收藏
下载资源

信息安全工作总体规划

上传人:夏** 文档编号:507496684 上传时间:2022-08-04 格式:DOCX 页数:24 大小:143.19KB
返回 下载 相关 举报
信息安全工作总体规划_第1页
第1页 / 共24页
信息安全工作总体规划_第2页
第2页 / 共24页
信息安全工作总体规划_第3页
第3页 / 共24页
信息安全工作总体规划_第4页
第4页 / 共24页
信息安全工作总体规划_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《信息安全工作总体规划》由会员分享,可在线阅读,更多相关《信息安全工作总体规划(24页珍藏版)》请在金锄头文库上搜索。

1、XXX 单位信息安全工作总体方针目录1 总则 11.1 目标11.2 适用范围11.3 建设思路11.4 建设原则31.5 建设目标52 体系框架 52.1 安全模型62.2 体系框架73 建设内容 143.1 组织机构143.2 人员管理143.3 物理管理153.4 网络管理153.5 系统管理153.6 应用管理153.7 数据管理163.8 运维管理164 总体安全策略 164.1 物理安全策略174.2 网络安全策略174.3 主机安全策略184.4 应用安全策略194.5 数据安全策略204.6 病毒管理策略205附则 211 总则为加强和规范XXX单位信息系统安全工作,提高信息系

2、统整体安全防护水 平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定 本文档。1.1 目标本文档的目的是为XXX单位信息系统安全管理提供一个总体安全架构文件, 该文件将指导信息系统的安全管理体系的建立。安全管理体系的建立是为信息系 统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信 息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常 -4-1-运营。1.2 适用范围本文档适用于信息系统安全方案规划、安全建设实施和安全策略的制定。1.3 建设思路XXX单位信息安全建设工作的总体思路如下图所示:信息化建设是基于当前通用的网络与信息系统基础

3、技术,针对安全性问题和 支撑安全技术,通过安全评估,对信息化建设和信息安全建设进行分析和总结, 其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能 存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。从支撑性安全技术展开,对现有网络和信息技术的固有缺陷出发,总结了普 遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安 全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和方法。在此基础之上,对信息安全领域的理论、框架和技术基础与XXX单位的安全 问题有机地进行结合,有针对性地提出XXX单位安全保障总体策略。安全保障总 体策略包括了整体建

4、设目标,安全技术策略,以及相应的管理策略。以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制 定,包括安全技术体系,安全管理体系和运营保障体系。在现实的运营过程中, 安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来 提高整体安全性效果。在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制 定详细的信息安全系统实施方案和运营维护计划。信息安全体系建设的思路体现了以下的特点:统筹规划和设计在建设过程中占有非常重要的地位;充分结合建设现状与信息安全通用技术和理念;充分考虑了当前的建设现状以及未来业务发展的需要;注重安全管理体系的建设,以及管理、技术和

5、保障的相互结合。1.4建设原则信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的 总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总 体安全防护策略,执行信息系统安全等级保护制度。信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建 设和运营的效果。统一规划要对的信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保 障体系中所包含的内容。同时,还要制定统一的信息安全建设标准和管理规范, 使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。分步有序实施信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐 进地进行

6、。基于安全需求依据信息系统担负的使命,积累的信息资产的重要性以及可能受到的威胁及 面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全 保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。技术管理并重仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性, XXX单位信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。制定 统一的安全建设管理规范,指导的安全管理工作。突出安全保障信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应 急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全 性。持续改进信息系统安全管理

7、是一种动态反馈过程,贯穿整个安全管理的生存周期,随 着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以 及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护 措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管 理体系的有效性。依法管理信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合 法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授 权者适时发布准确一致的有关信息,避免带来不良的社会影响。自保护和国家监管结合对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系 统安全保护负责,政府相关部

8、门有责任对信息系统的安全进行指导、监督和检查, 形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护 能力和水平,保障国家信息安全。1.5建设目标根据XXX单位信息安全体系建设需求和原则,XXX单位信息安全的建设目标, 可以用“一个目标、两种手段、三个体系”进行概括。一目标XXX单位信息安全的建设目标是:基于安全基础设施、以安全策略为指导, 提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个 层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息 安全体系,从而提高XXX单位信息系统的整体安全等级,为XXX单位的业务发展 提供坚实的信息安全

9、保障。两种手段信息安全体系的建设应该包括安全技术与安全管理两种手段,其中安全技术 手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管 理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。三个体系XXX单位信息安全体系的建设最终形成3个主要体系,具体包括安全技术体 系、安全管理体系、以及运行保障体系。2体系框架XXX单位进行信息安全建设的目标是建立起一个全面、有效的信息安全体系, 在这个体系中,包括了安全技术、安全管理、人员组织、教育培训、资金投入等 关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信 息安全建设的工作内容、技术标准、组

10、织机构、管理规范、人员岗位配备、实施 步骤、资金投入,才能够保证信息安全建设有序可控地进行,才能够使得信息安 全体系发挥最优的保障效果。2.1安全模型根据XXX单位信息安全体系建设目标和总体安全策略,建立了与之对应的目 标模型,称为WP2DRR安全模型,该模型是基于时间的,由预警(Warning)、策 略(Policy)、保护(Protection)、检测(Detection)、响应(Response)、恢 复(Recovery)六个要素环节构成了一个完整的、动态的信息安全体系。预警、 保护、检测、响应、恢复等环节都由技术内容和管理内容所构成。Policy (安全策略):根据风险分析和评估产生

11、的安全策略描述了系统中 哪些资源要得到保护,以及如何实现对它们的保护等。在WP2DRR安全模 型中,策略处于核心地位,所有的防护、检测、响应、恢复都依据安全 策略展开实施,安全策略为安全管理提供管理方向和支持手段。Warining (预警):根据以前所掌握的系统的弱点和当前了解的犯罪趋势 预测未来可能受到的攻击和及危害。包括风险分析、病毒预报、黑客入 侵趋势预报和情况通报、系统弱点报告和补丁到位。Protection (防护):通过修复系统漏洞、正确设计开发和安装安全系统 来预防安全事件的发生;通过定期检查来发现可能存在的系统弱点;通 过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通

12、过访 问控制、监控等手段来防止恶意威胁。Detection (检测):检测是非常重要的一环节,检测是动态响应和加 强防护的依据,它也是强制落实安全策略的有力工具,通过检测和监控 网络和信息系统,发现新的威胁和弱点,通过循环反馈来及时做出有效 的响应。Response (响应):响应是对安全事件做出反应,包括对检测到的系统异 常或者攻击行为做出响应动作,以及处理突发的安全事件。恰当的响应 动作和响应流程可以降低安全事件的不良影响,加强对重要资源的保护。Recovery (恢复):灾难恢复能力直接决定了业务应用的持续可用性,任 何意外的突发事件都可能造成服务中断和数据受损,优秀的灾难恢复计 划能够

13、针对灾难事件做到未雨绸缪,即使系统和数据遭受破坏,也能够 在最短的时间内,完成恢复操作。WP2DRR安全模型的特点就是动态性和基于时间的特性。它阐述了这样一个结 论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时 间。WP2DRR模型是在传统的P2DR模型的基础上新增加了预警Warning和恢复 Recover,增强了安全保障体系的事前预防和事后恢复能力,一旦系统安全事故 发生了,也能恢复系统功能和数据,恢复系统的正常运行。安全目标模型是信息安全体系框架的基础,XXX单位的信息安全体系框架紧 密围绕这个安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技 术体系、安

14、全组织和管理体系以及运行保障体系中体现出来。2.2体系框架通过对XXX单位的网络和应用现状、安全现状、面临的安全风险的分析,根 据安全保障目标模型,制定了 XXX单位信息安全体系框架,制定该框架的目的在 于从宏观上指导和管理信息安全体系的建设和运营。该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可 分割的信息安全保障要素组成。在此框架中,以安全策略为指导,融会了安全技 术、安全管理和运行保障三个层次的安全体系,达到系统可用性、可控性、抗攻 击性、完整性、保密性的安全目标。安全技术体系XXX单位信息安全体系框架的总体结构如下图所示:安全策略组织机构人员管理安全教育应急响应灾难恢

15、复信息资产 管理安全组织 与借理体系数据和系统备份运行保障体系安全综合管理平台m悅认证浸权与访问世创兰机A艮宜血二机濡同扫捲病至査杀网络益揑与安会君-防火场网洛入民橙测 网痿漏涓托持通请蚩全物理安全安全应用系统平台安全基础设施平台安全策略在这个框架中,安全策略是指导。安全策略与安全技术体系、安全组织和管 理体系以及运行保障体系这三大体系之间的关系也是相互作用的。一方面,三大 体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化 成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的 目标;另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、 监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和 管理手段进行管理,保证安全策略的及时性和有效性。安全技术体系安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、 安全应用系统平台和安全综合管理平台这三个部分,以统一的信息安全基础设施 平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管 理下的技术保障体系框架。安全基础设施平台是以安全策略为指导,从物理和通信安全防护,网络安全

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号