XX公司網(wǎng)絡(luò)安全總體規(guī)劃方案

XX公司信息安全建設(shè)規(guī)劃建議書昆明睿哲科技有限公司2013年11月

目錄第1章 綜述 31.1 概述 31.2 現(xiàn)狀分析 41.3 設(shè)計(jì)目標(biāo) 8第2章 信息安全總體規(guī)劃 102.1設(shè)計(jì)目標(biāo)、依據(jù)及原則 102.1.1設(shè)計(jì)目標(biāo) 102.1.2設(shè)計(jì)依據(jù) 102.1.3設(shè)計(jì)原則 112.2總體信息安全規(guī)劃方案 122.2.1信息安全管理體系 122.2.2分階段建設(shè)策略 18第3章 分階段安全建設(shè)規(guī)劃 203.1 規(guī)劃原則 203.2 安全基礎(chǔ)框架設(shè)計(jì) 21第4章 初期規(guī)劃 234.1 建設(shè)目標(biāo) 234.2 建立信息安全管理體系 234.3 建立安全管理組織 25第5章 中期規(guī)劃 285.1 建設(shè)目標(biāo) 285.2 建立基礎(chǔ)保障體系 285.3 建立監(jiān)控審計(jì)體系 285.4 建立應(yīng)急響應(yīng)體系 305.5 建立災(zāi)難備份與恢復(fù)體系 34第6章 三期規(guī)劃 376.1 建設(shè)目標(biāo) 376.2 建立服務(wù)保障體系 376.3 保持和改進(jìn)ISMS 38第7章 總結(jié) 397.1 綜述 397.2 效果預(yù)期 397.3 后期 39綜述概述信息技術(shù)革命和經(jīng)濟(jì)全球化的發(fā)展，使企業(yè)間的競(jìng)爭(zhēng)已經(jīng)轉(zhuǎn)為技術(shù)和信息的競(jìng)爭(zhēng)，隨著企業(yè)的業(yè)務(wù)的快速增長(zhǎng)、企業(yè)信息系統(tǒng)規(guī)模的不斷擴(kuò)大，企業(yè)對(duì)信息技術(shù)的依賴性也越來(lái)越強(qiáng)，企業(yè)是否能長(zhǎng)期生存、企業(yè)的業(yè)務(wù)是否能高效的運(yùn)作也越來(lái)越依賴于是否有一個(gè)穩(wěn)定、安全的信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。因此，確保信息系統(tǒng)穩(wěn)定、安全的運(yùn)行，保證企業(yè)知識(shí)資產(chǎn)的安全，已經(jīng)成為現(xiàn)代企業(yè)發(fā)展創(chuàng)新的必然要求，信息安全能力已成為企業(yè)核心競(jìng)爭(zhēng)力的重要部分。企業(yè)高度重視客戶及生產(chǎn)信息，生產(chǎn)資料，設(shè)計(jì)文檔，知識(shí)產(chǎn)權(quán)之安全防護(hù)。而終端，服務(wù)器作為信息數(shù)據(jù)的載體，是信息安全防護(hù)的首要目標(biāo)。與此同時(shí)，隨著企業(yè)業(yè)務(wù)領(lǐng)域的擴(kuò)展和規(guī)模的快速擴(kuò)張，為了滿足企業(yè)發(fā)展和業(yè)務(wù)需要，企業(yè)的IT生產(chǎn)和支撐支撐系統(tǒng)也進(jìn)行了相應(yīng)規(guī)模的建設(shè)和擴(kuò)展，為了滿足生產(chǎn)的高速發(fā)展，市場(chǎng)的大力擴(kuò)張，企業(yè)決定在近期進(jìn)行信息安全系統(tǒng)系統(tǒng)的調(diào)研建設(shè)，因此隨著IT系統(tǒng)規(guī)模的擴(kuò)大和應(yīng)用的復(fù)雜化，相關(guān)的信息安全風(fēng)險(xiǎn)也隨之而來(lái)，比如病毒、蠕蟲、垃圾郵件、間諜軟件、流氓軟件、數(shù)據(jù)截獲、嗅探、監(jiān)聽、肆意泛濫，內(nèi)部機(jī)密數(shù)據(jù)泄漏、辦公系統(tǒng)受到影響等等，因此為了保證企業(yè)業(yè)務(wù)正常運(yùn)營(yíng)、制卡系統(tǒng)的高效安全的運(yùn)行，不因各種安全威脅的破壞而中斷，信息安全建設(shè)不可或缺，信息安全建設(shè)必然應(yīng)該和當(dāng)前的信息化建設(shè)進(jìn)行統(tǒng)一全局考慮，應(yīng)該在相關(guān)的重要信息化建設(shè)中進(jìn)行安全前置的考慮和規(guī)劃，避免安全防護(hù)措施的遺漏，安全防護(hù)的滯后造成的重大安全事件的發(fā)生。。本次企業(yè)信息安全體系建設(shè)規(guī)劃主要考慮采用各種被證明是行之有效的各種信息安全產(chǎn)品和技術(shù)，幫助企業(yè)建設(shè)一個(gè)主動(dòng)、高效、全面的信息安全防御體系，降低信息安全風(fēng)險(xiǎn)，更好的為企業(yè)生產(chǎn)和運(yùn)營(yíng)服務(wù)?，F(xiàn)狀分析目前企業(yè)已經(jīng)在前期進(jìn)行了部分信息安全的建設(shè)，包括終端上的一部分防病毒，網(wǎng)絡(luò)邊界處的基本防火墻等安全軟件和設(shè)備，在很大程度上已經(jīng)對(duì)外部威脅能有一個(gè)基本的防護(hù)能力，但是如今的安全威脅和攻擊手段日新月異，層出不窮，各種高危零日漏洞不斷被攻擊者挖掘出來(lái)，攻擊的目標(biāo)越來(lái)越有針對(duì)性，目前的企業(yè)所面臨的全球安全威脅呈現(xiàn)如下幾個(gè)新的趨勢(shì)：惡意攻擊數(shù)量快速增加，攻擊手段不斷豐富，最新的未知威脅防不勝防：如何防范未知威脅，抵御不同攻擊手段和攻擊途徑帶來(lái)的信息安全沖擊?高級(jí)、有針對(duì)性的高危持續(xù)性攻擊APT已蔓延至各類規(guī)模企業(yè)：如何阻止不同的攻擊手段？不僅僅是防病毒！需要服務(wù)器，終端，網(wǎng)絡(luò)，數(shù)據(jù)等各方面多層次的防護(hù)，增加威脅防范能力復(fù)雜混亂的應(yīng)用與外接設(shè)備環(huán)境：如何確保應(yīng)用和設(shè)備的準(zhǔn)入控制？繁瑣枯燥的系統(tǒng)維護(hù)和安全管理：如何更有效利用有限的信息人力資源？工具帶來(lái)的新問題：如何保證安全策略的強(qiáng)制要求，統(tǒng)一管理和實(shí)施效果？終端接入不受控：如何確保終端滿足制定的終端安全策略-終端準(zhǔn)入控制網(wǎng)頁(yè)式攻擊(Web-basedAttack)已成為最主流的攻擊手法：如何確保訪問可靠網(wǎng)站？?jī)?nèi)外部有意無(wú)意的信息泄露將嚴(yán)重影響企業(yè)的聲譽(yù)和重大經(jīng)濟(jì)損失從目前大多數(shù)企業(yè)的信息安全建設(shè)來(lái)看，針對(duì)以上的目前主流的新形勢(shì)的信息威脅，企業(yè)在安全建設(shè)上還面臨安全防護(hù)需要進(jìn)一步依靠國(guó)際先進(jìn)技術(shù)增強(qiáng)主動(dòng)防御，縱深防御的能力，目前大多數(shù)企業(yè)在安全防護(hù)上還有如下的欠缺：1.2.1目前信息安全存在的問題在信息系統(tǒng)安全評(píng)估中我們對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)掃描、安全管理等等方面進(jìn)行了安全評(píng)估，發(fā)現(xiàn)主要有如下的問題：網(wǎng)絡(luò)設(shè)備安全：訪問控制問題網(wǎng)絡(luò)設(shè)備安全漏洞設(shè)備配置安全系統(tǒng)安全：補(bǔ)丁問題運(yùn)行服務(wù)問題安全策略問題弱口令問題默認(rèn)共享問題防病毒情況應(yīng)用安全：exchange郵件系統(tǒng)的版本問題apache、iis、weblogic的安全配置問題serv-U的版本問題radmin遠(yuǎn)程管理的安全問題數(shù)據(jù)安全：數(shù)據(jù)庫(kù)補(bǔ)丁問題Oracle數(shù)據(jù)庫(kù)默認(rèn)帳號(hào)問題Oracle數(shù)據(jù)庫(kù)弱口令問題Oracle數(shù)據(jù)庫(kù)默認(rèn)配置問題Mssql數(shù)據(jù)庫(kù)默認(rèn)有威脅的存儲(chǔ)過(guò)程問題網(wǎng)絡(luò)區(qū)域安全：市局政務(wù)外網(wǎng)安全措施完善市局與分局的訪問控制問題分局政務(wù)外網(wǎng)安全措施加強(qiáng)安全管理：沒有建立安全管理組織沒有制定總體的安全策略沒有落實(shí)各個(gè)部門信息安全的責(zé)任人缺少安全管理文檔通過(guò)安全評(píng)估中的安全修復(fù)過(guò)程，我們對(duì)上述大部分的的安全問題進(jìn)行了修補(bǔ)，但是依然存在殘余的風(fēng)險(xiǎn)，主要是數(shù)據(jù)安全（已安排升級(jí)計(jì)劃）、網(wǎng)絡(luò)區(qū)域安全和安全管理方面的問題。所以當(dāng)前信息安全存在的問題，主要表現(xiàn)在如下的幾個(gè)方面：1.在政務(wù)外網(wǎng)中，市局建立了基本的安全體系，但是還需要進(jìn)一步的完善，例如政務(wù)外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。另外分局并沒有實(shí)施任何的防護(hù)措施，存在被黑客入侵的安全隱患；2.在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散的可能。另外，如果黑客入侵了分局的政務(wù)內(nèi)網(wǎng)后，可能進(jìn)一步的向市局進(jìn)行滲透攻擊。3.原有的信息安全組織沒有實(shí)施起來(lái)，沒有制定安全總體策略；沒有落實(shí)信息安全責(zé)任人。導(dǎo)致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。4.通過(guò)安全評(píng)估，建立了基本的安全管理制度；但是這些安全管理制度還沒有落實(shí)到日常工作中，并且可能在實(shí)際的操作中根據(jù)實(shí)際的情況做一些修改。5.沒有成立安全應(yīng)急小組，沒有相應(yīng)的應(yīng)急事件預(yù)案；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件的處理過(guò)程做記錄歸檔。6.沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。7.目前市局與分局之間的政務(wù)內(nèi)網(wǎng)是租用天威的網(wǎng)絡(luò)而沒有其它的備用線路。萬(wàn)一租用的天威網(wǎng)絡(luò)發(fā)生故障將可能導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的關(guān)于操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞，并且由于當(dāng)時(shí)信息安全管理中并沒有規(guī)范的安全管理制度，也是出現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等漏洞的原因之一。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長(zhǎng)期有效的管理，我們建議建設(shè)ISMS（信息安全管理體系），對(duì)安全風(fēng)險(xiǎn)通過(guò)PDCA模型，輸出為可管理的安全風(fēng)險(xiǎn)。1.2.2常見的信息系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅大致如下：根據(jù)目前的安全威脅，企業(yè)的信息安全面臨的問題是信息安全僅作為后臺(tái)數(shù)據(jù)的保障前端業(yè)務(wù)應(yīng)用和后端數(shù)據(jù)庫(kù)信息安全等級(jí)不高信息安全只是建立在簡(jiǎn)單的“封、堵”上，不利提升工作效率和協(xié)同辦公因此，對(duì)于企業(yè)來(lái)說(shuō)，在新的IT環(huán)境下，需要就如下的安全考慮，根據(jù)合理的規(guī)劃進(jìn)行分期建設(shè)。業(yè)務(wù)模式正在發(fā)生改變，生產(chǎn)、研發(fā)等系統(tǒng)的實(shí)施，信息安全應(yīng)全面面向應(yīng)用，信息安全須前置，以適應(yīng)業(yè)務(wù)的安全要求。用戶終端的多樣化也應(yīng)保持足夠的安全。數(shù)據(jù)集中化管控和網(wǎng)絡(luò)融合后所需的安全要求。數(shù)據(jù)中心業(yè)務(wù)分區(qū)模塊化管理及災(zāi)備應(yīng)急機(jī)制設(shè)計(jì)目標(biāo)為企業(yè)設(shè)計(jì)完善的信息安全管理體系，增強(qiáng)企業(yè)信息系統(tǒng)抵御安全風(fēng)險(xiǎn)的能力，為企業(yè)生產(chǎn)及銷售業(yè)務(wù)的健康發(fā)展提供強(qiáng)大的保障。通過(guò)對(duì)企業(yè)各IT系統(tǒng)的風(fēng)險(xiǎn)分析，了解企業(yè)信息系統(tǒng)的安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn)，明確未來(lái)的安全建設(shè)需求。完成安全管理體系規(guī)劃設(shè)計(jì)，涵蓋安全管理的各個(gè)方面，設(shè)計(jì)合理的建設(shè)流程，滿足中長(zhǎng)期的安全管理要求。提供如下安全管理項(xiàng)目：人員管理規(guī)劃制訂和建設(shè)流程規(guī)劃安全運(yùn)維管理及資產(chǎn)管理完成安全技術(shù)體系規(guī)劃設(shè)計(jì)，設(shè)計(jì)有前瞻性的安全解決方案，在進(jìn)行成本/效益分析的基礎(chǔ)上，選用主流的安全技術(shù)和產(chǎn)品，建設(shè)主動(dòng)、全面、高效的技術(shù)防御體系，將企業(yè)面臨的各種風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。針對(duì)整體安全規(guī)劃計(jì)劃，在接下來(lái)的幾年內(nèi)分期建設(shè)，最終滿足如下安全防護(hù)需求：網(wǎng)絡(luò)邊界安全防護(hù)安全管理策略關(guān)鍵業(yè)務(wù)服務(wù)器的系統(tǒng)加固，入侵防護(hù)，關(guān)鍵文件監(jiān)控和系統(tǒng)防護(hù)網(wǎng)絡(luò)和服務(wù)器安全防護(hù)及安全基線檢查與漏洞檢測(cè)增強(qiáng)終端綜合安全防護(hù)強(qiáng)化內(nèi)部人員上網(wǎng)行為管理建設(shè)機(jī)密數(shù)據(jù)防泄漏和數(shù)據(jù)加密，磁盤加密網(wǎng)絡(luò)信任和加密技術(shù)防護(hù)建設(shè)，強(qiáng)化容災(zāi)和備份管理加強(qiáng)企業(yè)內(nèi)部的IT控制與審計(jì)，確保IT與法律、法規(guī)，上級(jí)監(jiān)管單位的要求相符合，比如：需要滿足國(guó)家信息系統(tǒng)安全系統(tǒng)的安全檢查要求需要滿足國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》信息安全總體規(guī)劃2.1設(shè)計(jì)目標(biāo)、依據(jù)及原則2.1.1設(shè)計(jì)目標(biāo)電子政務(wù)網(wǎng)是深圳市電子政務(wù)業(yè)務(wù)的承載和體現(xiàn)，是電子政務(wù)的重要應(yīng)用，存儲(chǔ)著的重要的數(shù)據(jù)資源，流動(dòng)著經(jīng)濟(jì)建設(shè)和社會(huì)生活中重要的數(shù)據(jù)信息。所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理幾方面，加強(qiáng)安全保障體系的建設(shè)，為電子政務(wù)應(yīng)用提供安全可靠的運(yùn)行環(huán)境。2.1.2設(shè)計(jì)依據(jù)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》《電子政務(wù)總體框架》《電子政務(wù)信息安全保障技術(shù)框架》《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》《信息安全等級(jí)保護(hù)管理辦法》《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》《計(jì)算機(jī)場(chǎng)地安全要求》《計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南》同時(shí)在評(píng)定其信息資產(chǎn)的價(jià)值等級(jí)時(shí)，也將參考ISO17799/BS7799/ISO15408/ISO13335/ISO7498-2等國(guó)際標(biāo)準(zhǔn)。電子政務(wù)網(wǎng)將依據(jù)信息價(jià)值的保密性影響、信息價(jià)值完整性影響、信息價(jià)值的可用性影響等多個(gè)方面，來(lái)對(duì)信息資產(chǎn)的價(jià)值等級(jí)進(jìn)行劃分為五級(jí)，第一級(jí)為最低級(jí)，第五級(jí)為最高級(jí)。2.1.3設(shè)計(jì)原則電子政務(wù)網(wǎng)安全系統(tǒng)在整體設(shè)計(jì)過(guò)程中應(yīng)遵循如下的原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任何信息系統(tǒng)，絕對(duì)安全難以達(dá)到，也不一定是必要的，安全保障體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到技術(shù)上可實(shí)現(xiàn)，組織上可執(zhí)行。分級(jí)保護(hù)原則：以應(yīng)用為主導(dǎo)，科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí)，并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理，保證服務(wù)的有效性和快捷性。最小特權(quán)原則：整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則：電子政務(wù)網(wǎng)是一個(gè)龐大的系統(tǒng)工程，其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)電子政務(wù)網(wǎng)安全地互聯(lián)互通、信息共享。多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層被攻破時(shí)，其他層仍可保護(hù)系統(tǒng)的安全。整體性和統(tǒng)一性原則：一個(gè)大型網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)、人員等，在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)整體的角度去統(tǒng)一看待、分析，才可能實(shí)現(xiàn)有效、可行的安全保護(hù)。技術(shù)與管理相結(jié)合原則：電子政務(wù)網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此在考慮安全保障體系時(shí)，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。統(tǒng)籌規(guī)劃，分步實(shí)施原則：由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、時(shí)間的變化，安全防護(hù)與攻擊手段的進(jìn)步，在一個(gè)比較全面的安全體系下，可以根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的的安全保障體系，保證基本的、必須的安全性。隨著今后網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。動(dòng)態(tài)發(fā)展原則：要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。易操作性原則：安全措施需要人去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。適應(yīng)性及靈活性原則：安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。遵守有關(guān)法規(guī)：在安全支撐平臺(tái)設(shè)計(jì)和設(shè)備選型過(guò)程中，涉及到密碼產(chǎn)品的銷售應(yīng)符合國(guó)家有關(guān)法律法規(guī)的規(guī)定，涉及到其他安全產(chǎn)品的銷售應(yīng)具有主管部門的銷售許可證。同時(shí)安全產(chǎn)品應(yīng)具有良好升級(jí)及售后維護(hù)。2.2總體信息安全規(guī)劃方案總體目標(biāo)通過(guò)建立建設(shè)ISMS（信息安全管理體系），達(dá)到對(duì)安全風(fēng)險(xiǎn)的長(zhǎng)期有效的管理，并且對(duì)于存在的安全風(fēng)險(xiǎn)/安全需求通過(guò)適用于ISMS的PDCA（Plan-Do-Check-Act）模型，輸出為可管理的安全風(fēng)險(xiǎn)。解決問題 當(dāng)前的信息安全經(jīng)過(guò)了一次完整的信息安全評(píng)估，并且進(jìn)行了相應(yīng)的安全修復(fù)后，信息安全風(fēng)險(xiǎn)已經(jīng)得到了比較有效的管理，但是還是存在部分遺留的風(fēng)險(xiǎn)，以及其它的一些可預(yù)見的風(fēng)險(xiǎn)。在這里將會(huì)對(duì)這些安全問題進(jìn)行處理。2.2.1信息安全管理體系為了達(dá)到對(duì)信息安全進(jìn)行管理，我們可以通過(guò)建立ISMS（信息安全管理體系），然后通過(guò)向ISMS輸入的信息安全要求和期望經(jīng)過(guò)必需的活動(dòng)和過(guò)程產(chǎn)生滿足需求和期望信息安全的輸出（例如可管理的信息安全）。策劃建立ISMS：根據(jù)組織的整體方針和目標(biāo)建立安全方針目標(biāo)目的以及與管理風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的過(guò)程和程序以獲得結(jié)果。實(shí)施和運(yùn)行ISMS：實(shí)施和運(yùn)行安全方針控制過(guò)程和程序。檢查監(jiān)視和評(píng)審ISMS：適用時(shí)根據(jù)安全方針目標(biāo)和慣有經(jīng)驗(yàn)評(píng)估和測(cè)量過(guò)程業(yè)績(jī)向管理層報(bào)告結(jié)果進(jìn)行評(píng)審。保持和改進(jìn)ISMS：根據(jù)管理評(píng)審結(jié)果采取糾正和預(yù)防措施以持續(xù)改進(jìn)ISMS。針對(duì)當(dāng)前的信息安全問題，我們可以視為是對(duì)信息安全的需求和期望，所以我們可以把這些信息安全需求，提交到ISMS（信息安全管理體系）的過(guò)程中，進(jìn)行處理。對(duì)于將來(lái)出現(xiàn)的信息安全問題，也可以提交到ISMS（信息安全管理體系）的過(guò)程中，進(jìn)行處理，并最終輸出可被管理的信息安全。所以對(duì)于信息安全的總體規(guī)劃是：首先建立ISMS（信息安全管理體系），然后通過(guò)ISMS過(guò)程的PDCA模式處理當(dāng)前的信息安全問題。對(duì)于當(dāng)前存在的信息安全問題，我們可以通過(guò)下面的四個(gè)階段來(lái)解決：策劃建立ISMS：建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體安全策略。并且根據(jù)當(dāng)前的信息安全問題，提出安全解決方案。實(shí)施和運(yùn)行ISMS：根據(jù)當(dāng)前的信息安全問題的安全解決方案進(jìn)行實(shí)施，妥善的處理這些信息安全問題。檢查監(jiān)視和評(píng)審ISMS：通過(guò)專業(yè)的安全評(píng)估來(lái)檢查信息安全問題是否得到了有效的管理。保持和改進(jìn)ISMS：根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。2.2.1.1策劃建立ISMS建立信息安全管理系統(tǒng)，包括建立安全管理組織、制定總體信息安全策略、落實(shí)各個(gè)部門信息安全負(fù)責(zé)人、信息安全培訓(xùn)等等。并且根據(jù)當(dāng)前的信息安全問題，提出安全解決方案。2.2.1.1.1建立信息安全管理系統(tǒng)信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面。在信息安全保障體系中，技術(shù)是工具，組織是運(yùn)作，管理是指導(dǎo)，它們緊密配合，共同實(shí)現(xiàn)信息安全保障的目標(biāo)。信息安全保障體系的技術(shù)、組織和管理等方面都存在著相關(guān)風(fēng)險(xiǎn)，需要采用信息安全風(fēng)險(xiǎn)管理的方法加以控制。由于當(dāng)前市的安全管理組織并沒有真正運(yùn)作起來(lái)，所以沒有在一個(gè)高度上來(lái)制定信息的安全策略，因此沒有落實(shí)各個(gè)部門信息安全的責(zé)任人，沒有對(duì)各個(gè)部門信息安全人員的職責(zé)進(jìn)行定義；也沒有制定安全管理文檔；導(dǎo)致安全管理沒有落到實(shí)處。另外需要對(duì)網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。2.2.1.1.2根據(jù)安全問題提出解決方案針對(duì)以下兩個(gè)問題，通過(guò)建立信息安全管理系統(tǒng)來(lái)解決，見《2.2.1.1.1建立信息安全管理系統(tǒng)》原有的信息安全組織沒有實(shí)施起來(lái)，沒有制定安全總體策略；沒有落實(shí)信息安全責(zé)任人。導(dǎo)致信息安全管理沒有能夠自上而下的下發(fā)策略和制度，信息安全管理沒有落到實(shí)處。通過(guò)安全評(píng)估，建立了基本的安全管理制度；但是這些安全管理制度還沒有落實(shí)到日常工作中，并且可能在實(shí)際的操作中根據(jù)實(shí)際的情況做一些修改?；A(chǔ)保障體系針對(duì)以下兩個(gè)問題，通過(guò)建立基礎(chǔ)保障體系來(lái)解決，同時(shí)根據(jù)這些基礎(chǔ)的安全設(shè)備建立信息監(jiān)控與審計(jì)體系。在政務(wù)外網(wǎng)中，市局建立了基本的安全體系，但是還需要進(jìn)一步的完善，例如政務(wù)外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。另外分局并沒有實(shí)施任何的防護(hù)措施，存在被黑客入侵的安全隱患；在政務(wù)內(nèi)網(wǎng)中，市局和分局之間沒有做訪問控制，存在蠕蟲病毒相互擴(kuò)散的可能。另外，如果黑客入侵了分局的政務(wù)內(nèi)網(wǎng)后，可能進(jìn)一步的向市局進(jìn)行滲透攻擊。建設(shè)信息安全基礎(chǔ)保障體系，是一項(xiàng)復(fù)雜的、綜合的系統(tǒng)工程，是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)。目前電子政務(wù)基礎(chǔ)保障體系已經(jīng)初具規(guī)模，但是還存在個(gè)別問題，需要進(jìn)一步的完善。監(jiān)控審計(jì)體系監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn)，能完成對(duì)電子政務(wù)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過(guò)此體系監(jiān)控到的數(shù)據(jù)能對(duì)電子政務(wù)網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等這些情況有較全面的了解。應(yīng)急響應(yīng)體系針對(duì)下面的這個(gè)問題，通過(guò)建立應(yīng)急響應(yīng)體系來(lái)解決。沒有成立安全應(yīng)急小組，沒有相應(yīng)的應(yīng)急事件預(yù)案；缺少安全事件應(yīng)急處理流程與規(guī)范，也沒有對(duì)安全事件的處理過(guò)程做記錄歸檔。電子政務(wù)網(wǎng)絡(luò)承載了大量的政務(wù)網(wǎng)絡(luò)應(yīng)用，因此網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵，需要建立一個(gè)應(yīng)急響應(yīng)體系。它的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)電子政務(wù)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性，完整性、數(shù)據(jù)的保密性。因此需要特別注重響應(yīng)、處理安全事件，因?yàn)榘踩录赡軒?lái)重大破壞。那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決，以避免加重整個(gè)政務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。災(zāi)難備份與恢復(fù)體系針對(duì)下面的這個(gè)個(gè)問題，通過(guò)建立災(zāi)難備份與恢復(fù)體系來(lái)解決。沒有建立數(shù)據(jù)備份與恢復(fù)制度；應(yīng)該對(duì)備份的數(shù)據(jù)做恢復(fù)演練，保證備份數(shù)據(jù)的有效性和可用性，在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。目前市局與分局之間的政務(wù)內(nèi)網(wǎng)是租用天威的網(wǎng)絡(luò)而沒有其它的備用線路。萬(wàn)一租用的天威網(wǎng)絡(luò)發(fā)生故障將可能導(dǎo)致市局與分局之間的政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)中斷。為了保證深圳市政務(wù)網(wǎng)的正常運(yùn)行，抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難，以及戰(zhàn)爭(zhēng)、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無(wú)法預(yù)料的突發(fā)事件造成的損害，因此應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。在這個(gè)體系里主要包括下面三個(gè)部分：政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫(kù)系統(tǒng)的備份與恢復(fù)。2.2.1.2實(shí)施和運(yùn)行ISMS在上面策劃建立ISMS的過(guò)程中，我們提出了根據(jù)當(dāng)前信息安全問題處理的解決方案，包括：建立基礎(chǔ)保障體系建立信息監(jiān)控與審計(jì)體系建立應(yīng)急服務(wù)體系建立災(zāi)難備份與恢復(fù)體系上述的四個(gè)安全體系將在這個(gè)階段進(jìn)行實(shí)施。2.2.1.3檢查監(jiān)視和評(píng)審ISMS通過(guò)專業(yè)的安全評(píng)估來(lái)檢查信息安全問題是否得到了有效的管理。同時(shí)建立服務(wù)與保障體系來(lái)保障系統(tǒng)的正常運(yùn)行。服務(wù)保障是指保護(hù)和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可控性、不可否認(rèn)性等特性。服務(wù)保障體系則包括：風(fēng)險(xiǎn)評(píng)估、軟硬件升級(jí)、設(shè)備安全巡檢、設(shè)備日常維護(hù)等等。2.2.1.4保持和改進(jìn)ISMS根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。總結(jié)從其它組織或組織自身的安全經(jīng)驗(yàn)得到的教訓(xùn)。確保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。2.2.2分階段建設(shè)策略安全風(fēng)險(xiǎn)長(zhǎng)期存在，并不斷變化，這導(dǎo)致安全保障建設(shè)沒辦法一步到位。所以必須對(duì)安全保障建設(shè)分階段實(shí)施。工程實(shí)施的漸進(jìn)性、逐步性，根據(jù)先后緩急，初步將安全實(shí)施計(jì)劃分為以下四個(gè)階段：第一階段：策劃建立ISMS建立信息安全管理系統(tǒng)建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人根據(jù)當(dāng)前信息安全的問題制定解決方案第二階段：實(shí)施和運(yùn)行ISMS根據(jù)當(dāng)前信息安全的問題解決方案進(jìn)行安全實(shí)施，包括：建立基礎(chǔ)保障體系建立監(jiān)控審計(jì)體系建立應(yīng)急響應(yīng)體系建立災(zāi)難備份與恢復(fù)體系第三階段：檢查監(jiān)視和評(píng)審ISMS通過(guò)建立服務(wù)保障體系中的信息風(fēng)險(xiǎn)安全評(píng)估、設(shè)備巡檢等評(píng)審當(dāng)前信息安全問題的處理情況第四階段：保持和改進(jìn)ISMS根據(jù)安全事件處理經(jīng)驗(yàn)教訓(xùn)和安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)信息安全管理策略進(jìn)行修改，對(duì)信息安全管理范圍進(jìn)行調(diào)整。分階段安全建設(shè)規(guī)劃傳統(tǒng)的安全設(shè)計(jì)理念基本上仍處于忙于封堵現(xiàn)有系統(tǒng)漏洞的階段，有人形象的稱之為“修修補(bǔ)補(bǔ)”或“圍、追、堵、截”，基于這樣的設(shè)計(jì)理念建成的安全體系只能是局部的、被動(dòng)的安全，而無(wú)法提供整體的、主動(dòng)的安全；同時(shí)也缺乏有效的管理和監(jiān)控手段，使得信息安全狀況令人擔(dān)憂，表現(xiàn)在病毒、蠕蟲層出不窮、系統(tǒng)漏洞眾多，另外經(jīng)過(guò)很多國(guó)際權(quán)威機(jī)構(gòu)的調(diào)查，內(nèi)部發(fā)生的安全事件占全部安全事件的70％甚至更多，比如內(nèi)部的誤用和嗅探、攻擊等濫用行為，都因?yàn)槿狈τ行У谋O(jiān)控和管理而不能及時(shí)發(fā)現(xiàn)，也給網(wǎng)絡(luò)的安全帶來(lái)巨大挑戰(zhàn)；安全是一個(gè)整體，任何一部分的薄弱都會(huì)使得整體的安全防御能力大打折扣，不但使得組織重金建設(shè)的邊界安全防御體系失去作用，同時(shí)還會(huì)嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)營(yíng)，從經(jīng)濟(jì)、法律、聲譽(yù)等多方面對(duì)企業(yè)造成負(fù)面影響。新的安全形勢(shì)下需要新的思維和新的解決方案。安全是一個(gè)整體的、動(dòng)態(tài)的過(guò)程，需要全面深入的考慮，那種頭痛醫(yī)頭、腳痛醫(yī)腳的方法已無(wú)法滿足用戶日益復(fù)雜的安全需求，要解決這些問題，歸根結(jié)底取決于信息安全保障體系的建設(shè)?！捌髽I(yè)面對(duì)的是一個(gè)以信息為核心的世界”信息是企業(yè)的核心，規(guī)劃開始前，這一點(diǎn)必須要有清晰認(rèn)識(shí)，我們可以從三個(gè)層面來(lái)看：基礎(chǔ)架構(gòu)層面：包括終端、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)在內(nèi)的基礎(chǔ)設(shè)施，乃至數(shù)據(jù)中心和容災(zāi)中心，這些都是信息數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、處理的載體，圍繞信息處理和流轉(zhuǎn)所搭建的基礎(chǔ)設(shè)施，同時(shí)也是IT系統(tǒng)和管理人員為保證信息和數(shù)據(jù)的安全、可用的最基礎(chǔ)和重要的管理對(duì)象；信息為核心層面：信息和數(shù)據(jù)是整個(gè)企業(yè)業(yè)務(wù)運(yùn)行中最為核心的部分，所有的業(yè)務(wù)運(yùn)轉(zhuǎn)都圍繞著信息而進(jìn)行，而信息的保障、安全存儲(chǔ)流轉(zhuǎn)都是信息保護(hù)所關(guān)注的重點(diǎn)；安全治理層面：為了保障信息的安全，不能僅僅停留在單獨(dú)建設(shè)的分散的安全上，最終安全的目標(biāo)是要實(shí)現(xiàn)安全的治理，安全的目標(biāo)則是為企業(yè)定制打造所需的技術(shù)運(yùn)維、技術(shù)管理體系，幫助企業(yè)提升整體安全管理水平。規(guī)劃原則IT管理的基礎(chǔ)、核心和重點(diǎn)內(nèi)容，應(yīng)該有相應(yīng)的信息安全建設(shè)和保障內(nèi)容與之配套，因此以信息為核心的IT管理視角，也同樣是當(dāng)前進(jìn)行信息安全規(guī)劃的出發(fā)點(diǎn)。為此，我們規(guī)劃企業(yè)的整體安全的時(shí)候，應(yīng)遵循如下原則：整體規(guī)劃，應(yīng)對(duì)變化安全建設(shè)規(guī)劃要有相對(duì)完整和全面的框架結(jié)構(gòu)，能應(yīng)對(duì)當(dāng)前安全威脅的變化趨勢(shì)。立足現(xiàn)有，提升能力在現(xiàn)有IT建設(shè)基礎(chǔ)上，完善安全基礎(chǔ)架構(gòu)建設(shè)，通過(guò)優(yōu)化和調(diào)整挖掘潛力，提升整體安全保障能力。著眼信息，重點(diǎn)防范以安全治理為工作目標(biāo)，著重提升安全整體水平，對(duì)目前企業(yè)和主管部門關(guān)注的，以及法律法規(guī)要求的內(nèi)容進(jìn)行重點(diǎn)關(guān)注。安全基礎(chǔ)框架設(shè)計(jì)明確了本次規(guī)劃的目標(biāo)，我們就可以進(jìn)一步確立一個(gè)針對(duì)企業(yè)信息安全建設(shè)的工作框架安全工作總體框架上述總體框架中，通過(guò)基礎(chǔ)架構(gòu)安全、信息安全、安全治理三個(gè)層次的工作內(nèi)容，來(lái)達(dá)成我們的總體規(guī)劃目標(biāo)；通過(guò)技術(shù)、管理、運(yùn)維三大支撐體系為支柱，實(shí)現(xiàn)企業(yè)在安全體系建設(shè)、法規(guī)遵從與落實(shí)、安全風(fēng)險(xiǎn)管控和安全高效管理四個(gè)信息安全主體目標(biāo)的不斷治理和改善。初期規(guī)劃建設(shè)目標(biāo)建立信息安全管理體系建立安全管理組織并落實(shí)各個(gè)部門信息安全責(zé)任人根據(jù)當(dāng)前信息安全的問題制定解決方案建立信息安全管理體系信息安全管理系統(tǒng)的規(guī)范，詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂?。下面將介紹應(yīng)該如何建立信息安全管理體系的步驟，如下圖所示：

圖1建立信息安全管理體系的步驟1)定義信息安全策略

信息安全策略是組織信息安全的最高方針，需要根據(jù)內(nèi)各個(gè)部門的實(shí)際情況，分別制訂不同的信息安全策略。例如，開發(fā)部、數(shù)據(jù)部、系統(tǒng)都分別有一個(gè)信息安全策略，適用于其部門內(nèi)所有員工。信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書面文件，發(fā)給內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正植根于內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。 在安全管理文檔的制定中，我們對(duì)如下的文檔進(jìn)行了定義：《安全管理文檔--業(yè)務(wù)系統(tǒng)軟件安全技術(shù)標(biāo)準(zhǔn)》《安全管理文檔--網(wǎng)絡(luò)信息發(fā)布制度》《安全管理文檔--通用網(wǎng)絡(luò)服務(wù)安全標(biāo)準(zhǔn)》《安全管理文檔--網(wǎng)絡(luò)連接策略和標(biāo)準(zhǔn)》《安全管理文檔--郵件系統(tǒng)安全管理標(biāo)準(zhǔn)》《安全管理文檔--用戶單位用戶帳號(hào)和口令管理規(guī)程》《安全管理文檔--信息管理人員的安全手冊(cè)》《安全管理文檔--用戶單位信息系統(tǒng)安全策略》《安全管理文檔--機(jī)房管理制度》《安全管理文檔--系統(tǒng)管理員手冊(cè)》《安全管理文檔--安全事件處理流程》《安全管理文檔--病毒防治管理規(guī)定》《安全管理文檔--網(wǎng)絡(luò)管理員手冊(cè)》《安全管理文檔--備份和恢復(fù)管理制度》(2)定義ISMS（信息安全管理系統(tǒng)）的范圍ISMS（信息安全管理系統(tǒng)）的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，需要根據(jù)自己的實(shí)際情況，在整個(gè)范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域構(gòu)架ISMS。在本階段，應(yīng)將劃分成不同的信息安全控制領(lǐng)域，以易于對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼?3)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定。風(fēng)險(xiǎn)評(píng)估主要依賴于信息和系統(tǒng)的性質(zhì)、使用信息的目的、所采用的系統(tǒng)環(huán)境等因素，在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估時(shí)，需要將直接后果和潛在后果一并考慮。(4)信息安全風(fēng)險(xiǎn)管理根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)很容易避免，例如通過(guò)采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；轉(zhuǎn)嫁風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)產(chǎn)生重大影響的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。(5)確定管制目標(biāo)和選擇管制措施。

管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，應(yīng)實(shí)時(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整，以適應(yīng)變化了的情況，使的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。(6)準(zhǔn)備信息安全適用性聲明。信息安全適用性聲明記錄了內(nèi)相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。信息安全適用性聲明的準(zhǔn)備，一方面是為了向內(nèi)的員工聲明面對(duì)信息安全風(fēng)險(xiǎn)的態(tài)度，在更大程度上則是為了向外界表明的態(tài)度和作為，以表明已經(jīng)全面、系統(tǒng)地審視了其信息安全系統(tǒng)，并將所有有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。建立安全管理組織當(dāng)前信息中心成立的安全領(lǐng)導(dǎo)小組，負(fù)責(zé)制定安全策略、落實(shí)信息安全責(zé)任，并下發(fā)到下面的幾個(gè)部門。但是，這個(gè)組織結(jié)構(gòu)并沒有實(shí)施起來(lái)，實(shí)際上是各個(gè)部門的信息安全策略和安全管理或者沒有實(shí)施，或者不全面；并且相關(guān)的信息安全責(zé)任也沒有明確的定義。可以說(shuō)信息安全體系并沒有建立起來(lái)。因此，我們建議設(shè)立一個(gè)首席安全官來(lái)代替原來(lái)的安全領(lǐng)導(dǎo)小組，負(fù)責(zé)對(duì)信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在的執(zhí)行情況、設(shè)立各個(gè)部門的信息安全責(zé)任人，落實(shí)信息安全責(zé)任。以下是各個(gè)責(zé)任人的職責(zé)定義：ＣＳＯ：首席安全官負(fù)責(zé)對(duì)信息安全制定總體安全策略，監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性，包括開發(fā)部、數(shù)據(jù)部、系統(tǒng)部等部門。系統(tǒng)運(yùn)維管理員：系統(tǒng)運(yùn)維部門管理人員對(duì)整個(gè)系統(tǒng)運(yùn)維部門進(jìn)行管理。系統(tǒng)管理員：系統(tǒng)權(quán)限管理員對(duì)所有系統(tǒng)進(jìn)行管理、建設(shè)、維護(hù)的相關(guān)人員，需要有廣泛的知識(shí)面，豐富的理論和實(shí)際操作經(jīng)驗(yàn)。網(wǎng)絡(luò)管理員：網(wǎng)絡(luò)設(shè)備管理員所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的維護(hù)人員，需要有豐富的理論和實(shí)際操作經(jīng)驗(yàn)。數(shù)據(jù)庫(kù)管理員：網(wǎng)絡(luò)設(shè)備管理員所有的應(yīng)用數(shù)據(jù)庫(kù)的管理和維護(hù)人員，需要有豐富的理論和實(shí)際操作經(jīng)驗(yàn)。文檔管理員：資料管理員記錄各類設(shè)備、系統(tǒng)操作，維護(hù)、整理相關(guān)文檔，以及日志備份等相關(guān)信息。機(jī)房管理員：設(shè)備物理安全保障員記錄機(jī)房進(jìn)出相關(guān)記錄，包括系統(tǒng)管理員、系統(tǒng)用戶以及文檔管理員的相關(guān)記錄；對(duì)計(jì)算機(jī)硬件進(jìn)行檢修、維護(hù)；對(duì)物理環(huán)境的維護(hù)等。開發(fā)管理員：軟件安全保障員監(jiān)督軟件開發(fā)工作的安全性措施實(shí)施情況，制定軟件開發(fā)的安全標(biāo)準(zhǔn)。安全應(yīng)急小組：安全事件緊急響應(yīng)小組應(yīng)急響應(yīng)中心組長(zhǎng)由系統(tǒng)運(yùn)維部主管擔(dān)任，組員包括：系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫(kù)管理員。中期規(guī)劃建設(shè)目標(biāo)根據(jù)當(dāng)前信息安全的問題解決方案進(jìn)行安全實(shí)施，包括：建立基礎(chǔ)保障體系建立監(jiān)控審計(jì)體系建立應(yīng)急響應(yīng)體系建立災(zāi)難備份與恢復(fù)體系建立基礎(chǔ)保障體系通過(guò)拓?fù)鋱D描述安全現(xiàn)狀。建立監(jiān)控審計(jì)體系建設(shè)電子政務(wù)的審計(jì)監(jiān)控體系就是要建設(shè)完整的責(zé)任認(rèn)定體系和健全授權(quán)管理體系，從技術(shù)上加強(qiáng)了電子政務(wù)安全管理，從而保證了電子政務(wù)的安全性。一、審計(jì)監(jiān)控體系為電子政務(wù)建立了一個(gè)完整的責(zé)任認(rèn)定體系1)在信任體系中對(duì)合法操作行為的責(zé)任認(rèn)定責(zé)任認(rèn)定體系設(shè)計(jì)的定位就是所有的操作者都是不可信任的，這就決定了責(zé)任認(rèn)定在這里所處的地位：起到完善信任體系中痕跡保留以及事后追查的作用，是和身份認(rèn)證、授權(quán)管理并列的保證網(wǎng)絡(luò)內(nèi)網(wǎng)安全的三大重要措施。在信任體系中的責(zé)任認(rèn)定，傳統(tǒng)的手段是通過(guò)查閱應(yīng)用程序的操作日志、通過(guò)調(diào)用數(shù)據(jù)庫(kù)的操作日志、通過(guò)審計(jì)其他設(shè)備的操作日志來(lái)反映合法操作行為和非法行為的責(zé)任認(rèn)定問題。這部分的責(zé)任認(rèn)定體系是整個(gè)完整的責(zé)任認(rèn)定體系中的一部分。它不能解決所有的責(zé)任認(rèn)定問題。相反地，由于各產(chǎn)品缺乏有效的協(xié)調(diào)性，記錄的信息無(wú)法互通，所以在很大的程度上，這部分分散的、凌亂的信息在工作中很難被有效使用，一直是整個(gè)信息安全建設(shè)中的一個(gè)軟肋。2)對(duì)網(wǎng)絡(luò)中非法操作行為的責(zé)任認(rèn)定對(duì)于非法操作的責(zé)任認(rèn)定，現(xiàn)有的手段是通過(guò)審計(jì)監(jiān)管技術(shù)來(lái)實(shí)現(xiàn)責(zé)任認(rèn)定。由于這部分的責(zé)任認(rèn)定針對(duì)性強(qiáng)，目的明確，又有響應(yīng)實(shí)時(shí)、警告及時(shí)等特點(diǎn)，所以在電子政務(wù)建設(shè)中越來(lái)越被重視。它的作用與審計(jì)機(jī)關(guān)在國(guó)家經(jīng)濟(jì)體系中的審計(jì)行為有著非常類似的共性--同樣是對(duì)非法的操作行為進(jìn)行審計(jì)。所不同的是，審計(jì)機(jī)關(guān)是對(duì)非法的經(jīng)濟(jì)行為進(jìn)行審計(jì)，而信息安全強(qiáng)審計(jì)是對(duì)電子政務(wù)網(wǎng)絡(luò)中的非法操作行為進(jìn)行審計(jì)。他的作用已經(jīng)決定了它是責(zé)任認(rèn)定體系中最重要的一個(gè)組成部分，對(duì)整個(gè)責(zé)任認(rèn)定體系起著決定性的作用。3)以強(qiáng)審計(jì)為核心建立完整的責(zé)任認(rèn)定體系要解決一個(gè)完整的責(zé)任認(rèn)定體系，我們不僅要考慮到對(duì)合法操作行為的責(zé)任認(rèn)定，更要考慮到對(duì)非法操作行為的責(zé)任認(rèn)定。同時(shí)我們又要兼顧網(wǎng)絡(luò)中各個(gè)設(shè)備審計(jì)信息的全面收集，以及對(duì)審計(jì)數(shù)據(jù)的集中化管理以及分析。以強(qiáng)審計(jì)為核心的責(zé)任認(rèn)定體系，我們通過(guò)對(duì)網(wǎng)絡(luò)組成要素的審計(jì)，通過(guò)對(duì)應(yīng)用系統(tǒng)的審計(jì)，通過(guò)對(duì)安全產(chǎn)品的審計(jì)，通過(guò)對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)中所有資源的審計(jì)。構(gòu)建了一個(gè)完整的責(zé)任認(rèn)定體系。同時(shí)，由于強(qiáng)審計(jì)系統(tǒng)強(qiáng)大的審計(jì)分析功能，可以及時(shí)有效的反映責(zé)任認(rèn)定數(shù)據(jù)。確保了責(zé)任認(rèn)定體系強(qiáng)有力、完整等特性。二、健全授權(quán)管理體系在授權(quán)管理中，對(duì)網(wǎng)絡(luò)資源的授權(quán)管理是非常重要的問題。不解決這個(gè)問題，就無(wú)法建立起完整的授權(quán)管理體系。審計(jì)監(jiān)控體系從根本上對(duì)全網(wǎng)進(jìn)行授權(quán)監(jiān)督管理。主要有以下內(nèi)容：1)網(wǎng)絡(luò)連接的授權(quán)管理必須保證所有連接入網(wǎng)絡(luò)的計(jì)算機(jī)都是合法的；任何非法接入的企圖都是能夠得到有效控制和管理的；網(wǎng)絡(luò)內(nèi)各主機(jī)之間的訪問和連接都是得到授權(quán)并可以控制；所有能夠連入外網(wǎng)計(jì)算機(jī)的訪問外網(wǎng)的權(quán)限都是有限的、受控的和經(jīng)過(guò)授權(quán)的。2)主機(jī)的授權(quán)管理對(duì)網(wǎng)絡(luò)內(nèi)的用戶使用光驅(qū)(含刻錄光驅(qū))、軟驅(qū)、USB口授以權(quán)限并統(tǒng)一輸入輸出通道，從而保證數(shù)據(jù)進(jìn)出的安全性。對(duì)主機(jī)中重要文件資源的使用實(shí)行嚴(yán)格的授權(quán)管理。對(duì)于有統(tǒng)一出口的網(wǎng)絡(luò)或者物理隔離于公網(wǎng)的網(wǎng)絡(luò)通過(guò)撥號(hào)上網(wǎng)(包括ADSL撥號(hào)、MODEM撥號(hào)、GPRS撥號(hào)、手機(jī)撥號(hào)等)的方式存在諸多的安全隱患，必須嚴(yán)格的授權(quán)與限制。3)數(shù)據(jù)庫(kù)的授權(quán)管理對(duì)操作者向數(shù)據(jù)庫(kù)中字符、段的訪問進(jìn)行授權(quán)。4)服務(wù)器的授權(quán)管理對(duì)重要文件的進(jìn)行授權(quán)管理；對(duì)終端訪問服務(wù)器的進(jìn)行授權(quán)管理；5)對(duì)網(wǎng)絡(luò)打印機(jī)的權(quán)限分配、控制與管理對(duì)網(wǎng)絡(luò)打印機(jī)進(jìn)行權(quán)限分配；對(duì)網(wǎng)絡(luò)打印機(jī)進(jìn)行訪問控制；通過(guò)審計(jì)監(jiān)控體系完成對(duì)網(wǎng)絡(luò)資源的授權(quán)管理既是構(gòu)建完善的授權(quán)管理基礎(chǔ)設(shè)施的重要組成部分，同時(shí)也是建立健全責(zé)任認(rèn)定體系的必要前提。建立應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)體系的建立主要有三個(gè)方面，成立安全應(yīng)急小組，制定安全應(yīng)急預(yù)案，安全應(yīng)急過(guò)程文檔歸檔。安全應(yīng)急小組成立安全應(yīng)急小組，應(yīng)急響應(yīng)中心組長(zhǎng)由系統(tǒng)運(yùn)維部主管擔(dān)任，組員包括：系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫(kù)管理員。系統(tǒng)運(yùn)維系統(tǒng)運(yùn)維部門主管系統(tǒng)管理員網(wǎng)絡(luò)管理員數(shù)據(jù)庫(kù)管理員應(yīng)急響應(yīng)小組的職能：對(duì)網(wǎng)絡(luò)安全問題能積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、確保及時(shí)恢復(fù)。應(yīng)急響應(yīng)小組成員職責(zé)：組長(zhǎng)：協(xié)調(diào)應(yīng)急響應(yīng)小組其它成員的工作，協(xié)調(diào)與其它部門的接口關(guān)系，組織應(yīng)急計(jì)劃的評(píng)審、組織各類安全問題的交流等。系統(tǒng)管理員：操作系統(tǒng)和應(yīng)用系統(tǒng)的備份與恢復(fù)，系統(tǒng)的安全配置，系統(tǒng)層安全事件的處理。網(wǎng)絡(luò)管理員：維護(hù)網(wǎng)絡(luò)正常運(yùn)行，網(wǎng)絡(luò)的安全配置和維護(hù)，網(wǎng)絡(luò)層安全事件的處理。數(shù)據(jù)庫(kù)管理員：數(shù)據(jù)庫(kù)的備份與恢復(fù)，維護(hù)應(yīng)用系統(tǒng)的數(shù)據(jù)，出現(xiàn)安全事故時(shí)配合系統(tǒng)管理員和網(wǎng)絡(luò)管理員處理安全事件以及恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù)。安全應(yīng)急預(yù)案制定安全應(yīng)急預(yù)案的過(guò)程：（1）預(yù)先定義深圳市的各種安全事件通過(guò)調(diào)研，預(yù)測(cè)可能會(huì)遇到的安全事件，將其一一列出定義，并根據(jù)其相關(guān)性進(jìn)行分類，對(duì)每一類又按照其發(fā)作范圍和危害程度進(jìn)行分級(jí)。最后制作安全事件一覽表。1）常見的安全事件列表：系統(tǒng)崩潰；用戶在奇怪的時(shí)間和地點(diǎn)登錄；猜口令的企圖；非授權(quán)用戶使用有特權(quán)的服務(wù)；系統(tǒng)時(shí)鐘改變；系統(tǒng)不知原因的重新啟動(dòng)；活動(dòng)較少的賬號(hào)突然活動(dòng)明顯增加；用大量變化的號(hào)碼對(duì)用戶進(jìn)行呼叫；非編程人員利用編譯工具與開發(fā)工具；新的或陌生的文件；賬號(hào)變化，查明是否有入侵者；文件長(zhǎng)度或數(shù)據(jù)內(nèi)容發(fā)生變化；企圖寫系統(tǒng)，尤其是特權(quán)用戶的行為；數(shù)據(jù)被修改或刪除；拒絕服務(wù)；系統(tǒng)性能嚴(yán)重下降，有奇怪的進(jìn)程運(yùn)行并占用大量的CPU處理時(shí)間；網(wǎng)絡(luò)性能嚴(yán)重下降，用戶反映無(wú)法正常使用服務(wù)；發(fā)現(xiàn)有人在不斷強(qiáng)行登錄系統(tǒng)；系統(tǒng)中出現(xiàn)奇怪的新用戶帳號(hào)；管理員收到來(lái)自其它系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅等。2）常見的安全事件類型：發(fā)現(xiàn)后門軟件、間諜軟件；計(jì)算機(jī)病毒；程序化入侵；發(fā)現(xiàn)入侵者；破壞和刪除文件；拒絕服務(wù)攻擊等。3）劃分安全事件的級(jí)別?？疾彀踩录l(fā)作的范圍：是否是多點(diǎn)事件；在一個(gè)點(diǎn)上有多少臺(tái)計(jì)算機(jī)被影響；檢查涉密信息是否被攻擊；事件的入侵點(diǎn)在什么地方，確定攻擊來(lái)自的方向；安全事件發(fā)生的時(shí)間和持續(xù)時(shí)間；處理該安全事件需要什么資源等。考察安全事件的危害性：是否造成了損失，確定損失的大??；判斷信息失密發(fā)生與否及其程度；判斷事件是否構(gòu)成犯罪；分析安全事件采用的手法；分析安全事件制造者類型；分析事件的潛在危險(xiǎn)。（2） 為安全事件制訂應(yīng)急計(jì)劃（預(yù)案）對(duì)分類分級(jí)的安全事件制訂應(yīng)急計(jì)劃，并予以評(píng)審。對(duì)不可預(yù)測(cè)的安全事件，也要制訂通用的應(yīng)急計(jì)劃。應(yīng)急計(jì)劃包括：a.安全事件序號(hào)、名稱、類別、級(jí)別b.安全事件處理目標(biāo)事件處理目標(biāo)是消除當(dāng)前安全事件造成的威脅，避免和減少損失，健全和改善信息系統(tǒng)的安全措施。c.需要保護(hù)的信息將的信息劃分密級(jí)，一般分為五級(jí)：公開、內(nèi)部、秘密、機(jī)密、絕密。確定對(duì)哪類密級(jí)的信息采取哪類保護(hù)措施。d.設(shè)計(jì)安全事件處理過(guò)程針對(duì)本安全事件，設(shè)計(jì)現(xiàn)場(chǎng)處理流程。e.設(shè)計(jì)安全事件處理的驗(yàn)證方法設(shè)計(jì)驗(yàn)證安全事件是否排除的方法。安全事件處理流程本次風(fēng)險(xiǎn)評(píng)估項(xiàng)目中已經(jīng)定義了安全事件處理流程，所以該流程參見《安全管理文檔—安全事件處理流程》安全應(yīng)急過(guò)程文檔安全事件處理完畢，系統(tǒng)恢復(fù)正常運(yùn)行后，要對(duì)整個(gè)事故的相關(guān)文檔進(jìn)行歸檔，總結(jié)經(jīng)驗(yàn)教訓(xùn)，并形成一個(gè)《安全事件調(diào)查研究報(bào)告》。報(bào)告中應(yīng)詳細(xì)描述整個(gè)事件的經(jīng)過(guò)，記錄緊急響應(yīng)事件的起因、處理過(guò)程、建議改進(jìn)的安全方案等。應(yīng)急響應(yīng)中心人員必須進(jìn)行事后調(diào)查，評(píng)估事件損失，調(diào)查事件原委，追究事件責(zé)任，編寫《安全事件調(diào)查研究報(bào)告》。應(yīng)急響應(yīng)中心人員對(duì)照事件處理過(guò)程，發(fā)現(xiàn)應(yīng)急計(jì)劃的不足，完善應(yīng)急計(jì)劃。對(duì)事件原因進(jìn)行徹底分析，找到確切根源，制訂消除安全事件根源的措施，保證同一安全事件不再發(fā)生。建立災(zāi)難備份與恢復(fù)體系政務(wù)內(nèi)網(wǎng)線路冗余通過(guò)拓?fù)鋱D來(lái)表達(dá)建立冗余線路的基本做法。服務(wù)器系統(tǒng)備份與恢復(fù)備份：系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)管理員和系統(tǒng)管理員應(yīng)向備份系統(tǒng)管理員提供備份需求，雙方協(xié)商備份策略，諸如備份范圍、備份時(shí)間、備份頻率、保存期限、備份拷貝數(shù)目等。備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表》。在備份系統(tǒng)保護(hù)之下的文件系統(tǒng)在做調(diào)整（諸如目錄名稱更換）或者增加、減小備份內(nèi)容時(shí)，應(yīng)該向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述調(diào)整的內(nèi)容。備份系統(tǒng)管理員根據(jù)備份申請(qǐng)表的要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。完成備份策略調(diào)整工作后，核對(duì)備份申請(qǐng)表，并歸檔備案。對(duì)于某些先前不在備份策略保護(hù)內(nèi)的數(shù)據(jù)，且需要臨時(shí)保護(hù)的，系統(tǒng)管理員可向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述備份需求。備份系統(tǒng)管理員根據(jù)備份申請(qǐng)表的要求，建立臨時(shí)備份策略對(duì)數(shù)據(jù)進(jìn)行備份。完成備份工作后，跟數(shù)據(jù)庫(kù)/系統(tǒng)管理員核對(duì)備份申請(qǐng)表，并歸檔備案。對(duì)于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個(gè)星期，過(guò)期后磁帶被覆蓋。對(duì)于每周全備份，每個(gè)星期六或者星期日做一次全備份，備份數(shù)據(jù)保留時(shí)間為三個(gè)月，下一個(gè)星期一、星期二將每周備份的所有磁帶遷移到帶庫(kù)外，異地存放，確保機(jī)房發(fā)生災(zāi)難后，數(shù)據(jù)丟失不超過(guò)一個(gè)星期。對(duì)于每月全備份，備份數(shù)據(jù)保留時(shí)間為半年，做兩份磁帶拷貝，其中一份磁帶留在本地，另外一份磁帶異地存放。在備份策略發(fā)生更變時(shí)，應(yīng)該相應(yīng)的更新《備份信息匯總表》文檔，保持該文檔的內(nèi)容與備份系統(tǒng)內(nèi)的策略內(nèi)容同步?；謴?fù)：相關(guān)人員在需要恢復(fù)文件系統(tǒng)類型的數(shù)據(jù)時(shí)，應(yīng)當(dāng)向備份系統(tǒng)管理員提交恢復(fù)申請(qǐng)表，描述需要恢復(fù)數(shù)據(jù)所在的主機(jī)、數(shù)據(jù)所在路徑、數(shù)據(jù)大概備份時(shí)間、要求恢復(fù)的目的地的目錄路徑等。備份系統(tǒng)管理員根據(jù)恢復(fù)申請(qǐng)表的要求，查詢備份系統(tǒng)進(jìn)行恢復(fù)。完成恢復(fù)工作后，通知相關(guān)人員及核對(duì)恢復(fù)申請(qǐng)表，并歸檔備案。數(shù)據(jù)庫(kù)系統(tǒng)備份與恢復(fù)備份：系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)管理員和系統(tǒng)管理員應(yīng)向備份系統(tǒng)管理員提供備份需求，雙方協(xié)商備份策略，諸如備份范圍、備份時(shí)間、備份頻度、保存期限、備份拷貝數(shù)目等。備份系統(tǒng)管理員根據(jù)雙方協(xié)商形成的備份需求書面文檔，在備份系統(tǒng)上建立相應(yīng)的備份策略，并更新《備份信息匯總表》。在備份系統(tǒng)保護(hù)之下的文件系統(tǒng)在做調(diào)整（諸如目錄名稱更換）或者增加、減小備份內(nèi)容時(shí)，應(yīng)該向備份系統(tǒng)管理員提交備份申請(qǐng)表，具體描述調(diào)整的內(nèi)容。備份系統(tǒng)管理員根據(jù)備份申請(qǐng)表的要求，在備份系統(tǒng)上調(diào)整備份策略，并更新《備份信息匯總表》。完成備份策略調(diào)整工作后，核對(duì)備份申請(qǐng)表，并歸檔備案。對(duì)于每日全備份的數(shù)據(jù)，在磁帶中保留期限為兩個(gè)星期，