信息安全總體策略
發(fā)布時間:2020-11-02 來源: 述職報告 點擊:
X XXX 信息化服務(wù)中心
信息安全 總體 策略
項目名稱
XXX 安全運維服務(wù)項目 客戶名稱
XXX 信息化服務(wù)中心 實施地點
XXX 信息化服務(wù)中心 實施單位
XXX 信息技術(shù)有限 實施時間
XXX 年 7 月 20 日星期五
文檔修訂情況
版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17
目錄
1
物理安全策略 .......................................................................................................................................... 3
2
網(wǎng) 網(wǎng) XXX 全策略 ......................................................................................................................................... 3
3
系統(tǒng)安全策略 .......................................................................................................................................... 4
4
病毒管理策略 .......................................................................................................................................... 4
5
身份認證策略 .......................................................................................................................................... 5
6
用戶授權(quán)與訪問控制策略 ....................................................................................................................... 5
7
數(shù)據(jù)加密策略 .......................................................................................................................................... 5
8
數(shù)據(jù)備份與災(zāi)難恢復(fù) .............................................................................................................................. 6
9
應(yīng)急響應(yīng)策略 .......................................................................................................................................... 6
10
安全教育策略 ...................................................................................................................................... 7
1 物理安全策略 ? 計算機機房的建設(shè)必須遵循國家在計算機機房場地選擇、環(huán)境安全、布線施工方面的標準,保證物理環(huán)境安全。
? 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機和前置機服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計算機機房內(nèi)部的適當位置,通過物理訪問控制機制,保證這些設(shè)備自身的安全性。
? 應(yīng)當建立人員出入訪問控制機制,嚴格控制人員出入計算機機房和其它重要安全區(qū)域,訪問控制機制還需要能夠提供審計功能,便于檢查和分析。
? 應(yīng)當指定專門的部門和人員,負責計算機機房的建設(shè)和管理工作,建立 24 小時值班制度。
? 建立計算機機房管理制度,對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細的規(guī)定。
? 管理機構(gòu)應(yīng)當定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查,發(fā)現(xiàn)問題,進行改進。
2 網(wǎng) 網(wǎng) 絡(luò)安 全策略 ? 必須對網(wǎng)絡(luò)和信息系統(tǒng)進行安全域劃分,建立隔離保護機制,并且在各安全域之間建立訪問控制機制,杜絕發(fā)生未授權(quán)的非法訪問現(xiàn)象,特別的,必須對生產(chǎn)網(wǎng)和辦公網(wǎng)進行劃分和隔離。
? 應(yīng)當部署網(wǎng)絡(luò)管理體系,管理網(wǎng)絡(luò)資源和設(shè)備,實施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài),降低網(wǎng)絡(luò)故障帶來的安全風險。
? 應(yīng)當對關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計,防止關(guān)鍵線路和設(shè)備的單點故障造成通信服務(wù)中斷。
? 應(yīng)當在各安全域的邊界,綜合部署網(wǎng) XXX 全訪問措施,包括防火墻、入侵檢測、VPN,建立多層次的,立體的網(wǎng) XXX 全防護體系。
? 應(yīng)當建立網(wǎng)絡(luò)弱點分析機制,發(fā)現(xiàn)和彌補網(wǎng)絡(luò)中存在的安全漏洞,及時進行自我完善。
? 應(yīng)當建立遠程訪問機制,實現(xiàn)安全的遠程辦公和移動辦公。
? 應(yīng)當指定專門的部門和人員,負責網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設(shè)、管理維護。
? 應(yīng)當建立網(wǎng) XXX 全系統(tǒng)的建設(shè)標準和相關(guān)的運營維護管理規(guī)范,在范圍內(nèi)指導實際的系統(tǒng)建設(shè)和維護管理。
? 管理機構(gòu)應(yīng)當定期對網(wǎng) XXX 全措施和安全管理制度的有效性和實施狀況進行檢查,
發(fā)現(xiàn)問題,進行改進。
3 系統(tǒng)安全策略 ? 應(yīng)當對關(guān)鍵服務(wù)器主機設(shè)備提供冗余設(shè)計,防止單點故障造成網(wǎng)絡(luò)服務(wù)中斷。
? 應(yīng)當建立主機弱點分析機制,發(fā)現(xiàn)和彌補系統(tǒng)軟件中存在的不當配置和安全漏洞,及時進行自我完善。
? 應(yīng)當建立主機系統(tǒng)軟件版本維護機制,及時升級系統(tǒng)版本和補丁程序版本,保持系統(tǒng)軟件的最新狀態(tài)。
? 應(yīng)當建立主機系統(tǒng)軟件備份和恢復(fù)機制,在災(zāi)難事件發(fā)生之后,能夠快速實現(xiàn)系統(tǒng)恢復(fù)。
? 可以建立主機入侵檢測機制,發(fā)現(xiàn)主機系統(tǒng)中的異常操作行為,以及對主機發(fā)起的攻擊行為,并及時向管理員報警。
? 應(yīng)當指定專門的部門和人員,負責主機系統(tǒng)的管理維護。
? 應(yīng)當建立主機系統(tǒng)管理規(guī)范,包括系統(tǒng)軟件版本管理、主機弱點分析、主機審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。
? 應(yīng)當建立桌面系統(tǒng)使用管理規(guī)范,約束和指導用戶使用桌面系統(tǒng),并對其進行正確有效的配置和管理。
? 管理機構(gòu)應(yīng)當定期對各項系統(tǒng)安全管理制度的有效性和實施狀況進行檢查,發(fā)現(xiàn)問題,進行改進。
4 病毒管理策略 ? 應(yīng)當建立全面網(wǎng)絡(luò)病毒查殺機制,實現(xiàn) XXX 信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治,抑止病毒的傳播。
? 所有內(nèi)部網(wǎng)絡(luò)上的計算機在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前,都應(yīng)當安裝和配置殺毒軟件,并且通過管理中心進行更新,任何用戶不能禁用病毒掃描和查殺功能。
? 所有內(nèi)部網(wǎng)絡(luò)上的計算機系統(tǒng)都應(yīng)當定期進行完整的系統(tǒng)掃描。
? 從外部介質(zhì)安裝數(shù)據(jù)和程序之前,或安裝下載的數(shù)據(jù)和程序之前,必須對其進行病毒掃描,以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。
? 第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前,必須在隔離受控的模擬系統(tǒng)上進行病毒掃描測試。
? 任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計算機內(nèi)存、存儲介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計算機代碼
? 應(yīng)當指定專門的部門和人員,負責網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護。
? 應(yīng)當建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范,有效發(fā)揮病毒防治系統(tǒng)的安全效能。
? 應(yīng)當建立桌面系統(tǒng)病毒防治管理規(guī)范,約束和指導用戶在桌面系統(tǒng)上的操作行為,以及對殺毒軟件的配置和管理,達到保護桌面系統(tǒng)、抑止病毒傳播的目的。
? 管理機構(gòu)應(yīng)當定期對與病毒查殺有關(guān)安全管理制度的有效性和實施狀況進行檢查,發(fā)現(xiàn)問題,進行改進。
5 身份認證策略 ? 應(yīng)當在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施,向應(yīng)用系統(tǒng)提供集中的用戶身份認證服務(wù)。
? 應(yīng)當選擇安全性高,投入收益比率較好,易管理維護的身份認證技術(shù),建立身份管理基礎(chǔ)設(shè)施。
? 每個內(nèi)部員工具有范圍內(nèi)唯一的身份標識,用戶在訪問應(yīng)用系統(tǒng)之前,必須提交身份標識,并對其進行認證;員工離職時,要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。
? 應(yīng)當對現(xiàn)有的應(yīng)用系統(tǒng)進行技術(shù)改造,使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。
? 應(yīng)當建立專門的部門和崗位,負責用戶身份的管理,以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運行、維護。
? 應(yīng)當在范圍內(nèi)建立用戶標識管理規(guī)范,對用戶標識格式,產(chǎn)生和撤銷流程進行統(tǒng)一規(guī)定。
6 用戶授權(quán)與訪問控制策略 ? 應(yīng)當依托身份認證基礎(chǔ)設(shè)施,將集中管理與分布式管理有機結(jié)合起來,建立分級的用戶授權(quán)與訪問控制管理機制。
? 每個內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi);員工離職時,要撤銷其在信息系統(tǒng)內(nèi)部的所有訪問權(quán)限。
? 應(yīng)當對現(xiàn)有的應(yīng)用系統(tǒng)進行技術(shù)改造,使用授權(quán)與訪問控制系統(tǒng)提供的安全服務(wù)。
? 應(yīng)當建立專門崗位,負責用戶權(quán)限管理,以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護。
? 應(yīng)當在范圍內(nèi),建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。
7 數(shù)據(jù)加密策略 ? 加密技術(shù)的采用和加密機制的建立,應(yīng)該符合國家有關(guān)的法律和規(guī)定。
? 應(yīng)當建立內(nèi)部信息系統(tǒng)的密級分級標準,判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲過程中,是否需要采用加密機制。
? 應(yīng)當建立密鑰管理體制,保證密鑰在產(chǎn)生、使用、存儲、傳輸?shù)拳h(huán)節(jié)中的安全性。
? 加密機制應(yīng)當使用國際標準的密碼算法,或者國內(nèi)通過密碼管理委員會審批的專用算法,其中對稱密碼算法的密鑰長度不得低于 128 比特,公鑰密碼算法的密鑰長度不得低于 1024 比特。
? 應(yīng)當在物理上保證所有的硬件加密設(shè)備和軟件加密程序,以及存儲涉密數(shù)據(jù)的介質(zhì)載體的安全。
? 應(yīng)當指定專門的管理機構(gòu),負責本策略的維護,監(jiān)督本策略的實施。
? 任何內(nèi)部信息系統(tǒng),都需要向管理機構(gòu)提出申請,經(jīng)管理機構(gòu)審批,獲得授權(quán)后,才能夠使用加密機制。禁止任何內(nèi)部信息系統(tǒng)和人員,在未授權(quán)的情況下,使用任何加密機制。
? 管理機構(gòu)應(yīng)當每年對加密算法的選擇范圍和密鑰長度的最低要求進行一次復(fù)審和評估,使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。
8 數(shù)據(jù)備份與災(zāi)難恢復(fù) ? 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù),避免硬件的單點故障導致服務(wù)中斷。
? 綜合考慮性能和管理等因素,采用先進的系統(tǒng)和數(shù)據(jù)備份技術(shù),在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機制,防止數(shù)據(jù)出現(xiàn)邏輯損壞。
? 對業(yè)務(wù)系統(tǒng)采取適當?shù)漠惖貍浞輽C制,使得數(shù)據(jù)備份計劃具備一定的容災(zāi)能力。
? 建立災(zāi)難恢復(fù)計劃,提供災(zāi)難恢復(fù)手段,在災(zāi)難事件發(fā)生之后,快速對被破壞的信息系統(tǒng)進行恢復(fù)。
? 應(yīng)當建立專門崗位,負責用戶權(quán)限管理,以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護。
? 建立日常數(shù)據(jù)備份管理制度,對備份周期和介質(zhì)保管進行統(tǒng)一規(guī)定。
? 建立災(zāi)難恢復(fù)計劃,對人員進行災(zāi)難恢復(fù)培訓,定期進行災(zāi)難恢復(fù)的模擬演練。
9 應(yīng)急響應(yīng)策略 ? 應(yīng)當建立應(yīng)急響應(yīng)中心,配置專門崗位,負責制定范圍內(nèi)的信息安全策略、完成計算機網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急響應(yīng)、及時發(fā)布安全漏洞和補丁修補程序等安全公告、進行安全系統(tǒng)審計數(shù)據(jù)分析、以及提供安全教育和培訓。
? 應(yīng)當制定詳細的安全事件的應(yīng)急響應(yīng)計劃,包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。
10 安全教育策略 ? 應(yīng)該建立專門的機構(gòu)和崗位,負責安全教育與培訓計劃的制定和執(zhí)行 ? 應(yīng)當制定詳細的安全教育和培訓計劃,對信息安全技術(shù)和管理相關(guān)人員進行安全專業(yè)知識和技能培訓,對普通用戶進行安全基礎(chǔ)知識、安全策略和管理制度培訓,提高人員的整體安全意識和安全操作水平。
? 管理機構(gòu)應(yīng)當定期對安全教育和培訓的成果進行抽查和考核,檢驗安全教育和培訓活動的效果。
熱點文章閱讀