信息安全總體策略
發(fā)布時(shí)間:2020-11-02 來源: 述職報(bào)告 點(diǎn)擊:
X XXX 信息化服務(wù)中心
信息安全 總體 策略
項(xiàng)目名稱
XXX 安全運(yùn)維服務(wù)項(xiàng)目 客戶名稱
XXX 信息化服務(wù)中心 實(shí)施地點(diǎn)
XXX 信息化服務(wù)中心 實(shí)施單位
XXX 信息技術(shù)有限 實(shí)施時(shí)間
XXX 年 7 月 20 日星期五
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準(zhǔn) v1.0 制作文檔 XXX-07-17
目錄
1
物理安全策略 .......................................................................................................................................... 3
2
網(wǎng) 網(wǎng) XXX 全策略 ......................................................................................................................................... 3
3
系統(tǒng)安全策略 .......................................................................................................................................... 4
4
病毒管理策略 .......................................................................................................................................... 4
5
身份認(rèn)證策略 .......................................................................................................................................... 5
6
用戶授權(quán)與訪問控制策略 ....................................................................................................................... 5
7
數(shù)據(jù)加密策略 .......................................................................................................................................... 5
8
數(shù)據(jù)備份與災(zāi)難恢復(fù) .............................................................................................................................. 6
9
應(yīng)急響應(yīng)策略 .......................................................................................................................................... 6
10
安全教育策略 ...................................................................................................................................... 7
1 物理安全策略 ? 計(jì)算機(jī)機(jī)房的建設(shè)必須遵循國家在計(jì)算機(jī)機(jī)房場地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn),保證物理環(huán)境安全。
? 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房內(nèi)部的適當(dāng)位置,通過物理訪問控制機(jī)制,保證這些設(shè)備自身的安全性。
? 應(yīng)當(dāng)建立人員出入訪問控制機(jī)制,嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其它重要安全區(qū)域,訪問控制機(jī)制還需要能夠提供審計(jì)功能,便于檢查和分析。
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)計(jì)算機(jī)機(jī)房的建設(shè)和管理工作,建立 24 小時(shí)值班制度。
? 建立計(jì)算機(jī)機(jī)房管理制度,對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細(xì)的規(guī)定。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問題,進(jìn)行改進(jìn)。
2 網(wǎng) 網(wǎng) 絡(luò)安 全策略 ? 必須對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全域劃分,建立隔離保護(hù)機(jī)制,并且在各安全域之間建立訪問控制機(jī)制,杜絕發(fā)生未授權(quán)的非法訪問現(xiàn)象,特別的,必須對生產(chǎn)網(wǎng)和辦公網(wǎng)進(jìn)行劃分和隔離。
? 應(yīng)當(dāng)部署網(wǎng)絡(luò)管理體系,管理網(wǎng)絡(luò)資源和設(shè)備,實(shí)施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài),降低網(wǎng)絡(luò)故障帶來的安全風(fēng)險(xiǎn)。
? 應(yīng)當(dāng)對關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計(jì),防止關(guān)鍵線路和設(shè)備的單點(diǎn)故障造成通信服務(wù)中斷。
? 應(yīng)當(dāng)在各安全域的邊界,綜合部署網(wǎng) XXX 全訪問措施,包括防火墻、入侵檢測、VPN,建立多層次的,立體的網(wǎng) XXX 全防護(hù)體系。
? 應(yīng)當(dāng)建立網(wǎng)絡(luò)弱點(diǎn)分析機(jī)制,發(fā)現(xiàn)和彌補(bǔ)網(wǎng)絡(luò)中存在的安全漏洞,及時(shí)進(jìn)行自我完善。
? 應(yīng)當(dāng)建立遠(yuǎn)程訪問機(jī)制,實(shí)現(xiàn)安全的遠(yuǎn)程辦公和移動辦公。
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設(shè)、管理維護(hù)。
? 應(yīng)當(dāng)建立網(wǎng) XXX 全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營維護(hù)管理規(guī)范,在范圍內(nèi)指導(dǎo)實(shí)際的系統(tǒng)建設(shè)和維護(hù)管理。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對網(wǎng) XXX 全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,
發(fā)現(xiàn)問題,進(jìn)行改進(jìn)。
3 系統(tǒng)安全策略 ? 應(yīng)當(dāng)對關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計(jì),防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。
? 應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析機(jī)制,發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞,及時(shí)進(jìn)行自我完善。
? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制,及時(shí)升級系統(tǒng)版本和補(bǔ)丁程序版本,保持系統(tǒng)軟件的最新狀態(tài)。
? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制,在災(zāi)難事件發(fā)生之后,能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。
? 可以建立主機(jī)入侵檢測機(jī)制,發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為,以及對主機(jī)發(fā)起的攻擊行為,并及時(shí)向管理員報(bào)警。
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。
? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范,包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計(jì)日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。
? 應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范,約束和指導(dǎo)用戶使用桌面系統(tǒng),并對其進(jìn)行正確有效的配置和管理。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對各項(xiàng)系統(tǒng)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問題,進(jìn)行改進(jìn)。
4 病毒管理策略 ? 應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機(jī)制,實(shí)現(xiàn) XXX 信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治,抑止病毒的傳播。
? 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前,都應(yīng)當(dāng)安裝和配置殺毒軟件,并且通過管理中心進(jìn)行更新,任何用戶不能禁用病毒掃描和查殺功能。
? 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)系統(tǒng)都應(yīng)當(dāng)定期進(jìn)行完整的系統(tǒng)掃描。
? 從外部介質(zhì)安裝數(shù)據(jù)和程序之前,或安裝下載的數(shù)據(jù)和程序之前,必須對其進(jìn)行病毒掃描,以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。
? 第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前,必須在隔離受控的模擬系統(tǒng)上進(jìn)行病毒掃描測試。
? 任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計(jì)算機(jī)內(nèi)存、存儲介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計(jì)算機(jī)代碼
? 應(yīng)當(dāng)指定專門的部門和人員,負(fù)責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護(hù)。
? 應(yīng)當(dāng)建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范,有效發(fā)揮病毒防治系統(tǒng)的安全效能。
? 應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治管理規(guī)范,約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為,以及對殺毒軟件的配置和管理,達(dá)到保護(hù)桌面系統(tǒng)、抑止病毒傳播的目的。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對與病毒查殺有關(guān)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查,發(fā)現(xiàn)問題,進(jìn)行改進(jìn)。
5 身份認(rèn)證策略 ? 應(yīng)當(dāng)在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施,向應(yīng)用系統(tǒng)提供集中的用戶身份認(rèn)證服務(wù)。
? 應(yīng)當(dāng)選擇安全性高,投入收益比率較好,易管理維護(hù)的身份認(rèn)證技術(shù),建立身份管理基礎(chǔ)設(shè)施。
? 每個(gè)內(nèi)部員工具有范圍內(nèi)唯一的身份標(biāo)識,用戶在訪問應(yīng)用系統(tǒng)之前,必須提交身份標(biāo)識,并對其進(jìn)行認(rèn)證;員工離職時(shí),要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。
? 應(yīng)當(dāng)對現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造,使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。
? 應(yīng)當(dāng)建立專門的部門和崗位,負(fù)責(zé)用戶身份的管理,以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運(yùn)行、維護(hù)。
? 應(yīng)當(dāng)在范圍內(nèi)建立用戶標(biāo)識管理規(guī)范,對用戶標(biāo)識格式,產(chǎn)生和撤銷流程進(jìn)行統(tǒng)一規(guī)定。
6 用戶授權(quán)與訪問控制策略 ? 應(yīng)當(dāng)依托身份認(rèn)證基礎(chǔ)設(shè)施,將集中管理與分布式管理有機(jī)結(jié)合起來,建立分級的用戶授權(quán)與訪問控制管理機(jī)制。
? 每個(gè)內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi);員工離職時(shí),要撤銷其在信息系統(tǒng)內(nèi)部的所有訪問權(quán)限。
? 應(yīng)當(dāng)對現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造,使用授權(quán)與訪問控制系統(tǒng)提供的安全服務(wù)。
? 應(yīng)當(dāng)建立專門崗位,負(fù)責(zé)用戶權(quán)限管理,以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。
? 應(yīng)當(dāng)在范圍內(nèi),建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。
7 數(shù)據(jù)加密策略 ? 加密技術(shù)的采用和加密機(jī)制的建立,應(yīng)該符合國家有關(guān)的法律和規(guī)定。
? 應(yīng)當(dāng)建立內(nèi)部信息系統(tǒng)的密級分級標(biāo)準(zhǔn),判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲過程中,是否需要采用加密機(jī)制。
? 應(yīng)當(dāng)建立密鑰管理體制,保證密鑰在產(chǎn)生、使用、存儲、傳輸?shù)拳h(huán)節(jié)中的安全性。
? 加密機(jī)制應(yīng)當(dāng)使用國際標(biāo)準(zhǔn)的密碼算法,或者國內(nèi)通過密碼管理委員會審批的專用算法,其中對稱密碼算法的密鑰長度不得低于 128 比特,公鑰密碼算法的密鑰長度不得低于 1024 比特。
? 應(yīng)當(dāng)在物理上保證所有的硬件加密設(shè)備和軟件加密程序,以及存儲涉密數(shù)據(jù)的介質(zhì)載體的安全。
? 應(yīng)當(dāng)指定專門的管理機(jī)構(gòu),負(fù)責(zé)本策略的維護(hù),監(jiān)督本策略的實(shí)施。
? 任何內(nèi)部信息系統(tǒng),都需要向管理機(jī)構(gòu)提出申請,經(jīng)管理機(jī)構(gòu)審批,獲得授權(quán)后,才能夠使用加密機(jī)制。禁止任何內(nèi)部信息系統(tǒng)和人員,在未授權(quán)的情況下,使用任何加密機(jī)制。
? 管理機(jī)構(gòu)應(yīng)當(dāng)每年對加密算法的選擇范圍和密鑰長度的最低要求進(jìn)行一次復(fù)審和評估,使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。
8 數(shù)據(jù)備份與災(zāi)難恢復(fù) ? 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù),避免硬件的單點(diǎn)故障導(dǎo)致服務(wù)中斷。
? 綜合考慮性能和管理等因素,采用先進(jìn)的系統(tǒng)和數(shù)據(jù)備份技術(shù),在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機(jī)制,防止數(shù)據(jù)出現(xiàn)邏輯損壞。
? 對業(yè)務(wù)系統(tǒng)采取適當(dāng)?shù)漠惖貍浞輽C(jī)制,使得數(shù)據(jù)備份計(jì)劃具備一定的容災(zāi)能力。
? 建立災(zāi)難恢復(fù)計(jì)劃,提供災(zāi)難恢復(fù)手段,在災(zāi)難事件發(fā)生之后,快速對被破壞的信息系統(tǒng)進(jìn)行恢復(fù)。
? 應(yīng)當(dāng)建立專門崗位,負(fù)責(zé)用戶權(quán)限管理,以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。
? 建立日常數(shù)據(jù)備份管理制度,對備份周期和介質(zhì)保管進(jìn)行統(tǒng)一規(guī)定。
? 建立災(zāi)難恢復(fù)計(jì)劃,對人員進(jìn)行災(zāi)難恢復(fù)培訓(xùn),定期進(jìn)行災(zāi)難恢復(fù)的模擬演練。
9 應(yīng)急響應(yīng)策略 ? 應(yīng)當(dāng)建立應(yīng)急響應(yīng)中心,配置專門崗位,負(fù)責(zé)制定范圍內(nèi)的信息安全策略、完成計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急響應(yīng)、及時(shí)發(fā)布安全漏洞和補(bǔ)丁修補(bǔ)程序等安全公告、進(jìn)行安全系統(tǒng)審計(jì)數(shù)據(jù)分析、以及提供安全教育和培訓(xùn)。
? 應(yīng)當(dāng)制定詳細(xì)的安全事件的應(yīng)急響應(yīng)計(jì)劃,包括安全事件的檢測、報(bào)告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。
10 安全教育策略 ? 應(yīng)該建立專門的機(jī)構(gòu)和崗位,負(fù)責(zé)安全教育與培訓(xùn)計(jì)劃的制定和執(zhí)行 ? 應(yīng)當(dāng)制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃,對信息安全技術(shù)和管理相關(guān)人員進(jìn)行安全專業(yè)知識和技能培訓(xùn),對普通用戶進(jìn)行安全基礎(chǔ)知識、安全策略和管理制度培訓(xùn),提高人員的整體安全意識和安全操作水平。
? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對安全教育和培訓(xùn)的成果進(jìn)行抽查和考核,檢驗(yàn)安全教育和培訓(xùn)活動的效果。
熱點(diǎn)文章閱讀