)劃V1.0.doc

XXX單位信息安全工作總體方針V1.0目錄1總則11.1目標(biāo)11.2適用范圍11.3建設(shè)思路11.4建設(shè)原則31.5建設(shè)目標(biāo)52體系框架52.1安全模型62.2體系框架73建設(shè)內(nèi)容133.1組織機(jī)構(gòu)133.2人員管理133.3物理管理143.4網(wǎng)絡(luò)管理143.5系統(tǒng)管理143.6應(yīng)用管理143.7數(shù)據(jù)管理153.8運(yùn)維管理154總體安全策略154.1物理安全策略164.2網(wǎng)絡(luò)安全策略164.3主機(jī)安全策略174.4應(yīng)用安全策略184.5數(shù)據(jù)安全策略184.6病毒管理策略195附則201 總則為加強(qiáng)和規(guī)范XXX單位信息系統(tǒng)安全工作，提高信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本文檔。1.1 目標(biāo)本文檔的目的是為XXX單位信息系統(tǒng)安全管理提供一個(gè)總體安全架構(gòu)文件，該文件將指導(dǎo)信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。1.2 適用范圍本文檔適用于信息系統(tǒng)安全方案規(guī)劃、安全建設(shè)實(shí)施和安全策略的制定。1.3 建設(shè)思路XXX單位信息安全建設(shè)工作的總體思路如下圖所示：信息化建設(shè)是基于當(dāng)前通用的網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)技術(shù)，針對(duì)安全性問題和支撐安全技術(shù)，通過安全評(píng)估，對(duì)信息化建設(shè)和信息安全建設(shè)進(jìn)行分析和總結(jié)，其中包括對(duì)建設(shè)現(xiàn)狀和發(fā)展趨勢(shì)的完整分析，歸納出系統(tǒng)中當(dāng)前存在和今后可能存在的安全問題，明確網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)所面臨的安全風(fēng)險(xiǎn)級(jí)別。從支撐性安全技術(shù)展開，對(duì)現(xiàn)有網(wǎng)絡(luò)和信息技術(shù)的固有缺陷出發(fā)，總結(jié)了普遍存在的安全威脅，并根據(jù)其它系統(tǒng)中的信息安全建設(shè)實(shí)踐中的經(jīng)驗(yàn)，從信息安全領(lǐng)域的完整框架、思路、技術(shù)和理念出發(fā)，提供完整的安全建設(shè)思路和方法。在此基礎(chǔ)之上，對(duì)信息安全領(lǐng)域的理論、框架和技術(shù)基礎(chǔ)與XXX單位的安全問題有機(jī)地進(jìn)行結(jié)合，有針對(duì)性地提出XXX單位安全保障總體策略。安全保障總體策略包括了整體建設(shè)目標(biāo)，安全技術(shù)策略，以及相應(yīng)的管理策略。以安全保障總體策略為核心，分三個(gè)方面進(jìn)行整體信息安全體系框架的制定，包括安全技術(shù)體系，安全管理體系和運(yùn)營(yíng)保障體系。在現(xiàn)實(shí)的運(yùn)營(yíng)過程中，安全保障不能夠純粹依靠安全技術(shù)來解決，更需要適當(dāng)?shù)陌踩芾?，相互結(jié)合來提高整體安全性效果。在信息安全體系框架的指導(dǎo)下，依據(jù)相應(yīng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，規(guī)劃和制定詳細(xì)的信息安全系統(tǒng)實(shí)施方案和運(yùn)營(yíng)維護(hù)計(jì)劃。信息安全體系建設(shè)的思路體現(xiàn)了以下的特點(diǎn)： 統(tǒng)籌規(guī)劃和設(shè)計(jì)在建設(shè)過程中占有非常重要的地位； 充分結(jié)合建設(shè)現(xiàn)狀與信息安全通用技術(shù)和理念； 充分考慮了當(dāng)前的建設(shè)現(xiàn)狀以及未來業(yè)務(wù)發(fā)展的需要； 注重安全管理體系的建設(shè)，以及管理、技術(shù)和保障的相互結(jié)合。1.4 建設(shè)原則信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。信息安全體系的建設(shè)，涉及面廣、工作量大，必須堅(jiān)持以下的原則，保證建設(shè)和運(yùn)營(yíng)的效果。 統(tǒng)一規(guī)劃要對(duì)的信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。同時(shí)，還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，使得信息安全體系建設(shè)能夠遵循一致的標(biāo)準(zhǔn)，管理能夠遵循一致的規(guī)范。 分步有序?qū)嵤┬畔踩w系的建設(shè)，內(nèi)容龐雜，必須堅(jiān)持分步驟的有序?qū)嵤┰瓌t，循序漸進(jìn)地進(jìn)行。 基于安全需求依據(jù)信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性以及可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。 技術(shù)管理并重僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的，安全管理也具有同樣的重要性，XXX單位信息安全體系的建設(shè)，必須遵循安全技術(shù)和安全管理并重的原則。制定統(tǒng)一的安全建設(shè)管理規(guī)范，指導(dǎo)的安全管理工作。 突出安全保障信息安全體系建設(shè)要突出安全保障的重要性，通過數(shù)據(jù)備份、冗余設(shè)計(jì)、應(yīng)急響應(yīng)、安全審計(jì)、災(zāi)難恢復(fù)等安全保障機(jī)制，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。 持續(xù)改進(jìn)信息系統(tǒng)安全管理是一種動(dòng)態(tài)反饋過程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。 依法管理信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會(huì)影響。 自保護(hù)和國(guó)家監(jiān)管結(jié)合對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國(guó)家信息安全。1.5 建設(shè)目標(biāo)根據(jù)XXX單位信息安全體系建設(shè)需求和原則，XXX單位信息安全的建設(shè)目標(biāo)，可以用“一個(gè)目標(biāo)、兩種手段、三個(gè)體系”進(jìn)行概括。 一個(gè)目標(biāo)XXX單位信息安全的建設(shè)目標(biāo)是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺(tái)各個(gè)層面，以及保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高XXX單位信息系統(tǒng)的整體安全等級(jí)，為XXX單位的業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。 兩種手段信息安全體系的建設(shè)應(yīng)該包括安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證，兩者相輔相成，缺一不可。 三個(gè)體系XXX單位信息安全體系的建設(shè)最終形成3個(gè)主要體系，具體包括安全技術(shù)體系、安全管理體系、以及運(yùn)行保障體系。2 體系框架XXX單位進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個(gè)全面、有效的信息安全體系，在這個(gè)體系中，包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進(jìn)行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進(jìn)行，才能夠使得信息安全體系發(fā)揮最優(yōu)的保障效果。2.1 安全模型根據(jù)XXX單位信息安全體系建設(shè)目標(biāo)和總體安全策略，建立了與之對(duì)應(yīng)的目標(biāo)模型，稱為WP2DRR安全模型，該模型是基于時(shí)間的，由預(yù)警（Warning）、策略（Policy）、保護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）六個(gè)要素環(huán)節(jié)構(gòu)成了一個(gè)完整的、動(dòng)態(tài)的信息安全體系。預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。 Policy(安全策略)：根據(jù)風(fēng)險(xiǎn)分析和評(píng)估產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。在WP2DRR安全模型中，策略處于核心地位，所有的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)都依據(jù)安全策略展開實(shí)施，安全策略為安全管理提供管理方向和支持手段。 Warining（預(yù)警）：根據(jù)以前所掌握的系統(tǒng)的弱點(diǎn)和當(dāng)前了解的犯罪趨勢(shì)預(yù)測(cè)未來可能受到的攻擊和及危害。包括風(fēng)險(xiǎn)分析、病毒預(yù)報(bào)、黑客入侵趨勢(shì)預(yù)報(bào)和情況通報(bào)、系統(tǒng)弱點(diǎn)報(bào)告和補(bǔ)丁到位。 Protection（防護(hù)）：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開發(fā)和安裝安全系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點(diǎn)；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)控等手段來防止惡意威脅。 Detection（檢測(cè)）：檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過檢測(cè)和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)做出有效的響應(yīng)。 Response（響應(yīng)）：響應(yīng)是對(duì)安全事件做出反應(yīng)，包括對(duì)檢測(cè)到的系統(tǒng)異?；蛘吖粜袨樽龀鲰憫?yīng)動(dòng)作，以及處理突發(fā)的安全事件。恰當(dāng)?shù)捻憫?yīng)動(dòng)作和響應(yīng)流程可以降低安全事件的不良影響，加強(qiáng)對(duì)重要資源的保護(hù)。 Recovery（恢復(fù)）：災(zāi)難恢復(fù)能力直接決定了業(yè)務(wù)應(yīng)用的持續(xù)可用性，任何意外的突發(fā)事件都可能造成服務(wù)中斷和數(shù)據(jù)受損，優(yōu)秀的災(zāi)難恢復(fù)計(jì)劃能夠針對(duì)災(zāi)難事件做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)遭受破壞，也能夠在最短的時(shí)間內(nèi)，完成恢復(fù)操作。WP2DRR安全模型的特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性。它闡述了這樣一個(gè)結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。WP2DRR模型是在傳統(tǒng)的P2DR模型的基礎(chǔ)上新增加了預(yù)警Warning和恢復(fù)Recover，增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)，XXX單位的信息安全體系框架緊密圍繞這個(gè)安全模型的6個(gè)要素環(huán)節(jié)進(jìn)行設(shè)計(jì)，每個(gè)要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來。2.2 體系框架通過對(duì)XXX單位的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險(xiǎn)的分析，根據(jù)安全保障目標(biāo)模型，制定了XXX單位信息安全體系框架，制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營(yíng)。該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動(dòng)、相互依賴、不可分割的信息安全保障要素組成。在此框架中，以安全策略為指導(dǎo)，融會(huì)了安全技術(shù)、安全管理和運(yùn)行保障三個(gè)層次的安全體系，達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。XXX單位信息安全體系框架的總體結(jié)構(gòu)如下圖所示： 安全策略在這個(gè)框架中，安全策略是指導(dǎo)。安全策略與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這三大體系之間的關(guān)系也是相互作用的。一方面，三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)；另一方面，安全策略本身也有包括草案設(shè)計(jì)、評(píng)審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評(píng)估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時(shí)性和有效性。 安全技術(shù)體系安全技術(shù)體系是整個(gè)信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺(tái)、安全應(yīng)用系統(tǒng)平臺(tái)和安全綜合管理平臺(tái)這三個(gè)部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺(tái)為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺(tái)為輔助，在統(tǒng)一的綜合安全管理平臺(tái)管理下的技術(shù)保障體系框架。安全基礎(chǔ)設(shè)施平臺(tái)是以安全策略為指導(dǎo)，從物理和通信安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)，主機(jī)系統(tǒng)安全防護(hù)，應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。安全應(yīng)用系統(tǒng)平臺(tái)處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺(tái)所提供的各類安全服務(wù)，提升自身的安全等級(jí)，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺(tái)的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備，對(duì)這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機(jī)制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作，可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。統(tǒng)一的安全管理平臺(tái)有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動(dòng)參與量大幅下降。 安全管理體系安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的設(shè)計(jì)立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。技術(shù)和管理是相互結(jié)合的，一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)，另一方面技術(shù)也是對(duì)管理措施貫徹執(zhí)行的監(jiān)督手段。在XXX單位信息安全體系框架中，安全管理體系的設(shè)計(jì)充分參考和借鑒了國(guó)際信息安全管理標(biāo)準(zhǔn)BS7799（ISO17799）的建議要求。XXX單位信息安全管理體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個(gè)安全目標(biāo)和安全控制。每個(gè)安全目標(biāo)都有若干安全控制與其相對(duì)應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。信息安全管理體系一共包括了12項(xiàng)管理類： 安全策略與制度，確保XXX單位擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。 安全風(fēng)險(xiǎn)管理，信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過程，而是管理風(fēng)險(xiǎn)的過程。沒有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過程。 人員和組織安全管理，建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全風(fēng)險(xiǎn)。 環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。 網(wǎng)絡(luò)和通信安全管理，控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對(duì)XXX單位業(yè)務(wù)系統(tǒng)的損害。 主機(jī)和系統(tǒng)安全管理，控制和保護(hù)XXX單位的計(jì)算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對(duì)業(yè)務(wù)系統(tǒng)的損害。 應(yīng)用和業(yè)務(wù)安全管理，對(duì)各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其收到破壞和濫用。 數(shù)據(jù)安全和加密管理，采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。 項(xiàng)目工程安全管理，保護(hù)信息系統(tǒng)項(xiàng)目工程過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。 運(yùn)行和維護(hù)安全管理，保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。 業(yè)務(wù)連續(xù)性管理管理，通過設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。 合規(guī)性（符合性）管理，確保XXX單位的信息安全保障工作符合國(guó)家法律、法規(guī)的要求；且XXX單位的信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。12項(xiàng)信息安全管理類之間的關(guān)系，如下圖所示。 12項(xiàng)信息安全管理類的作用關(guān)系為： 方針和策略：是XXX單位整個(gè)信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對(duì)于其它所有的信息安全管理類都有指導(dǎo)和約束關(guān)系。 人員和組織管理：是要依據(jù)方針和策略來執(zhí)行信息安全管理工作。 合規(guī)性：指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果。特別是對(duì)于國(guó)家法律法規(guī)、方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。 根據(jù)“方針和策略”，由“人員和組織”實(shí)施信息安全管理工作。在實(shí)施中主要從兩個(gè)角度來考慮問題，即風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性管理。 根據(jù)信息系統(tǒng)的生命周期，可以將信息系統(tǒng)劃分為兩個(gè)階段，即項(xiàng)目工程開發(fā)階段和運(yùn)行維護(hù)階段。這兩個(gè)信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。 最終所有的信息安全管理工作都作用在信息系統(tǒng)之上。信息系統(tǒng)可以劃分成5個(gè)層次，從底層到上層依次為環(huán)境與設(shè)備管理、網(wǎng)絡(luò)與通信管理、主機(jī)與系統(tǒng)管理、應(yīng)用與業(yè)務(wù)管理、數(shù)據(jù)/文檔/介質(zhì)管理。這5個(gè)信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的層次性。 運(yùn)行保障體系運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等，運(yùn)行和保障體系對(duì)于XXX單位網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營(yíng)提供了重要的保障手段。 建設(shè)實(shí)施規(guī)劃建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計(jì)的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施，因此，首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)，明確各級(jí)管理機(jī)構(gòu)的人員配備，職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對(duì)信息安全系統(tǒng)進(jìn)行監(jiān)控與審計(jì)管理。然后，對(duì)所有員工進(jìn)行基本安全教育，為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)，提高全員的安全意識(shí)，打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍。信息安全體系建設(shè)，應(yīng)該首先從物理環(huán)境安全建設(shè)入手，確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)，并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。接下來應(yīng)該進(jìn)行網(wǎng)絡(luò)安全建設(shè)，應(yīng)該對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰；在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測(cè)等安全產(chǎn)品，形成立體的區(qū)域邊界保護(hù)機(jī)制，對(duì)各安全域進(jìn)行邏輯安全隔離，禁止未授權(quán)的網(wǎng)絡(luò)訪問；在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具，定期對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查，并采取措施及時(shí)彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時(shí)，可以進(jìn)行系統(tǒng)安全建設(shè)，在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)，有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播，避免對(duì)系統(tǒng)和數(shù)據(jù)造成損害；另外，主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求，借助主機(jī)脆弱性分析和安全加固工具，定期對(duì)主機(jī)系統(tǒng)進(jìn)行檢查，更新安全漏洞補(bǔ)丁的級(jí)別，修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置，查看和分析系統(tǒng)審計(jì)日志，控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)。應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。按照的統(tǒng)一標(biāo)準(zhǔn)，建立安全審計(jì)與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制，重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)，保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。3 建設(shè)內(nèi)容XXX單位的信息安全建設(shè)所涉及的工作內(nèi)容包括以下部分。3.1 組織機(jī)構(gòu)建立專職的信息安全監(jiān)管機(jī)構(gòu)，明確各級(jí)管理機(jī)構(gòu)的人員崗位配置和職能權(quán)限，全面負(fù)責(zé)信息安全建設(shè)工作和維護(hù)信息安全系統(tǒng)的運(yùn)營(yíng)。3.2 人員管理依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)要求，對(duì)人員錄用、考核、培訓(xùn)、離崗等一系列管理進(jìn)行規(guī)范性要求。制定統(tǒng)一的人員安全管理和教育培訓(xùn)規(guī)范，定期對(duì)信息系統(tǒng)的用戶進(jìn)行安全教育和培訓(xùn)，對(duì)普通用戶進(jìn)行基本的安全教育，對(duì)安全技術(shù)崗位的用戶進(jìn)行崗位技能培訓(xùn)，提高全員的安全意識(shí)，培養(yǎng)高素質(zhì)的安全技術(shù)和管理隊(duì)伍。3.3 物理管理按照國(guó)家對(duì)于計(jì)算機(jī)機(jī)房的相關(guān)建設(shè)標(biāo)準(zhǔn)，制定統(tǒng)一的計(jì)算機(jī)機(jī)房建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，對(duì)于計(jì)算機(jī)機(jī)房建設(shè)中的環(huán)境參數(shù)、保障機(jī)制，以及運(yùn)行過程中的人員訪問控制、監(jiān)控措施等進(jìn)行統(tǒng)一約定，頒布統(tǒng)一的計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細(xì)的規(guī)定。3.4 網(wǎng)絡(luò)管理網(wǎng)絡(luò)安全是信息安全保障的重點(diǎn)，制定統(tǒng)一的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)標(biāo)準(zhǔn)，對(duì)如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域，安全區(qū)域的邊界采取的隔離措施，進(jìn)行約定，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng)之間的安全隔離。制定統(tǒng)一的互聯(lián)網(wǎng)接入點(diǎn)、外聯(lián)網(wǎng)接入點(diǎn)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，統(tǒng)一約定網(wǎng)絡(luò)邊界接入點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、安全產(chǎn)品的部署模式，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。制定統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，包括防火墻、網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)脆弱性分析、網(wǎng)絡(luò)層加密等。3.5 系統(tǒng)管理系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機(jī)入侵檢測(cè)、系統(tǒng)安全漏洞分析和加固， 提升服務(wù)器主機(jī)系統(tǒng)的安全級(jí)別。制定統(tǒng)一的網(wǎng)絡(luò)病毒查殺系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和蔓延。3.6 應(yīng)用管理應(yīng)用安全機(jī)制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護(hù)，能夠滿足身份認(rèn)證、用戶授權(quán)與訪問控制、數(shù)據(jù)安全傳輸?shù)劝踩枨蟆Ｖ贫ńy(tǒng)一的身份認(rèn)證、授權(quán)與訪問控制、應(yīng)用層通信加密等應(yīng)用層安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。3.7 數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)備份是重要的安全保障機(jī)制，為了保障業(yè)務(wù)數(shù)據(jù)的安全性，降低突發(fā)意外事件所帶來的安全風(fēng)險(xiǎn)，制定統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份標(biāo)準(zhǔn)與規(guī)范，采取先進(jìn)的數(shù)據(jù)備份技術(shù)，保證業(yè)務(wù)數(shù)據(jù)和系統(tǒng)軟件的安全性。3.8 運(yùn)維管理運(yùn)維管理是在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施建設(shè)完成之后，對(duì)運(yùn)行環(huán)境（包括物理網(wǎng)絡(luò)，軟硬件環(huán)境等）、業(yè)務(wù)系統(tǒng)等進(jìn)行維護(hù)管理。結(jié)合工作及信息化建設(shè)實(shí)際，建立運(yùn)維管理標(biāo)準(zhǔn)及應(yīng)用制度，采用標(biāo)準(zhǔn)的運(yùn)維管理流程，完善系統(tǒng)運(yùn)維管理體系，保證信息系統(tǒng)安全穩(wěn)定的運(yùn)行。災(zāi)難是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)造成任何破壞作用的意外事件，要制定詳細(xì)的災(zāi)難恢復(fù)計(jì)劃，考慮到數(shù)據(jù)大集中的安全需求，采用異地容災(zāi)備份等技術(shù)，確保數(shù)據(jù)的安全性和業(yè)務(wù)的持續(xù)性，在災(zāi)難發(fā)生后，盡快完成恢復(fù)。制定統(tǒng)一的應(yīng)急響應(yīng)計(jì)劃標(biāo)準(zhǔn)，建立應(yīng)急響應(yīng)計(jì)劃，包括安全事件的檢測(cè)、報(bào)告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。在發(fā)生安全事件后，盡快作出適當(dāng)?shù)捻憫?yīng)，將安全事件的負(fù)面影響降至最低，保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)。4 總體安全策略信息安全策略是信息安全建設(shè)的核心，它描述了在信息安全建設(shè)過程中，需要對(duì)哪些重要的信息資產(chǎn)進(jìn)行保護(hù)，以及如何進(jìn)行保護(hù)?？傮w策略的設(shè)計(jì)堅(jiān)持管理與技術(shù)并重的原則，以確保網(wǎng)絡(luò)和信息系統(tǒng)的安全性為主，采用多重保護(hù)、最小授權(quán)、和嚴(yán)格管理等措施，從宏觀整體的角度進(jìn)行闡述，是信息安全建設(shè)總的指導(dǎo)原則。4.1 物理安全策略（1）計(jì)算機(jī)機(jī)房的建設(shè)必須遵循國(guó)家在計(jì)算機(jī)機(jī)房場(chǎng)地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn)，保證物理環(huán)境安全。（2）關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房?jī)?nèi)部的適當(dāng)位置，通過物理訪問控制機(jī)制，保證這些設(shè)備自身的安全性。（3）應(yīng)當(dāng)建立人員出入訪問控制機(jī)制，嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其它重要安全區(qū)域，訪問控制機(jī)制還需要能夠提供審計(jì)功能，便于檢查和分析。（4）進(jìn)入機(jī)房的工作人員必須由安全管理員或機(jī)房管理員全程陪同。（5）機(jī)房?jī)?nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、監(jiān)控報(bào)警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。（6）建立計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細(xì)的規(guī)定。（7）管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。4.2 網(wǎng)絡(luò)安全策略（1）必須對(duì)網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全域劃分，建立隔離保護(hù)機(jī)制，并且在各安全域之間建立訪問控制機(jī)制，杜絕發(fā)生未授權(quán)的非法訪問現(xiàn)象，特別的，必須對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)進(jìn)行劃分和隔離。（2）應(yīng)當(dāng)部署網(wǎng)絡(luò)管理體系，管理網(wǎng)絡(luò)資源和設(shè)備，實(shí)施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，降低網(wǎng)絡(luò)故障帶來的安全風(fēng)險(xiǎn)。（3）應(yīng)當(dāng)對(duì)關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計(jì)，防止關(guān)鍵線路和設(shè)備的單點(diǎn)故障造成通信服務(wù)中斷。（4）應(yīng)當(dāng)在各安全域的邊界，綜合部署網(wǎng)絡(luò)安全訪問措施，包括防火墻、入侵檢測(cè)、VPN，建立多層次的，立體的網(wǎng)絡(luò)安全防護(hù)體系。（5）應(yīng)當(dāng)建立網(wǎng)絡(luò)弱點(diǎn)分析機(jī)制，發(fā)現(xiàn)和彌補(bǔ)網(wǎng)絡(luò)中存在的安全漏洞，及時(shí)進(jìn)行自我完善。（6）應(yīng)當(dāng)建立遠(yuǎn)程訪問機(jī)制，實(shí)現(xiàn)安全的遠(yuǎn)程辦公和移動(dòng)辦公。（7）應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)網(wǎng)絡(luò)安全系統(tǒng)的規(guī)劃、建設(shè)、管理維護(hù)。（8）應(yīng)當(dāng)建立網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營(yíng)維護(hù)管理規(guī)范，在范圍內(nèi)指導(dǎo)實(shí)際的系統(tǒng)建設(shè)和維護(hù)管理。（9）管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)網(wǎng)絡(luò)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。4.3 主機(jī)安全策略（1）應(yīng)當(dāng)對(duì)關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計(jì)，防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。（2）應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析機(jī)制，發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞，及時(shí)進(jìn)行自我完善。（3）應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制，及時(shí)升級(jí)系統(tǒng)版本和補(bǔ)丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)。（4）應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制，在災(zāi)難事件發(fā)生之后，能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。（5）可以建立主機(jī)入侵檢測(cè)機(jī)制，發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為，以及對(duì)主機(jī)發(fā)起的攻擊行為，并及時(shí)向管理員報(bào)警。（6）應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。（7）應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計(jì)日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。（8）應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對(duì)其進(jìn)行正確有效的配置和管理。（9）管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)各項(xiàng)系統(tǒng)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。4.4 應(yīng)用安全策略（1）應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶名和口令。（2）登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證（如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式）。（3）應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同，且不能出現(xiàn)多人使用同