01、信息安全工作总体规划V1.0 下载本文

理下的技术保障体系框架。

安全基础设施平台是以安全策略为指导,从物理和通信安全防护,网络安全防护,主机系统安全防护,应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。

安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题,应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。

安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系。

统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。

? 安全管理体系

安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。 技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在XXX单位信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准《BS7799(ISO17799)》的建议要求。

XXX单位信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对

9 / 19

应,这些安全控制是为了达成相应安全目标的管理工作和要求。信息安全管理体系一共包括了12项管理类:

?

安全策略与制度,确保XXX单位拥有明确的信息安全方针以及配套的策略和制度,以实现对信息安全工作的支持和承诺,保证信息安全的资金投入。 ?

安全风险管理,信息安全建设不是避免风险的过程,而是管理风险的过程。没有绝对的安全,风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。 ?

人员和组织安全管理,建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理、协调信息安全监管部门与行内其它部门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险。 ?

环境和设备安全管理,控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。 ?

网络和通信安全管理,控制和保护网络和通信系统,防止其受到破坏和滥用,避免和降低由于网络和通信系统的问题对XXX单位业务系统的损害。 ?

主机和系统安全管理,控制和保护XXX单位的计算机主机及其系统,防止其受到破坏和滥用,避免和降低由此对业务系统的损害。 ?

应用和业务安全管理,对各类应用和业务系统进行安全管理,防止其收到破坏和滥用。 ?

数据安全和加密管理,采用数据加密和完整性保护机制,防止数据被窃取和篡改,保护业务数据的安全。 ?

项目工程安全管理,保护信息系统项目工程过程的安全,确保项目的成果是可靠的安全系统。 ?

运行和维护安全管理,保护信息系统在运行期间的安全,并确保系统维护工作的安全。 ?

业务连续性管理管理,通过设计和执行业务连续性计划,确保信息系统

10 / 19

在任何灾难和攻击下,都能够保证业务的连续性。 ?

合规性(符合性)管理,确保XXX单位的信息安全保障工作符合国家法律、法规的要求;且XXX单位的信息安全方针、规定和标准得到了遵循。 12项信息安全管理类之间的关系,如下图所示。

方针和策略管理风险管理数据/文档/介质管理合规性管理应用与业务管理主机与系统管理网络与通信管理环境与设备管理项目工程管理运行维护管理人员和组织管理业务连续性管理

12项信息安全管理类的作用关系为: ?

方针和策略:是XXX单位整个信息安全管理工作的基础和整体指导,对于其它所有的信息安全管理类都有指导和约束关系。 ? ?

人员和组织管理:是要依据方针和策略来执行信息安全管理工作。 合规性:指导如何检验信息安全管理工作的效果。特别是对于国家法律法规、方针政策和标准符合程度的检验。 ?

根据“方针和策略”,由“人员和组织”实施信息安全管理工作。在实施中主要从两个角度来考虑问题,即风险管理和业务连续性管理。 ?

根据信息系统的生命周期,可以将信息系统划分为两个阶段,即项目工程开发阶段和运行维护阶段。这两个信息安全管理类体现了信息系统和信息安全工作的生命周期特性。 ?

最终所有的信息安全管理工作都作用在信息系统之上。信息系统可以划

11 / 19

分成5个层次,从底层到上层依次为环境与设备管理、网络与通信管理、主机与系统管理、应用与业务管理、数据/文档/介质管理。这5个信息安全管理类体现了信息系统和信息安全工作的层次性。

? 运行保障体系

运行与保障体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行和保障体系对于XXX单位网络和信息系统的可持续性运营提供了重要的保障手段。

? 建设实施规划

建设实施规划是在安全管理体系、安全技术体系、运行保障体系设计的基础上进一步制定的建设步骤和实施方案。在建设实施规划中突出体现了分步有序实施的原则。

任何信息安全建设都需要人员负责管理和实施,因此,首先应该建立信息安

全工作监管组织机构,明确各级管理机构的人员配备,职能和责任。其中信息安全管理机构负责信息安全策略的审核与颁布、统一技术标准和管理规范的制定、指导和监督信息安全建设工作、对信息安全系统进行监控与审计管理。然后,对所有员工进行基本安全教育,为信息安全系统相关技术人员提供专门的安全理论和安全技能培训,提高全员的安全意识,打造一支高素质的专业技术和管理队伍。

信息安全体系建设,应该首先从物理环境安全建设入手,确保机房建设按照

的统一标准进行建设,并且按照统一的管理规范进行管理。

接下来应该进行网络安全建设,应该对计算机网络的安全域进行划分,对网

络结构进行调整,确保内部网络与外部网络、业务网络与办公网络边界清晰;在各安全域的边界处部署防火墙、网络入侵检测等安全产品,形成立体的区域边界保护机制,对各安全域进行逻辑安全隔离,禁止未授权的网络访问;在内部网络中部署网络脆弱性分析工具,定期对内部网络进行检查,并采取措施及时弥补新发现的安全漏洞。

在进行网络安全建设的同时,可以进行系统安全建设,在内部网络中全面部

12 / 19

署网络病毒查杀系统,有效抑制计算机病毒在内部网络中传播,避免对系统和数据造成损害;另外,主机系统管理员还应该按照主机系统管理规范的要求,借助主机脆弱性分析和安全加固工具,定期对主机系统进行检查,更新安全漏洞补丁的级别,修正不当的系统和服务配置,查看和分析系统审计日志,控制和保证主机系统的良好安全状态。

应用安全建设包括建立身份认证系统、应用授权和访问控制系统、数据安全

传输系统等,对业务应用系统和内部信息管理系统提供各种安全服务。

按照的统一标准,建立安全审计与分析系统、系统和数据备份计划、安全事

件应急响应计划、灾难恢复计划等安全保障机制,重在保护业务数据等信息资产,保证内外应用服务的持续可用性。

3 建设内容

XXX单位的信息安全建设所涉及的工作内容包括以下部分。

3.1 组织机构

建立专职的信息安全监管机构,明确各级管理机构的人员岗位配置和职能权限,全面负责信息安全建设工作和维护信息安全系统的运营。

3.2 人员管理

依据信息系统安全等级保护要求,对人员录用、考核、培训、离岗等一系列管理进行规范性要求。

制定统一的人员安全管理和教育培训规范,定期对信息系统的用户进行安全教育和培训,对普通用户进行基本的安全教育,对安全技术岗位的用户进行岗位技能培训,提高全员的安全意识,培养高素质的安全技术和管理队伍。

3.3 物理管理

按照国家对于计算机机房的相关建设标准,制定统一的计算机机房建设标准

13 / 19