信息安全体系方案Word文件下载.docx

1、1.2.9 人员管理和教育培训 81.3 信息安全建设原则 81.3.1 统一规划 81.3.2 分步有序实施 81.3.3 技术管理并重 81.3.4 突出安全保障 92 信息安全建设基本方针 93 信息安全建设目标 93.1 一个目标 103.2 两种手段 103.3 三个体系 104 信息安全体系建立的原则 104.1 标准性原则 104.2 整体性原则 114.3 实用性原则 114.4 先进性原则 115 信息安全策略 115.1 物理安全策略 125.2 网络安全策略 135.3 系统安全策略 135.4 病毒管理策略 145.5 身份认证策略 155.6 用户授权与访问控制策略

2、155.7 数据加密策略 165.8 数据备份与灾难恢复 175.9 应急响应策略 175.10 安全教育策略 176 信息安全体系框架 186.1 安全目标模型 186.2 信息安全体系框架组成 206.2.1 安全策略 216.2.2 安全技术体系 216.2.3 安全管理体系 226.2.4 运行保障体系 256.2.5 建设实施规划 251概述 1.1信息安全建设思路XX信息安全建设工作的总体思路如下图所示:XX的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开,这两条主线在安全建设的过程中的关键节点又相互衔接和融和,最终形成一个完整的安全建设方案,并投入实施首先,XX的信息化

3、建设是基于当前通用的网络与信息系统基础技术,这使得信息化建设和安全技术有了一个共同的基础,使得XX的针对性安全需求与通用的安全解决技术和方案有了一定的共通点和结合点在这个基础上,通过安全评估,对信息化建设和信息安全建设进行分析和总结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别从支撑性安全技术的主线展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安全领域的完整框架思路技术和理念出发,提供完整的安全建设思路和方法在此基础之上,两条主线进入融和的

4、阶段信息安全领域的理论框架和技术基础与XX的安全问题有机地进行结合,有针对性地提出XX安全保障总体策略在这个安全保障总体策略中,包括了整体建设目标,安全技术策略,以及相应的管理策略总体安全策略一方面充分体现了XX对自身信息化建设中安全问题的针对性,另一方面也充分基于现有的信息安全领域的安全模型和技术支持能力,因此具备了可行性针对性和前瞻性 以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制定,包括安全技术体系,安全管理体系和运营保障体系在现实的运营过程中,安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来提高整体安全性效果 在信息安全体系框架的指导下,依据相应

5、的建设标准和管理规范,规划和制定详细的信息安全系统实施方案和运营维护计划 为了更加稳妥地进行全面的信息安全建设,在信息安全系统实施过程中首先进行试点项目建设,在试点项目建设中进一步积累经验,并对某些实施方案的细节进行调整,为建设实施顺利地全面开真打下基础 信息安全体系建设的思路体现了以下的特点:统筹规划和设计在建设过程中占有非常重要的地位;充分结合建设现状与信息安全通用技术和理念;充分考虑了当前的建设现状以及未来业务发展的需要;注重安全管理体系的建设,以及管理技术和保障的相互结合;采取试点工程计划,使得信息安全建设实施更加稳妥1.2信息安全建设内容XX的信息安全建设所涉及的工作内容包括以下部分

6、1.2.1建立管理组织机构建立专职的信息安全监管机构,明确各级管理机构的人员岗位配置和职能权限,全面负责信息安全建设工作和维护信息安全系统的运营1.2.2物理安全建设按照国家对于计算机机房的相关建设标准,制定统一的计算机机房建设标准和管理规范,对于计算机机房建设中的环境参数保障机制,以及运行过程中的人员访问控制监控措施等进行统一约定,颁布统一的计算机机房管理制度,对设备安全管理介质安全管理人员安全管理等作出详细的规定1.2.3网络安全建设网络安全是信息安全保障的重点,制定统一的网络结构技术标准,对如何划分内部信息系统的安全区域,安全区域的边界采取的隔离措施,进行约定,保证内部网络与外部网络办公

7、网与业务生产网之间的安全隔离制定统一的互联网接入点外联网接入点的技术标准和管理规范,统一约定网络边界接入点的网络结构安全产品的部署模式,保证内部网络与外部网络之间的安全隔离制定统一的远程移动办公技术标准和管理规范,保证远程移动办公接入的安全性制定统一的网络安全系统建设标准和管理规范,包括防火墙网络入侵检测网络脆弱性分析网络层加密等1.2.4系统安全建设系统安全的工作内容包括制定统一的系统安全管理规范,包括主机入侵检测系统安全漏洞分析和加固, 提升服务器主机系统的安全级别制定统一的网络病毒查杀系统的建设标准和管理规范,有效抑制计算机病毒在内部网络和信息系统中的传播和蔓延1.2.5应用安全建设应用

8、安全机制在应用层为业务系统提供直接的安全保护,能够满足身份认证用户授权与访问控制数据安全传输等安全需求制定统一的身份认证授权与访问控制应用层通信加密等应用层安全系统的建设标准和管理规范,改善业务应用系统的整体安全性1.2.6系统和数据备份管理系统和数据备份是重要的安全保障机制,为了保障业务数据的安全性,降低突发意外事件所带来的安全风险,制定统一的系统和数据备份标准与规范,采取先进的数据备份技术,保证业务数据和系统软件的安全性1.2.7应急响应管理制定统一的应急响应计划标准,建立应急响应计划,包括安全事件的检测报告分析追查和系统恢复等内容在发生安全事件后,尽快作出适当的响应,将安全事件的负面影响

9、降至最低,保障金融业务正常运转1.2.8灾难恢复管理灾难是指对网络和信息系统造成任何破坏作用的意外事件,要制定详细的灾难恢复计划,考虑到数据大集中的安全需求,采用异地容灾备份等技术,确保数据的安全性和业务的持续性,在灾难发生后,尽快完成恢复1.2.9人员管理和教育培训制定统一的人员安全管理和教育培训规范,定期对信息系统的用户进行安全教育和培训,对普通用户进行基本的安全教育,对安全技术岗位的用户进行岗位技能培训,提高全员的安全意识,培养高素质的安全技术和管理队伍1.3信息安全建设原则信息安全体系的建设,涉及面广工作量大,必须坚持以下的原则,保证建设和运营的效果1.3.1统一规划要对的信息安全体系

10、建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范1.3.2分步有序实施信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行1.3.3技术管理并重仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性,XX信息安全体系的建设,必须遵循安全技术和安全管理并重的原则制定统一的安全建设管理规范,指导的安全管理工作1.3.4突出安全保障信息安全体系建设要突出安全保障的重要性,通过数据备份冗余设计应急响应安全审计灾难恢复等安全保障机制,保障业务的

11、持续性和数据的安全性2信息安全建设基本方针XX信息安全体系建设的基本安全方针是“统一规划建设全面综合防御技术管理并重保障运营安全”统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统一技术标准管理规范,以及实施步骤的安排,也保证了人员和资金的投入全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全机制的保护效果有机地结合起来,构成完整的立体防护体系技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,实现了最佳的保

12、护效果保障运营安全,突出了安全保障的重要性,利用多种安全保障机制,保障了网络和信息系统的运行安全,也保障了金融业务的持续性和业务数据的安全性3信息安全建设目标根据XX信息安全体系建设的基本方针,XX信息安全的建设目标,可以用“一个目标两种手段三个体系”进行概括3.1一个目标XX信息安全的建设目标是:基于安全基础设施以安全策略为指导,提供全面的安全服务内容,覆盖从物理网络系统直至数据和应用平台各个层面,以及保护检测响应恢复等各个环节,构建全面完整高效的信息安全体系,从而提高XX信息系统的整体安全等级,为XX的业务发展提供坚实的信息安全保障3.2两种手段信息安全体系的建设应该包括安全技术与安全管理

13、两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可3.3三个体系XX信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系安全管理体系以及运行保障体系4信息安全体系建立的原则XX信息安全体系的设计与建设过程,遵循了以下基本指导原则4.1标准性原则尽可能遵循现有的与信息安全相关的国际标准国内标准行业标准,包括在技术框架中与具体的信息安全技术相关的标准,以及在管理框架中与安全管理相关的标准标准性原则从根本上保证了XX的信息安全体系建设具有良好的全面性标准性和开放性4.2整体性原则从

14、宏观的整体的角度出发,系统地建设XX信息安全体系,不仅仅局限于安全技术层面,或者技术层面中孤立的安全技术,而是全面构架信息安全技术体系,覆盖从物理安全通信和网络安全主机系统安全到数据和应用系统安全各个层面同时,建立全面有效的安全管理体系和运行保障体系,使得安全技术体系发挥最佳的保障效果4.3实用性原则建立信息安全体系,必须针对XX网络和信息系统的特点,在现状分析和风险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的信息安全保障方案同时,信息安全体系中的所有内容,都被用来指导XX信息安全系统的建设和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象实用性还体现在信息安全体系的建设过程中,由于内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行建设4.4先进性原则信息安全体系中所涉及的安全技术和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,XX的信息安全系统建设的需要,为网络和信息系统提供有效的安全服务保障5信息安全策略信息安全策略是信息安全建设的核心,它描述了在信息安全建设过程中,需要对哪些重要的信息资产进行保护,以及如何进行保护在对营业部进行的安全风险评估的基础之上,明确了信息安全建设工作的内容和重点,