網(wǎng)絡(luò)安全工作總體方針和安全策略.docx

上傳人:小** 文檔編號:16603456 上傳時間:2020-10-18 格式:DOCX 頁數(shù):22 大?。?31.11KB
收藏 版權(quán)申訴 舉報 下載
網(wǎng)絡(luò)安全工作總體方針和安全策略.docx_第1頁
第1頁 / 共22頁
網(wǎng)絡(luò)安全工作總體方針和安全策略.docx_第2頁
第2頁 / 共22頁
網(wǎng)絡(luò)安全工作總體方針和安全策略.docx_第3頁
第3頁 / 共22頁

下載文檔到電腦,查找使用更方便

5 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《網(wǎng)絡(luò)安全工作總體方針和安全策略.docx》由會員分享,可在線閱讀,更多相關(guān)《網(wǎng)絡(luò)安全工作總體方針和安全策略.docx(22頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、 XXX單位網(wǎng)絡(luò)安全工作總體方針和安全策略 V1.0 目錄 1 總則 1 1.1 目標(biāo) 1 1.2 適用范圍 1 1.3 建設(shè)思路 1 1.4 建設(shè)原則 3 1.5 建設(shè)目標(biāo) 4 2 安全體系框架 5 2.1 安全模型 5 2.2 安全體系框架 7 3 建設(shè)內(nèi)容 13 3.1 組織機(jī)構(gòu) 13 3.2 人員管理 13 3.3 物理管理 13 3.4 網(wǎng)絡(luò)管理 14 3.5 系統(tǒng)管理 14 3.6 應(yīng)用管理 14 3.7 數(shù)據(jù)管理 14 3.8 運(yùn)維管理 15 4 總體安

2、全策略 15 4.1 物理環(huán)境安全策略 15 4.2 通信網(wǎng)絡(luò)安全策略 16 4.3 區(qū)域邊界安全策略 17 4.4 計算環(huán)境安全策略 18 4.5 安全管理中心策略 19 5 附則 20 1 總則 為加強(qiáng)和規(guī)范XXX單位網(wǎng)絡(luò)安全工作,提高網(wǎng)絡(luò)安全防護(hù)水平,實(shí)現(xiàn)網(wǎng)絡(luò)安全的可控、能控、在控,依據(jù)國家有關(guān)法律、法規(guī)的要求,制定本文檔。 1.1 目標(biāo) 以滿足業(yè)務(wù)運(yùn)行要求,遵守行業(yè)規(guī)程,實(shí)施等級保護(hù)及風(fēng)險管理,確保網(wǎng)絡(luò)安全以及實(shí)現(xiàn)持續(xù)改進(jìn)的目的等內(nèi)容作為本單位網(wǎng)絡(luò)安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、

3、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷為總體目標(biāo)。 1.2 適用范圍 本文檔適用于網(wǎng)絡(luò)安全方案規(guī)劃、安全建設(shè)實(shí)施和安全策略的制定。在全單位范圍內(nèi)給予執(zhí)行,由信息安全領(lǐng)導(dǎo)小組對該項工作的落實(shí)和執(zhí)行進(jìn)行監(jiān)督,由技術(shù)部配合信息安全領(lǐng)導(dǎo)小組對本案的有效性進(jìn)行持續(xù)改進(jìn)。 1.3 建設(shè)思路 XXX單位信息安全建設(shè)工作的總體思路如下圖所示: 信息化建設(shè)是基于當(dāng)前通用的網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)技術(shù),針對安全性問題和支撐安全技術(shù),通過安全評估,對信息化建設(shè)和信息安全建設(shè)進(jìn)行分析和總結(jié),其中包括對建設(shè)現(xiàn)狀和發(fā)展趨勢的完整分析,歸納出系統(tǒng)中當(dāng)前存在和今后可能存在的安全問題,明確網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營

4、所面臨的安全風(fēng)險級別。 從支撐性安全技術(shù)展開,對現(xiàn)有網(wǎng)絡(luò)和信息技術(shù)的固有缺陷出發(fā),總結(jié)了普遍存在的安全威脅,并根據(jù)其它系統(tǒng)中的信息安全建設(shè)實(shí)踐中的經(jīng)驗(yàn),從信息安全領(lǐng)域的完整框架、思路、技術(shù)和理念出發(fā),提供完整的安全建設(shè)思路和方法。 在此基礎(chǔ)之上,對信息安全領(lǐng)域的理論、框架和技術(shù)基礎(chǔ)與XXX單位的安全問題有機(jī)地進(jìn)行結(jié)合,有針對性地提出XXX單位安全保障總體策略。安全保障總體策略包括了整體建設(shè)目標(biāo),安全技術(shù)策略,以及相應(yīng)的管理策略。 以安全保障總體策略為核心,分三個方面進(jìn)行整體信息安全體系框架的制定,包括安全技術(shù)體系,安全管理體系和運(yùn)營保障體系。在現(xiàn)實(shí)的運(yùn)營過程中,安全保障不能夠純粹依靠安

5、全技術(shù)來解決,更需要適當(dāng)?shù)陌踩芾?,相互結(jié)合來提高整體安全性效果。 在信息安全體系框架的指導(dǎo)下,依據(jù)相應(yīng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范,規(guī)劃和制定詳細(xì)的信息安全系統(tǒng)實(shí)施方案和運(yùn)營維護(hù)計劃。 信息安全體系建設(shè)的思路體現(xiàn)了以下的特點(diǎn): 統(tǒng)籌規(guī)劃和設(shè)計在建設(shè)過程中占有非常重要的地位; 充分結(jié)合建設(shè)現(xiàn)狀與信息安全通用技術(shù)和理念; 充分考慮了當(dāng)前的建設(shè)現(xiàn)狀以及未來業(yè)務(wù)發(fā)展的需要; 注重安全管理體系的建設(shè),以及管理、技術(shù)和保障的相互結(jié)合。 1.4 建設(shè)原則 信息系統(tǒng)安全堅持“安全第一、預(yù)防為主,管理和技術(shù)并重,綜合防范”的總體方針,實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、

6、分域”總體安全防護(hù)策略,執(zhí)行信息系統(tǒng)安全等級保護(hù)制度。 信息安全體系的建設(shè),涉及面廣、工作量大,必須堅持以下的原則,保證建設(shè)和運(yùn)營的效果。 統(tǒng)一規(guī)劃 要對的信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃,制定信息安全體系框架,明確保障體系中所包含的內(nèi)容。同時,還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范,使得信息安全體系建設(shè)能夠遵循一致的標(biāo)準(zhǔn),管理能夠遵循一致的規(guī)范。 分步有序?qū)嵤? 信息安全體系的建設(shè),內(nèi)容龐雜,必須堅持分步驟的有序?qū)嵤┰瓌t,循序漸進(jìn)地進(jìn)行。 基于安全需求 依據(jù)信息系統(tǒng)擔(dān)負(fù)的使命,積累的信息資產(chǎn)的重要性以及可能受到的威脅及面臨的風(fēng)險分析安全需求,按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)

7、的信息系統(tǒng)安全保護(hù)等級,遵從相應(yīng)等級的規(guī)范要求,從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。 技術(shù)管理并重 僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的,安全管理也具有同樣的重要性,XXX單位信息安全體系的建設(shè),必須遵循安全技術(shù)和安全管理并重的原則。制定統(tǒng)一的安全建設(shè)管理規(guī)范,指導(dǎo)的安全管理工作。 突出安全保障 信息安全體系建設(shè)要突出安全保障的重要性,通過數(shù)據(jù)備份、冗余設(shè)計、應(yīng)急響應(yīng)、安全審計、災(zāi)難恢復(fù)等安全保障機(jī)制,保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。 持續(xù)改進(jìn) 信息系統(tǒng)安全管理是一種動態(tài)反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱性的時空分布變化,威脅程度的提高,系統(tǒng)環(huán)境的變化

8、以及對系統(tǒng)安全認(rèn)識的深化等,應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級,維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。 依法管理 信息安全管理工作主要體現(xiàn)為管理行為,應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理,應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息,避免帶來不良的社會影響。 自保護(hù)和國家監(jiān)管結(jié)合 對信息系統(tǒng)安全實(shí)行自保護(hù)和國家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé),政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查,形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式,提高信息系統(tǒng)的安全

9、保護(hù)能力和水平,保障國家信息安全。 1.5 建設(shè)目標(biāo) 根據(jù)XXX單位信息安全體系建設(shè)需求和原則,XXX單位信息安全的建設(shè)目標(biāo),可以用“一個目標(biāo)、兩種手段、三個體系”進(jìn)行概括。 一個目標(biāo) XXX單位信息安全的建設(shè)目標(biāo)是:基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo),提供全面的安全服務(wù)內(nèi)容,覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺各個層面,以及保護(hù)、檢測、響應(yīng)、恢復(fù)等各個環(huán)節(jié),構(gòu)建全面、完整、高效的信息安全體系,從而提高XXX單位信息系統(tǒng)的整體安全等級,為XXX單位的業(yè)務(wù)發(fā)展提供堅實(shí)的信息安全保障。 兩種手段 信息安全體系的建設(shè)應(yīng)該包括安全技術(shù)與安全管理兩種手段,其中安全技術(shù)手段是安全

10、保障的基礎(chǔ),安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵,管理措施的正確實(shí)施同時需要有技術(shù)手段來監(jiān)管和驗(yàn)證,兩者相輔相成,缺一不可。 三個體系 XXX單位信息安全體系的建設(shè)最終形成3個主要體系,具體包括安全技術(shù)體系、安全管理體系、以及運(yùn)行保障體系。 2 安全體系框架 XXX單位進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個全面、有效的信息安全體系,在這個體系中,包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素,信息安全建設(shè)的內(nèi)容多,規(guī)模大,必須進(jìn)行全面的統(tǒng)籌規(guī)劃,明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入,才能夠保證信息安全建設(shè)

11、有序可控地進(jìn)行,才能夠使得信息安全體系發(fā)揮最優(yōu)的保障效果。 2.1 安全模型 根據(jù)XXX單位信息安全體系建設(shè)目標(biāo)和總體安全策略,建立了與之對應(yīng)的目標(biāo)模型,稱為WP2DRR安全模型,該模型是基于時間的,由預(yù)警(Warning)、策略(Policy)、保護(hù)(Protection)、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)六個要素環(huán)節(jié)構(gòu)成了一個完整的、動態(tài)的信息安全體系。預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。 Policy(安全策略):根據(jù)風(fēng)險分析和評估產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實(shí)現(xiàn)對它們的

12、保護(hù)等。在WP2DRR安全模型中,策略處于核心地位,所有的防護(hù)、檢測、響應(yīng)、恢復(fù)都依據(jù)安全策略展開實(shí)施,安全策略為安全管理提供管理方向和支持手段。 Warining(預(yù)警):根據(jù)以前所掌握的系統(tǒng)的弱點(diǎn)和當(dāng)前了解的犯罪趨勢預(yù)測未來可能受到的攻擊和及危害。包括風(fēng)險分析、病毒預(yù)報、黑客入侵趨勢預(yù)報和情況通報、系統(tǒng)弱點(diǎn)報告和補(bǔ)丁到位。 Protection(防護(hù)):通過修復(fù)系統(tǒng)漏洞、正確設(shè)計開發(fā)和安裝安全系統(tǒng)來預(yù)防安全事件的發(fā)生;通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點(diǎn);通過教育等手段,使用戶和操作員正確使用系統(tǒng),防止意外威脅;通過訪問控制、監(jiān)控等手段來防止惡意威脅。 Detection(檢測

13、):檢測是非常重要的一個環(huán)節(jié),檢測是動態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù),它也是強(qiáng)制落實(shí)安全策略的有力工具,通過檢測和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng),發(fā)現(xiàn)新的威脅和弱點(diǎn),通過循環(huán)反饋來及時做出有效的響應(yīng)。 Response(響應(yīng)):響應(yīng)是對安全事件做出反應(yīng),包括對檢測到的系統(tǒng)異?;蛘吖粜袨樽龀鲰憫?yīng)動作,以及處理突發(fā)的安全事件。恰當(dāng)?shù)捻憫?yīng)動作和響應(yīng)流程可以降低安全事件的不良影響,加強(qiáng)對重要資源的保護(hù)。 Recovery(恢復(fù)):災(zāi)難恢復(fù)能力直接決定了業(yè)務(wù)應(yīng)用的持續(xù)可用性,任何意外的突發(fā)事件都可能造成服務(wù)中斷和數(shù)據(jù)受損,優(yōu)秀的災(zāi)難恢復(fù)計劃能夠針對災(zāi)難事件做到未雨綢繆,即使系統(tǒng)和數(shù)據(jù)遭受破壞,也能夠在最短的時間內(nèi)

14、,完成恢復(fù)操作。 WP2DRR安全模型的特點(diǎn)就是動態(tài)性和基于時間的特性。它闡述了這樣一個結(jié)論:安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時間,盡量減少檢測時間和響應(yīng)時間。 WP2DRR模型是在傳統(tǒng)的P2DR模型的基礎(chǔ)上新增加了預(yù)警Warning和恢復(fù)Recover,增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力,一旦系統(tǒng)安全事故發(fā)生了,也能恢復(fù)系統(tǒng)功能和數(shù)據(jù),恢復(fù)系統(tǒng)的正常運(yùn)行。 安全目標(biāo)模型是信息安全體系框架的基礎(chǔ),XXX單位的信息安全體系框架緊密圍繞這個安全模型的6個要素環(huán)節(jié)進(jìn)行設(shè)計,每個要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來。 2.2 安全體系框架

15、 通過對XXX單位的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險的分析,根據(jù)安全保障目標(biāo)模型,制定了XXX單位信息安全體系框架,制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營。 該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動、相互依賴、不可分割的信息安全保障要素組成。在此框架中,以安全策略為指導(dǎo),融會了安全技術(shù)、安全管理和運(yùn)行保障三個層次的安全體系,達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。 XXX單位信息安全體系框架的總體結(jié)構(gòu)如下圖所示: 安全策略 在這個框架中,安全策略是指導(dǎo)。安全策略與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體

16、系這三大體系之間的關(guān)系也是相互作用的。一方面,三大體系是在安全策略的指導(dǎo)下構(gòu)建的,主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段,全面實(shí)現(xiàn)安全策略中所制定的目標(biāo);另一方面,安全策略本身也有包括草案設(shè)計、評審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評估、修訂等步驟在內(nèi)的生命周期,需要采用一些技術(shù)方法和管理手段進(jìn)行管理,保證安全策略的及時性和有效性。 安全技術(shù)體系 安全技術(shù)體系是整個信息安全體系框架的基礎(chǔ),包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這三個部分,以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐,以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助,在統(tǒng)一的綜合安全

17、管理平臺管理下的技術(shù)保障體系框架。 安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo),從物理和通信安全防護(hù),網(wǎng)絡(luò)安全防護(hù),主機(jī)系統(tǒng)安全防護(hù),應(yīng)用安全防護(hù)等多個層次出發(fā),立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制,建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。 安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題,應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù),提升自身的安全等級,以更加安全的方式,提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。 安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備,對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制,負(fù)責(zé)管理和維護(hù)安全策略

18、,配置管理相應(yīng)的安全機(jī)制,確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運(yùn)作,可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁,使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接,促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化,使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。 統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理,從而提高安全管理工作的效率,使人為的安全管理活動參與量大幅下降。 安全管理體系 安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)

19、作用的重要保障,安全管理體系的設(shè)計立足于總體安全策略,并與安全技術(shù)體系相互配合,增強(qiáng)技術(shù)防護(hù)體系的效率和效果,同時也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。 技術(shù)和管理是相互結(jié)合的,一方面,安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng),另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在XXX單位信息安全體系框架中,安全管理體系的設(shè)計充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799(ISO17799)》的建議要求。 XXX單位信息安全管理體系由若干信息安全管理類組成,每項信息安全管理類可分解為多個安全目標(biāo)和安全控制。每個安全目標(biāo)都有若干安全控制與其相對應(yīng),這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和

20、要求。信息安全管理體系一共包括了12項管理類: 安全策略與制度,確保XXX單位擁有明確的信息安全方針以及配套的策略和制度,以實(shí)現(xiàn)對信息安全工作的支持和承諾,保證信息安全的資金投入。 安全風(fēng)險管理,信息安全建設(shè)不是避免風(fēng)險的過程,而是管理風(fēng)險的過程。沒有絕對的安全,風(fēng)險總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險控制在可以接受的范圍之內(nèi)。風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。 人員和組織安全管理,建立組織機(jī)構(gòu),明確人員崗位職責(zé),提供安全教育和培訓(xùn),對第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系,保證信息安全工作的人力資源要求,避免由于人員和組織上的錯誤產(chǎn)生的信息安

21、全風(fēng)險。 環(huán)境和設(shè)備安全管理,控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。 網(wǎng)絡(luò)和通信安全管理,控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng),防止其受到破壞和濫用,避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對XXX單位業(yè)務(wù)系統(tǒng)的損害。 主機(jī)和系統(tǒng)安全管理,控制和保護(hù)XXX單位的計算機(jī)主機(jī)及其系統(tǒng),防止其受到破壞和濫用,避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。 應(yīng)用和業(yè)務(wù)安全管理,對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理,防止其收到破壞和濫用。 數(shù)據(jù)安全和加密管理,采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制,防止數(shù)據(jù)被竊取和篡改,保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。 項目工程安全管理,保護(hù)信息系

22、統(tǒng)項目工程過程的安全,確保項目的成果是可靠的安全系統(tǒng)。 運(yùn)行和維護(hù)安全管理,保護(hù)信息系統(tǒng)在運(yùn)行期間的安全,并確保系統(tǒng)維護(hù)工作的安全。 業(yè)務(wù)連續(xù)性管理管理,通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃,確保信息系統(tǒng)在任何災(zāi)難和攻擊下,都能夠保證業(yè)務(wù)的連續(xù)性。 合規(guī)性(符合性)管理,確保XXX單位的信息安全保障工作符合國家法律、法規(guī)的要求;且XXX單位的信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。 12項信息安全管理類之間的關(guān)系,如下圖所示。 12項信息安全管理類的作用關(guān)系為: 方針和策略:是XXX單位整個信息安全管理工作的基礎(chǔ)和整體指導(dǎo),對于其它所有的信息安全管理類都有指導(dǎo)和約束關(guān)系。

23、 人員和組織管理:是要依據(jù)方針和策略來執(zhí)行信息安全管理工作。 合規(guī)性:指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果。特別是對于國家法律法規(guī)、方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。 根據(jù)“方針和策略”,由“人員和組織”實(shí)施信息安全管理工作。在實(shí)施中主要從兩個角度來考慮問題,即風(fēng)險管理和業(yè)務(wù)連續(xù)性管理。 根據(jù)信息系統(tǒng)的生命周期,可以將信息系統(tǒng)劃分為兩個階段,即項目工程開發(fā)階段和運(yùn)行維護(hù)階段。這兩個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。 最終所有的信息安全管理工作都作用在信息系統(tǒng)之上。信息系統(tǒng)可以劃分成5個層次,從底層到上層依次為環(huán)境與設(shè)備管理、網(wǎng)絡(luò)與通信管理、主機(jī)與系統(tǒng)管理、

24、應(yīng)用與業(yè)務(wù)管理、數(shù)據(jù)/文檔/介質(zhì)管理。這5個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的層次性。 運(yùn)行保障體系 運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成,包括了系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等,運(yùn)行和保障體系對于XXX單位網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段。 建設(shè)實(shí)施規(guī)劃 建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。 任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施,因此,首先應(yīng)該建立信息安全工作監(jiān)

25、管組織機(jī)構(gòu),明確各級管理機(jī)構(gòu)的人員配備,職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對信息安全系統(tǒng)進(jìn)行監(jiān)控與審計管理。然后,對所有員工進(jìn)行基本安全教育,為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn),提高全員的安全意識,打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊伍。 信息安全體系建設(shè),應(yīng)該首先從物理環(huán)境安全建設(shè)入手,確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè),并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。 接下來應(yīng)該進(jìn)行網(wǎng)絡(luò)安全建設(shè),應(yīng)該對計算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分,對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整,確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊

26、界清晰;在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品,形成立體的區(qū)域邊界保護(hù)機(jī)制,對各安全域進(jìn)行邏輯安全隔離,禁止未授權(quán)的網(wǎng)絡(luò)訪問;在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具,定期對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查,并采取措施及時彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。 在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時,可以進(jìn)行系統(tǒng)安全建設(shè),在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng),有效抑制計算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播,避免對系統(tǒng)和數(shù)據(jù)造成損害;另外,主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求,借助主機(jī)脆弱性分析和安全加固工具,定期對主機(jī)系統(tǒng)進(jìn)行檢查,更新安全漏洞補(bǔ)丁的級別,修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置,查看和分析系統(tǒng)審計日志,控制和保證主機(jī)系統(tǒng)的良好安

27、全狀態(tài)。 應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等,對業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。 按照的統(tǒng)一標(biāo)準(zhǔn),建立安全審計與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計劃、安全事件應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃等安全保障機(jī)制,重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn),保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。 3 建設(shè)內(nèi)容 XXX單位的信息安全建設(shè)所涉及的工作內(nèi)容包括以下部分。 3.1 組織機(jī)構(gòu) 建立專職的信息安全監(jiān)管機(jī)構(gòu),明確各級管理機(jī)構(gòu)的人員崗位配置和職能權(quán)限,全面負(fù)責(zé)信息安全建設(shè)工作和維護(hù)信息安全系統(tǒng)的運(yùn)營。 3.2 人員管理 依據(jù)信息系統(tǒng)安全等級保護(hù)要求,對人員錄

28、用、考核、培訓(xùn)、離崗等一系列管理進(jìn)行規(guī)范性要求。 制定統(tǒng)一的人員安全管理和教育培訓(xùn)規(guī)范,定期對信息系統(tǒng)的用戶進(jìn)行安全教育和培訓(xùn),對普通用戶進(jìn)行基本的安全教育,對安全技術(shù)崗位的用戶進(jìn)行崗位技能培訓(xùn),提高全員的安全意識,培養(yǎng)高素質(zhì)的安全技術(shù)和管理隊伍。 3.3 物理管理 按照國家對于計算機(jī)機(jī)房的相關(guān)建設(shè)標(biāo)準(zhǔn),制定統(tǒng)一的計算機(jī)機(jī)房建設(shè)標(biāo)準(zhǔn)和管理規(guī)范,對于計算機(jī)機(jī)房建設(shè)中的環(huán)境參數(shù)、保障機(jī)制,以及運(yùn)行過程中的人員訪問控制、監(jiān)控措施等進(jìn)行統(tǒng)一約定,頒布統(tǒng)一的計算機(jī)機(jī)房管理制度,對設(shè)備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細(xì)的規(guī)定。 3.4 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全是信息安全保障的重點(diǎn),制定統(tǒng)一

29、的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)標(biāo)準(zhǔn),對如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域,安全區(qū)域的邊界采取的隔離措施,進(jìn)行約定,保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng)之間的安全隔離。 制定統(tǒng)一的互聯(lián)網(wǎng)接入點(diǎn)、外聯(lián)網(wǎng)接入點(diǎn)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范,統(tǒng)一約定網(wǎng)絡(luò)邊界接入點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、安全產(chǎn)品的部署模式,保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。 制定統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)和管理規(guī)范,包括防火墻、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)脆弱性分析、網(wǎng)絡(luò)層加密等。 3.5 系統(tǒng)管理 系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范,包括主機(jī)入侵檢測、系統(tǒng)安全漏洞分析和加固, 提升服務(wù)器主機(jī)系統(tǒng)的安全級別。 制定統(tǒng)一的網(wǎng)絡(luò)病毒查殺系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管

30、理規(guī)范,有效抑制計算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和蔓延。 3.6 應(yīng)用管理 應(yīng)用安全機(jī)制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護(hù),能夠滿足身份認(rèn)證、用戶授權(quán)與訪問控制、數(shù)據(jù)安全傳輸?shù)劝踩枨蟆? 制定統(tǒng)一的身份認(rèn)證、授權(quán)與訪問控制、應(yīng)用層通信加密等應(yīng)用層安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范,改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。 3.7 數(shù)據(jù)管理 系統(tǒng)數(shù)據(jù)備份是重要的安全保障機(jī)制,為了保障業(yè)務(wù)數(shù)據(jù)的安全性,降低突發(fā)意外事件所帶來的安全風(fēng)險,制定統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份標(biāo)準(zhǔn)與規(guī)范,采取先進(jìn)的數(shù)據(jù)備份技術(shù),保證業(yè)務(wù)數(shù)據(jù)和系統(tǒng)軟件的安全性。 3.8 運(yùn)維管理 運(yùn)維管理是在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施建設(shè)完成之后,對

31、運(yùn)行環(huán)境(包括物理網(wǎng)絡(luò),軟硬件環(huán)境等)、業(yè)務(wù)系統(tǒng)等進(jìn)行維護(hù)管理。結(jié)合工作及信息化建設(shè)實(shí)際,建立運(yùn)維管理標(biāo)準(zhǔn)及應(yīng)用制度,采用標(biāo)準(zhǔn)的運(yùn)維管理流程,完善系統(tǒng)運(yùn)維管理體系,保證信息系統(tǒng)安全穩(wěn)定的運(yùn)行。 災(zāi)難是指對網(wǎng)絡(luò)和信息系統(tǒng)造成任何破壞作用的意外事件,要制定詳細(xì)的災(zāi)難恢復(fù)計劃,考慮到數(shù)據(jù)大集中的安全需求,采用異地容災(zāi)備份等技術(shù),確保數(shù)據(jù)的安全性和業(yè)務(wù)的持續(xù)性,在災(zāi)難發(fā)生后,盡快完成恢復(fù)。 制定統(tǒng)一的應(yīng)急響應(yīng)計劃標(biāo)準(zhǔn),建立應(yīng)急響應(yīng)計劃,包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。在發(fā)生安全事件后,盡快作出適當(dāng)?shù)捻憫?yīng),將安全事件的負(fù)面影響降至最低,保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)。 4 總體安全策

32、略 信息安全策略是信息安全建設(shè)的核心,它描述了在信息安全建設(shè)過程中,需要對哪些重要的信息資產(chǎn)進(jìn)行保護(hù),以及如何進(jìn)行保護(hù)。 總體策略的設(shè)計堅持管理與技術(shù)并重的原則,以確保網(wǎng)絡(luò)和信息系統(tǒng)的安全性為主,采用多重保護(hù)、最小授權(quán)、和嚴(yán)格管理等措施,從宏觀整體的角度進(jìn)行闡述,是信息安全建設(shè)總的指導(dǎo)原則。 4.1 物理環(huán)境安全策略 (1)計算機(jī)機(jī)房的建設(shè)必須遵循國家在計算機(jī)機(jī)房場地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn),保證物理環(huán)境安全。 (2)關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計算機(jī)機(jī)房內(nèi)部的適當(dāng)位置,通過物理訪問控制機(jī)制,保證這些設(shè)備自身的安全性。 (3)應(yīng)當(dāng)建

33、立人員出入訪問控制機(jī)制,嚴(yán)格控制人員出入計算機(jī)機(jī)房和其它重要安全區(qū)域,訪問控制機(jī)制還需要能夠提供審計功能,便于檢查和分析。 (4)進(jìn)入機(jī)房的工作人員必須由安全管理員或機(jī)房管理員全程陪同。 (5)機(jī)房內(nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備,如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。 (6)建立計算機(jī)機(jī)房管理制度,對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細(xì)的規(guī)定。 (7)管理機(jī)構(gòu)應(yīng)當(dāng)定期對計算機(jī)機(jī)房各項安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問題,進(jìn)行改進(jìn)。 4.2 通信網(wǎng)絡(luò)安全策略 1

34、、網(wǎng)絡(luò)架構(gòu) (1)應(yīng)核查業(yè)務(wù)高峰時期一段時間內(nèi)主要網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)和防火墻提供網(wǎng)絡(luò)通信功能的設(shè)備 )的 CPU 使用率和內(nèi)存使用率是否滿足需要(如主要網(wǎng)絡(luò)設(shè)備近一年內(nèi)的CPU負(fù)載值均低于60%)并且網(wǎng)絡(luò)設(shè)備從未出現(xiàn)過宕機(jī)情況; (2)核查綜合網(wǎng)管系統(tǒng)(如AD,AC等)各通信鏈路帶寬是否滿足高峰時段的業(yè)務(wù)流量需要(如:接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)帶寬在業(yè)務(wù)高峰期占用低于60%) ; (3)依據(jù)某種原則劃分不同的網(wǎng)絡(luò)區(qū)域; (4)重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間采取可靠的技術(shù)隔離手段,如網(wǎng)閘、防火墻 和設(shè)備訪問控制列表(ACL)等 ; (5)主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余

35、和通信線路冗余。 2、通信傳輸 (1)數(shù)據(jù)傳輸過程中使用校驗(yàn)碼技術(shù)或密碼技術(shù)來保證其完整性。如:客戶端到服務(wù)器、服務(wù)器到服務(wù)器之間要使用SSL等通信; (2)通信過程中對敏感信息字段或整個報文進(jìn)行加密。使用加密設(shè)備對數(shù)據(jù)加密后傳輸。 4.3 區(qū)域邊界安全策略 1、邊界防護(hù) (1)端口級訪問控制:網(wǎng)絡(luò)邊界處部署訪問控制設(shè)備,指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信,該端口配置并啟用了安全策略; (2)控制非法聯(lián)入內(nèi)網(wǎng)、非法聯(lián)入外網(wǎng): (3)無線和有線的邊界應(yīng)該有邊界防護(hù)設(shè)備防護(hù)。 2、訪問控制 (1)啟用邊界訪問控制策略(網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問控制功能的設(shè)備

36、); (2)防火墻對應(yīng)用識別,并對應(yīng)用的內(nèi)容進(jìn)行過濾。 3、入侵防范 (1)檢測網(wǎng)絡(luò)入侵行為(關(guān)鍵節(jié)點(diǎn)部署:入侵保護(hù)系統(tǒng)、入侵檢測系統(tǒng)、抗APT攻擊、抗DDoS攻擊和網(wǎng)絡(luò)回溯等系統(tǒng)或設(shè)備。對內(nèi)外部的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測、防止或限制) 4、惡意代碼和垃圾郵件防護(hù) (1)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署防惡意代碼技術(shù)措施( 防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的設(shè)備或系統(tǒng)); (2)部署了防垃圾郵件設(shè)備或系統(tǒng)。 5、安全審計 (1)部署綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺,對網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進(jìn)行審計。對審計記錄進(jìn)行保護(hù),

37、定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等; (2)部署上網(wǎng)行為管理系統(tǒng)或綜合安全審計系統(tǒng) ,對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析 。 4.4 計算環(huán)境安全策略 (1)應(yīng)當(dāng)對關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計,防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。 (2)應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析機(jī)制,發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞,及時進(jìn)行自我完善。 (3)應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制,及時升級系統(tǒng)版本和補(bǔ)丁程序版本,保持系統(tǒng)軟件的最新狀態(tài)。 (4)應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制,在災(zāi)難事件發(fā)生之后,能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。 (5)可以建立主機(jī)入

38、侵檢測機(jī)制,發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為,以及對主機(jī)發(fā)起的攻擊行為,并及時向管理員報警。 (6)應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。 (7)應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范,包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。 (8)應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范,約束和指導(dǎo)用戶使用桌面系統(tǒng),并對其進(jìn)行正確有效的配置和管理。 (9)管理機(jī)構(gòu)應(yīng)當(dāng)定期對各項系統(tǒng)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問題,進(jìn)行改進(jìn)。 (10)應(yīng)用系統(tǒng)必須在登錄時要求輸入用戶名和口令。登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證(如用戶名口令+Ukey或

39、用戶名口令+IP與MAC地址綁定方式)。 (11)應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶,不能名稱相同,且不能出現(xiàn)多人使用同一賬戶的情況;應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能;應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施。 (12)應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。 (13)應(yīng)用系統(tǒng)必須開啟日志審計功能;應(yīng)用系統(tǒng)存儲用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他用途時,必須清楚內(nèi)部存儲的信息。 (14)在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù),避免硬件的單點(diǎn)故障導(dǎo)致服務(wù)中斷。 (15)綜合考慮性能和管理等因素,

40、采用先進(jìn)的系統(tǒng)和數(shù)據(jù)備份技術(shù),在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機(jī)制,防止數(shù)據(jù)出現(xiàn)邏輯損壞。 (16)業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份,以便發(fā)生問題時進(jìn)行恢復(fù);數(shù)據(jù)備份至其他設(shè)備上時,必須使用專門的備份通道,保證數(shù)據(jù)傳輸?shù)耐暾?;?shù)據(jù)本機(jī)備份時應(yīng)檢測其完整性;數(shù)據(jù)備份時必須使用專業(yè)的備份設(shè)備和工具,在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時,都必須是加密傳輸和存儲。 (17)建立災(zāi)難恢復(fù)計劃,提供災(zāi)難恢復(fù)手段,在災(zāi)難事件發(fā)生之后,快速對被破壞的信息系統(tǒng)進(jìn)行恢復(fù)。對人員進(jìn)行災(zāi)難恢復(fù)培訓(xùn),定期進(jìn)行災(zāi)難恢復(fù)的模擬演練。 (18)應(yīng)當(dāng)建立專門崗位,負(fù)責(zé)用戶權(quán)限管理,以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。

41、 (19)建立日常數(shù)據(jù)備份管理制度,對備份周期和介質(zhì)保管進(jìn)行統(tǒng)一規(guī)定。 (20)應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機(jī)制,實(shí)現(xiàn)全網(wǎng)范圍內(nèi)的病毒防治,抑止病毒的傳播。 4.5 安全管理中心策略 (1)配備集中系統(tǒng)和設(shè)備管理功能的工具或平臺,系統(tǒng)或平臺需要有三權(quán)分立(系統(tǒng)管理員、審計管理員、安全管理員),份角色通過管理工具或平臺進(jìn)行相關(guān)審計安全審計操作 。(運(yùn)維堡壘機(jī)、SOC平臺、日志審計系統(tǒng)等) (2)劃分安全管理運(yùn)維區(qū),對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控。(堡壘機(jī)、SC 等) (3)網(wǎng)絡(luò)中是否劃分單獨(dú)的管理VLAN用于對安全設(shè)備或安全組件進(jìn)行管理;使用獨(dú)立的帶外管理網(wǎng)絡(luò)對安全設(shè)備或安全組件進(jìn)行管理(如運(yùn)維堡壘機(jī)等) ; (4)部署具備運(yùn)行狀態(tài)監(jiān)測功能的系統(tǒng)或設(shè)備,能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測( APM,堡壘機(jī)、綜合網(wǎng)管系統(tǒng)等); (5)部署日志審計系統(tǒng),日志保留60天以上且不間斷; (6)部署網(wǎng)絡(luò)版防病毒系統(tǒng)和補(bǔ)丁統(tǒng)一更新系統(tǒng)對; (7)部署安全感知平臺對對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析; (8)確保范圍內(nèi)統(tǒng)一使用了唯一確定的時鐘源(如部署NTP時鐘服務(wù)器) 5 附則 本文件由XXX單位信息中心負(fù)責(zé)解釋與修訂。 本文件自頒布之日起發(fā)布執(zhí)行。 20 / 20

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!