信息安全總體策略

1、第 PAGE18 頁 共 NUMPAGES18 頁信息安全總體策略X XXX 信息化服務(wù)中心信息安全 總體 策略項(xiàng)目名稱XXX 安全運(yùn)維服務(wù)項(xiàng)目 客戶名稱XXX 信息化服務(wù)中心 實(shí)施地點(diǎn)XXX 信息化服務(wù)中心 實(shí)施單位XXX 信息技術(shù)有限 實(shí)施時(shí)間XXX 年 7 月 20 日星期五文檔修訂情況版本 修訂記錄 日期 修訂 審核 批準(zhǔn) v1.0 制作文檔 XXX-07-17目錄1物理安全策略 32網(wǎng) 網(wǎng) XXX 全策略 33系統(tǒng)安全策略 44病毒管理策略 45身份認(rèn)證策略 56用戶授權(quán)與訪問控制策略 57數(shù)據(jù)加密策略 58數(shù)據(jù)備份與災(zāi)難恢復(fù) 69應(yīng)急響應(yīng)策略 610安全教育策略 71 物理安全策略

2、 計(jì)算機(jī)機(jī)房的建設(shè)必須遵循國家在計(jì)算機(jī)機(jī)房場地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn)，保證物理環(huán)境安全。 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房內(nèi)部的適當(dāng)位置，通過物理訪問控制機(jī)制，保證這些設(shè)備自身的安全性。 應(yīng)當(dāng)建立人員出入訪問控制機(jī)制，嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其它重要安全區(qū)域，訪問控制機(jī)制還需要能夠提供審計(jì)功能，便于檢查和分析p 。 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)計(jì)算機(jī)機(jī)房的建設(shè)和管理工作，建立 24 小時(shí)值班制度。 建立計(jì)算機(jī)機(jī)房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細(xì)的規(guī)定。 管理機(jī)構(gòu)應(yīng)當(dāng)定期對計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安

3、全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。2 網(wǎng) 網(wǎng) 絡(luò)安 全策略 必須對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全域劃分，建立隔離保護(hù)機(jī)制，并且在各安全域之間建立訪問控制機(jī)制，杜絕發(fā)生未授權(quán)的非法訪問現(xiàn)象，特別的，必須對生產(chǎn)網(wǎng)和辦公網(wǎng)進(jìn)行劃分和隔離。 應(yīng)當(dāng)部署網(wǎng)絡(luò)管理體系，管理網(wǎng)絡(luò)資和設(shè)備，實(shí)施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，降低網(wǎng)絡(luò)故障帶來的安全風(fēng)險(xiǎn)。 應(yīng)當(dāng)對關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計(jì)，防止關(guān)鍵線路和設(shè)備的單點(diǎn)故障造成通信服務(wù)中斷。 應(yīng)當(dāng)在各安全域的邊界，綜合部署網(wǎng) XXX 全訪問措施，包括防火墻、入侵檢測、，建立多層次的，立體的網(wǎng) XXX 全防護(hù)體系。 應(yīng)當(dāng)建立網(wǎng)絡(luò)弱點(diǎn)分析p 機(jī)制，發(fā)現(xiàn)和

4、彌補(bǔ)網(wǎng)絡(luò)中存在的安全漏洞，及時(shí)進(jìn)行自我完善。 應(yīng)當(dāng)建立遠(yuǎn)程訪問機(jī)制，實(shí)現(xiàn)安全的遠(yuǎn)程辦公和移動(dòng)辦公。 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設(shè)、管理維護(hù)。 應(yīng)當(dāng)建立網(wǎng) XXX 全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營維護(hù)管理規(guī)范，在范圍內(nèi)指導(dǎo)實(shí)際的系統(tǒng)建設(shè)和維護(hù)管理。 管理機(jī)構(gòu)應(yīng)當(dāng)定期對網(wǎng) XXX 全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。3 系統(tǒng)安全策略 應(yīng)當(dāng)對關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計(jì)，防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。 應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析p 機(jī)制，發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞，及時(shí)進(jìn)行自我完善。 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制，及時(shí)升級

5、系統(tǒng)版本和補(bǔ)丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)。 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制，在災(zāi)難事件發(fā)生之后，能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。 可以建立主機(jī)入侵檢測機(jī)制，發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為，以及對主機(jī)發(fā)起的攻擊行為，并及時(shí)向管理員報(bào)警。 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。 應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析p 、主機(jī)審計(jì)日志檢查和分析p 、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。 應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對其進(jìn)行正確有效的配置和管理。 管理機(jī)構(gòu)應(yīng)當(dāng)定期對各項(xiàng)系統(tǒng)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。4 病毒

6、管理策略 應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機(jī)制，實(shí)現(xiàn) XXX 信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當(dāng)安裝和配置殺毒軟件，并且通過管理中心進(jìn)行更新，任何用戶不能禁用病毒掃描和查殺功能。 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)系統(tǒng)都應(yīng)當(dāng)定期進(jìn)行完整的系統(tǒng)掃描。 從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對其進(jìn)行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。 第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進(jìn)行病毒掃描測試。 任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計(jì)算機(jī)內(nèi)存、存儲(chǔ)介

7、質(zhì)、操作系統(tǒng)、應(yīng)用程序的計(jì)算機(jī)代碼 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護(hù)。 應(yīng)當(dāng)建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。 應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為，以及對殺毒軟件的配置和管理，達(dá)到保護(hù)桌面系統(tǒng)、抑止病毒傳播的目的。 管理機(jī)構(gòu)應(yīng)當(dāng)定期對與病毒查殺有關(guān)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。5 身份認(rèn)證策略 應(yīng)當(dāng)在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施，向應(yīng)用系統(tǒng)提供集中的用戶身份認(rèn)證服務(wù)。 應(yīng)當(dāng)選擇安全性高，投入收益比率較好，易管理維護(hù)的身份認(rèn)證技術(shù)，建立身份管理基礎(chǔ)設(shè)施。 每個(gè)內(nèi)部員工具

8、有范圍內(nèi)唯一的身份標(biāo)識(shí)，用戶在訪問應(yīng)用系統(tǒng)之前，必須提交身份標(biāo)識(shí)，并對其進(jìn)行認(rèn)證；員工離職時(shí)，要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。 應(yīng)當(dāng)對現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造，使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。 應(yīng)當(dāng)建立專門的部門和崗位，負(fù)責(zé)用戶身份的管理，以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運(yùn)行、維護(hù)。 應(yīng)當(dāng)在范圍內(nèi)建立用戶標(biāo)識(shí)管理規(guī)范，對用戶標(biāo)識(shí)格式，產(chǎn)生和撤銷流程進(jìn)行統(tǒng)一規(guī)定。6 用戶授權(quán)與訪問控制策略 應(yīng)當(dāng)依托身份認(rèn)證基礎(chǔ)設(shè)施，將集中管理與分布式管理有機(jī)結(jié)合起來，建立分級的用戶授權(quán)與訪問控制管理機(jī)制。 每個(gè)內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi)；員工離職時(shí)，要撤銷其在信息系統(tǒng)內(nèi)部的所

9、有訪問權(quán)限。 應(yīng)當(dāng)對現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造，使用授權(quán)與訪問控制系統(tǒng)提供的安全服務(wù)。 應(yīng)當(dāng)建立專門崗位，負(fù)責(zé)用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。 應(yīng)當(dāng)在范圍內(nèi)，建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。7 數(shù)據(jù)加密策略 加密技術(shù)的采用和加密機(jī)制的建立，應(yīng)該符合國家有關(guān)的法律和規(guī)定。 應(yīng)當(dāng)建立內(nèi)部信息系統(tǒng)的密級分級標(biāo)準(zhǔn)，判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲(chǔ)過程中，是否需要采用加密機(jī)制。 應(yīng)當(dāng)建立密鑰管理體制，保證密鑰在產(chǎn)生、使用、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)中的安全性。 加密機(jī)制應(yīng)當(dāng)使用國際標(biāo)準(zhǔn)的密碼算法，或者國內(nèi)通過密碼管理委員會(huì)審批的專用算法，其中對稱密碼算法的密鑰長度不

10、得低于 128 比特，公鑰密碼算法的密鑰長度不得低于 1024 比特。 應(yīng)當(dāng)在物理上保證所有的硬件加密設(shè)備和軟件加密程序，以及存儲(chǔ)涉密數(shù)據(jù)的介質(zhì)載體的安全。 應(yīng)當(dāng)指定專門的管理機(jī)構(gòu)，負(fù)責(zé)本策略的維護(hù)，監(jiān)督本策略的實(shí)施。 任何內(nèi)部信息系統(tǒng)，都需要向管理機(jī)構(gòu)提出申請，經(jīng)管理機(jī)構(gòu)審批，獲得授權(quán)后，才能夠使用加密機(jī)制。禁止任何內(nèi)部信息系統(tǒng)和人員，在未授權(quán)的情況下，使用任何加密機(jī)制。 管理機(jī)構(gòu)應(yīng)當(dāng)每年對加密算法的選擇范圍和密鑰長度的最低要求進(jìn)行一次復(fù)審和評估，使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。8 數(shù)據(jù)備份與災(zāi)難恢復(fù) 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù)，避免硬件的單點(diǎn)故障導(dǎo)致服務(wù)中斷。 綜合考慮性

11、能和管理等因素，采用先進(jìn)的系統(tǒng)和數(shù)據(jù)備份技術(shù)，在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機(jī)制，防止數(shù)據(jù)出現(xiàn)邏輯損壞。 對業(yè)務(wù)系統(tǒng)采取適當(dāng)?shù)漠惖貍浞輽C(jī)制，使得數(shù)據(jù)備份計(jì)劃具備一定的容災(zāi)能力。 建立災(zāi)難恢復(fù)計(jì)劃，提供災(zāi)難恢復(fù)手段，在災(zāi)難事件發(fā)生之后，快速對被破壞的信息系統(tǒng)進(jìn)行恢復(fù)。 應(yīng)當(dāng)建立專門崗位，負(fù)責(zé)用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。 建立日常數(shù)據(jù)備份管理制度，對備份周期和介質(zhì)保管進(jìn)行統(tǒng)一規(guī)定。 建立災(zāi)難恢復(fù)計(jì)劃，對人員進(jìn)行災(zāi)難恢復(fù)培訓(xùn)，定期進(jìn)行災(zāi)難恢復(fù)的模擬演練。9 應(yīng)急響應(yīng)策略 應(yīng)當(dāng)建立應(yīng)急響應(yīng)中心，配置專門崗位，負(fù)責(zé)制定范圍內(nèi)的信息安全策略、完成計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急

12、響應(yīng)、及時(shí)發(fā)布安全漏洞和補(bǔ)丁修補(bǔ)程序等安全公告、進(jìn)行安全系統(tǒng)審計(jì)數(shù)據(jù)分析p 、以及提供安全教育和培訓(xùn)。 應(yīng)當(dāng)制定詳細(xì)的安全事件的應(yīng)急響應(yīng)計(jì)劃，包括安全事件的檢測、報(bào)告、分析p 、追查、和系統(tǒng)恢復(fù)等內(nèi)容。10 安全教育策略 應(yīng)該建立專門的機(jī)構(gòu)和崗位，負(fù)責(zé)安全教育與培訓(xùn)計(jì)劃的制定和執(zhí)行 應(yīng)當(dāng)制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃，對信息安全技術(shù)和管理相關(guān)人員進(jìn)行安全專業(yè)知識(shí)和技能培訓(xùn)，對普通用戶進(jìn)行安全基礎(chǔ)知識(shí)、安全策略和管理制度培訓(xùn)，提高人員的整體安全意識(shí)和安全操作水平。 管理機(jī)構(gòu)應(yīng)當(dāng)定期對安全教育和培訓(xùn)的成果進(jìn)行抽查和考核，檢驗(yàn)安全教育和培訓(xùn)活動(dòng)的效果。主題凝煉，集中，可以借鑒。水平出乎意料得高！以滿足

13、業(yè)務(wù)運(yùn)行要求，遵守行業(yè)規(guī)程，實(shí)施等級保護(hù)及風(fēng)險(xiǎn)管理，確保信息安全以及實(shí)現(xiàn)持續(xù)改進(jìn)的目的等內(nèi)容作為本單位信息安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷為總體目標(biāo)。本案適用于某單位信息安全整體工作。在全單位范圍內(nèi)給予執(zhí)行，由某部門對該項(xiàng)工作的落實(shí)和執(zhí)行進(jìn)行監(jiān)督，由某部門配合某部門對本案的有效性進(jìn)行持續(xù)改進(jìn)。3.原則以誰主管誰負(fù)責(zé)為原則（或者采用其他原則例如：“整體保護(hù)原則”、“適度保護(hù)的等級化原則”、“分域保護(hù)原則”、“動(dòng)態(tài)保護(hù)原則”、“多級保護(hù)原則”、“深度保護(hù)原則”和“信息流向原則”

14、等）。建立一套關(guān)于物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、建設(shè)和管理等六個(gè)方面的安全需求、控制措施及執(zhí)行程序，并在關(guān)聯(lián)制度文檔中定義出相關(guān)的安全角色，并對其賦予管理職責(zé)?！耙匀藶楸尽保ㄟ^對信息安全工作人員的安全意識(shí)培訓(xùn)等方法不斷加強(qiáng)系統(tǒng)分布的合理性和有效性。 4.1 物理方面依據(jù)實(shí)際情況建立機(jī)房管理制度，明確機(jī)房的出入管理辦法，機(jī)房介質(zhì)存放方式，機(jī)房設(shè)備維護(hù)周期及維護(hù)方式，機(jī)房設(shè)備信息保密要求，機(jī)房溫濕度控制方式等等環(huán)境要求。通過明確機(jī)房責(zé)任人、建立機(jī)房管理相關(guān)辦法、對維護(hù)和出入等過程建立記錄等方式對機(jī)房安全進(jìn)行保護(hù)。 4.2網(wǎng)絡(luò)方面從技術(shù)角度實(shí)現(xiàn)網(wǎng)絡(luò)的合理分布、網(wǎng)絡(luò)設(shè)備的實(shí)施監(jiān)控、網(wǎng)絡(luò)訪問策略的統(tǒng)一

15、規(guī)劃、網(wǎng)絡(luò)安全掃描以及對網(wǎng)絡(luò)配置文件等必要信息進(jìn)行定期備份。從管理角度明確網(wǎng)絡(luò)各個(gè)區(qū)域的安全責(zé)任人，建立網(wǎng)絡(luò)維護(hù)方面相關(guān)操作辦法并由某人或某部門監(jiān)督執(zhí)行看，確保各信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行情況穩(wěn)定、可靠、正常的運(yùn)行。 4.3主機(jī)方面要求各類主機(jī)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)在滿足各類業(yè)務(wù)系統(tǒng)的正常運(yùn)行條件下，建立系統(tǒng)訪問控制辦法、劃分系統(tǒng)使用權(quán)限、安裝惡意代碼防范軟件并對惡意代碼的檢查過程進(jìn)行記錄。明確各類主機(jī)的責(zé)任人，對主機(jī)關(guān)鍵信息進(jìn)行定期備份。 4.4應(yīng)用方面從技術(shù)角度實(shí)現(xiàn)應(yīng)用系統(tǒng)的操作可控、訪問可控、通信可控。從管理角度實(shí)現(xiàn)各類控制辦法的有效執(zhí)行，建立完善的維護(hù)操作規(guī)程以及明確定期備份內(nèi)容。 4.5數(shù)據(jù)方面

16、建設(shè)和管理方面 4.6.1 信息安全管理機(jī)制成立信息安全管理主要機(jī)構(gòu)或部門，設(shè)立安全主管等主要安全角色，依據(jù)信息安全等級保護(hù)三級標(biāo)準(zhǔn)（要求），建立信息系統(tǒng)的整體管理辦法。 4.6.2 信息安全管理組織分別建立安全管理崗位和機(jī)構(gòu)的職責(zé)文件，對機(jī)構(gòu)和人員的職責(zé)進(jìn)行明確。建立信息發(fā)布、變更、審批等流程和制度類文件，增強(qiáng)制度的有效性。建立安全審核和檢查的相關(guān)制度及報(bào)告方式。 4.6.3 人員安全管理要求對人員的錄用、離崗、考核、培訓(xùn)、安全意識(shí)教育等方面應(yīng)通過制度和操作程序進(jìn)行明確。4.6.4 信息安全等級保護(hù)工作及風(fēng)險(xiǎn)評估要求定期對已備案的信息系統(tǒng)進(jìn)行等級保護(hù)測評，以保證信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)維持在較低水平，不斷增強(qiáng)系統(tǒng)的穩(wěn)定性和安全性。 4.6.5 報(bào)告安全事件要求對突發(fā)安全事件建立應(yīng)急預(yù)案管理制度和相關(guān)操作辦法，并定期組織人員進(jìn)行演練，以保證信息系統(tǒng)在面臨突發(fā)事件時(shí)能夠在較短時(shí)間內(nèi)恢復(fù)正常的使用。 4.6.6 業(yè)務(wù)持續(xù)性要求根據(jù)對系統(tǒng)的等級測評、風(fēng)險(xiǎn)評估等間接問題挖掘，及時(shí)改進(jìn)信息系統(tǒng)的各類弊端，包括業(yè)務(wù)弊端，應(yīng)建立相關(guān)改進(jìn)措施或改進(jìn)辦法