XXXX集團(tuán)信息安全建設(shè)整體規(guī)劃

XXX整體規(guī)劃目錄一.概述 3二.設(shè)計(jì)方法 3wordword格式-可編輯-感謝下載支持標(biāo)準(zhǔn)化原則 4整體化原則 4等級(jí)化原則 6三.XXX集團(tuán)信息化和安全現(xiàn)狀分析 7四.XXX集團(tuán)信息安全保障總體框架 11總體安全方針 11安全使命 11安全目標(biāo) 11安全保障框架 11五.XXX集團(tuán)信息安全建設(shè)整體規(guī)劃 13信息安全管理體系建設(shè) 13安全組織建設(shè) 13安全策略建設(shè) 13安全運(yùn)維建設(shè) 14物理安全建設(shè) 19網(wǎng)絡(luò)安全建設(shè) 20系統(tǒng)安全建設(shè) 20應(yīng)用和數(shù)據(jù)安全建設(shè) 21系統(tǒng)和數(shù)據(jù)備份管理 22應(yīng)急響應(yīng)管理 22災(zāi)難恢復(fù)管理 22人員管理和教育培訓(xùn) 22六.XXX集團(tuán)信息安全建設(shè)后的拓?fù)浣Y(jié)構(gòu) .2一.概述XXXXXX強(qiáng)信息安全風(fēng)險(xiǎn)防范能力。XXX的宗旨與目標(biāo)，安全保障框架要求，建設(shè)總體策略選擇，具體安全技術(shù)方案等內(nèi)容。XXX等。適用于各管理職能部門的信息安全管理、建設(shè)和維護(hù)工作。二.設(shè)計(jì)方法XXXXXX集團(tuán)未來信XXX架所涉及的項(xiàng)目?jī)?yōu)先級(jí)確定、項(xiàng)目計(jì)劃、項(xiàng)目預(yù)算等提供依據(jù)。XXXXXXIT系統(tǒng)的實(shí)際情況和現(xiàn)實(shí)問題為基體性好、可操作性強(qiáng)，并且融組織、管理和技術(shù)為一體的安全建設(shè)方案。XXX集團(tuán)安全建設(shè)方案可分為安全總體方針、安全組織設(shè)計(jì)、安全策略規(guī)劃、安全技術(shù)方案、安全運(yùn)作等幾個(gè)方面，主要針對(duì)對(duì)象是XXX集團(tuán)IT系統(tǒng)，具體涉及網(wǎng)絡(luò)、主機(jī)、應(yīng)用軟件、數(shù)據(jù)庫和業(yè)務(wù)數(shù)據(jù)安全等諸多層次。安全方案設(shè)計(jì)的三個(gè)原則如下：整體性原則（管理制度、人員等，避免由于遺漏造成未來的安全隱患。符合性原則27IT內(nèi)控的各種規(guī)范。標(biāo)準(zhǔn)性原則17799標(biāo)準(zhǔn)、ISO13569標(biāo)準(zhǔn)等；標(biāo)準(zhǔn)化原則本項(xiàng)目參考的相關(guān)標(biāo)準(zhǔn)和文檔包括：美國(guó)國(guó)家安全戰(zhàn)略美國(guó)的《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》俄羅斯聯(lián)邦信息安全學(xué)說歐洲信息與網(wǎng)絡(luò)安全策略ISO27001ISO15408/CCIATF等級(jí)保護(hù)基本要求等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求整體化原則一般地，對(duì)安全保障框架的研究主要采用兩種思路，一是“模型化XXXIATFXXX集團(tuán)安全保障框架模型。下圖即是IATF安全保障框架模型示意圖。這個(gè)示意圖說明了安全保障框架的構(gòu)成。ITIT安全保障框架操作人技術(shù)保護(hù)網(wǎng)絡(luò)與基保護(hù)邊界保護(hù)計(jì)算保護(hù)支撐礎(chǔ)設(shè)施環(huán)境性基礎(chǔ)設(shè)圖1 IATF安全保障框架而后，通過分析具體問題，并結(jié)合最佳實(shí)踐設(shè)計(jì)安全保障框架，過程如下：界定安全問題的范圍正如前面所提，信息安全問題涉及的范圍很廣，有時(shí)甚至和傳統(tǒng)安全問題牽扯在一起。這給解決安全問題帶來了很大的難度。因此要科學(xué)地對(duì)待信息安全問題，首先必須明確定義信息安全問題的范圍。對(duì)安全問題進(jìn)行結(jié)構(gòu)化分析當(dāng)信息安全問題的范圍已經(jīng)被明確后，它必須按照結(jié)構(gòu)化原理被不斷地細(xì)分。這時(shí)整個(gè)IT系統(tǒng)已經(jīng)被結(jié)構(gòu)化為多個(gè)安全保護(hù)對(duì)象，而保護(hù)對(duì)象面臨著諸多威脅。設(shè)計(jì)安全保障框架XXXITXXXIT系統(tǒng)的安全對(duì)策，形成安全保障框架。XXXIT系統(tǒng)面臨的每一項(xiàng)安全威脅都從現(xiàn)有安全標(biāo)準(zhǔn)或者最佳實(shí)踐中選擇XXXIT系統(tǒng)的安全保障框架。綜上所述，安全保障框架的設(shè)計(jì)采用了先分析后綜合的思路，而在這個(gè)過程中，威脅分析起了至關(guān)重要的作用。等級(jí)化原則2003優(yōu)化信息安全資源的配置，確保重點(diǎn)。5的要求，主要還是依據(jù)XXX5安全等級(jí)第一級(jí)

基本描述適用于一般的IT能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較小的負(fù)面影響。

安全保護(hù)要求參照國(guó)家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。第二級(jí) 適用于處理日常信息和提供一般服務(wù)的IT系統(tǒng)，系統(tǒng)

在主管部門的指導(dǎo)下，按到破壞后對(duì)機(jī)構(gòu)履行其職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成中等程度照國(guó)家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。的負(fù)面影響。第三級(jí) 適用于處理重要信息和提供重要服務(wù)的IT系統(tǒng)，系統(tǒng)遭在主管部門的監(jiān)督下，到破壞后對(duì)機(jī)構(gòu)履行其職能、機(jī)構(gòu)財(cái)產(chǎn)、人員造成較大的國(guó)家標(biāo)準(zhǔn)嚴(yán)格落實(shí)各項(xiàng)保面影響，對(duì)國(guó)家安全造成一定程度的損害。 措施進(jìn)行保護(hù)。第四級(jí) 適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的在主管部門的強(qiáng)制監(jiān)督和重要IT系統(tǒng)，系統(tǒng)遭到破壞后對(duì)機(jī)構(gòu)履行其職能、機(jī)構(gòu)財(cái)檢查下，按國(guó)家標(biāo)準(zhǔn)嚴(yán)格落產(chǎn)、人員造成嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成較大損害。實(shí)各項(xiàng)措施進(jìn)行保護(hù)。第五級(jí) 適用于關(guān)系國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的根據(jù)安全需求，由主管核心系統(tǒng)，系統(tǒng)遭到破壞后對(duì)機(jī)構(gòu)履行其職能、機(jī)構(gòu)財(cái)產(chǎn)門和運(yùn)營(yíng)單位對(duì)IT系統(tǒng)進(jìn)wordword格式-可編輯-感謝下載支持人員造成極其嚴(yán)重的負(fù)面影響，對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。行專門控制和保護(hù)。圖2 等級(jí)保護(hù)內(nèi)容第一級(jí)自主性保護(hù)級(jí)是指參照國(guó)家標(biāo)準(zhǔn)自主進(jìn)行保護(hù)。主要適用于一般信息系統(tǒng)。適用于內(nèi)部信息系統(tǒng)，第三級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行比較完整的系統(tǒng)化的安全保護(hù)能力。XXX集團(tuán)的主要系統(tǒng)按照第三級(jí)的安全要求管理和建設(shè)。三.XXX集團(tuán)信息化和安全現(xiàn)狀分析XXX電子商務(wù)，BI商業(yè)智能，MES等信息系統(tǒng)，實(shí)施了財(cái)務(wù)企業(yè)的執(zhí)行力，推動(dòng)了公司從科學(xué)化管理向現(xiàn)代化管理邁進(jìn)的步伐。90%以上，產(chǎn)品實(shí)時(shí)99.5%12%10%wordword格式-可編輯-感謝下載支持XXX的管理體系還不完善，信息安全控制措施較少，拓?fù)淙缡疽鈭D所示：XXX100M,60MIPSECVPN系統(tǒng)SSLVPN出辦公人員對(duì)內(nèi)部業(yè)務(wù)系統(tǒng)的安全訪問。對(duì)互聯(lián)網(wǎng)公眾發(fā)布了網(wǎng)站系統(tǒng)，展示公司公司形象和產(chǎn)品。通過互聯(lián)網(wǎng)發(fā)布了OA和ERP系統(tǒng)，方便公司員工通過遠(yuǎn)程訪問。通過在多臺(tái)刀片機(jī)部署vmware虛擬化系統(tǒng)實(shí)現(xiàn)了集團(tuán)的服務(wù)器硬件虛擬化，極大的方便了管理和維護(hù)，并實(shí)現(xiàn)了硬件資源利用最大化。通過應(yīng)用和桌面發(fā)布系統(tǒng)實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)虛擬化，用戶可以瘦客戶端直接在云端完成應(yīng)用和桌面的操作，結(jié)合動(dòng)態(tài)口令牌實(shí)現(xiàn)了對(duì)業(yè)務(wù)系統(tǒng)的安全訪問。采用兩臺(tái)HP小型機(jī)作為數(shù)據(jù)庫服務(wù)器，并通過存儲(chǔ)系統(tǒng)實(shí)現(xiàn)核心業(yè)務(wù)數(shù)據(jù)的本地存儲(chǔ)和備份。mac和端口的綁定策略實(shí)現(xiàn)了終端接入H3CEAD在安全管理方面，XXX集團(tuán)制定了基本的安全操作制度和人員安全的管理制度。實(shí)際運(yùn)行中還存在以下問題需要解決：安全管理制度不全目前尚未建立完整的安全管理體系，安全相關(guān)人員、制度、流程都不全，出現(xiàn)安全事件沒有響應(yīng)的應(yīng)急響應(yīng)預(yù)案和機(jī)制，對(duì)業(yè)務(wù)的連續(xù)性也沒有完善的管理機(jī)制。業(yè)務(wù)系統(tǒng)應(yīng)用和數(shù)據(jù)安全問題有兩方面隱患，一方面是終端上缺乏強(qiáng)制控制手段，無法避免員工通過截屏，U數(shù)據(jù)中心運(yùn)維安全問題但對(duì)于網(wǎng)絡(luò)設(shè)備，安全設(shè)備，非虛擬化的實(shí)體機(jī)還有相應(yīng)的審計(jì)措施，一旦這些系統(tǒng)出現(xiàn)問題，也沒有辦法進(jìn)行追溯。數(shù)據(jù)中心區(qū)域安全隔離問題目前所有業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫服務(wù)器都在同一個(gè)網(wǎng)段，沒有進(jìn)行任何隔離控制措施，一旦一點(diǎn)突破，就權(quán)限突破，存在嚴(yán)重的安全隱患。生產(chǎn)系統(tǒng)安全隔離問題MES壞的。網(wǎng)站和對(duì)外發(fā)布的業(yè)務(wù)系統(tǒng)的安全問題B/ShttpWEBhttp協(xié)議中注入攻擊代碼直電腦大范圍死機(jī)，網(wǎng)絡(luò)擁塞，公司業(yè)務(wù)無法開展。Windows統(tǒng)出了問題，你用再好的藥也控制不了病毒。UUUU，U越來越多，感染的電腦越來越多。所以一旦出現(xiàn)大規(guī)模蠕蟲病毒爆發(fā)，沒有統(tǒng)一的防護(hù)和控制手段，會(huì)出現(xiàn)計(jì)算機(jī)死機(jī)，網(wǎng)絡(luò)癱瘓，業(yè)務(wù)系統(tǒng)無法使用，業(yè)務(wù)系統(tǒng)被破壞等問題，公司業(yè)務(wù)就無法開展了。信息系統(tǒng)（網(wǎng)絡(luò)設(shè)備，服務(wù)器，安全設(shè)備，業(yè)務(wù)系統(tǒng)，數(shù)據(jù)庫）題和安全漏洞造成的安全問題。配置完善起來，其就有可能被各種安全威脅所侵?jǐn)_。無線安全問題無線網(wǎng)絡(luò)的出現(xiàn)使有線網(wǎng)絡(luò)所有做的安全努力都有可能失效，無線技術(shù)已經(jīng)使全控制措施，從而使業(yè)務(wù)系統(tǒng)暴漏在攻擊威脅之下。當(dāng)前XXX集團(tuán)可能面臨如下的無線安全問題：APAP外部非法終端接入內(nèi)網(wǎng)，或造成內(nèi)部資料外泄。WLANAP，從而將內(nèi)部信息外泄?！獰o線網(wǎng)絡(luò)掃描。掃描是攻擊的前期行為，是安全隱患。AP，AP，騙無線用戶與其關(guān)聯(lián)，從而獲得合法用戶的信息，包括用戶名、密碼等。DoS線用戶的合法接入遭到破壞，影響網(wǎng)絡(luò)使用。APAP（上偽造一個(gè)合AP，InternetAP，從而造成信息泄漏。數(shù)據(jù)容災(zāi)備份的問題XXX本地備份能解決的了。四.XXX集團(tuán)信息安全保障總體框架總體安全方針安全使命保障業(yè)務(wù)持續(xù)，促進(jìn)業(yè)務(wù)發(fā)展信息安全必須為業(yè)務(wù)服務(wù)，脫離業(yè)務(wù)的信息安全也就失去了其真正的意義。保證實(shí)現(xiàn)業(yè)務(wù)服務(wù)的信息系統(tǒng)正常運(yùn)行，進(jìn)而使XXX集團(tuán)的業(yè)務(wù)持續(xù)開展，就成為了信息安全建設(shè)的最根本使命。業(yè)務(wù)創(chuàng)新能力成為業(yè)務(wù)增值過程中的重要手段。業(yè)務(wù)創(chuàng)新背后離不開信息安全技術(shù)的支撐。運(yùn)用信息安全技術(shù)和管理支撐業(yè)務(wù)創(chuàng)新的能力將會(huì)成為XXX集團(tuán)的業(yè)務(wù)趨向安全保障的使命。安全目標(biāo)保證信息的機(jī)密性、完整性和可用性（直接目標(biāo)）信息機(jī)密性是指信息僅可讓授權(quán)獲取的人士訪問。信息完整性是指保護(hù)信息和處理方法的準(zhǔn)確和完善。信息可用性是指確保授權(quán)人需要時(shí)可以獲取信息和相應(yīng)的資產(chǎn)。信息安全必須保證信息的機(jī)密性、完整性和可用性，這是信息安全建設(shè)的重要目標(biāo)。XXX集團(tuán)信息安全的建設(shè)必須以保證信息的機(jī)密、完整和可用為安全保障戰(zhàn)略目標(biāo)，這是XXX集團(tuán)的需要，是企業(yè)信息化發(fā)展的需要，也是所有用戶的需求。安全保障框架XXX素，即每條安全控制，都可以描述為“根據(jù)某某策略，由某某組織（或人員術(shù)，進(jìn)行某某操作體系和運(yùn)作體系。這四個(gè)體系構(gòu)成了安全保障框架。XXX集團(tuán)安全保障框架框架總體示意如下圖所示：XXXXXX需求和等級(jí)決定了整體安全保障的強(qiáng)度和力度。安全策略體系XXX實(shí)施細(xì)則，做好安全標(biāo)準(zhǔn)體系相關(guān)工作。安全組織體系落實(shí)信息安全管理機(jī)構(gòu)和人員安全管理部分的相關(guān)內(nèi)容，指導(dǎo)XXX集團(tuán)安全職能的落實(shí)、崗位設(shè)置和相關(guān)人員的安全管理。安全技術(shù)體系：落實(shí)等級(jí)保護(hù)以及信息安全管理體系相關(guān)標(biāo)準(zhǔn)中安全技術(shù)中的所有控制要求，實(shí)現(xiàn)物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的所有安全控制項(xiàng)，通常采用安全技術(shù)產(chǎn)品加以實(shí)現(xiàn)。安全運(yùn)作體系：貫穿組織、策略和技術(shù)的流程和規(guī)范，是安全工作的關(guān)鍵，落實(shí)系統(tǒng)安全建設(shè)和系統(tǒng)安全運(yùn)維管理部分的控制要求，指導(dǎo)XXX集團(tuán)的安全實(shí)施和運(yùn)維的具體實(shí)現(xiàn)。安全組織、安全策略以及安全運(yùn)作統(tǒng)稱為安全管理體系建設(shè)。五.XXX集團(tuán)信息安全建設(shè)整體規(guī)劃信息安全管理體系建設(shè)安全組織建設(shè)XXX職能部門負(fù)責(zé)日常工作的組織模式。信息安全領(lǐng)導(dǎo)小組職責(zé)XXXXXX確保安全管理和建設(shè)有一個(gè)明確的方向，從管理層角度對(duì)信息安全管理提供支持。信息安全工作組職責(zé)信息安全工作組是由信息技術(shù)部領(lǐng)導(dǎo)牽頭，內(nèi)設(shè)專職的安全管理組織和崗位，負(fù)責(zé)日常具體工作的落實(shí)、指導(dǎo)和協(xié)調(diào)。安全策略建設(shè)XXXISO27001GB/T22239-2008基本管理要求架構(gòu)為信息安全策略XXX評(píng)估，如圖所示：安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理系統(tǒng)廢止管理系統(tǒng)檢查與評(píng)估管理制度體系組織結(jié)構(gòu)人員錄用等級(jí)保護(hù)管理環(huán)境管理檢查管理制定和發(fā)布機(jī)構(gòu)職責(zé)人員離崗系統(tǒng)設(shè)計(jì)與采購資產(chǎn)管理審計(jì)管理執(zhí)行和監(jiān)督機(jī)構(gòu)管理要求人員培訓(xùn)與考核系統(tǒng)開發(fā)與實(shí)施介質(zhì)管理風(fēng)險(xiǎn)評(píng)估管理管理交付制度管理監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理數(shù)據(jù)交換管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理安全運(yùn)維建設(shè)基本安全管理要求評(píng)審和修訂基本安全管理要求評(píng)審和修訂外部人員訪問系統(tǒng)測(cè)試驗(yàn)收與設(shè)備管理XXX務(wù)開展和日常辦公的支撐作用和效益。為此本方案設(shè)計(jì)了安全運(yùn)維體系涉及到各類日常運(yùn)維操作規(guī)范和流程和安全事件管理與應(yīng)急響應(yīng)流程，構(gòu)成了支撐和落實(shí)各項(xiàng)信息安全管理方針和策略的堅(jiān)實(shí)基礎(chǔ)。日常運(yùn)維管理環(huán)境管理XXX集團(tuán)所有的服務(wù)器和核心網(wǎng)絡(luò)設(shè)備均按照要求放置在集中的機(jī)房中，為了保證機(jī)房的各項(xiàng)安全資源的穩(wěn)定可靠，制定《機(jī)房安全管理制度》，對(duì)以下方面進(jìn)行規(guī)定：機(jī)房電力、空調(diào)、門禁、監(jiān)控等設(shè)備的管理進(jìn)行規(guī)定；規(guī)定進(jìn)出機(jī)房要求和記錄；規(guī)定對(duì)機(jī)柜、服務(wù)器、電源等設(shè)備的進(jìn)入、變動(dòng)和移出等操作；機(jī)房責(zé)任人和日常運(yùn)維職責(zé)內(nèi)容。XXX下方面進(jìn)行規(guī)定：辦公室的信息安全要求；辦公終端信息安全保密要求；辦公終端使用規(guī)范。資產(chǎn)管理信息資產(chǎn)是構(gòu)成網(wǎng)絡(luò)和信息系統(tǒng)的基礎(chǔ)，是系統(tǒng)各種服務(wù)功能實(shí)現(xiàn)的提供者和信息《資產(chǎn)管理制度》括以下內(nèi)容：規(guī)定信息分類和識(shí)別，不同類別的存放、處理和傳輸?shù)陌踩?；按照信息系統(tǒng)制定資產(chǎn)清單，包括責(zé)任人、重要程度、供應(yīng)商、部署位置等信息；資產(chǎn)的申報(bào)、領(lǐng)用、維修和報(bào)廢流程；要求定期對(duì)資產(chǎn)進(jìn)行盤點(diǎn)和安全性審計(jì)。資產(chǎn)對(duì)備份的要求。網(wǎng)絡(luò)安全管理《網(wǎng)絡(luò)安全管理制度》對(duì)網(wǎng)絡(luò)的架構(gòu)和設(shè)備的安全管理進(jìn)行約定，主要包括以下內(nèi)容：IP地址分配；網(wǎng)絡(luò)接入安全要求；網(wǎng)絡(luò)設(shè)備操作規(guī)范流程；網(wǎng)絡(luò)設(shè)備安全配置和版本更新要求；網(wǎng)絡(luò)設(shè)備帳戶授權(quán)、驗(yàn)證和審計(jì)要求；網(wǎng)絡(luò)流量和網(wǎng)絡(luò)漏洞的監(jiān)控。為落實(shí)網(wǎng)絡(luò)安全管理，將設(shè)計(jì)以下若干技術(shù)規(guī)范：IP地址管理流程》《網(wǎng)絡(luò)接入安全管理流程》《網(wǎng)絡(luò)設(shè)備安全技術(shù)規(guī)范》《網(wǎng)絡(luò)設(shè)備的維護(hù)流程》系統(tǒng)安全管理程和規(guī)范的運(yùn)維流程和規(guī)范。主要包括以下內(nèi)容：應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；系統(tǒng)管理角色分離要求、權(quán)限、責(zé)任分配原則；要求進(jìn)行系統(tǒng)配置管理和變更管理；操作系統(tǒng)安全運(yùn)維流程；數(shù)據(jù)庫安全運(yùn)維流程；應(yīng)用平臺(tái)安全運(yùn)維流程；系統(tǒng)安全日志審核要求；系統(tǒng)備份和數(shù)據(jù)備份要求。每個(gè)系統(tǒng)管理具體安全管理制度的落實(shí)依靠如下相關(guān)支撐技術(shù)規(guī)范和流程：防惡意代碼管理惡意代碼防范是一項(xiàng)全員需要進(jìn)行安全管理工作，因此單獨(dú)制定《防惡意代碼管理制度》指導(dǎo)全體員工防范由于惡意代引起的安全風(fēng)險(xiǎn)：規(guī)定全員防惡意代碼的職責(zé)；明確惡意代碼的可能感染源和防范手段；明確惡意代碼的報(bào)告流程；防惡意代碼產(chǎn)品的安裝、使用、升級(jí)流程；惡意代碼事件的統(tǒng)計(jì)、報(bào)告流程。監(jiān)控管理和IT門戶系統(tǒng)建立集中的安全監(jiān)控和管理中心相配套的安全監(jiān)控管理制度，對(duì)監(jiān)控內(nèi)容、監(jiān)控方內(nèi)容：發(fā)布情況、安全設(shè)備報(bào)警信息等；安全監(jiān)控的方式和工具；監(jiān)控記錄的審計(jì)和分析；可疑事件的報(bào)告；密碼管理敏感系統(tǒng)應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品，同時(shí)建立密碼管理制度，加強(qiáng)對(duì)密碼和加密設(shè)備的管理。按照等級(jí)保護(hù)和ISO27001要求建立《密碼使用管理制度》,對(duì)一下方面進(jìn)行規(guī)范：密碼復(fù)雜度管理密碼定期修改管理多因素認(rèn)證管理密碼保存管理變更管理信息安全風(fēng)險(xiǎn)是“動(dòng)態(tài)”的主要因素之一，就是網(wǎng)絡(luò)和信息系統(tǒng)是會(huì)發(fā)生變化的，為了防范由于網(wǎng)絡(luò)和系統(tǒng)變化對(duì)整體安全現(xiàn)狀的影響，規(guī)避變更產(chǎn)生的風(fēng)險(xiǎn)，制定《變更管理制度》。對(duì)以下方面進(jìn)行規(guī)范：規(guī)范變更管理的范圍；規(guī)范變更流程，制定申報(bào)、方案制定、變更審核、審批流程；要求變更過程記錄；進(jìn)行系統(tǒng)變更前備份；要求制定變更失敗恢復(fù)流程和進(jìn)行恢復(fù)測(cè)試；備份與恢復(fù)管理為了保證業(yè)務(wù)連續(xù)性，XXX集團(tuán)制定《備份與恢復(fù)管理制度》規(guī)范以下內(nèi)容：規(guī)定系統(tǒng)進(jìn)行安全需求分析時(shí)要考慮備份措施要求；XXX儲(chǔ)介質(zhì)、保存期限及恢復(fù)測(cè)試頻次；規(guī)定備份存儲(chǔ)介質(zhì)的放置、命名、管理和離站運(yùn)輸方法。安全事件管理和應(yīng)急響應(yīng)《安全事件管理制度》《應(yīng)急響應(yīng)預(yù)案管理制度》度來落實(shí)。其中《安全事件管理制度》規(guī)定以下內(nèi)容：安全事件的定義、等級(jí)劃分；不同等級(jí)安全事件的發(fā)現(xiàn)、報(bào)告、分析、處置流程；安全事件的原因分析、記錄處理、經(jīng)驗(yàn)教訓(xùn)總結(jié)和補(bǔ)救措施的制定流程；要求每個(gè)信息系統(tǒng)做好安全事件記錄管理。《應(yīng)急響應(yīng)預(yù)案管理制度》規(guī)定以下內(nèi)容：要求針對(duì)典型事件和重大事件制定相應(yīng)的應(yīng)急響應(yīng)預(yù)案；規(guī)定應(yīng)急響應(yīng)人力、設(shè)備、技術(shù)、財(cái)務(wù)等相關(guān)支撐資源；規(guī)定應(yīng)急響應(yīng)預(yù)案的框架和模板；規(guī)定應(yīng)急響應(yīng)預(yù)案的演練和演練流程；物理安全建設(shè)按照國(guó)家對(duì)于計(jì)算機(jī)機(jī)房的相關(guān)建設(shè)標(biāo)準(zhǔn)，制定統(tǒng)一的計(jì)算機(jī)機(jī)房建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，對(duì)于計(jì)算機(jī)機(jī)房建設(shè)中的環(huán)境參數(shù)、保障機(jī)制，以及運(yùn)行過程中的人員訪問控制、監(jiān)控措施等進(jìn)行統(tǒng)一約定，頒布統(tǒng)一的計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細(xì)的規(guī)定。的標(biāo)準(zhǔn)，保證物理環(huán)境安全。關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房?jī)?nèi)部的適當(dāng)位置，通過物理訪問控制機(jī)制，保證這些設(shè)備自身的安全性。域，訪問控制機(jī)制還需要能夠提供審計(jì)功能，便于檢查和分析。24制度。理等做出詳細(xì)的規(guī)定。管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。網(wǎng)絡(luò)安全建設(shè)網(wǎng)絡(luò)安全是信息安全保障的重點(diǎn)，制定統(tǒng)一的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)標(biāo)準(zhǔn)，對(duì)如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域，安全區(qū)域的邊界采取的隔離措施，進(jìn)行約定，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng),不同業(yè)務(wù)網(wǎng)之間的安全隔離。制定統(tǒng)一的互聯(lián)網(wǎng)接入點(diǎn)、外聯(lián)網(wǎng)接入點(diǎn)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，統(tǒng)一約定網(wǎng)絡(luò)邊界接入點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、安全產(chǎn)品的部署模式，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。制定統(tǒng)一的遠(yuǎn)程移動(dòng)辦公技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，保證遠(yuǎn)程移動(dòng)辦公接入的安全性。制定統(tǒng)一的無線網(wǎng)絡(luò)接入的安全技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，確保無線接入的安全管理。制定統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)和管理規(guī)范。針對(duì)XXX集團(tuán)的信息安全現(xiàn)狀的分析，當(dāng)前網(wǎng)絡(luò)安全建設(shè)需要解決的問題如下：ACLMES墻隔離還只是邏輯層面的，生產(chǎn)廠區(qū)的MES全物理隔離，建議更換為物理隔離措施解決。APAPAPAP進(jìn)行識(shí)別和阻斷，對(duì)很對(duì)合法AP和阻斷。備的安全級(jí)別。作都處于監(jiān)控狀態(tài)，一旦有人非法操作或者惡意操作造成這些系統(tǒng)出現(xiàn)問題的時(shí)候可以進(jìn)行預(yù)警和追蹤溯源。系統(tǒng)安全建設(shè)系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機(jī)入侵檢測(cè)、系統(tǒng)安全漏洞分析和安全策略加固，提升服務(wù)器主機(jī)系統(tǒng)的安全級(jí)別。制定統(tǒng)一的網(wǎng)絡(luò)病毒查殺系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和蔓延。針對(duì)XXX集團(tuán)的信息安全現(xiàn)狀的分析，當(dāng)前系統(tǒng)安全建設(shè)需要解決的問題如下：安全級(jí)別。惡意代碼策略的統(tǒng)一定制下發(fā)，惡意代碼的定時(shí)統(tǒng)一查殺。U利用運(yùn)維審計(jì)技術(shù)，對(duì)訪問操作系統(tǒng)的所有操作進(jìn)行記錄，確保所有操作都處于監(jiān)應(yīng)用和數(shù)據(jù)安全建設(shè)應(yīng)用安全機(jī)制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護(hù)，能夠滿足身份認(rèn)證、用戶授權(quán)，安全訪問控制、數(shù)據(jù)安全使用和傳輸，業(yè)務(wù)安全審計(jì)等安全需求。制定統(tǒng)一的身份認(rèn)證、授權(quán)與訪問控制、數(shù)據(jù)加密，業(yè)務(wù)安全審計(jì)等應(yīng)用層安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。針對(duì)XXX集團(tuán)的信息安全現(xiàn)狀的分析，當(dāng)前應(yīng)用安全建設(shè)需要解決的問題如下：利用針對(duì)B/S定期的對(duì)其漏洞進(jìn)行檢測(cè)和分析，對(duì)安全配置進(jìn)行檢查，及時(shí)修補(bǔ)漏洞，完善安全配置，提升應(yīng)用系統(tǒng)和數(shù)據(jù)庫的安全級(jí)別。B/SWEB攻擊行為并進(jìn)行預(yù)警和阻斷。被非授權(quán)帶出企業(yè)網(wǎng)絡(luò)，是不可讀的處于亂碼狀態(tài)，確保數(shù)據(jù)的保密性