《信息安全体系方案》由会员分享,可在线阅读,更多相关《信息安全体系方案(26页珍藏版)》请在金锄头文库上搜索。
1、信息安全体系方案(第一部分 综述)目录1 概述41.1 信息安全建设思路41.2 信息安全建设内容61.2.1建立管理组织机构61.2.2 物理安全建设61.2.3 网络安全建设61.2.4 系统安全建设71.2.5 应用安全建设71.2.6系统和数据备份管理71.2.7 应急响应管理71.2.8 灾难恢复管理71.2.9人员管理和教育培训81.3 信息安全建设原则81.3.1统一规划81.3.2 分步有序实施81.3.3 技术管理并重81.3.4 突出安全保障92 信息安全建设基本方针93 信息安全建设目标93.1一个目标 103.2两种手段 103.3三个体系104 信息安全体系建立的原则
2、104.1标准性原则104.2整体性原则 114.3实用性原则 114.4先进性原则 115 信息安全策略 115.1物理安全策略125.2网络安全策略135.3系统安全策略135.4病毒管理策略145.5身份认证策略 155.6用户授权与访问控制策略 155.7数据加密策略165.8数据备份与灾难恢复175.9应急响应策略175.10安全教育策略176 信息安全体系框架186.1安全目标模型186.2信息安全体系框架组成206.2.1安全策略216.2.2安全技术体系216.2.3安全管理体系226.2.4运行保障体系256.2.5建设实施规划251概述1.1 信息安全建设思路XX 信息安全
3、建设工作的总体思路如下图所示:工程试点实施建设现状发展趋势信息化建设现状安全威胁和安全脆弱性网络和信息技术XX 的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开,这 两条主线在安全建设的过程中的关键节点又相互衔接和融和,最终形成一个完整 的安全建设方案,并投入实施。首先,XX的信息化建设是基于当前通用的网络与信息系统基础技术,这使 得信息化建设和安全技术有了一个共同的基础,使得XX的针对性安全需求与通 用的安全解决技术和方案有了一定的共通点和结合点。在这个基础上,通过安全评估,对信息化建设和信息安全建设进行分析和总 结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今
4、后 可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。从支撑性安全技术的主线展开,对现有网络和信息技术的固有缺陷出发,总 结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从 信息安全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和 方法。在此基础之上,两条主线进入融和的阶段。信息安全领域的理论、框架和技 术基础与XX的安全问题有机地进行结合,有针对性地提出XX安全保障总体策略。 在这个安全保障总体策略中,包括了整体建设目标,安全技术策略,以及相应的 管理策略。总体安全策略一方面充分体现了 XX 对自身信息化建设中安全问题的 针对性,另一方面也充分
5、基于现有的信息安全领域的安全模型和技术支持能力, 因此具备了可行性、针对性和前瞻性。以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制 定,包括安全技术体系,安全管理体系和运营保障体系。在现实的运营过程中, 安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来 提高整体安全性效果。在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制 定详细的信息安全系统实施方案和运营维护计划。为了更加稳妥地进行全面的信息安全建设,在信息安全系统实施过程中首先 进行试点项目建设,在试点项目建设中进一步积累经验,并对某些实施方案的细 节进行调整,为建设实施顺利地全面开
6、真打下基础。信息安全体系建设的思路体现了以下的特点:统筹规划和设计在建设过程中占有非常重要的地位;充分结合建设现状与信息安全通用技术和理念; 充分考虑了当前的建设现状以及未来业务发展的需要; 注重安全管理体系的建设,以及管理、技术和保障的相互结合;采取试点工程计划,使得信息安全建设实施更加稳妥。1.2信息安全建设内容XX 的信息安全建设所涉及的工作内容包括以下部分。1.2.1 建立管理组织机构建立专职的信息安全监管机构,明确各级管理机构的人员岗位配置和职能权 限,全面负责信息安全建设工作和维护信息安全系统的运营。1.2.2 物理安全建设按照国家对于计算机机房的相关建设标准,制定统一的计算机机房
7、建设标准 和管理规范,对于计算机机房建设中的环境参数、保障机制,以及运行过程中的 人员访问控制、监控措施等进行统一约定,颁布统一的计算机机房管理制度,对 设备安全管理、介质安全管理、人员安全管理等作出详细的规定。1.2.3 网络安全建设网络安全是信息安全保障的重点,制定统一的网络结构技术标准,对如何划 分内部信息系统的安全区域,安全区域的边界采取的隔离措施,进行约定,保证 内部网络与外部网络、办公网与业务生产网之间的安全隔离。制定统一的互联网接入点、外联网接入点的技术标准和管理规范,统一约定 网络边界接入点的网络结构、安全产品的部署模式,保证内部网络与外部网络之 间的安全隔离。制定统一的远程移
8、动办公技术标准和管理规范,保证远程移动办公接入的安 全性。制定统一的网络安全系统建设标准和管理规范,包括防火墙、网络入侵检测、 网络脆弱性分析、网络层加密等。1.2.4 系统安全建设系统安全的工作内容包括制定统一的系统安全管理规范,包括主机入侵检 测、系统安全漏洞分析和加固, 提升服务器主机系统的安全级别。制定统一的网络病毒查杀系统的建设标准和管理规范,有效抑制计算机病毒 在内部网络和信息系统中的传播和蔓延。1.2.5 应用安全建设应用安全机制在应用层为业务系统提供直接的安全保护,能够满足身份认 证、用户授权与访问控制、数据安全传输等安全需求。制定统一的身份认证、授权与访问控制、应用层通信加密
9、等应用层安全系统 的建设标准和管理规范,改善业务应用系统的整体安全性。1.2.6 系统和数据备份管理系统和数据备份是重要的安全保障机制,为了保障业务数据的安全性,降低 突发意外事件所带来的安全风险,制定统一的系统和数据备份标准与规范,采取 先进的数据备份技术,保证业务数据和系统软件的安全性。1.2.7 应急响应管理制定统一的应急响应计划标准,建立应急响应计划,包括安全事件的检测、 报告、分析、追查、和系统恢复等内容。在发生安全事件后,尽快作出适当的响 应,将安全事件的负面影响降至最低,保障金融业务正常运转。1.2.8 灾难恢复管理灾难是指对网络和信息系统造成任何破坏作用的意外事件,要制定详细的
10、灾 难恢复计划,考虑到数据大集中的安全需求,采用异地容灾备份等技术,确保数据的安全性和业务的持续性,在灾难发生后,尽快完成恢复。1.2.9 人员管理和教育培训制定统一的人员安全管理和教育培训规范,定期对信息系统的用户进行安全 教育和培训,对普通用户进行基本的安全教育,对安全技术岗位的用户进行岗位 技能培训,提高全员的安全意识,培养高素质的安全技术和管理队伍。1.3信息安全建设原则信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建 设和运营的效果。1.3.1 统一规划要对的信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保 障体系中所包含的内容。同时,还要制定统一的信息
11、安全建设标准和管理规范, 使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。1.3.2 分步有序实施信息安全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐 进地进行。1.3.3 技术管理并重仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性, XX 信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。制定统一 的安全建设管理规范,指导的安全管理工作。1.3.4 突出安全保障信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应 急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全 性。XX 信息安全体系建设的基本安全方
12、针是“统一规划建设、全面综合防御、 技术管理并重、保障运营安全”。统一规划建设,突出了进行统筹规划的重要性,提供了的安全建设所需的统 一技术标准、管理规范,以及实施步骤的安排,也保证了人员和资金的投入。全面综合防御,是指在技术层面上,综合使用了多种安全机制,将不同安全 机制的保护效果有机地结合起来,构成完整的立体防护体系。技术管理并重,突出了安全管理在信息安全体系中的重要性,仅仅凭借安全 技术体系,无法解决所有的安全问题,安全管理体系与技术防护体系相互配合, 增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺 陷,实现了最佳的保护效果。保障运营安全,突出了安全保障的重要性,利
13、用多种安全保障机制,保障了 网络和信息系统的运行安全,也保障了金融业务的持续性和业务数据的安全性。3信息安全建设目标根据XX信息安全体系建设的基本方针,XX信息安全的建设目标,可以用一个目标、两种手段、三个体系”进行概括。3.1 一个目标XX 信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供 全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面, 以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体 系,从而提高 XX 信息系统的整体安全等级,为 XX 的业务发展提供坚实的信息 安全保障。3.2两种手段信息安全体系的建设应该包括安全技术与安全管
14、理两种手段,其中安全技术 手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管 理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。 3.3三个体系XX信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系、 安全管理体系、以及运行保障体系。4信息安全体系建立的原则XX信息安全体系的设计与建设过程,遵循了以下基本指导原则。4.1标准性原则尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,包括 在技术框架中与具体的信息安全技术相关的标准,以及在管理框架中与安全管理 相关的标准。标准性原则从根本上保证了 XX的信息安全体系建设具有良好的全 面
15、性、标准性、和开放性。4.2整体性原则从宏观的、整体的角度出发,系统地建设XX信息安全体系,不仅仅局限于 安全技术层面,或者技术层面中孤立的安全技术,而是全面构架信息安全技术体 系,覆盖从物理安全、通信和网络安全、主机系统安全、到数据和应用系统安全 各个层面。同时,建立全面有效的安全管理体系和运行保障体系,使得安全技术 体系发挥最佳的保障效果。4.3实用性原则建立信息安全体系,必须针对XX网络和信息系统的特点,在现状分析和风 险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的信息安全保障方 案。同时,信息安全体系中的所有内容,都被用来指导XX信息安全系统的建设 和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义 现象。实用性还体现在信息安全体系的建设过程中,由于内容庞杂,必须坚持分步 骤的有序实施原则,循序渐进地进行建设。4.4先进性原则信息安全体系中所涉及的安全技术和机制,应该具有一定的先进性和前瞻 性,既能够满足当前系统的安全要求,又能够满足未来3到5
