網(wǎng)絡(luò)安全工作總體方針和安全策略

-CAL-FENGHAI.-(YICAI)-CompanyOne1

-CAL-本頁僅作為文檔封面，使用請直接刪除-CAL-FENGHAI.-(YICAI)-CompanyOne1

-CAL-本頁僅作為文檔封面，使用請直接刪除網(wǎng)絡(luò)安全工作總體方針和安全策略-CAL-FENGHAI.-(YICAI)-CompanyOne1

-CAL-本頁僅作為文檔封面，使用請直接刪除-CAL-FENGHAI.-(YICAI)-CompanyOne1

-CAL-本頁僅作為文檔封面，使用請直接刪除網(wǎng)絡(luò)安全工作總體方針和安全策略(總20頁)XXX單位網(wǎng)絡(luò)安全工作總體方針和安全策略目錄1 總則 1 目標(biāo) 1 適用范圍 1 建設(shè)思路 1 建設(shè)原則 3 建設(shè)目標(biāo) 42 安全體系框架 5 安全模型 5 安全體系框架 73 建設(shè)內(nèi)容 13 組織機(jī)構(gòu) 13 人員管理 13 物理管理 13 網(wǎng)絡(luò)管理 14 系統(tǒng)管理 14 應(yīng)用管理 14 數(shù)據(jù)管理 14 運(yùn)維管理 154 總體安全策略 15 物理環(huán)境安全策略 15 通信網(wǎng)絡(luò)安全策略 16 區(qū)域邊界安全策略 17 計算環(huán)境安全策略 18 安全管理中心策略 195 附則 20總則為加強(qiáng)和規(guī)范XXX單位網(wǎng)絡(luò)安全工作，提高網(wǎng)絡(luò)安全防護(hù)水平，實(shí)現(xiàn)網(wǎng)絡(luò)安全的可控、能控、在控，依據(jù)國家有關(guān)法律、法規(guī)的要求，制定本文檔。目標(biāo)以滿足業(yè)務(wù)運(yùn)行要求，遵守行業(yè)規(guī)程，實(shí)施等級保護(hù)及風(fēng)險管理，確保網(wǎng)絡(luò)安全以及實(shí)現(xiàn)持續(xù)改進(jìn)的目的等內(nèi)容作為本單位網(wǎng)絡(luò)安全工作的總體方針。以信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷為總體目標(biāo)。適用范圍本文檔適用于網(wǎng)絡(luò)安全方案規(guī)劃、安全建設(shè)實(shí)施和安全策略的制定。在全單位范圍內(nèi)給予執(zhí)行，由信息安全領(lǐng)導(dǎo)小組對該項工作的落實(shí)和執(zhí)行進(jìn)行監(jiān)督，由技術(shù)部配合信息安全領(lǐng)導(dǎo)小組對本案的有效性進(jìn)行持續(xù)改進(jìn)。建設(shè)思路XXX單位信息安全建設(shè)工作的總體思路如下圖所示：信息化建設(shè)是基于當(dāng)前通用的網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)技術(shù)，針對安全性問題和支撐安全技術(shù)，通過安全評估，對信息化建設(shè)和信息安全建設(shè)進(jìn)行分析和總結(jié)，其中包括對建設(shè)現(xiàn)狀和發(fā)展趨勢的完整分析，歸納出系統(tǒng)中當(dāng)前存在和今后可能存在的安全問題，明確網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營所面臨的安全風(fēng)險級別。從支撐性安全技術(shù)展開，對現(xiàn)有網(wǎng)絡(luò)和信息技術(shù)的固有缺陷出發(fā)，總結(jié)了普遍存在的安全威脅，并根據(jù)其它系統(tǒng)中的信息安全建設(shè)實(shí)踐中的經(jīng)驗(yàn)，從信息安全領(lǐng)域的完整框架、思路、技術(shù)和理念出發(fā)，提供完整的安全建設(shè)思路和方法。在此基礎(chǔ)之上，對信息安全領(lǐng)域的理論、框架和技術(shù)基礎(chǔ)與XXX單位的安全問題有機(jī)地進(jìn)行結(jié)合，有針對性地提出XXX單位安全保障總體策略。安全保障總體策略包括了整體建設(shè)目標(biāo)，安全技術(shù)策略，以及相應(yīng)的管理策略。 以安全保障總體策略為核心，分三個方面進(jìn)行整體信息安全體系框架的制定，包括安全技術(shù)體系，安全管理體系和運(yùn)營保障體系。在現(xiàn)實(shí)的運(yùn)營過程中，安全保障不能夠純粹依靠安全技術(shù)來解決，更需要適當(dāng)?shù)陌踩芾?，相互結(jié)合來提高整體安全性效果。 在信息安全體系框架的指導(dǎo)下，依據(jù)相應(yīng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，規(guī)劃和制定詳細(xì)的信息安全系統(tǒng)實(shí)施方案和運(yùn)營維護(hù)計劃。 信息安全體系建設(shè)的思路體現(xiàn)了以下的特點(diǎn)：統(tǒng)籌規(guī)劃和設(shè)計在建設(shè)過程中占有非常重要的地位；充分結(jié)合建設(shè)現(xiàn)狀與信息安全通用技術(shù)和理念；充分考慮了當(dāng)前的建設(shè)現(xiàn)狀以及未來業(yè)務(wù)發(fā)展的需要；注重安全管理體系的建設(shè)，以及管理、技術(shù)和保障的相互結(jié)合。建設(shè)原則信息系統(tǒng)安全堅持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級、分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級保護(hù)制度。信息安全體系的建設(shè)，涉及面廣、工作量大，必須堅持以下的原則，保證建設(shè)和運(yùn)營的效果。統(tǒng)一規(guī)劃要對的信息安全體系建設(shè)進(jìn)行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。同時，還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，使得信息安全體系建設(shè)能夠遵循一致的標(biāo)準(zhǔn)，管理能夠遵循一致的規(guī)范。分步有序?qū)嵤┬畔踩w系的建設(shè)，內(nèi)容龐雜，必須堅持分步驟的有序?qū)嵤┰瓌t，循序漸進(jìn)地進(jìn)行。基于安全需求依據(jù)信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性以及可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。技術(shù)管理并重僅有全面的安全技術(shù)和機(jī)制是遠(yuǎn)遠(yuǎn)不夠的，安全管理也具有同樣的重要性，XXX單位信息安全體系的建設(shè)，必須遵循安全技術(shù)和安全管理并重的原則。制定統(tǒng)一的安全建設(shè)管理規(guī)范，指導(dǎo)的安全管理工作。突出安全保障信息安全體系建設(shè)要突出安全保障的重要性，通過數(shù)據(jù)備份、冗余設(shè)計、應(yīng)急響應(yīng)、安全審計、災(zāi)難恢復(fù)等安全保障機(jī)制，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。持續(xù)改進(jìn)信息系統(tǒng)安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，應(yīng)及時地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。依法管理信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會影響。自保護(hù)和國家監(jiān)管結(jié)合對信息系統(tǒng)安全實(shí)行自保護(hù)和國家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國家信息安全。建設(shè)目標(biāo)根據(jù)XXX單位信息安全體系建設(shè)需求和原則，XXX單位信息安全的建設(shè)目標(biāo)，可以用“一個目標(biāo)、兩種手段、三個體系”進(jìn)行概括。一個目標(biāo)XXX單位信息安全的建設(shè)目標(biāo)是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺各個層面，以及保護(hù)、檢測、響應(yīng)、恢復(fù)等各個環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高XXX單位信息系統(tǒng)的整體安全等級，為XXX單位的業(yè)務(wù)發(fā)展提供堅實(shí)的信息安全保障。兩種手段信息安全體系的建設(shè)應(yīng)該包括安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實(shí)施同時需要有技術(shù)手段來監(jiān)管和驗(yàn)證，兩者相輔相成，缺一不可。三個體系XXX單位信息安全體系的建設(shè)最終形成3個主要體系，具體包括安全技術(shù)體系、安全管理體系、以及運(yùn)行保障體系。安全體系框架XXX單位進(jìn)行信息安全建設(shè)的目標(biāo)是建立起一個全面、有效的信息安全體系，在這個體系中，包括了安全技術(shù)、安全管理、人員組織、教育培訓(xùn)、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進(jìn)行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標(biāo)準(zhǔn)、組織機(jī)構(gòu)、管理規(guī)范、人員崗位配備、實(shí)施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進(jìn)行，才能夠使得信息安全體系發(fā)揮最優(yōu)的保障效果。安全模型根據(jù)XXX單位信息安全體系建設(shè)目標(biāo)和總體安全策略，建立了與之對應(yīng)的目標(biāo)模型，稱為WP2DRR安全模型，該模型是基于時間的，由預(yù)警（Warning）、策略（Policy）、保護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）六個要素環(huán)節(jié)構(gòu)成了一個完整的、動態(tài)的信息安全體系。預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。Policy(安全策略)：根據(jù)風(fēng)險分析和評估產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對它們的保護(hù)等。在WP2DRR安全模型中，策略處于核心地位，所有的防護(hù)、檢測、響應(yīng)、恢復(fù)都依據(jù)安全策略展開實(shí)施，安全策略為安全管理提供管理方向和支持手段。Warining（預(yù)警）：根據(jù)以前所掌握的系統(tǒng)的弱點(diǎn)和當(dāng)前了解的犯罪趨勢預(yù)測未來可能受到的攻擊和及危害。包括風(fēng)險分析、病毒預(yù)報、黑客入侵趨勢預(yù)報和情況通報、系統(tǒng)弱點(diǎn)報告和補(bǔ)丁到位。Protection（防護(hù)）：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計開發(fā)和安裝安全系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點(diǎn)；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)控等手段來防止惡意威脅。Detection（檢測）：檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過檢測和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時做出有效的響應(yīng)。Response（響應(yīng)）：響應(yīng)是對安全事件做出反應(yīng)，包括對檢測到的系統(tǒng)異?；蛘吖粜袨樽龀鲰憫?yīng)動作，以及處理突發(fā)的安全事件。恰當(dāng)?shù)捻憫?yīng)動作和響應(yīng)流程可以降低安全事件的不良影響，加強(qiáng)對重要資源的保護(hù)。Recovery（恢復(fù)）：災(zāi)難恢復(fù)能力直接決定了業(yè)務(wù)應(yīng)用的持續(xù)可用性，任何意外的突發(fā)事件都可能造成服務(wù)中斷和數(shù)據(jù)受損，優(yōu)秀的災(zāi)難恢復(fù)計劃能夠針對災(zāi)難事件做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)遭受破壞，也能夠在最短的時間內(nèi)，完成恢復(fù)操作。WP2DRR安全模型的特點(diǎn)就是動態(tài)性和基于時間的特性。它闡述了這樣一個結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時間，盡量減少檢測時間和響應(yīng)時間。WP2DRR模型是在傳統(tǒng)的P2DR模型的基礎(chǔ)上新增加了預(yù)警Warning和恢復(fù)Recover，增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。安全目標(biāo)模型是信息安全體系框架的基礎(chǔ)，XXX單位的信息安全體系框架緊密圍繞這個安全模型的6個要素環(huán)節(jié)進(jìn)行設(shè)計，每個要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系中體現(xiàn)出來。安全體系框架通過對XXX單位的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險的分析，根據(jù)安全保障目標(biāo)模型，制定了XXX單位信息安全體系框架，制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營。該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動、相互依賴、不可分割的信息安全保障要素組成。在此框架中，以安全策略為指導(dǎo)，融會了安全技術(shù)、安全管理和運(yùn)行保障三個層次的安全體系，達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。XXX單位信息安全體系框架的總體結(jié)構(gòu)如下圖所示：安全策略在這個框架中，安全策略是指導(dǎo)。安全策略與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這三大體系之間的關(guān)系也是相互作用的。一方面，三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)；另一方面，安全策略本身也有包括草案設(shè)計、評審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時性和有效性。安全技術(shù)體系安全技術(shù)體系是整個信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這三個部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助，在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)，從物理和通信安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)，主機(jī)系統(tǒng)安全防護(hù)，應(yīng)用安全防護(hù)等多個層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備，對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機(jī)制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運(yùn)作，可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。安全管理體系安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的設(shè)計立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。技術(shù)和管理是相互結(jié)合的，一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。在XXX單位信息安全體系框架中，安全管理體系的設(shè)計充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799（ISO17799）》的建議要求。XXX單位信息安全管理體系由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標(biāo)和安全控制。每個安全目標(biāo)都有若干安全控制與其相對應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。信息安全管理體系一共包括了12項管理類：安全策略與制度，確保XXX單位擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。安全風(fēng)險管理，信息安全建設(shè)不是避免風(fēng)險的過程，而是管理風(fēng)險的過程。沒有絕對的安全，風(fēng)險總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險控制在可以接受的范圍之內(nèi)。風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。人員和組織安全管理，建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對第三方人員進(jìn)行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的信息安全風(fēng)險。環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。網(wǎng)絡(luò)和通信安全管理，控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對XXX單位業(yè)務(wù)系統(tǒng)的損害。主機(jī)和系統(tǒng)安全管理，控制和保護(hù)XXX單位的計算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。應(yīng)用和業(yè)務(wù)安全管理，對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其收到破壞和濫用。數(shù)據(jù)安全和加密管理，采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。項目工程安全管理，保護(hù)信息系統(tǒng)項目工程過程的安全，確保項目的成果是可靠的安全系統(tǒng)。運(yùn)行和維護(hù)安全管理，保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。業(yè)務(wù)連續(xù)性管理管理，通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。合規(guī)性（符合性）管理，確保XXX單位的信息安全保障工作符合國家法律、法規(guī)的要求；且XXX單位的信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。12項信息安全管理類之間的關(guān)系，如下圖所示。 12項信息安全管理類的作用關(guān)系為：方針和策略：是XXX單位整個信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對于其它所有的信息安全管理類都有指導(dǎo)和約束關(guān)系。人員和組織管理：是要依據(jù)方針和策略來執(zhí)行信息安全管理工作。合規(guī)性：指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果。特別是對于國家法律法規(guī)、方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。根據(jù)“方針和策略”，由“人員和組織”實(shí)施信息安全管理工作。在實(shí)施中主要從兩個角度來考慮問題，即風(fēng)險管理和業(yè)務(wù)連續(xù)性管理。根據(jù)信息系統(tǒng)的生命周期，可以將信息系統(tǒng)劃分為兩個階段，即項目工程開發(fā)階段和運(yùn)行維護(hù)階段。這兩個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。最終所有的信息安全管理工作都作用在信息系統(tǒng)之上。信息系統(tǒng)可以劃分成5個層次，從底層到上層依次為環(huán)境與設(shè)備管理、網(wǎng)絡(luò)與通信管理、主機(jī)與系統(tǒng)管理、應(yīng)用與業(yè)務(wù)管理、數(shù)據(jù)/文檔/介質(zhì)管理。這5個信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的層次性。運(yùn)行保障體系運(yùn)行與保障體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等，運(yùn)行和保障體系對于XXX單位網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運(yùn)營提供了重要的保障手段。建設(shè)實(shí)施規(guī)劃建設(shè)實(shí)施規(guī)劃是在安全管理體系、安全技術(shù)體系、運(yùn)行保障體系設(shè)計的基礎(chǔ)上進(jìn)一步制定的建設(shè)步驟和實(shí)施方案。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。 任何信息安全建設(shè)都需要人員負(fù)責(zé)管理和實(shí)施，因此，首先應(yīng)該建立信息安全工作監(jiān)管組織機(jī)構(gòu)，明確各級管理機(jī)構(gòu)的人員配備，職能和責(zé)任。其中信息安全管理機(jī)構(gòu)負(fù)責(zé)信息安全策略的審核與頒布、統(tǒng)一技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的制定、指導(dǎo)和監(jiān)督信息安全建設(shè)工作、對信息安全系統(tǒng)進(jìn)行監(jiān)控與審計管理。然后，對所有員工進(jìn)行基本安全教育，為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)，提高全員的安全意識，打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊伍。 信息安全體系建設(shè)，應(yīng)該首先從物理環(huán)境安全建設(shè)入手，確保機(jī)房建設(shè)按照的統(tǒng)一標(biāo)準(zhǔn)進(jìn)行建設(shè)，并且按照統(tǒng)一的管理規(guī)范進(jìn)行管理。 接下來應(yīng)該進(jìn)行網(wǎng)絡(luò)安全建設(shè)，應(yīng)該對計算機(jī)網(wǎng)絡(luò)的安全域進(jìn)行劃分，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，確保內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界清晰；在各安全域的邊界處部署防火墻、網(wǎng)絡(luò)入侵檢測等安全產(chǎn)品，形成立體的區(qū)域邊界保護(hù)機(jī)制，對各安全域進(jìn)行邏輯安全隔離，禁止未授權(quán)的網(wǎng)絡(luò)訪問；在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)脆弱性分析工具，定期對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查，并采取措施及時彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。在進(jìn)行網(wǎng)絡(luò)安全建設(shè)的同時，可以進(jìn)行系統(tǒng)安全建設(shè)，在內(nèi)部網(wǎng)絡(luò)中全面部署網(wǎng)絡(luò)病毒查殺系統(tǒng)，有效抑制計算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)中傳播，避免對系統(tǒng)和數(shù)據(jù)造成損害；另外，主機(jī)系統(tǒng)管理員還應(yīng)該按照主機(jī)系統(tǒng)管理規(guī)范的要求，借助主機(jī)脆弱性分析和安全加固工具，定期對主機(jī)系統(tǒng)進(jìn)行檢查，更新安全漏洞補(bǔ)丁的級別，修正不當(dāng)?shù)南到y(tǒng)和服務(wù)配置，查看和分析系統(tǒng)審計日志，控制和保證主機(jī)系統(tǒng)的良好安全狀態(tài)。 應(yīng)用安全建設(shè)包括建立身份認(rèn)證系統(tǒng)、應(yīng)用授權(quán)和訪問控制系統(tǒng)、數(shù)據(jù)安全傳輸系統(tǒng)等，對業(yè)務(wù)應(yīng)用系統(tǒng)和內(nèi)部信息管理系統(tǒng)提供各種安全服務(wù)。 按照的統(tǒng)一標(biāo)準(zhǔn)，建立安全審計與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計劃、安全事件應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃等安全保障機(jī)制，重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)，保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。建設(shè)內(nèi)容XXX單位的信息安全建設(shè)所涉及的工作內(nèi)容包括以下部分。組織機(jī)構(gòu)建立專職的信息安全監(jiān)管機(jī)構(gòu)，明確各級管理機(jī)構(gòu)的人員崗位配置和職能權(quán)限，全面負(fù)責(zé)信息安全建設(shè)工作和維護(hù)信息安全系統(tǒng)的運(yùn)營。人員管理依據(jù)信息系統(tǒng)安全等級保護(hù)要求，對人員錄用、考核、培訓(xùn)、離崗等一系列管理進(jìn)行規(guī)范性要求。制定統(tǒng)一的人員安全管理和教育培訓(xùn)規(guī)范，定期對信息系統(tǒng)的用戶進(jìn)行安全教育和培訓(xùn)，對普通用戶進(jìn)行基本的安全教育，對安全技術(shù)崗位的用戶進(jìn)行崗位技能培訓(xùn)，提高全員的安全意識，培養(yǎng)高素質(zhì)的安全技術(shù)和管理隊伍。物理管理按照國家對于計算機(jī)機(jī)房的相關(guān)建設(shè)標(biāo)準(zhǔn)，制定統(tǒng)一的計算機(jī)機(jī)房建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，對于計算機(jī)機(jī)房建設(shè)中的環(huán)境參數(shù)、保障機(jī)制，以及運(yùn)行過程中的人員訪問控制、監(jiān)控措施等進(jìn)行統(tǒng)一約定，頒布統(tǒng)一的計算機(jī)機(jī)房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細(xì)的規(guī)定。網(wǎng)絡(luò)管理網(wǎng)絡(luò)安全是信息安全保障的重點(diǎn)，制定統(tǒng)一的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)標(biāo)準(zhǔn)，對如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域，安全區(qū)域的邊界采取的隔離措施，進(jìn)行約定，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng)之間的安全隔離。制定統(tǒng)一的互聯(lián)網(wǎng)接入點(diǎn)、外聯(lián)網(wǎng)接入點(diǎn)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，統(tǒng)一約定網(wǎng)絡(luò)邊界接入點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、安全產(chǎn)品的部署模式，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。制定統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，包括防火墻、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)脆弱性分析、網(wǎng)絡(luò)層加密等。系統(tǒng)管理系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機(jī)入侵檢測、系統(tǒng)安全漏洞分析和加固，提升服務(wù)器主機(jī)系統(tǒng)的安全級別。制定統(tǒng)一的網(wǎng)絡(luò)病毒查殺系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，有效抑制計算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和蔓延。應(yīng)用管理應(yīng)用安全機(jī)制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護(hù)，能夠滿足身份認(rèn)證、用戶授權(quán)與訪問控制、數(shù)據(jù)安全傳輸?shù)劝踩枨?。制定統(tǒng)一的身份認(rèn)證、授權(quán)與訪問控制、應(yīng)用層通信加密等應(yīng)用層安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)備份是重要的安全保障機(jī)制，為了保障業(yè)務(wù)數(shù)據(jù)的安全性，降低突發(fā)意外事件所帶來的安全風(fēng)險，制定統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份標(biāo)準(zhǔn)與規(guī)范，采取先進(jìn)的數(shù)據(jù)備份技術(shù)，保證業(yè)務(wù)數(shù)據(jù)和系統(tǒng)軟件的安全性。運(yùn)維管理運(yùn)維管理是在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施建設(shè)完成之后，對運(yùn)行環(huán)境（包括物理網(wǎng)絡(luò)，軟硬件環(huán)境等）、業(yè)務(wù)系統(tǒng)等進(jìn)行維護(hù)管理。結(jié)合工作及信息化建設(shè)實(shí)際，建立運(yùn)維管理標(biāo)準(zhǔn)及應(yīng)用制度，采用標(biāo)準(zhǔn)的運(yùn)維管理流程，完善系統(tǒng)運(yùn)維管理體系，保證信息系統(tǒng)安全穩(wěn)定的運(yùn)行。災(zāi)難是指對網(wǎng)絡(luò)和信息系統(tǒng)造成任何破壞作用的意外事件，要制定詳細(xì)的災(zāi)難恢復(fù)計劃，考慮到數(shù)據(jù)大集中的安全需求，采用異地容災(zāi)備份等技術(shù)，確保數(shù)據(jù)的安全性和業(yè)務(wù)的持續(xù)性，在災(zāi)難發(fā)生后，盡快完成恢復(fù)。制定統(tǒng)一的應(yīng)急響應(yīng)計劃標(biāo)準(zhǔn)，建立應(yīng)急響應(yīng)計劃，包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。在發(fā)生安全事件后，盡快作出適當(dāng)?shù)捻憫?yīng)，將安全事件的負(fù)面影響降至最低，保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)?？傮w安全策略信息安全策略是信息安全建設(shè)的核心，它描述了在信息安全建設(shè)過程中，需要對哪些重要的信息資產(chǎn)進(jìn)行保護(hù)，以及如何進(jìn)行保護(hù)?？傮w策略的設(shè)計堅持管理與技術(shù)并重的原則，以確保網(wǎng)絡(luò)和信息系統(tǒng)的安全性為主，采用多重保護(hù)、最小授權(quán)、和嚴(yán)格管理等措施，從宏觀整體的角度進(jìn)行闡述，是信息安全建設(shè)總的指導(dǎo)原則。物理環(huán)境安全策略（1）計算機(jī)機(jī)房的建設(shè)必須遵循國家在計算機(jī)機(jī)房場地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn)，保證物理環(huán)境安全。（2）關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計算機(jī)機(jī)房內(nèi)部的適當(dāng)位置，通過物理訪問控制機(jī)制，保證這些設(shè)備自身的安全性。（3）應(yīng)當(dāng)建立人員出入訪問控制機(jī)制，嚴(yán)格控制人員出入計算機(jī)機(jī)房和其它重要安全區(qū)域，訪問控制機(jī)制還需要能夠提供審計功能，便于檢查和分析。（4）進(jìn)入機(jī)房的工作人員必須由安全管理員或機(jī)房管理員全程陪同。（5）機(jī)房內(nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。（6）建立計算機(jī)機(jī)房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細(xì)的規(guī)定。（7）管理機(jī)構(gòu)應(yīng)當(dāng)定期對計算機(jī)機(jī)房各項安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。通信網(wǎng)絡(luò)安全策略1、網(wǎng)絡(luò)架構(gòu)（1）應(yīng)核查業(yè)務(wù)高峰時期一段時間內(nèi)主要網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)和防火墻提供網(wǎng)絡(luò)通信功能的設(shè)備）的CPU使用率和內(nèi)存使用率是否滿足需要（如主要網(wǎng)絡(luò)設(shè)備近一年內(nèi)的CPU負(fù)載值均低于60%）并且網(wǎng)絡(luò)設(shè)備從未出現(xiàn)過宕機(jī)情況；（2）核查綜合網(wǎng)管系統(tǒng)（如AD，AC等）各通信鏈路帶寬是否滿足高峰時段的業(yè)務(wù)流量需要（如：接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)帶寬在業(yè)務(wù)高峰期占用低于60%）；（3）依據(jù)某種原則劃分不同的網(wǎng)絡(luò)區(qū)域；（4）重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻和設(shè)備訪問控制列表(ACL)等；（5）主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余和通信線路冗余。2、通信傳輸（1）數(shù)據(jù)傳輸過程中使用校驗(yàn)碼技術(shù)或密碼技術(shù)來保證其完整性。如：客戶端到服務(wù)器、服務(wù)器到服務(wù)器之間要使用SSL等通信；（2）通信過程中對敏感信息字段或整個報文進(jìn)行加密。使用加密設(shè)備對數(shù)據(jù)加密后傳輸。區(qū)域邊界安全策略1、邊界防護(hù)（1）端口級訪問控制：網(wǎng)絡(luò)邊界處部署訪問控制設(shè)備，指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，該端口配置并啟用了安全策略;（2）控制非法聯(lián)入內(nèi)網(wǎng)、非法聯(lián)入外網(wǎng)：（3）無線和有線的邊界應(yīng)該有邊界防護(hù)設(shè)備防護(hù)。2、訪問控制（1）啟用邊界訪問控制策略（網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問控制功能的設(shè)備）；（2）防火墻對應(yīng)用識別，并對應(yīng)用的內(nèi)容進(jìn)行過濾。3、入侵防范（1）檢測網(wǎng)絡(luò)入侵行為（關(guān)鍵節(jié)點(diǎn)部署：入侵保護(hù)系統(tǒng)、入侵檢測系統(tǒng)、抗APT攻擊、抗DDoS攻擊和網(wǎng)絡(luò)回溯等系統(tǒng)或設(shè)備。對內(nèi)外部的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測、防止或限制）4、惡意代碼和垃圾郵件防護(hù)（1）關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署防惡意代碼技術(shù)措施（防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的設(shè)備或系統(tǒng)）；（2）部署了防垃圾郵件設(shè)備或系統(tǒng)。5、安全審計（1）部署綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺，對網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；（2）部署上網(wǎng)行為管理系統(tǒng)或綜合安全審計系統(tǒng)，對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析。計算環(huán)境安全策略（1）應(yīng)當(dāng)對關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計，防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。（2）應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析機(jī)制，發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞，及時進(jìn)行自我完善。（3）應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制，及時升級系統(tǒng)版本和補(bǔ)丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)。（4）應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制，在災(zāi)難事件發(fā)生之后，能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。（5）可以建立主機(jī)入侵檢測機(jī)制，發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為，以及對主機(jī)發(fā)起的攻擊行為，并及時向管理員報警。（6）應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。（7）應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。（8）應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對其進(jìn)行正確有效的配置和管理。（9）管理機(jī)構(gòu)應(yīng)當(dāng)定期對各項系統(tǒng)安全管理制