信息安全體系方案

1818信息安全體系方案()目 錄概述 4\l“_TOC_250039“信息安全建設(shè)思路 4\l“_TOC_250038“信息安全建設(shè)內(nèi)容 6\l“_TOC_250037“建立治理組織機構(gòu) 6\l“_TOC_250036“物理安全建設(shè) 6\l“_TOC_250035“網(wǎng)絡(luò)安全建設(shè) 6\l“_TOC_250034“系統(tǒng)安全建設(shè) 7\l“_TOC_250033“應(yīng)用安全建設(shè) 7\l“_TOC_250032“系統(tǒng)和數(shù)據(jù)備份治理 7\l“_TOC_250031“應(yīng)急響應(yīng)治理 7\l“_TOC_250030“災(zāi)難恢復(fù)治理 7\l“_TOC_250029“人員治理和教育培訓(xùn) 8\l“_TOC_250028“信息安全建設(shè)原則 8\l“_TOC_250027“統(tǒng)一規(guī)劃 8\l“_TOC_250026“分步有序?qū)嵤?8\l“_TOC_250025“技術(shù)治理并重 8\l“_TOC_250024“突出安全保障 9信息安全建設(shè)根本方針 9信息安全建設(shè)目標 9\l“_TOC_250023“一個目標 10\l“_TOC_250022“兩種手段 10\l“_TOC_250021“三個體系 10信息安全體系建立的原則 10\l“_TOC_250020“標準性原則 10\l“_TOC_250019“整體性原則 11\l“_TOC_250018“有用性原則 11\l“_TOC_250017“先進性原則 11信息安全策略 11\l“_TOC_250016“物理安全策略 12\l“_TOC_250015“網(wǎng)絡(luò)安全策略 13\l“_TOC_250014“系統(tǒng)安全策略 13\l“_TOC_250013“病毒治理策略 14\l“_TOC_250012“身份認證策略 15\l“_TOC_250011“用戶授權(quán)與訪問掌握策略 15\l“_TOC_250010“數(shù)據(jù)加密策略 16\l“_TOC_250009“數(shù)據(jù)備份與災(zāi)難恢復(fù) 17\l“_TOC_250008“應(yīng)急響應(yīng)策略 17\l“_TOC_250007“安全教育策略 17信息安全體系框架 18\l“_TOC_250006“安全目標模型 18\l“_TOC_250005“信息安全體系框架組成 20\l“_TOC_250004“安全策略 21\l“_TOC_250003“安全技術(shù)體系 21\l“_TOC_250002“安全治理體系 22\l“_TOC_250001“運行保障體系 25\l“_TOC_250000“建設(shè)實施規(guī)劃 2511概述信息安全建設(shè)思路XX信息安全建設(shè)工作的總體思路如以下圖所示：工程試點實施工程試點實施信息安全系統(tǒng)建設(shè)規(guī)劃和實施方案安全技術(shù)體系安全治理體系運營保障體系整體安全策略〔建設(shè)目標、技術(shù)策略、治理策略〕現(xiàn)存問題信息安全技術(shù)和機制建設(shè)現(xiàn)狀進展趨勢信息化建設(shè)現(xiàn)狀安全威逼和安全脆弱性網(wǎng)絡(luò)和信息技術(shù)XX的信息安全建設(shè)由針對性安全問題和支撐性安全技術(shù)兩條主線開放，這的安全建設(shè)方案，并投入實施。首先，XX的信息化建設(shè)是基于當(dāng)前通用的網(wǎng)絡(luò)與信息系統(tǒng)根底技術(shù)，這使XX的針對性安全需求與通用的安全解決技術(shù)和方案有了肯定的共通點和結(jié)合點?？赡艽嬖诘陌踩珕栴}，明確網(wǎng)絡(luò)和信息系統(tǒng)運營所面臨的安全風(fēng)險級別。方法。在此根底之上，兩條主線進入融和的階段。信息安全領(lǐng)域的理論、框架和技術(shù)根底與XXXX治理策略?？傮w安全策略一方面充分表達了XX對自身信息化建設(shè)中安全問題的針對性，另一方面也充分基于現(xiàn)有的信息安全領(lǐng)域的安全模型和技術(shù)支持力量，因此具備了可行性、針對性和前瞻性。以安全保障總體策略為核心，分三個方面進展整體信息安全體系框架的制提高整體安全性效果。定具體的信息安全系統(tǒng)實施方案和運營維護打算。節(jié)進展調(diào)整，為建設(shè)實施順當(dāng)?shù)厝骈_真打下根底。信息安全體系建設(shè)的思路表達了以下的特點：統(tǒng)籌規(guī)劃和設(shè)計在建設(shè)過程中占有格外重要的地位；充分結(jié)合建設(shè)現(xiàn)狀與信息安全通用技術(shù)和理念；充分考慮了當(dāng)前的建設(shè)現(xiàn)狀以及將來業(yè)務(wù)進展的需要；留意安全治理體系的建設(shè)，以及治理、技術(shù)和保障的相互結(jié)合；實行試點工程打算，使得信息安全建設(shè)實施更加穩(wěn)妥。信息安全建設(shè)內(nèi)容XX的信息安全建設(shè)所涉及的工作內(nèi)容包括以下局部。建立治理組織機構(gòu)限，全面負責(zé)信息安全建設(shè)工作和維護信息安全系統(tǒng)的運營。物理安全建設(shè)設(shè)備安全治理、介質(zhì)安全治理、人員安全治理等作出具體的規(guī)定。網(wǎng)絡(luò)安全建設(shè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng)之間的安全隔離。間的安全隔離。全性。網(wǎng)絡(luò)脆弱性分析、網(wǎng)絡(luò)層加密等。系統(tǒng)安全建設(shè)測、系統(tǒng)安全漏洞分析和加固，提升效勞器主機系統(tǒng)的安全級別。在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和集中。應(yīng)用安全建設(shè)證、用戶授權(quán)與訪問掌握、數(shù)據(jù)安全傳輸?shù)劝踩枨蟆５慕ㄔO(shè)標準和治理標準，改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。系統(tǒng)和數(shù)據(jù)備份治理先進的數(shù)據(jù)備份技術(shù)，保證業(yè)務(wù)數(shù)據(jù)和系統(tǒng)軟件的安全性。應(yīng)急響應(yīng)治理制定統(tǒng)一的應(yīng)急響應(yīng)打算標準，建立應(yīng)急響應(yīng)打算，包括安全大事的檢測、應(yīng)，將安全大事的負面影響降至最低，保障金融業(yè)務(wù)正常運轉(zhuǎn)。災(zāi)難恢復(fù)治理據(jù)的安全性和業(yè)務(wù)的持續(xù)性，在災(zāi)難發(fā)生后，盡快完成恢復(fù)。人員治理和教育培訓(xùn)技能培訓(xùn)，提高全員的安全意識，培育高素養(yǎng)的安全技術(shù)和治理隊伍。信息安全建設(shè)原則設(shè)和運營的效果。統(tǒng)一規(guī)劃要對的信息安全體系建設(shè)進展統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保使得信息安全體系建設(shè)能夠遵循全都的標準，治理能夠遵循全都的標準。分步有序?qū)嵤┻M地進展。技術(shù)治理并重XX信息安全體系的建設(shè)，必需遵循安全技術(shù)和安全治理并重的原則。制定統(tǒng)一的安全建設(shè)治理標準，指導(dǎo)的安全治理工作。突出安全保障性。22信息安全建設(shè)根本方針XX信息安全體系建設(shè)的根本安全方針是“統(tǒng)一規(guī)劃建設(shè)、全面綜合防范、一技術(shù)標準、治理標準，以及實施步驟的安排，也保證了人員和資金的投入。機制的保護效果有機地結(jié)合起來，構(gòu)成完整的立體防護體系。技術(shù)治理并重，突出了安全治理在信息安全體系中的重要性，僅僅憑借安全增加技術(shù)防護體系的效率和效果，同時也彌補當(dāng)前技術(shù)無法完全解決的安全缺陷，實現(xiàn)了最正確的保護效果。保障運營安全，突出了安全保障的重要性，利用多種安全保障機制，保障了33信息安全建設(shè)目標XX信息安全體系建設(shè)的根本方針，XX信息安全的建設(shè)目標，可以用“一個目標、兩種手段、三個體系”進展概括。一個目標XX信息安全的建設(shè)目標是：基于安全根底設(shè)施、以安全策略為指導(dǎo)，供給以及保護、檢測、響應(yīng)、恢復(fù)等各個環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體XXXX的業(yè)務(wù)進展供給堅實的信息安全保障。兩種手段三個體系XX3個主要體系，具體包括安全技術(shù)體系、安全治理體系、以及運行保障體系。44信息安全體系建立的原則XX信息安全體系的設(shè)計與建設(shè)過程，遵循了以下根本指導(dǎo)原則。標準性原則XX的信息安全體系建設(shè)具有良好的全面性、標準性、和開放性。整體性原則從宏觀的、整體的角度動身，系統(tǒng)地建設(shè)XX信息安全體系，不僅僅局限于體系發(fā)揮最正確的保障效果。有用性原則建立信息安全體系，必需針對XX網(wǎng)絡(luò)和信息系統(tǒng)的特點，在現(xiàn)狀分析和風(fēng)險評估的根底上有的放矢地進展，不能簡潔地照抄照搬其它的信息安全保障方案。同時，信息安全體系中的全部內(nèi)容，都被用來指導(dǎo)XX信息安全系統(tǒng)的建設(shè)現(xiàn)象。驟的有序?qū)嵤┰瓌t，循序漸進地進展建設(shè)。先進性原則信息安全體系中所涉及的安全技術(shù)和機制，應(yīng)當(dāng)具有肯定的先進性和前瞻35年時間內(nèi)，XX的信息安全系統(tǒng)建設(shè)的需要，為網(wǎng)絡(luò)和信息系統(tǒng)供給有效的安全效勞保障。55信息安全策略要對哪些重要的信息資產(chǎn)進展保護，以及如何進展保護。容和重點，并形成了指導(dǎo)信息安全建設(shè)的《XX息安全建設(shè)總的指導(dǎo)原則。依據(jù)要保障的資產(chǎn)對象的不同，總體策略劃分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)恢復(fù)、應(yīng)急響應(yīng)、教育培訓(xùn)等假設(shè)干方面進展闡述。定，隨時保持策略與安全目標的全都性。物理安全策略線施工方面的標準，保證物理環(huán)境安全。關(guān)鍵應(yīng)用系統(tǒng)的效勞器主機和前置機效勞器、主要的網(wǎng)絡(luò)設(shè)備必需放置自身的安全性。應(yīng)當(dāng)建立人員出入訪問掌握機制，嚴格掌握人員出入計算機機房和其它析。應(yīng)當(dāng)指定特地的部門和人員，負責(zé)計算機機房的建設(shè)和治理工作，建立24小時值班制度。訪問掌握治理等做出具體的規(guī)定。治理機構(gòu)應(yīng)當(dāng)定期對計算機機房各項安全措施和安全治理制度的有效性和實施狀況進展檢查，覺察問題，進展改進。網(wǎng)絡(luò)安全策略的，必需對生產(chǎn)網(wǎng)和辦公網(wǎng)進展劃分和隔離。應(yīng)當(dāng)部署網(wǎng)絡(luò)治理體系，治理網(wǎng)絡(luò)資源和設(shè)備，實施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，降低網(wǎng)絡(luò)故障帶來的安全風(fēng)險。的單點故障造成通信效勞中斷。應(yīng)當(dāng)在各安全域的邊界，綜合部署網(wǎng)絡(luò)安全訪問措施，包括防火墻、入侵檢測、VPN，建立多層次的，立體的網(wǎng)絡(luò)安全防護體系。進展自我完善。應(yīng)當(dāng)建立遠程訪問機制，實現(xiàn)安全的遠程辦公和移動辦公。護。應(yīng)當(dāng)建立網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)標準和相關(guān)的運營維護治理標準，在范圍內(nèi)指導(dǎo)實際的系統(tǒng)建設(shè)和維護治理。進展檢查，覺察問題，進展改進。系統(tǒng)安全策略中斷。應(yīng)當(dāng)建立主機弱點分析機制，覺察和彌補系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞，準時進展自我完善。應(yīng)當(dāng)建立主機系統(tǒng)軟件版本維護機制，準時升級系統(tǒng)版本和補丁程序版本，保持系統(tǒng)軟件的最狀態(tài)。速實現(xiàn)系統(tǒng)恢復(fù)?？梢越⒅鳈C入侵檢測機制，覺察主機系統(tǒng)中的特別操作行為，以及對主機發(fā)起的攻擊行為，并準時向治理員報警。應(yīng)當(dāng)指定特地的部門和人員，負責(zé)主機系統(tǒng)的治理維護。主機審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。應(yīng)當(dāng)建立桌面系統(tǒng)使用治理標準，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對其進展正確有效的配置和治理。查，覺察問題，進展改進。病毒治理策略XX全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。全部內(nèi)部網(wǎng)絡(luò)上的計算機在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當(dāng)安裝和配置殺毒功能。全部內(nèi)部網(wǎng)絡(luò)上的計算機系統(tǒng)都應(yīng)當(dāng)定期進展完整的系統(tǒng)掃描。對其進展病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必需在隔離受控的模擬系統(tǒng)上進展病毒掃描測試。碼應(yīng)當(dāng)指定特地的部門和人員，負責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的治理維護。效能。應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治治理標準，約束和指導(dǎo)用戶在桌面系統(tǒng)上的毒傳播的目的。治理機構(gòu)應(yīng)當(dāng)定期對與病毒查殺有關(guān)安全治理制度的有效性和實施狀況進展檢查，覺察問題，進展改進。身份認證策略的用戶身份認證效勞。應(yīng)中選擇安全性高，投入收益比率較好，易治理維護的身份認證技術(shù)，建立身份治理根底設(shè)施。統(tǒng)內(nèi)部的合法身份。應(yīng)當(dāng)對現(xiàn)有的應(yīng)用系統(tǒng)進展技術(shù)改造，使用身份治理根底設(shè)施的安全服務(wù)。設(shè)施的建設(shè)、運行、維護。應(yīng)當(dāng)在范圍內(nèi)建立用戶標識治理標準，對用戶標識格式，產(chǎn)生和撤銷流程進展統(tǒng)一規(guī)定。用戶授權(quán)與訪問掌握策略建立分級的用戶授權(quán)與訪問掌握治理機制。之內(nèi)；員工離職時，要撤銷其在信息系統(tǒng)內(nèi)部的全部訪問權(quán)限。應(yīng)當(dāng)對現(xiàn)有的應(yīng)用系統(tǒng)進展技術(shù)改造，使用授權(quán)與訪問掌握系統(tǒng)供給的安全效勞。設(shè)、運行、維護。應(yīng)當(dāng)在范圍內(nèi)，建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套治理流程和制度。數(shù)據(jù)加密策略加密技術(shù)的承受和加密機制的建立，應(yīng)當(dāng)符合國家有關(guān)的法律和規(guī)定。據(jù)存儲過程中，是否需要承受加密機制。應(yīng)當(dāng)建立密鑰治理體制，保證密鑰在產(chǎn)生、使用、存儲、傳輸?shù)拳h(huán)節(jié)中的安全性。加密機制應(yīng)當(dāng)使用國際標準的密碼算法，或者國內(nèi)通過密碼治理委員會128比特，公1024比特。應(yīng)當(dāng)在物理上保證全部的硬件加密設(shè)備和軟件加密程序，以及存儲涉密數(shù)據(jù)的介質(zhì)載體的安全。應(yīng)當(dāng)指定特地的治理機構(gòu)，負責(zé)本策略的維護，監(jiān)視本策略的實施。授權(quán)的狀況下，使用任何加密機制。治理機構(gòu)應(yīng)當(dāng)每年對加密算法的選擇范圍和密鑰長度的最低要求進展一次復(fù)審和評估，使得本策略與加密技術(shù)的進展相適應(yīng)。數(shù)據(jù)備份與災(zāi)難恢復(fù)導(dǎo)致效勞中斷。綜合考慮性能和治理等因素，承受先進的系統(tǒng)和數(shù)據(jù)備份技術(shù)，在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機制，防止數(shù)據(jù)消滅規(guī)律損壞。災(zāi)力量。建立災(zāi)難恢復(fù)打算，供給災(zāi)難恢復(fù)手段，在災(zāi)難大事發(fā)生之后，快速對被破壞的信息系統(tǒng)進展恢復(fù)。設(shè)、運行、維護。建立日常數(shù)據(jù)備份治理制度，對備份周期和介質(zhì)保管進展統(tǒng)一規(guī)定。擬演練。應(yīng)急響應(yīng)策略CERT中心，配置特地崗位，負責(zé)制定范圍內(nèi)的信息安全策略、完成計算機網(wǎng)絡(luò)和系統(tǒng)安全大事的緊急響應(yīng)、準時公布安全漏洞和補丁修補程序等安全公告、進展安全系統(tǒng)審計數(shù)據(jù)分析、以及供給安全教育和培訓(xùn)。分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。安全教育策略應(yīng)當(dāng)建立特地的機構(gòu)和崗位，負責(zé)安全教育與培訓(xùn)打算的制定和執(zhí)行應(yīng)當(dāng)制定具體的安全教育和培訓(xùn)打算，對信息安全技術(shù)和治理相關(guān)人員略和治理制度培訓(xùn)，提高人員的整體安全意識和安全操作水平。治理機構(gòu)應(yīng)當(dāng)定期對安全教育和培訓(xùn)的成果進展抽查和考核，檢驗安全教育和培訓(xùn)活動的效果。66信息安全體系框架XX進展信息安全建設(shè)的目標是建立起一個全面、有效的信息安全體系，在體系發(fā)揮最優(yōu)的保障效果。為此制定了《XX上規(guī)劃和治理的信息安全建設(shè)工作。XX息安全體系的運營和維護能夠遵循統(tǒng)一的標準進展。安全目標模型WPDRR安全模型，該模型是基于時間的，由預(yù)警Warnin、策略Polic〔Protection〔Detectio〔Respons〔Recover〕六個要素環(huán)節(jié)構(gòu)成了一個完整的、動態(tài)的信息安全體系。預(yù)警、保護、檢測、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和治理內(nèi)容所構(gòu)成。Policy(安全策略)：依據(jù)風(fēng)險分析和評估產(chǎn)生的安全策略描述了系統(tǒng)中模型中，策略處于核心地位，全部的防護、檢測、響應(yīng)、恢復(fù)都依據(jù)安全策略開放實施，安全策略為安全治理供給治理方向和支持手段。侵趨勢預(yù)報和狀況通報、系統(tǒng)弱點報告和補丁到位。Protection〔防護問掌握、監(jiān)控等手段來防止惡意威逼。Detection〔檢測強防護的依據(jù)，它也是強制落實安全策略的有力工具，通過檢測和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，覺察的威逼和弱點，通過循環(huán)反響來準時做出有效的響應(yīng)。Response〔響應(yīng)?；蛘吖粜袨樽龀鲰憫?yīng)動作，以及處理突發(fā)的安全大事。恰當(dāng)?shù)捻憫?yīng)Recovery〔恢復(fù)何意外的突發(fā)大事都可能造成效勞中斷和數(shù)據(jù)受損，優(yōu)秀的災(zāi)難恢復(fù)打算能夠針對災(zāi)難大事做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)患病破壞，也能夠在最短的時間內(nèi)，完成恢復(fù)操作。WP2DRR時間。WP2DRRP2DRWarningRecover，增加了安全保障體系的事前預(yù)防和事后恢復(fù)力量，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運行。安全目標模型是信息安全體系框架的根底，XX的信息安全體系框架嚴密圍6系、安全組織和治理體系以及運行保障體系中表達出來。信息安全體系框架組成XX的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險的分析，依據(jù)安XX上指導(dǎo)和治理信息安全體系的建設(shè)和運營?？捎眯?、可控性、抗攻擊性、完整性、保密性的安全目標。XX信息安全體系框架的總體構(gòu)造如以下圖所示：安全策略安全策略安全應(yīng)用系統(tǒng)平臺組織機構(gòu)信息資產(chǎn)安全治理平臺身份認證 授權(quán)與訪問掌握 加密信息資產(chǎn)治理主機入侵檢測主機漏洞掃描病毒查殺網(wǎng)絡(luò)監(jiān)控與安全審計防火墻網(wǎng)絡(luò)入侵檢測網(wǎng)絡(luò)漏洞掃描人員治理通信安全物理安全安全教育安全根底設(shè)施平臺安全技術(shù)體系安全組織與治理體系數(shù)據(jù)和系統(tǒng)備份應(yīng)急響應(yīng)運行保障體系災(zāi)難恢復(fù)安全策略治理手段進展治理，保證安全策略的準時性和有效性。安全技術(shù)體系下的技術(shù)保障體系框架。全技術(shù)和安全機制，建立起的一個各個局部相互協(xié)同的完整的安全技術(shù)防護體系。安全應(yīng)用系統(tǒng)平臺處理安全根底設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問的安全等級，以更加安全的方式，供給金融業(yè)務(wù)效勞和內(nèi)部信息治理效勞。安全綜合治理平臺的治理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安統(tǒng)應(yīng)用體系。率，使人為的安全治理活動參與量大幅下降。安全治理體系防護體系的效率和效果，同時也彌補當(dāng)前技術(shù)無法完全解決的安全缺陷。XX信息安全體系BS7799ISO17799XX信息安全治理體系由假設(shè)干信息安全治理類組成，每項信息安全治理類可12項治理類：安全策略與制度，確保XX擁有明確的信息安全方針以及配套的策略和安全風(fēng)險治理，信息安全建設(shè)不是避開風(fēng)險的過程，而是治理風(fēng)險的過的過程。人員和組織安全治理，建立組織機構(gòu)，明確人員崗位職責(zé)，供給安全教組織上的錯誤產(chǎn)生的信息安全風(fēng)險。險。治理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。網(wǎng)絡(luò)和通信安全治理，掌握和保護網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避開和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對XX金融業(yè)務(wù)系統(tǒng)的損害。主機和系統(tǒng)安全治理，掌握和保護XX的計算機主機及其