01、信息安全工作总体规划V1.0

? 突出安全保障

信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。

? 持续改进

信息系统安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。

? 依法管理

信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。

? 自保护和国家监管结合

对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。

1.5 建设目标

根据XXX单位信息安全体系建设需求和原则,XXX单位信息安全的建设目标,可以用“一个目标、两种手段、三个体系”进行概括。

? 一个目标

XXX单位信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个

4 / 19

层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高XXX单位信息系统的整体安全等级,为XXX单位的业务发展提供坚实的信息安全保障。

? 两种手段

信息安全体系的建设应该包括安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。

? 三个体系

XXX单位信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系、安全管理体系、以及运行保障体系。

2 体系框架

XXX单位进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,在这个体系中,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,才能够使得信息安全体系发挥最优的保障效果。

2.1 安全模型

根据XXX单位信息安全体系建设目标和总体安全策略,建立了与之对应的目标模型,称为WP2DRR安全模型,该模型是基于时间的,由预警(Warning)、策略(Policy)、保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)六个要素环节构成了一个完整的、动态的信息安全体系。预警、保护、检测、响应、恢复等环节都由技术内容和管理内容所构成。

5 / 19

?

Policy(安全策略):根据风险分析和评估产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。在WP2DRR安全模型中,策略处于核心地位,所有的防护、检测、响应、恢复都依据安全策略展开实施,安全策略为安全管理提供管理方向和支持手段。 ?

Warining(预警):根据以前所掌握的系统的弱点和当前了解的犯罪趋势预测未来可能受到的攻击和及危害。包括风险分析、病毒预报、黑客入侵趋势预报和情况通报、系统弱点报告和补丁到位。 ?

Protection(防护):通过修复系统漏洞、正确设计开发和安装安全系统来预防安全事件的发生;通过定期检查来发现可能存在的系统弱点;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监控等手段来防止恶意威胁。 ?

Detection(检测):检测是非常重要的一个环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过检测和监控网络和信息系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。 ?

Response(响应):响应是对安全事件做出反应,包括对检测到的系统异常或者攻击行为做出响应动作,以及处理突发的安全事件。恰当的响应动作和响应流程可以降低安全事件的不良影响,加强对重要资源的保护。 ?

Recovery(恢复):灾难恢复能力直接决定了业务应用的持续可用性,任

6 / 19

何意外的突发事件都可能造成服务中断和数据受损,优秀的灾难恢复计划能够针对灾难事件做到未雨绸缪,即使系统和数据遭受破坏,也能够在最短的时间内,完成恢复操作。

WP2DRR安全模型的特点就是动态性和基于时间的特性。它阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。

WP2DRR模型是在传统的P2DR模型的基础上新增加了预警Warning和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行。

安全目标模型是信息安全体系框架的基础,XXX单位的信息安全体系框架紧密围绕这个安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。

2.2 体系框架

通过对XXX单位的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了XXX单位信息安全体系框架,制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。

该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。在此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障三个层次的安全体系,达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。

XXX单位信息安全体系框架的总体结构如下图所示:

7 / 19

? 安全策略

在这个框架中,安全策略是指导。安全策略与安全技术体系、安全组织和管理体系以及运行保障体系这三大体系之间的关系也是相互作用的。一方面,三大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标;另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。

? 安全技术体系

安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这三个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管

8 / 19

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4