信息安全总体策略
时间:2021-10-07 来源:博通范文网 本文已影响 人
X XXX 信息化服务中心
信息安全 总体 策略
项目名称
XXX 安全运维服务项目 客户名称
XXX 信息化服务中心 实施地点
XXX 信息化服务中心 实施单位
XXX 信息技术有限 实施时间
XXX 年 7 月 20 日星期五
文档修订情况
版本 修订记录 日期 修订 审核 批准 v1.0 制作文档 XXX-07-17
目录
1
物理安全策略 ..........................................................................................................................................3
2
网 网 XXX 全策略 .........................................................................................................................................3
3
系统安全策略 ..........................................................................................................................................4
4
病毒管理策略 ..........................................................................................................................................4
5
身份认证策略 ..........................................................................................................................................5
6
用户授权与访问控制策略 .......................................................................................................................5
7
数据加密策略 ..........................................................................................................................................5
8
数据备份与灾难恢复 ..............................................................................................................................6
9
应急响应策略 ..........................................................................................................................................6
10
安全教育策略 ......................................................................................................................................7
1 物理安全策略 计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准,保证物理环境安全。
关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置,通过物理访问控制机制,保证这些设备自身的安全性。
应当建立人员出入访问控制机制,严格控制人员出入计算机机房和其它重要安全区域,访问控制机制还需要能够提供审计功能,便于检查和分析。
应当指定专门的部门和人员,负责计算机机房的建设和管理工作,建立 24 小时值班制度。
建立计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。
管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
2 网 网 络安 全策略 必须对网络和信息系统进行安全域划分,建立隔离保护机制,并且在各安全域之间建立访问控制机制,杜绝发生未授权的非法访问现象,特别的,必须对生产网和办公网进行划分和隔离。
应当部署网络管理体系,管理网络资源和设备,实施监控网络系统的运行状态,降低网络故障带来的安全风险。
应当对关键的通信线路、网络设备提供冗余设计,防止关键线路和设备的单点故障造成通信服务中断。
应当在各安全域的边界,综合部署网 XXX 全访问措施,包括防火墙、入侵检测、VPN,建立多层次的,立体的网 XXX 全防护体系。
应当建立网络弱点分析机制,发现和弥补网络中存在的安全漏洞,及时进行自我完善。
应当建立远程访问机制,实现安全的远程办公和移动办公。
应当指定专门的部门和人员,负责网 XXX 全系统的规划、建设、管理维护。
应当建立网 XXX 全系统的建设标准和相关的运营维护管理规范,在范围内指导实际的系统建设和维护管理。
管理机构应当定期对网 XXX 全措施和安全管理制度的有效性和实施状况进行检查,
发现问题,进行改进。
3 系统安全策略 应当对关键服务器主机设备提供冗余设计,防止单点故障造成网络服务中断。
应当建立主机弱点分析机制,发现和弥补系统软件中存在的不当配置和安全漏洞,及时进行自我完善。
应当建立主机系统软件版本维护机制,及时升级系统版本和补丁程序版本,保持系统软件的最新状态。
应当建立主机系统软件备份和恢复机制,在灾难事件发生之后,能够快速实现系统恢复。
可以建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对主机发起的攻击行为,并及时向管理员报警。
应当指定专门的部门和人员,负责主机系统的管理维护。
应当建立主机系统管理规范,包括系统软件版本管理、主机弱点分析、主机审计日志检查和分析、以及系统软件的备份和恢复等内容。
应当建立桌面系统使用管理规范,约束和指导用户使用桌面系统,并对其进行正确有效的配置和管理。
管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
4 病毒管理策略 应当建立全面网络病毒查杀机制,实现 XXX 信息化服务中心全网范围内的病毒防治,抑止病毒的传播。
所有内部网络上的计算机在联入内部网络之前,都应当安装和配置杀毒软件,并且通过管理中心进行更新,任何用户不能禁用病毒扫描和查杀功能。
所有内部网络上的计算机系统都应当定期进行完整的系统扫描。
从外部介质安装数据和程序之前,或安装下载的数据和程序之前,必须对其进行病毒扫描,以防止存在病毒感染操作系统和应用程序。
第三方数据和程序在安装到内部网络的系统之前,必须在隔离受控的模拟系统上进行病毒扫描测试。
任何内部用户不能故意制造、执行、传播、或引入任何可以自我复制、破坏或者影响计算机内存、存储介质、操作系统、应用程序的计算机代码
应当指定专门的部门和人员,负责网络病毒防治系统的管理维护。
应当建立网络病毒防治系统的管理规范,有效发挥病毒防治系统的安全效能。
应当建立桌面系统病毒防治管理规范,约束和指导用户在桌面系统上的操作行为,以及对杀毒软件的配置和管理,达到保护桌面系统、抑止病毒传播的目的。
管理机构应当定期对与病毒查杀有关安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
5 身份认证策略 应当在范围内建立统一的用户身份管理基础设施,向应用系统提供集中的用户身份认证服务。
应当选择安全性高,投入收益比率较好,易管理维护的身份认证技术,建立身份管理基础设施。
每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前,必须提交身份标识,并对其进行认证;员工离职时,要撤销其在信息系统内部的合法身份。
应当对现有的应用系统进行技术改造,使用身份管理基础设施的安全服务。
应当建立专门的部门和岗位,负责用户身份的管理,以及身份管理基础设施的建设、运行、维护。
应当在范围内建立用户标识管理规范,对用户标识格式,产生和撤销流程进行统一规定。
6 用户授权与访问控制策略 应当依托身份认证基础设施,将集中管理与分布式管理有机结合起来,建立分级的用户授权与访问控制管理机制。
每个内部员工在信息系统内部的操作行为必须被限定在合法授权的范围之内;员工离职时,要撤销其在信息系统内部的所有访问权限。
应当对现有的应用系统进行技术改造,使用授权与访问控制系统提供的安全服务。
应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
应当在范围内,建立包括用户权限的授予和撤销在内的一整套管理流程和制度。
7 数据加密策略 加密技术的采用和加密机制的建立,应该符合国家有关的法律和规定。
应当建立内部信息系统的密级分级标准,判定信息系统在消息传输和数据存储过程中,是否需要采用加密机制。
应当建立密钥管理体制,保证密钥在产生、使用、存储、传输等环节中的安全性。
加密机制应当使用国际标准的密码算法,或者国内通过密码管理委员会审批的专用算法,其中对称密码算法的密钥长度不得低于 128 比特,公钥密码算法的密钥长度不得低于 1024 比特。
应当在物理上保证所有的硬件加密设备和软件加密程序,以及存储涉密数据的介质载体的安全。
应当指定专门的管理机构,负责本策略的维护,监督本策略的实施。
任何内部信息系统,都需要向管理机构提出申请,经管理机构审批,获得授权后,才能够使用加密机制。禁止任何内部信息系统和人员,在未授权的情况下,使用任何加密机制。
管理机构应当每年对加密算法的选择范围和密钥长度的最低要求进行一次复审和评估,使得本策略与加密技术的发展相适应。
8 数据备份与灾难恢复 在业务系统主要应用服务器中采用硬件冗余技术,避免硬件的单点故障导致服务中断。
综合考虑性能和管理等因素,采用先进的系统和数据备份技术,在范围内建立统一的系统和数据备份机制,防止数据出现逻辑损坏。
对业务系统采取适当的异地备份机制,使得数据备份计划具备一定的容灾能力。
建立灾难恢复计划,提供灾难恢复手段,在灾难事件发生之后,快速对被破坏的信息系统进行恢复。
应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
建立日常数据备份管理制度,对备份周期和介质保管进行统一规定。
建立灾难恢复计划,对人员进行灾难恢复培训,定期进行灾难恢复的模拟演练。
9 应急响应策略 应当建立应急响应中心,配置专门岗位,负责制定范围内的信息安全策略、完成计算机网络和系统安全事件的紧急响应、及时发布安全漏洞和补丁修补程序等安全公告、进行安全系统审计数据分析、以及提供安全教育和培训。
应当制定详细的安全事件的应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。
10 安全教育策略 应该建立专门的机构和岗位,负责安全教育与培训计划的制定和执行 应当制定详细的安全教育和培训计划,对信息安全技术和管理相关人员进行安全专业知识和技能培训,对普通用户进行安全基础知识、安全策略和管理制度培训,提高人员的整体安全意识和安全操作水平。
管理机构应当定期对安全教育和培训的成果进行抽查和考核,检验安全教育和培训活动的效果。
主题凝炼,集中,可以借鉴。
水平出乎意料得高!
1.总体目标
以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。
2.范围
本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。
3.
原则
以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。
4.策略框架
建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1 物理方面
依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.
2网络方面
从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.
3主机方面
要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.
4应用方面
从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.
5数据方面
对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6
建设和管理方面 4.6.1 信息安全管理机制
成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
息安全等级保护三级标准(要求),建立信息系统的整体管理办法。 4.6.2 信息安全管理组织
分别建立安全管理岗位和机构的职责文件,对机构和人员的职责进行明确。建立信息发布、变更、审批等流程和制度类文件,增强制度的有效性。建立安全审核和检查的相关制度及报告方式。 4.6.3 人员安全管理要求
对人员的录用、离岗、考核、培训、安全意识教育等方面应通过制度和操作程序进行明确。
4.6.4 信息安全等级保护工作及风险评估要求
定期对已备案的信息系统进行等级保护测评,以保证信息系统运行风险维持在较低水平,不断增强系统的稳定性和安全性。 4.6.5 报告安全事件要求
对突发安全事件建立应急预案管理制度和相关操作办法,并定期组织人员进行演练,以保证信息系统在面临突发事件时能够在较短时间内恢复正常的使用。 4.6.6 业务持续性要求
根据对系统的等级测评、风险评估等间接问题挖掘,及时改进信息系统的各类弊端,包括业务弊端,应建立相关改进措施或改进办法,以保证对信息系统的业务持续性要求。
4.6.7 违反信息安全要求的惩罚
建立惩处办法,对违反信息安全总体方针、安全策略的、程序流程和管理措施的人员,依照问题的严重性进行惩罚。
5.相关文件
5.1 《信息安全各部门安全需求及控制措施》 5.2 《信息安全各部门安全工作执行程序》 5.3 《机房安全管理制度》 5.4 《网络安全管理制度》 5.5 《系统安全管理制度》 5.6 《设备操作规程》 5.7 《岗位职责文件》
5.8 《信息安全管理机构组成文件》 5.9 《人事管理制度》/《员工手册》 5.10 5.11 《应急预案管理制度》
《信息安全等级保护测评报告》/《信息安全风险评估报告》