最新原创企业集团信息安全总体安全方针.docx

1、最新原创企业集团信息安全总体安全方针企业（集团）信息安全总体安全方针1.1.1安全使命保障业务持续，促进业务发展信息安全必须为业务服务，脱离业务的信息安全也就失去了其真正的意义。保证实现业务服务的信息系统正常运行，进而使企业（集团）的业务持续开展，就成为了信息安全建设的最根本使命。业务创新能力成为业务增值过程中的重要手段。业务创新背后离不开信息安全技术的支撑。运用信息安全技术和管理支撑业务创新的能力将会成为企业（集团）的业务趋向安全保障的使命。1.1.2安全目标保证信息的机密性、完整性和可用性（直接目标）信息机密性是指信息仅可让授权获取的人士访问。信息完整性是指保护信息和处理方法的准确和完善。

2、信息可用性是指确保授权人需要时可以获取信息和相应的资产。信息安全必须保证信息的机密性、完整性和可用性，这是信息安全建设的重要目标。企业（集团）信息安全的建设必须以保证信息的机密、完整和可用为安全保障战略目标，这是企业（集团）的需要，是企业信息化发展的需要，也是所有用户的需求。1.2安全保障框架企业（集团）安全保障主体是构筑企业信息化平台和服务的基础上，其核心是企业信息化相关的应用系统，安全保障框架所有安全控制都应包含为策略、组织、技术和运作四个要素，即每条安全控制，都可以描述为“根据某某策略，由某某组织（或人员），利用某某技术，进行某某操作”。将安全控制的四要素分别综合起来，成为策略体系、组织

3、体系、技术体系和运作体系。这四个体系构成了安全保障框架。企业（集团）安全保障框架框架总体示意如下图所示：企业（集团）业务系统：业务系统是企业（集团）安全保障框架框架的核心，其实现业务功能的信息系统安全需求和等级决定了整体安全保障的强度和力度。安全策略体系指导企业（集团）信息系统设计、建设和维护管理工作的基本依据，所有相关人员应根据工作实际情况履行相关安全策略，制定并遵守相应的安全标准、流程和安全制度实施细则，做好安全标准体系相关工作。安全组织体系落实信息安全管理机构和人员安全管理部分的相关内容，指导企业（集团）安全职能的落实、岗位设置和相关人员的安全管理。安全技术体系：落实等级保护以及信息安全

4、管理体系相关标准中安全技术中的所有控制要求，实现物理、网络、主机、应用和数据的所有安全控制项，通常采用安全技术产品加以实现。安全运作体系：贯穿组织、策略和技术的流程和规范，是安全工作的关键，落实系统安全建设和系统安全运维管理部分的控制要求，指导企业（集团）的安全实施和运维的具体实现。安全组织、安全策略以及安全运作统称为安全管理体系建设。企业（集团）信息安全建设整体规划2.1信息安全管理体系建设2.1.1安全组织建设企业（集团）安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式。信息安全领导小组职责信息安全领导小组是由企业（集团）主管领导牵头，各部门的

5、负责人为组成成员的组织机构，主要负责批准企业（集团）安全策略、分配安全责任并协调安全策略能够实施，确保安全管理和建设有一个明确的方向，从管理层角度对信息安全管理提供支持。信息安全工作组职责信息安全工作组是由信息技术部领导牵头，内设专职的安全管理组织和岗位，负责日常具体工作的落实、指导和协调。2.1.2安全策略建设企业（集团）应以ISO 27001以及GB/T 22239-2008基本管理要求架构为信息安全策略架构，并根据企业（集团）特点进行调整扩充，可分为七个方面，包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理、系统废止管理和系统检查与评估，如图所示：2.1.3安全运

6、维建设信息系统交付后正式开始支撑各项业务系统和日常办公需要，如何保证信息系统持续稳定安全运行是安全运维管理的重要工作内容。只有保证信息系统日常正常稳定运行，才能切实发挥信息系统对企业（集团）各项业务开展和日常办公的支撑作用和效益。为此本方案设计了安全运维体系涉及到各类日常运维操作规范和流程和安全事件管理与应急响应流程，构成了支撑和落实各项信息安全管理方针和策略的坚实基础。2.1.3.1日常运维管理2.1.3.1.1环境管理企业（集团）所有的服务器和核心网络设备均按照要求放置在集中的机房中，为了保证机房的各项安全资源的稳定可靠，制定机房安全管理制度，对以下方面进行规定：机房电力、空调、门禁、监控

7、等设备的管理进行规定；规定进出机房要求和记录；规定对机柜、服务器、电源等设备的进入、变动和移出等操作；机房责任人和日常运维职责内容。企业（集团）基本实现了业务工作和日常办公的信息化和网络化，业务系统终端和办公终端分布在各个办公室，为了防范系统终端的安全风险，杜绝从终端对业务系统和网络的安全威胁，提升业务人员和所有员工的安全意识，制定办公室安全管理制度，对以下方面进行规定：办公室的信息安全要求；办公终端信息安全保密要求；办公终端使用规范。2.1.3.2资产管理信息资产是构成网络和信息系统的基础，是系统各种服务功能实现的提供者和信息存储的承载者。对资产进行管理是一切安全运维管理的基础，企业（集团）

8、把各类硬件、软件、数据、介质、文档均作为信息资产进行管理，制定资产管理制度加以规范，包括以下内容：规定信息分类和识别，不同类别的存放、处理和传输的安全要求；按照信息系统制定资产清单，包括责任人、重要程度、供应商、部署位置等信息；资产的申报、领用、维修和报废流程；要求定期对资产进行盘点和安全性审计。资产对备份的要求。2.1.3.3网络安全管理网络作为信息系统的基础性设施，为各个业务系统和办公应用提供连通和数据传输，实现信息共享。网络对可靠性和安全性具有非常高的要求，企业（集团）制定网络安全管理制度对网络的架构和设备的安全管理进行约定，主要包括以下内容：网络结构和IP地址分配；网络接入安全要求；网

9、络设备操作规范流程；网络设备安全配置和版本更新要求；网络设备帐户授权、验证和审计要求；网络流量和网络漏洞的监控。为落实网络安全管理，将设计以下若干技术规范：网络结构和IP地址管理流程网络接入安全管理流程网络设备安全技术规范网络设备的维护流程2.1.3.4系统安全管理将每个业务系统作为安全保护的对象，应当对每个业务系统制定相应的安全运维流程和规范，系统安全管理制度用于指导如何根据业务安全等级和安全需求来制定相应的运维流程和规范。主要包括以下内容：应根据业务需求和系统安全分析确定系统的访问控制策略；系统管理角色分离要求、权限、责任分配原则；要求进行系统配置管理和变更管理；操作系统安全运维流程；数据

10、库安全运维流程；应用平台安全运维流程；系统安全日志审核要求；系统备份和数据备份要求。每个系统管理具体安全管理制度的落实依靠如下相关支撑技术规范和流程：操作系统安全技术规范；数据库系统安全技术规范；应用平台安全技术规范；应用系统操作手册；系统备份和数据备份流程；系统安全评估和审计流程；系统配置清单及变更记录；2.1.3.5防恶意代码管理恶意代码防范是一项全员需要进行安全管理工作，因此单独制定防恶意代码管理制度指导全体员工防范由于恶意代引起的安全风险：规定全员防恶意代码的职责；明确恶意代码的可能感染源和防范手段；明确恶意代码的报告流程；防恶意代码产品的安装、使用、升级流程；恶意代码事件的统计、报告

11、流程。2.1.3.6监控管理和IT门户系统建立集中的安全监控和管理中心相配套的安全监控管理制度，对监控内容、监控方式、监控记录集中保存、监控记录审计等进行规范，安全监控管理制度主要包括以下内容：规定安全监控内容，包括但不限于通信流量、软硬件运行状况、用户行为、漏洞发布情况、安全设备报警信息等；安全监控的方式和工具；监控记录的审计和分析；可疑事件的报告；2.1.3.7密码管理敏感系统应使用符合国家密码管理规定的密码技术和产品，同时建立密码管理制度，加强对密码和加密设备的管理。按照等级保护和ISO27001要求建立密码使用管理制度,对一下方面进行规范：密码复杂度管理密码定期修改管理多因素认证管理密

12、码保存管理2.1.3.8变更管理信息安全风险是“动态”的主要因素之一，就是网络和信息系统是会发生变化的，为了防范由于网络和系统变化对整体安全现状的影响，规避变更产生的风险，制定变更管理制度。对以下方面进行规范：规范变更管理的范围；规范变更流程，制定申报、方案制定、变更审核、审批流程；要求变更过程记录；进行系统变更前备份；要求制定变更失败恢复流程和进行恢复测试；2.1.3.9备份与恢复管理为了保证业务连续性，企业（集团）制定备份与恢复管理制度规范以下内容：规定系统进行安全需求分析时要考虑备份措施要求；对企业（集团）信息备份级别进行定义，确定每个级别的备份方式、备份频度、存储介质、保存期限及恢复测

13、试频次；规定备份存储介质的放置、命名、管理和离站运输方法。2.1.3.2安全事件管理和应急响应针对出现突发安全事件应当制定相应的处理流程，针对不同的安全事件制定针对性的应急响应预案。主要通过安全事件管理制度和应急响应预案管理制度两项制度来落实。其中安全事件管理制度规定以下内容：安全事件的定义、等级划分；不同等级安全事件的发现、报告、分析、处置流程；安全事件的原因分析、记录处理、经验教训总结和补救措施的制定流程；要求每个信息系统做好安全事件记录管理。应急响应预案管理制度规定以下内容：要求针对典型事件和重大事件制定相应的应急响应预案；规定应急响应人力、设备、技术、财务等相关支撑资源；规定应急响应预

14、案的框架和模板；规定应急响应预案的演练和演练流程；2.2物理安全建设按照国家对于计算机机房的相关建设标准，制定统一的计算机机房建设标准和管理规范，对于计算机机房建设中的环境参数、保障机制，以及运行过程中的人员访问控制、监控措施等进行统一约定，颁布统一的计算机机房管理制度，对设备安全管理、介质安全管理、人员安全管理等作出详细的规定。计算机机房的建设必须遵循国家在计算机机房场地选择、环境安全、布线施工方面的标准，保证物理环境安全。关键应用系统的服务器主机和前置机服务器、主要的网络设备必须放置于计算机机房内部的适当位置，通过物理访问控制机制，保证这些设备自身的安全性。应当建立人员出入访问控制机制，严

15、格控制人员出入计算机机房和其它重要安全区域，访问控制机制还需要能够提供审计功能，便于检查和分析。应当指定专门的部门和人员，负责计算机机房的建设和管理工作，建立24小时值班制度。建立计算机机房管理制度，对设备安全管理、介质安全管理、人员出入访问控制管理等做出详细的规定。管理机构应当定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查，发现问题，进行改进。2.3网络安全建设网络安全是信息安全保障的重点，制定统一的网络结构技术标准，对如何划分内部信息系统的安全区域，安全区域的边界采取的隔离措施，进行约定，保证内部网络与外部网络、办公网与业务生产网,不同业务网之间的安全隔离。制定统一的

16、互联网接入点、外联网接入点的技术标准和管理规范，统一约定网络边界接入点的网络结构、安全产品的部署模式，保证内部网络与外部网络之间的安全隔离。制定统一的远程移动办公技术标准和管理规范，保证远程移动办公接入的安全性。制定统一的无线网络接入的安全技术标准和管理规范，确保无线接入的安全管理。制定统一的网络安全系统建设标准和管理规范。针对企业（集团）的信息安全现状的分析，当前网络安全建设需要解决的问题如下：1.将数据中心的业务应用系统与数据库系统进行安全区域隔离，将业务应用系统和数据库系统与办公区域进行安全区域隔离，保证业务应用系统和数据库系统的安全独立性，建议隔离不要采用交换机本身的ACL控制列表，采

17、用专业的安全隔离控制系统实现。2.生产厂区的MES系统与前置机之间采用防火墙进行隔离有技术上的安全隐患，防火墙隔离还只是逻辑层面的，生产厂区的MES系统应该采取物理隔离措施确保和互联网的完全物理隔离，建议更换为物理隔离措施解决。 3.针对无线的网络安全接入，采取无线射频识别和阻断技术，对私接的流氓AP进行识别和阻断，对通过无线非法外联到外部AP的行为进行识别阻断，对冒充合法AP的钓鱼AP进行识别和阻断，对很对合法AP进行的无线扫描，破解，DDos攻击，中间人攻击进行识别和阻断。 1.利用针对网络设备的脆弱性扫描技术和安全基线比对技术，对网络设备例如交换机路由器进行定期的扫描，及时修补网络设备的

18、漏洞，完善网络设备的安全配置，提升网络设备的安全级别。2.利用运维审计技术，对访问网络设备和安全设备的所有操作进行记录，确保所有操作都处于监控状态，一旦有人非法操作或者恶意操作造成这些系统出现问题的时候可以进行预警和追踪溯源。2.4系统安全建设系统安全的工作内容包括制定统一的系统安全管理规范，包括主机入侵检测、系统安全漏洞分析和安全策略加固， 提升服务器主机系统的安全级别。制定统一的网络病毒查杀系统的建设标准和管理规范，有效抑制计算机病毒在内部网络和信息系统中的传播和蔓延。针对企业（集团）的信息安全现状的分析，当前系统安全建设需要解决的问题如下：1.利用针对操作系统的脆弱性扫描技术和安全基线比

19、对技术，定期对操作系统的漏洞进行检测和分析，对安全配置进行检查，及时修补漏洞，完善安全配置，提升操作系统的安全级别。 2.全网部署可以统一管理的防恶意代码系统，实现防恶意代码库的统一及时升级，防恶意代码策略的统一定制下发，恶意代码的定时统一查杀。 3.全网部署可以统一管理的终端安全管理系统，实现对终端软硬件资产，进程，端口，U盘存储外设，安全配置，补丁等的统一管理，确保终端电脑有一个安全可控的环境。 1.利用运维审计技术，对访问操作系统的所有操作进行记录，确保所有操作都处于监控状态，一旦有人非法操作或者恶意操作造成操作系统出现问题的时候可以进行追踪溯源。2.5应用和数据安全建设应用安全机制在应

20、用层为业务系统提供直接的安全保护，能够满足身份认证、用户授权，安全访问控制、数据安全使用和传输，业务安全审计等安全需求。制定统一的身份认证、授权与访问控制、数据加密，业务安全审计等应用层安全系统的建设标准和管理规范，改善业务应用系统的整体安全性。针对企业（集团）的信息安全现状的分析，当前应用安全建设需要解决的问题如下：1.利用针对B/S结构的业务应用系统和数据库的脆弱性扫描技术和安全基线比对技术，定期的对其漏洞进行检测和分析，对安全配置进行检查，及时修补漏洞，完善安全配置，提升应用系统和数据库的安全级别。 2.对访问B/S结构的业务系统的数据流进行应用内容安全监测，及时发现针对WEB的攻击行为

21、并进行预警和阻断。 3.利用数据加密技术，对存储在电脑上的关键业务数据和从业务系统导出的敏感数据进行透明加密，首先确保这些数据在企业环境里是可以透明使用的，然后保证这些数据一旦被非授权带出企业网络，是不可读的处于乱码状态，确保数据的保密性。 1.利用数据库审计技术，对绕过前端业务系统直接访问数据库进行的所有操作进行记录，确保当数据库应为非法或者无操作而发生问题的时候能够进行预警和追踪溯源。2.6系统和数据备份管理系统和数据备份是重要的安全保障机制，为了保障业务数据的安全性，降低突发意外事件所带来的安全风险，企业（集团）应制定统一的系统和数据备份标准与规范，采取先进的数据备份技术，保证业务数据和

22、系统软件的安全性。2.7应急响应管理企业（集团）应制定统一的应急响应计划标准，建立应急响应计划，包括安全事件的检测、报告、分析、追查、和系统恢复等内容。在发生安全事件后，尽快作出适当的响应，将安全事件的负面影响降至最低，保障关键业务正常运转。2.8灾难恢复管理灾难是指对网络和信息系统造成任何破坏作用的意外事件，企业（集团）应该制定详细的灾难恢复计划，考虑到数据大集中的安全需求，采用异地容灾备份等技术，确保数据的安全性和业务的持续性，在灾难发生后，尽快完成恢复。2.9人员管理和教育培训制定统一的人员安全管理和教育培训规范，定期对信息系统的用户进行安全教育和培训，对普通用户进行基本的安全教育，对安全技术岗位的用户进行岗位技能培训，提高全员的安全意识，培养高素质的安全技术和管理队伍。