企業(yè)IT信息安全規(guī)劃PPT課件.pptx

1、目錄,XX集團(tuán)信息化藍(lán)圖架構(gòu) 信息安全規(guī)劃 信息安全目標(biāo)框架及設(shè)計(jì)目標(biāo) 信息安全目標(biāo)體系 XX容災(zāi)體系,應(yīng)用系統(tǒng),信息化建設(shè)目標(biāo),IT安全,信息安全 管理,信息安全 技術(shù),支持類,運(yùn)營(yíng)類,決策類,專業(yè)類,信息化藍(lán)圖分類之（五）IT安全,IT治理,IT組織 機(jī)構(gòu),IT人員,IT流程和制度,IT運(yùn)維,企業(yè)服務(wù)平臺(tái),企業(yè)服務(wù)總線（ESB）,業(yè)務(wù)流程管理（BPM）,基礎(chǔ)設(shè)施平臺(tái),數(shù)據(jù)中心,基礎(chǔ)架構(gòu),安全與管理,網(wǎng)絡(luò)與鏈路,桌面終端,XX集團(tuán)信息安全體系框架及設(shè)計(jì)目標(biāo),基于XX集團(tuán)信息化安全的現(xiàn)狀和設(shè)計(jì)原則，提出信息安全未來(lái)建設(shè)目標(biāo),制定和實(shí)施符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)基本要求以及XX集團(tuán)信息系統(tǒng)現(xiàn)狀

2、的安全管理策略和規(guī)范 在信息中心設(shè)置信息安全崗位，并完善職責(zé)規(guī)范 制定明確的信息安全策略，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和審核，并制定持續(xù)改進(jìn)計(jì)劃,對(duì)關(guān)鍵的安全技術(shù)平臺(tái)防病毒、防火墻、入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)，統(tǒng)一的安全產(chǎn)品選型、統(tǒng)一的安全產(chǎn)品部署、統(tǒng)一的安全策略發(fā)布 統(tǒng)一的內(nèi)部基礎(chǔ)網(wǎng)絡(luò)規(guī)劃，對(duì)不同安全要求的內(nèi)網(wǎng)接入進(jìn)行訪問(wèn)控制管理 建設(shè)滿足業(yè)務(wù)需求的信息系統(tǒng)災(zāi)難恢復(fù)能力,安全管理制度,安全管理機(jī)構(gòu),人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,物理層面安全控制,網(wǎng)絡(luò)層面安全控制,主機(jī)層面安全控制,應(yīng)用層面安全控制,數(shù)據(jù)層面安全控制,信息安全管理對(duì)象與原則介紹,安全管理的職責(zé)分離原則,對(duì)于一些涉及敏感數(shù)據(jù)處理的計(jì)算

3、機(jī)系統(tǒng)安全管理而言，以下工作應(yīng)分開(kāi)進(jìn)行： 系統(tǒng)的操作和系統(tǒng)的開(kāi)發(fā)相分離。這樣系統(tǒng)的開(kāi)發(fā)者即使知道系統(tǒng)有那些安全漏洞也沒(méi)有機(jī)會(huì)利用； 機(jī)密資料的接受和傳送相分離。這樣任何一方都無(wú)法對(duì)資料進(jìn)行篡改； 安全管理和系統(tǒng)管理相分離。這樣可使制定安全措施的人并不能親自實(shí)施這些安全措施而對(duì)其起到制約的作用； 系統(tǒng)操作和備份管理相分離。結(jié)合日志管理，以實(shí)現(xiàn)對(duì)數(shù)據(jù)處理過(guò)程的監(jiān)督； 除要符合中國(guó)的安全規(guī)范外，還要符合國(guó)際的規(guī)范，如ISO27001、ISO17799等。郵件系統(tǒng)要避免出現(xiàn)列入黑名單的情況。,安全管理的多人負(fù)責(zé)原則、任期有限原則,多人負(fù)責(zé)原則： 出于相互監(jiān)督和相互備份的考慮，如只有單人負(fù)責(zé)，則若發(fā)生安

4、全問(wèn)題時(shí)此人不在崗就不能處理，或者他本人有安全問(wèn)題時(shí)，很難察覺(jué)。 任期有限原則： 出于監(jiān)督的目的，負(fù)責(zé)系統(tǒng)安全和系統(tǒng)管理的人員要有一定的輪換制度，以防止由單人長(zhǎng)期負(fù)責(zé)一個(gè)系統(tǒng)的安全而造成的漏洞。,安全管理對(duì)象,安全管理的對(duì)象是整個(gè)系統(tǒng)而不是系統(tǒng)中的某個(gè)或某些元素。系統(tǒng)的所有構(gòu)成要素都是管理的對(duì)象，從系統(tǒng)內(nèi)部看，安全管理涉及計(jì)算機(jī)、網(wǎng)絡(luò)、操作、人事和信息資源；從外部環(huán)境看，安全管理涉及法律、道德、文化傳統(tǒng)和社會(huì)制度等方面的內(nèi)容,信息安全管理是一個(gè)持續(xù)性的閉環(huán)過(guò)程,信息安全管理,信息安全管理可定義為具有四個(gè)主要階段的持續(xù)過(guò)程： 評(píng)估風(fēng)險(xiǎn)：識(shí)別組織的風(fēng)險(xiǎn)并區(qū)分其嚴(yán)重程度。 這些風(fēng)險(xiǎn)可能與特定的IT系

5、統(tǒng)和資產(chǎn)相關(guān)或無(wú)關(guān)； 決策支持：根據(jù)定義的成本-收益分析過(guò)程確定并選擇控制解決方案； 實(shí)施控制：部署并操作全面的控制解決方案以降低信息安全風(fēng)險(xiǎn)； 衡量評(píng)測(cè)：確定并報(bào)告已部署的控制措施的有效性，以將風(fēng)險(xiǎn)管理至可接受的級(jí)別。,為保障信息安全制度的執(zhí)行和落實(shí)，必需明確信息安全職能，建立相應(yīng)的信息安全組織,對(duì)標(biāo)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)基本要求，當(dāng)前XX基本建立相應(yīng)信息安全的組織和職能,信息安全現(xiàn)狀評(píng)估安全管理,差距概述,現(xiàn)狀總體評(píng)價(jià)：XX已經(jīng)編制信息安全管理規(guī)范，并已于2009年啟動(dòng)推廣；XX信息系統(tǒng)建設(shè)和運(yùn)維的安全管理力度相對(duì)薄弱；安全管理人員配置不夠；相關(guān)流程和制度的執(zhí)行有待改善。,主要存在的問(wèn)題

6、：,初步改進(jìn)建議：,目前XX內(nèi)部已建立專職的信息安全組織和人員，但從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認(rèn)證的覆蓋比例不夠。 XX信息系統(tǒng)建設(shè)和運(yùn)維的安全管理力度相對(duì)薄弱；安全管理人員配置不夠，相關(guān)流程和制度的執(zhí)行有待改善。 信息安全內(nèi)部審計(jì)、管理評(píng)審及有效性度量等有關(guān)制度需進(jìn)行完善。,進(jìn)一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認(rèn)證的覆蓋比例。 進(jìn)一步加強(qiáng)信息系統(tǒng)相關(guān)安全管理人員配置，按照相關(guān)崗位要求配置專人進(jìn)行管理。 盡快完善相關(guān)管理制度。,信息安全現(xiàn)狀評(píng)估安全技術(shù),差距概述,現(xiàn)狀總體評(píng)價(jià)：通過(guò)實(shí)施第一期SOC平臺(tái)對(duì)集團(tuán)總部已經(jīng)部署的所有安全設(shè)施進(jìn)行集中管控。后續(xù)將逐步推進(jìn)SO

7、C平臺(tái)到各下屬公司，通過(guò)在各下屬公司分節(jié)點(diǎn)部署數(shù)據(jù)采集引擎的方法，將節(jié)點(diǎn)數(shù)據(jù)逐步匯聚到集團(tuán)SOC平臺(tái)中。對(duì)關(guān)鍵系統(tǒng)實(shí)施災(zāi)難恢復(fù)方案，備份方式主要采取數(shù)據(jù)異地容災(zāi)備份。XXSOC平臺(tái)在應(yīng)用過(guò)程中缺乏專人進(jìn)行系統(tǒng)的運(yùn)行、維護(hù)以及系統(tǒng)相關(guān)問(wèn)題的管理。,主要存在的問(wèn)題：,初步改進(jìn)建議：,XXSOC平臺(tái)在應(yīng)用過(guò)程中缺乏專人進(jìn)行系統(tǒng)的運(yùn)行、維護(hù)以及系統(tǒng)相關(guān)問(wèn)題的管理。,進(jìn)一步提高從事信息安全相關(guān)工作人員的信息安全從業(yè)資質(zhì)認(rèn)證的覆蓋比例。 進(jìn)一步加強(qiáng)信息安全系統(tǒng)建設(shè)和運(yùn)維的安全管理力度，相關(guān)安全管理人員按照相關(guān)要求盡快配置到位。,XX信息化安全的現(xiàn)狀評(píng)價(jià)總結(jié),XX集團(tuán)信息安全設(shè)計(jì)原則,外部標(biāo)準(zhǔn),公司需求,可

8、實(shí)施性,覆蓋度,方案的設(shè)計(jì)要滿足國(guó)資委信息化評(píng)測(cè)標(biāo)準(zhǔn) （安全部分）、公安部信息安全規(guī)定、電監(jiān)會(huì)的信息安全要求、XX集團(tuán)公司的安全規(guī)范等信息化安全方面的規(guī)定或標(biāo)準(zhǔn),信息化安全方案的制定應(yīng)充分考慮XX集團(tuán)信息化應(yīng)用的現(xiàn)狀及發(fā)展方向，與應(yīng)用系統(tǒng)分布及基礎(chǔ)架構(gòu)相匹配的安全方案才能保障信息化的安全可靠運(yùn)行,在方案設(shè)計(jì)時(shí)，需要充分考慮實(shí)施中的風(fēng)險(xiǎn)，以及實(shí)施的周期和成本，對(duì)潛在的風(fēng)險(xiǎn)必須做充分的分析并給出相應(yīng)的解決對(duì)策,全覆蓋的安全體系，對(duì)象范圍覆蓋最終用戶、服務(wù)器端以及信息網(wǎng)絡(luò)，在企業(yè)內(nèi)部做到信息安全死角為零,可管理性,安全平臺(tái)設(shè)計(jì)應(yīng)充分考慮到后期運(yùn)營(yíng)層面與管理層面的平衡性,國(guó)家通過(guò)出臺(tái)信息系統(tǒng)安全等級(jí)保

9、護(hù)基本要求，明確了信息安全管理的規(guī)范框架,國(guó)資委的央企信息化評(píng)價(jià)，重點(diǎn)考察信息安全參考的標(biāo)準(zhǔn)和認(rèn)證情況，信息技術(shù)安全機(jī)制建設(shè)情況，采取的安全措施信息化安全事故情況 ，與此框架相吻合,目錄,XX集團(tuán)信息化藍(lán)圖架構(gòu) 信息安全規(guī)劃 信息安全目標(biāo)框架及設(shè)計(jì)目標(biāo) 信息安全目標(biāo)體系 XX容災(zāi)體系,管理制度 制定信息安全工作的總體方針和安全策略，說(shuō)明集團(tuán)安全工作的總體目標(biāo)、范圍、原則和安全框架等 應(yīng)對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度 應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程 制定和發(fā)布 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定 應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證

10、和審定 應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中 評(píng)審和修訂 應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂,信息安全目標(biāo)體系-XX安全管理制度,溝通和合作 應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通 與保持合作單位、公安機(jī)關(guān)、電信公司的合作與溝通 審核和檢查 安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況,崗位設(shè)置 應(yīng)設(shè)立專職的安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé) 應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé) 人員配備 應(yīng)配備一定數(shù)量的系統(tǒng)

11、管理員、網(wǎng)絡(luò)管理員、安全管理員等 安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等 授權(quán)和審批 應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批部門(mén)及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批 應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn),信息安全目標(biāo)體系-XX安全管理機(jī)構(gòu),安全意識(shí)教育和培訓(xùn) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn) 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒 應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn) 外部人員訪問(wèn)管理 應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?/p>

12、準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案,人員錄用 應(yīng)規(guī)范人員錄用過(guò)程，對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核 應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議 人員離崗 應(yīng)規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限 應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備 應(yīng)辦理嚴(yán)格的調(diào)離手續(xù) 人員考核 應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核,信息安全目標(biāo)體系-集團(tuán)人員安全管理,系統(tǒng)交付 應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn) 應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn) 應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)

13、運(yùn)行維護(hù)的文檔 安全服務(wù)商選擇 應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任 應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同,外包軟件開(kāi)發(fā) 應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南 應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼 應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén) 測(cè)試驗(yàn)收 應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收 在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告 應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并

14、簽字確認(rèn) 工程實(shí)施 應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的 管理 應(yīng)制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過(guò)程,信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理 （1）,系統(tǒng)定級(jí) 應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí) 應(yīng)以書(shū)面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由 應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn) 安全方案設(shè)計(jì) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施 應(yīng)以書(shū)面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案 應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案 應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)安全設(shè)

15、計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施,產(chǎn)品采購(gòu)和使用 應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定 應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求 應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu) 自行軟件開(kāi)發(fā) 應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi) 應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管,信息安全目標(biāo)體系-系統(tǒng)建設(shè)管理 （2）,安全方案設(shè)計(jì),自行軟件開(kāi)發(fā),介質(zhì)管理 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理 應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)

16、的目錄清單定期盤(pán)點(diǎn) 應(yīng)對(duì)需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理 密碼管理 應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品,環(huán)境管理 應(yīng)指定專門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理 應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理 應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn) 物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定 應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等 資產(chǎn)管理 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)

17、清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用,信息安全目標(biāo)體系-系統(tǒng)運(yùn)維管理 （1）,設(shè)備管理 應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理 應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理 應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或

18、辦公地點(diǎn) 變更管理 應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案 系統(tǒng)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請(qǐng)，審批后方可實(shí)施變更，并在實(shí)施后向相關(guān)人員通告,信息安全目標(biāo)體系-系統(tǒng)運(yùn)維管理 （2）,惡意代碼防范管理 應(yīng)提高所有用戶的防病毒意識(shí)，告知及時(shí)升級(jí)防病毒軟件，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查 應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄 應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定,網(wǎng)絡(luò)安全管理 應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警

19、信息分析和處理工作 應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定 應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份 應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份 應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn),信息安全目標(biāo)體系-系統(tǒng)運(yùn)維管理 （3）,系統(tǒng)安全管理 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要

20、文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝 應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定 應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作 應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為,備份與恢復(fù)管理 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等 應(yīng)根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法 應(yīng)急

21、預(yù)案管理 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容 應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次,信息安全目標(biāo)體系-系統(tǒng)運(yùn)維管理 （4）,安全事件處置 應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn) 應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé) 應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分 應(yīng)記錄并保存所有報(bào)告的安全弱點(diǎn)和可疑事

22、件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生,目錄,XX集團(tuán)信息化藍(lán)圖架構(gòu) 信息安全規(guī)劃 信息安全目標(biāo)框架及設(shè)計(jì)目標(biāo) 信息安全目標(biāo)體系 XX容災(zāi)體系,容災(zāi)建設(shè)時(shí)需要充分考慮實(shí)用性、可擴(kuò)展性、規(guī)范性、可操作性和兼容性,容災(zāi)是確保信息和信息系統(tǒng)安全的一項(xiàng)重要措施，其建設(shè)過(guò)程中應(yīng)充分考慮以下因素：,容災(zāi)是保障數(shù)據(jù)安全的重要方式，容災(zāi)的實(shí)現(xiàn)方式主要有數(shù)據(jù)級(jí)、應(yīng)用級(jí)和業(yè)務(wù)級(jí),恢 復(fù) 時(shí) 間,投 資,持續(xù)可用,業(yè)務(wù)級(jí),快速恢復(fù),應(yīng)用級(jí),可以恢復(fù),數(shù)據(jù)級(jí),分,小時(shí),天,周,數(shù)據(jù)級(jí)容災(zāi)是僅將生產(chǎn)中心的數(shù)據(jù)完整地復(fù)制到容災(zāi)中心的容災(zāi)方式。數(shù)據(jù)級(jí)容災(zāi)是異地容災(zāi)的最低級(jí)形式，也是最基本的方式，是實(shí)現(xiàn)更高

23、級(jí)容災(zāi)方式的基礎(chǔ)，但僅可以保證數(shù)據(jù)是可用的，若技術(shù)策略選擇得當(dāng)，可以保證業(yè)務(wù)數(shù)據(jù)的完整性。 應(yīng)用級(jí)容災(zāi)是指在數(shù)據(jù)級(jí)容災(zāi)實(shí)現(xiàn)數(shù)據(jù)可用的基礎(chǔ)上，進(jìn)一步實(shí)現(xiàn)應(yīng)用的可用性，確保業(yè)務(wù)可以快速恢復(fù)。容災(zāi)系統(tǒng)的應(yīng)用不改變?cè)械臉I(yè)務(wù)處理邏輯，是對(duì)生產(chǎn)中心系統(tǒng)的基本復(fù)制。 業(yè)務(wù)級(jí)容災(zāi)是生產(chǎn)中心與容災(zāi)中心對(duì)業(yè)務(wù)請(qǐng)求同時(shí)進(jìn)行處理的容災(zāi)方式，能夠確保業(yè)務(wù)持續(xù)可用，但投資很高。,通常容災(zāi)的恢復(fù)目標(biāo)根據(jù)恢復(fù)的時(shí)間和恢復(fù)的數(shù)據(jù)量可定義分為兩種，分別為恢復(fù)時(shí)間目標(biāo) RTO和恢復(fù)點(diǎn)目標(biāo) RPO。根據(jù)RTO的指標(biāo)，容災(zāi)方式可分為數(shù)據(jù)級(jí)、應(yīng)用級(jí)和業(yè)務(wù)級(jí)。,RPO：RPO( Recovery Point Objective )是指災(zāi)難發(fā)生后，容災(zāi)系統(tǒng)能把數(shù)據(jù)恢復(fù)到災(zāi)難發(fā)生前時(shí)間點(diǎn)的數(shù)據(jù)，它是衡量企業(yè)在災(zāi)難發(fā)生后會(huì)丟失多少數(shù)據(jù)的指標(biāo)。RPO可簡(jiǎn)單的描述為企業(yè)能容忍的最大數(shù)據(jù)丟失量。,此外，容災(zāi)還要考慮系統(tǒng)的數(shù)據(jù)丟失量,RPO的功能：由于實(shí)現(xiàn)“零數(shù)據(jù)丟失”需要的巨大的基礎(chǔ)架構(gòu)、帶寬和軟件成本 ，這就使“零數(shù)據(jù)丟失”只能夠用于極度昂貴數(shù)據(jù)，而不能用于所有的情況。 所以企業(yè)需要確切地確定它能夠承擔(dān)在一次災(zāi)難中丟失多少數(shù)據(jù)。RPO就是用來(lái)幫助企業(yè)分析和評(píng)估數(shù)據(jù)丟失量的工具/指標(biāo)。,確定RPO的步驟： 1、到所