信息安全总体策略

 X XXX 信息化服务中心

 信息安全 总体 策略

  项目名称

 XXX 安全运维服务项目 客户名称

 XXX 信息化服务中心 实施地点

 XXX 信息化服务中心 实施单位

 XXX 信息技术有限 实施时间

 XXX 年 7 月 20 日星期五

 文档修订情况

 版本 修订记录 日期 修订 审核 批准 v1.0 制作文档 XXX-07-17

  目录

 1

 物理安全策略 .......................................................................................................................................... 3

 2

 网 网 XXX 全策略 ......................................................................................................................................... 3

 3

 系统安全策略 .......................................................................................................................................... 4

 4

 病毒管理策略 .......................................................................................................................................... 4

 5

 身份认证策略 .......................................................................................................................................... 5

 6

 用户授权与访问控制策略 ....................................................................................................................... 5

 7

 数据加密策略 .......................................................................................................................................... 5

 8

 数据备份与灾难恢复 .............................................................................................................................. 6

 9

 应急响应策略 .......................................................................................................................................... 6

 10

 安全教育策略 ...................................................................................................................................... 7

  1 物理安全策略 ? 计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准,保证物理环境安全。

 ? 关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置,通过物理访问控制机制,保证这些设备自身的安全性。

 ? 应当建立人员出入访问控制机制,严格控制人员出入计算机机房和其它重要安全区域,访问控制机制还需要能够提供审计功能,便于检查和分析。

 ? 应当指定专门的部门和人员,负责计算机机房的建设和管理工作,建立 24 小时值班制度。

 ? 建立计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。

 ? 管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。

 2 网 网 络安 全策略 ? 必须对网络和信息系统进行安全域划分,建立隔离保护机制,并且在各安全域之间建立访问控制机制,杜绝发生未授权的非法访问现象,特别的,必须对生产网和办公网进行划分和隔离。

 ? 应当部署网络管理体系,管理网络资源和设备,实施监控网络系统的运行状态,降低网络故障带来的安全风险。

 ? 应当对关键的通信线路、网络设备提供冗余设计,防止关键线路和设备的单点故障造成通信服务中断。

 ? 应当在各安全域的边界,综合部署网 XXX 全访问措施,包括防火墙、入侵检测、VPN,建立多层次的,立体的网 XXX 全防护体系。

 ? 应当建立网络弱点分析机制,发现和弥补网络中存在的安全漏洞,及时进行自我完善。

 ? 应当建立远程访问机制,实现安全的远程办公和移动办公。

 ? 应当指定专门的部门和人员,负责网 XXX 全系统的规划、建设、管理维护。

 ? 应当建立网 XXX 全系统的建设标准和相关的运营维护管理规范,在范围内指导实际的系统建设和维护管理。

 ? 管理机构应当定期对网 XXX 全措施和安全管理制度的有效性和实施状况进行检查,

  发现问题,进行改进。

 3 系统安全策略 ? 应当对关键服务器主机设备提供冗余设计,防止单点故障造成网络服务中断。

 ? 应当建立主机弱点分析机制,发现和弥补系统软件中存在的不当配置和安全漏洞,及时进行自我完善。

 ? 应当建立主机系统软件版本维护机制,及时升级系统版本和补丁程序版本,保持系统软件的最新状态。

 ? 应当建立主机系统软件备份和恢复机制,在灾难事件发生之后,能够快速实现系统恢复。

 ? 可以建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对主机发起的攻击行为,并及时向管理员报警。

 ? 应当指定专门的部门和人员,负责主机系统的管理维护。

 ? 应当建立主机系统管理规范,包括系统软件版本管理、主机弱点分析、主机审计日志检查和分析、以及系统软件的备份和恢复等内容。

 ? 应当建立桌面系统使用管理规范,约束和指导用户使用桌面系统,并对其进行正确有效的配置和管理。

 ? 管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。

 4 病毒管理策略 ? 应当建立全面网络病毒查杀机制,实现 XXX 信息化服务中心全网范围内的病毒防治,抑止病毒的传播。

 ? 所有内部网络上的计算机在联入内部网络之前,都应当安装和配置杀毒软件,并且通过管理中心进行更新,任何用户不能禁用病毒扫描和查杀功能。

 ? 所有内部网络上的计算机系统都应当定期进行完整的系统扫描。

 ? 从外部介质安装数据和程序之前,或安装下载的数据和程序之前,必须对其进行病毒扫描,以防止存在病毒感染操作系统和应用程序。

 ? 第三方数据和程序在安装到内部网络的系统之前,必须在隔离受控的模拟系统上进行病毒扫描测试。

 ? 任何内部用户不能故意制造、执行、传播、或引入任何可以自我复制、破坏或者影响计算机内存、存储介质、操作系统、应用程序的计算机代码

  ? 应当指定专门的部门和人员,负责网络病毒防治系统的管理维护。

 ? 应当建立网络病毒防治系统的管理规范,有效发挥病毒防治系统的安全效能。

 ? 应当建立桌面系统病毒防治管理规范,约束和指导用户在桌面系统上的操作行为,以及对杀毒软件的配置和管理,达到保护桌面系统、抑止病毒传播的目的。

 ? 管理机构应当定期对与病毒查杀有关安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。

 5 身份认证策略 ? 应当在范围内建立统一的用户身份管理基础设施,向应用系统提供集中的用户身份认证服务。

 ? 应当选择安全性高,投入收益比率较好,易管理维护的身份认证技术,建立身份管理基础设施。

 ? 每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前,必须提交身份标识,并对其进行认证;员工离职时,要撤销其在信息系统内部的合法身份。

 ? 应当对现有的应用系统进行技术改造,使用身份管理基础设施的安全服务。

 ? 应当建立专门的部门和岗位,负责用户身份的管理,以及身份管理基础设施的建设、运行、维护。

 ? 应当在范围内建立用户标识管理规范,对用户标识格式,产生和撤销流程进行统一规定。

 6 用户授权与访问控制策略 ? 应当依托身份认证基础设施,将集中管理与分布式管理有机结合起来,建立分级的用户授权与访问控制管理机制。

 ? 每个内部员工在信息系统内部的操作行为必须被限定在合法授权的范围之内;员工离职时,要撤销其在信息系统内部的所有访问权限。

 ? 应当对现有的应用系统进行技术改造,使用授权与访问控制系统提供的安全服务。

 ? 应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。

 ? 应当在范围内,建立包括用户权限的授予和撤销在内的一整套管理流程和制度。

 7 数据加密策略 ? 加密技术的采用和加密机制的建立,应该符合国家有关的法律和规定。

  ? 应当建立内部信息系统的密级分级标准,判定信息系统在消息传输和数据存储过程中,是否需要采用加密机制。

 ? 应当建立密钥管理体制,保证密钥在产生、使用、存储、传输等环节中的安全性。

 ? 加密机制应当使用国际标准的密码算法,或者国内通过密码管理委员会审批的专用算法,其中对称密码算法的密钥长度不得低于 128 比特,公钥密码算法的密钥长度不得低于 1024 比特。

 ? 应当在物理上保证所有的硬件加密设备和软件加密程序,以及存储涉密数据的介质载体的安全。

 ? 应当指定专门的管理机构,负责本策略的维护,监督本策略的实施。

 ? 任何内部信息系统,都需要向管理机构提出申请,经管理机构审批,获得授权后,才能够使用加密机制。禁止任何内部信息系统和人员,在未授权的情况下,使用任何加密机制。

 ? 管理机构应当每年对加密算法的选择范围和密钥长度的最低要求进行一次复审和评估,使得本策略与加密技术的发展相适应。

 8 数据备份与灾难恢复 ? 在业务系统主要应用服务器中采用硬件冗余技术,避免硬件的单点故障导致服务中断。

 ? 综合考虑性能和管理等因素,采用先进的系统和数据备份技术,在范围内建立统一的系统和数据备份机制,防止数据出现逻辑损坏。

 ? 对业务系统采取适当的异地备份机制,使得数据备份计划具备一定的容灾能力。

 ? 建立灾难恢复计划,提供灾难恢复手段,在灾难事件发生之后,快速对被破坏的信息系统进行恢复。

 ? 应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。

 ? 建立日常数据备份管理制度,对备份周期和介质保管进行统一规定。

 ? 建立灾难恢复计划,对人员进行灾难恢复培训,定期进行灾难恢复的模拟演练。

 9 应急响应策略 ? 应当建立应急响应中心,配置专门岗位,负责制定范围内的信息安全策略、完成计算机网络和系统安全事件的紧急响应、及时发布安全漏洞和补丁修补程序等安全公告、进行安全系统审计数据分析、以及提供安全教育和培训。

  ? 应当制定详细的安全事件的应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。

 10 安全教育策略 ? 应该建立专门的机构和岗位,负责安全教育与培训计划的制定和执行 ? 应当制定详细的安全教育和培训计划,对信息安全技术和管理相关人员进行安全专业知识和技能培训,对普通用户进行安全基础知识、安全策略和管理制度培训,提高人员的整体安全意识和安全操作水平。

 ? 管理机构应当定期对安全教育和培训的成果进行抽查和考核,检验安全教育和培训活动的效果。