信息安全体系方案.docx
《信息安全体系方案.docx》由会员分享,可在线阅读,更多相关《信息安全体系方案.docx(25页珍藏版)》请在冰豆网上搜索。
信息安全体系方案
信息安全体系方案
(第一部分综述)
目录
1概述4
1.1信息安全建设思路4
1.2信息安全建设内容6
1.2.1建立管理组织机构6
1.2.2物理安全建设6
1.2.3网络安全建设6
1.2.4系统安全建设7
1.2.5应用安全建设7
1.2.6系统和数据备份管理7
1.2.7应急响应管理7
1.2.8灾难恢复管理7
1.2.9人员管理和教育培训8
1.3信息安全建设原则8
1.3.1统一规划8
1.3.2分步有序实施8
1.3.3技术管理并重8
1.3.4突出安全保障9
2信息安全建设基本方针9
3信息安全建设目标9
3.1一个目标10
3.2两种手段10
3.3三个体系10
4信息安全体系建立的原则10
4.1标准性原则10
4.2整体性原则11
4.3实用性原则11
4.4先进性原则11
5信息安全策略11
5.1物理安全策略12
5.2网络安全策略13
5.3系统安全策略13
5.4病毒管理策略14
5.5身份认证策略15
5.6用户授权与访问控制策略15
5.7数据加密策略16
5.8数据备份与灾难恢复17
5.9应急响应策略17
5.10安全教育策略17
6信息安全体系框架18
6.1安全目标模型18
6.2信息安全体系框架组成20
6.2.1安全策略21
6.2.2安全技术体系21
6.2.3安全管理体系22
6.2.4运行保障体系25
6.2.5建设实施规划25
1概述
1.1信息安全建设思路
公司信息安全建设工作的总体思路如下图所示:
公司的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开,这两条主线在安全建设的过程中的关键节点又相互衔接和融和,最终形成一个完整的安全建设方案,并投入实施。
首先,公司的信息化建设是基于当前通用的网络与信息系统基础技术,这使得信息化建设和安全技术有了一个共同的基础,使得公司的针对性安全需求与通用的安全解决技术和方案有了一定的共通点和结合点。
在这个基础上,通过安全评估,对信息化建设和信息安全建设进行分析和总结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。
从支撑性安全技术的主线展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和方法。
在此基础之上,两条主线进入融和的阶段。
信息安全领域的理论、框架和技术基础与公司的安全问题有机地进行结合,有针对性地提出公司安全保障总体策略。
在这个安全保障总体策略中,包括了整体建设目标,安全技术策略,以及相应的管理策略。
总体安全策略一方面充分体现了公司对自身信息化建设中安全问题的针对性,另一方面也充分基于现有的信息安全领域的安全模型和技术支持能力,因此具备了可行性、针对性和前瞻性。
以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制定,包括安全技术体系,安全管理体系和运营保障体系。
在现实的运营过程中,安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来提高整体安全性效果。
在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制定详细的信息安全系统实施方案和运营维护计划。
为了更加稳妥地进行全面的信息安全建设,在信息安全系统实施过程中首先进行试点项目建设,在试点项目建设中进一步积累经验,并对某些实施方案的细节进行调整,为建设实施顺利地全面开真打下基础。
信息安全体系建设的思路体现了以下的特点:
⏹统筹规划和设计在建设过程中占有非常重要的地位;
⏹充分结合建设现状与信息安全通用技术和理念;
⏹充分考虑了当前的建设现状以及未来业务发展的需要;
⏹注重安全管理体系的建设,以及管理、技术和保障的相互结合;
⏹采取试点工程计划,使得信息安全建设实施更加稳妥。
1.2信息安全建设内容
公司的信息安全建设所涉及的工作内容包括以下部分。
1.2.1建立管理组织机构
建立专职的信息安全监管机构,明确各级管理机构的人员岗位配置和职能权限,全面负责信息安全建设工作和维护信息安全系统的运营。
1.2.2物理安全建设
按照国家对于计算机机房的相关建设标准,制定统一的计算机机房建设标准和管理规范,对于计算机机房建设中的环境参数、保障机制,以及运行过程中的人员访问控制、监控措施等进行统一约定,颁布统一的计算机机房管理制度,对设备安全管理、介质安全管理、人员安全管理等作出详细的规定。
1.2.3网络安全建设
网络安全是信息安全保障的重点,制定统一的网络结构技术标准,对如何划分内部信息系统的安全区域,安全区域的边界采取的隔离措施,进行约定,保证内部网络与外部网络、办公网与业务生产网之间的安全隔离。
制定统一的互联网接入点、外联网接入点的技术标准和管理规范,统一约定网络边界接入点的网络结构、安全产品的部署模式,保证内部网络与外部网络之间的安全隔离。
制定统一的远程移动办公技术标准和管理规范,保证远程移动办公接入的安全性。
制定统一的网络安全系统建设标准和管理规范,包括防火墙、网络入侵检测、网络脆弱性分析、网络层加密等。
1.2.4系统安全建设
系统安全的工作内容包括制定统一的系统安全管理规范,包括主机入侵检测、系统安全漏洞分析和加固,提升服务器主机系统的安全级别。
制定统一的网络病毒查杀系统的建设标准和管理规范,有效抑制计算机病毒在内部网络和信息系统中的传播和蔓延。
1.2.5应用安全建设
应用安全机制在应用层为业务系统提供直接的安全保护,能够满足身份认证、用户授权与访问控制、数据安全传输等安全需求。
制定统一的身份认证、授权与访问控制、应用层通信加密等应用层安全系统的建设标准和管理规范,改善业务应用系统的整体安全性。
1.2.6系统和数据备份管理
系统和数据备份是重要的安全保障机制,为了保障业务数据的安全性,降低突发意外事件所带来的安全风险,制定统一的系统和数据备份标准与规范,采取先进的数据备份技术,保证业务数据和系统软件的安全性。
1.2.7应急响应管理
制定统一的应急响应计划标准,建立应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。
在发生安全事件后,尽快作出适当的响应,将安全事件的负面影响降至最低,保障金融业务正常运转。
1.2.8灾难恢复管理
灾难是指对网络和信息系统造成任何破坏作用的意外事件,要制定详细的灾难恢复计划,考虑到数据大集中的安全需求,采用异地容灾备份等技术,确保数
据的安全性和业务的持续性,在灾难发生后,尽快完成恢复。
1.2.9人员管理和教育培训
制定统一的人员安全管理和教育培训规范,定期对信息系统的用户进行安全教育和培训,对普通用户进行基本的安全教育,对安全技术岗位的用户进行岗位技能培训,提高全员的安全意识,培养高素质的安全技术和管理队伍。
1.3信息安全建设原则
信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建设和运营的效果。
1.3.1统一规划
要对的信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容。
同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。
1.3.2分步有序实施
信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行。
1.3.3技术管理并重
仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性,
公司信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。
制定统一的安全建设管理规范,指导的安全管理工作。
1.3.4突出安全保障
信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。
2信息安全建设基本方针
公司信息安全体系建设的基本安全方针是“统一规划建设、全面综合防御、技术管理并重、保障运营安全”。
统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统一技术标准、管理规范,以及实施步骤的安排,也保证了人员和资金的投入。
全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全机制的保护效果有机地结合起来,构成完整的立体防护体系。
技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,实现了最佳的保护效果。
保障运营安全,突出了安全保障的重要性,利用多种安全保障机制,保障了网络和信息系统的运行安全,也保障了金融业务的持续性和业务数据的安全性。
3信息安全建设目标
根据公司信息安全体系建设的基本方针,公司信息安全的建设目标,可以用
“一个目标、两种手段、三个体系”进行概括。
3.1一个目标
公司信息安全的建设目标是:
基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高公司信息系统的整体安全等级,为公司的业务发展提供坚实的信息安全保障。
3.2两种手段
信息安全体系的建设应该包括安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
3.3三个体系
公司信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系、安全管理体系、以及运行保障体系。
4信息安全体系建立的原则
公司信息安全体系的设计与建设过程,遵循了以下基本指导原则。
4.1标准性原则
尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,包括在技术框架中与具体的信息安全技术相关的标准,以及在管理框架中与安全管理相关的标准。
标准性原则从根本上保证了公司的信息安全体系建设具有良好的全面性、标准性、和开放性。
4.2整体性原则
从宏观的、整体的角度出发,系统地建设公司信息安全体系,不仅仅局限于安全技术层面,或者技术层面中孤立的安全技术,而是全面构架信息安全技术体系,覆盖从物理安全、通信和网络安全、主机系统安全、到数据和应用系统安全各个层面。
同时,建立全面有效的安全管理体系和运行保障体系,使得安全技术体系发挥最佳的保障效果。
4.3实用性原则
建立信息安全体系,必须针对公司网络和信息系统的特点,在现状分析和风险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的信息安全保障方案。
同时,信息安全体系中的所有内容,都被用来指导公司信息安全系统的建设和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。
实用性还体现在信息安全体系的建设过程中,由于内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行建设。
4.4先进性原则
信息安全体系中所涉及的安全技术和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,公司的信息安全系统建设的需要,为网络和信息系统提供有效的安全服务保障。
5信息安全策略
信息安全策略是信息安全建设的核心,它描述了在信息安全建设过程中,需要对哪些重要的信息资产进行保护,以及如何进行保护。
在对营业部进行的安全风险评估的基础之上,明确了信息安全建设工作的内
容和重点,并形成了指导信息安全建设的《公司信息安全总体策略》,总体策略的设计坚持了管理与技术并重的原则,以确保网络和信息系统的安全性为主,采用多重保护、最小授权、和严格管理等措施,从宏观整体的角度进行阐述,是信息安全建设总的指导原则。
按照要保障的资产对象的不同,总体策略划分为物理安全、网络安全、系统安全、病毒防治、身份认证、应用授权和访问控制、数据加密、数据备份和灾难恢复、应急响应、教育培训等若干方面进行阐述。
随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。
5.1物理安全策略
⏹计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准,保证物理环境安全。
⏹关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置,通过物理访问控制机制,保证这些设备自身的安全性。
⏹应当建立人员出入访问控制机制,严格控制人员出入计算机机房和其它重要安全区域,访问控制机制还需要能够提供审计功能,便于检查和分析。
⏹应当指定专门的部门和人员,负责计算机机房的建设和管理工作,建立
24小时值班制度。
⏹建立计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。
⏹管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
5.2网络安全策略
⏹必须对网络和信息系统进行安全域划分,建立隔离保护机制,并且在各安全域之间建立访问控制机制,杜绝发生未授权的非法访问现象,特别的,必须对生产网和办公网进行划分和隔离。
⏹应当部署网络管理体系,管理网络资源和设备,实施监控网络系统的运行状态,降低网络故障带来的安全风险。
⏹应当对关键的通信线路、网络设备提供冗余设计,防止关键线路和设备的单点故障造成通信服务中断。
⏹应当在各安全域的边界,综合部署网络安全访问措施,包括防火墙、入侵检测、VPN,建立多层次的,立体的网络安全防护体系。
⏹应当建立网络弱点分析机制,发现和弥补网络中存在的安全漏洞,及时进行自我完善。
⏹应当建立远程访问机制,实现安全的远程办公和移动办公。
⏹应当指定专门的部门和人员,负责网络安全系统的规划、建设、管理维护。
⏹应当建立网络安全系统的建设标准和相关的运营维护管理规范,在范围内指导实际的系统建设和维护管理。
⏹管理机构应当定期对网络安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
5.3系统安全策略
⏹应当对关键服务器主机设备提供冗余设计,防止单点故障造成网络服务中断。
⏹应当建立主机弱点分析机制,发现和弥补系统软件中存在的不当配置和安全漏洞,及时进行自我完善。
⏹应当建立主机系统软件版本维护机制,及时升级系统版本和补丁程序版
本,保持系统软件的最新状态。
⏹应当建立主机系统软件备份和恢复机制,在灾难事件发生之后,能够快速实现系统恢复。
⏹可以建立主机入侵检测机制,发现主机系统中的异常操作行为,以及对主机发起的攻击行为,并及时向管理员报警。
⏹应当指定专门的部门和人员,负责主机系统的管理维护。
⏹应当建立主机系统管理规范,包括系统软件版本管理、主机弱点分析、主机审计日志检查和分析、以及系统软件的备份和恢复等内容。
⏹应当建立桌面系统使用管理规范,约束和指导用户使用桌面系统,并对其进行正确有效的配置和管理。
⏹管理机构应当定期对各项系统安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
5.4病毒管理策略
⏹应当建立全面网络病毒查杀机制,实现公司全网范围内的病毒防治,抑止病毒的传播。
⏹所有内部网络上的计算机在联入内部网络之前,都应当安装和配置杀毒软件,并且通过管理中心进行更新,任何用户不能禁用病毒扫描和查杀功能。
⏹所有内部网络上的计算机系统都应当定期进行完整的系统扫描。
⏹从外部介质安装数据和程序之前,或安装下载的数据和程序之前,必须对其进行病毒扫描,以防止存在病毒感染操作系统和应用程序。
⏹第三方数据和程序在安装到内部网络的系统之前,必须在隔离受控的模拟系统上进行病毒扫描测试。
⏹任何内部用户不能故意制造、执行、传播、或引入任何可以自我复制、破坏或者影响计算机内存、存储介质、操作系统、应用程序的计算机代码
⏹应当指定专门的部门和人员,负责网络病毒防治系统的管理维护。
⏹应当建立网络病毒防治系统的管理规范,有效发挥病毒防治系统的安全效能。
⏹应当建立桌面系统病毒防治管理规范,约束和指导用户在桌面系统上的操作行为,以及对杀毒软件的配置和管理,达到保护桌面系统、抑止病毒传播的目的。
⏹管理机构应当定期对与病毒查杀有关安全管理制度的有效性和实施状况进行检查,发现问题,进行改进。
5.5身份认证策略
⏹应当在范围内建立统一的用户身份管理基础设施,向应用系统提供集中的用户身份认证服务。
⏹应当选择安全性高,投入收益比率较好,易管理维护的身份认证技术,建立身份管理基础设施。
⏹每个内部员工具有范围内唯一的身份标识,用户在访问应用系统之前,必须提交身份标识,并对其进行认证;员工离职时,要撤销其在信息系统内部的合法身份。
⏹应当对现有的应用系统进行技术改造,使用身份管理基础设施的安全服务。
⏹应当建立专门的部门和岗位,负责用户身份的管理,以及身份管理基础设施的建设、运行、维护。
⏹应当在范围内建立用户标识管理规范,对用户标识格式,产生和撤销流程进行统一规定。
5.6用户授权与访问控制策略
⏹应当依托身份认证基础设施,将集中管理与分布式管理有机结合起来,建立分级的用户授权与访问控制管理机制。
⏹每个内部员工在信息系统内部的操作行为必须被限定在合法授权的范围之内;员工离职时,要撤销其在信息系统内部的所有访问权限。
⏹应当对现有的应用系统进行技术改造,使用授权与访问控制系统提供的安全服务。
⏹应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
⏹应当在范围内,建立包括用户权限的授予和撤销在内的一整套管理流程和制度。
5.7数据加密策略
⏹加密技术的采用和加密机制的建立,应该符合国家有关的法律和规定。
⏹应当建立内部信息系统的密级分级标准,判定信息系统在消息传输和数据存储过程中,是否需要采用加密机制。
⏹应当建立密钥管理体制,保证密钥在产生、使用、存储、传输等环节中的安全性。
⏹加密机制应当使用国际标准的密码算法,或者国内通过密码管理委员会审批的专用算法,其中对称密码算法的密钥长度不得低于128比特,公钥密码算法的密钥长度不得低于1024比特。
⏹应当在物理上保证所有的硬件加密设备和软件加密程序,以及存储涉密数据的介质载体的安全。
⏹应当指定专门的管理机构,负责本策略的维护,监督本策略的实施。
⏹任何内部信息系统,都需要向管理机构提出申请,经管理机构审批,获得授权后,才能够使用加密机制。
禁止任何内部信息系统和人员,在未授权的情况下,使用任何加密机制。
⏹管理机构应当每年对加密算法的选择范围和密钥长度的最低要求进行一次复审和评估,使得本策略与加密技术的发展相适应。
5.8数据备份与灾难恢复
⏹在业务系统主要应用服务器中采用硬件冗余技术,避免硬件的单点故障导致服务中断。
⏹综合考虑性能和管理等因素,采用先进的系统和数据备份技术,在范围内建立统一的系统和数据备份机制,防止数据出现逻辑损坏。
⏹对业务系统采取适当的异地备份机制,使得数据备份计划具备一定的容灾能力。
⏹建立灾难恢复计划,提供灾难恢复手段,在灾难事件发生之后,快速对被破坏的信息系统进行恢复。
⏹应当建立专门岗位,负责用户权限管理,以及授权和访问控制系统的建设、运行、维护。
⏹建立日常数据备份管理制度,对备份周期和介质保管进行统一规定。
⏹建立灾难恢复计划,对人员进行灾难恢复培训,定期进行灾难恢复的模拟演练。
5.9应急响应策略
⏹应当建立应急响应CERT中心,配置专门岗位,负责制定范围内的信息安全策略、完成计算机网络和系统安全事件的紧急响应、及时发布安全漏洞和补丁修补程序等安全公告、进行安全系统审计数据分析、以及提供安全教育和培训。
⏹应当制定详细的安全事件的应急响应计划,包括安全事件的检测、报告、分析、追查、和系统恢复等内容。
5.10安全教育策略
⏹应该建立专门的机构和岗位,负责安全教育与培训计划的制定和执行
⏹应当制定详细的安全教育和培训计划,对信息安全技术和管理相关人员
进行安全专业知识和技能培训,对普通用户进行安全基础知识、安全策略和管理制度培训,提高人员的整体安全意识和安全操作水平。
⏹管理机构应当定期对安全教育和培训的成果进行抽查和考核,检验安全教育和培训活动的效果。
6信息安全体系框架
公司进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,在这个体系中,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,才能够使得信息安全体系发挥最优的保障效果。
为此制定了《公司信息安全体系框架》,该框架主体由《综述》、《安全技术框架》、《安全管理框架》、《运营保障框架》、《建设实施规划》五部分组成,从宏观上规划和管理的信息安全建设工作。
同时还制定了《公司信息安全管理规范汇编》,包括了一系列的安全管理规范,指导信息安全建设和运营工作,使得信息安全建设能够依据统一的标准开展,信息安全体系的运营和维护能够遵循统一的规范进行。
6.1安全目标模型
根据公司信息安全体系建设目标和总体安全策略,建立了与之对应的目标模型,称为WP2DRR安全模型,该模型是基于时间的,由预警(Warning)、策略
(Policy)、保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)六个要素环节构成了一个完整的、动态的信息安全体系。
预警、保护、检测、响应、恢复等环节都由技术内容和管理内容所构成。
⏹Policy(安全策略):
根据风险分析和评估产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。
在WP2DRR安全模型中,策略处于核心地位,所有的防护、检测、响应、恢复都依据安全策略展开实施,安全策略为安全管理提供管理方向和支持手段。
⏹Warining(预警):
根据以前所掌握的系统的弱点和当前了解的犯罪趋势预测未来可能受到的攻击和及危害。
包括风险分析、病毒预报、黑客入侵趋势预报和情况通报、系统弱点报告和补丁到位。
⏹Protection(防护):
通过修复系统漏洞、正确设计开发和安装安全系统来预防安全事件的发生;通过定期检查来发现可能存在的系统弱点;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监控等手段来防止恶意威胁。
⏹Detection(检测):
检测是非常重要的一个环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过检测和监控网络和信息系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
⏹Response(响应):
响应是对安全事件做出反应,包括对检测到的系统异常或者攻击行为做出响应动作,以及处理突发的安全事件。
恰当的响应
动作和响应流程可以降低安全事件的不良影响,加强对重要资源的保护。
⏹Recovery(恢复):
灾难恢