信息安全管理體系規(guī)劃與設(shè)計方案

#XXX□□□□□□□信息安全管理體系規(guī)劃與設(shè)計方案項目名稱XXX□□□□□□□□客戶名稱XXX□□□□□□□實施地點XXX□□□□□□□實施單位XXXXXX信息技術(shù)有限實施時間XXX年7月20日星期五文檔修訂情況版本修訂記錄日期修訂審核批準v1.0制作文檔XXX-07-20XXX目錄概述錯.誤！未定義書簽。TOC\o"1-5"\h\z信息安全建設(shè)思路4信息安全建設(shè)內(nèi)容6建立管理組織機構(gòu)6物理安全建設(shè)6網(wǎng)XXX全建設(shè)6系統(tǒng)安全建設(shè)7應(yīng)用安全建設(shè)7系統(tǒng)和數(shù)據(jù)備份管理7應(yīng)急響應(yīng)管理7災(zāi)難恢復(fù)管理7人員管理和教育培訓8信息安全建設(shè)原則8統(tǒng)一規(guī)劃8分步有序?qū)嵤?技術(shù)管理并重8突出安全保障9信息安全建設(shè)基本方針9信息安全建設(shè)目標9一個目標10兩種手段10三個體系10信息安全體系建立的原則10標準性原則10整體性原則11實用性原則11先進性原則1.1信息安全策略12物理安全策略12網(wǎng)XXX全策略13系統(tǒng)安全策略13病毒管理策略14身份認證策略15用戶授權(quán)與訪問控制策略16數(shù)據(jù)加密策略16數(shù)據(jù)備份與災(zāi)難恢復(fù)17應(yīng)急響應(yīng)策略17安全教育策略18信息安全體系框架18安全目標模型18信息安全體系框架組成20安全策略21安全技術(shù)體系21安全管理體系22運行保障體系25建設(shè)實施規(guī)劃251概述1.1信息安全建設(shè)思路XXX信息化服務(wù)中心信息安全建設(shè)工作的總體思路如下圖所示:工程試點實施建設(shè)現(xiàn)狀發(fā)展趨勢信息化建設(shè)現(xiàn)狀安全威脅和安全脆弱性網(wǎng)絡(luò)和信息技術(shù)XXX信息化服務(wù)中心的信息安全建設(shè)由針對性安全問題和支撐性安全技術(shù)兩條主線展開，這兩條主線在安全建設(shè)的過程中的關(guān)鍵節(jié)點又相互銜接和融和，最終形成一個完整的安全建設(shè)方案，并投入實施。首先，XXX信息化服務(wù)中心的信息化建設(shè)是基于當前通用的網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)技術(shù)，這使得信息化建設(shè)和安全技術(shù)有了一個共同的基礎(chǔ)，使得XXX信息化服務(wù)中心的針對性安全需求與通用的安全解決技術(shù)和方案有了一定的共通點和結(jié)合點。在這個基礎(chǔ)上，通過安全評估，對信息化建設(shè)和信息安全建設(shè)進行分析和總結(jié)，其中包括對建設(shè)現(xiàn)狀和發(fā)展趨勢的完整分析，歸納出系統(tǒng)中當前存在和今后可能存在的安全問題，明確網(wǎng)絡(luò)和信息系統(tǒng)運營所面臨的安全風險級別。從支撐性安全技術(shù)的主線展開，對現(xiàn)有網(wǎng)絡(luò)和信息技術(shù)的固有缺陷出發(fā)，總結(jié)了普遍存在的安全威脅，并根據(jù)其它系統(tǒng)中的信息安全建設(shè)實踐中的經(jīng)驗，從信息安全領(lǐng)域的完整框架、思路、技術(shù)和理念出發(fā)，提供完整的安全建設(shè)思路和方法。在此基礎(chǔ)之上，兩條主線進入融和的階段。信息安全領(lǐng)域的理論、框架和技術(shù)基礎(chǔ)與XXX□□□□□□□□□□□□□□□□□□□,□□□□□□□XXX信息化服務(wù)中心安全保障總體策略。在這個安全保障總體策略中，包括了整體建設(shè)目標，安全技術(shù)策略，以及相應(yīng)的管理策略?？傮w安全策略一方面充分體現(xiàn)了XXX□□□□□□□□自身□□□□□□□□□□□□□□,□□□□□□□□于現(xiàn)有的信息安全領(lǐng)域的安全模型和技術(shù)支持能力，因此具備了可行性、針對性和前瞻性。以安全保障總體策略為核心，分三個方面進行整體信息安全體系框架的制定，包括安全技術(shù)體系，安全管理體系和運營保障體系。在現(xiàn)實的運營過程中，安全保障不能夠純粹依靠安全技術(shù)來解決，更需要適當?shù)陌踩芾?，相互結(jié)合來提高整體安全性效果。在信息安全體系框架的指導(dǎo)下，依據(jù)相應(yīng)的建設(shè)標準和管理規(guī)范，規(guī)劃和制定詳細的信息安全系統(tǒng)實施方案和運營維護計劃。為了更加穩(wěn)妥地進行全面的信息安全建設(shè)，在信息安全系統(tǒng)實施過程中首先進行試點項目建設(shè)，在試點項目建設(shè)中進一步積累經(jīng)驗，并對某些實施方案的細節(jié)進行調(diào)整，為建設(shè)實施順利地全面開真打下基礎(chǔ)。信息安全體系建設(shè)的思路體現(xiàn)了以下的特點：□□□□□□□□□□□□□□□□□□□□□□;□□□□□□□□□□□□□□□□□□□□;充分考慮了當前的建設(shè)現(xiàn)狀以及未來業(yè)務(wù)發(fā)展的需要；注重安全管理體系的建設(shè)，以及管理、技術(shù)和保障的相互結(jié)合；采取試點工程計劃，使得信息安全建設(shè)實施更加穩(wěn)妥。信息安全建設(shè)內(nèi)容XXX信息化服務(wù)中心的信息安全建設(shè)所涉及的工作內(nèi)容包括以下部分。建立管理組織機構(gòu)建立專職的信息安全監(jiān)管機構(gòu)，明確各級管理機構(gòu)的人員崗位配置和職能權(quán)限，全面負責信息安全建設(shè)工作和維護信息安全系統(tǒng)的運營。物理安全建設(shè)按照國家對于計算機機房的相關(guān)建設(shè)標準，制定統(tǒng)一的計算機機房建設(shè)標準和管理規(guī)范，對于計算機機房建設(shè)中的環(huán)境參數(shù)、保障機制，以及運行過程中的人員訪問控制、監(jiān)控措施等進行統(tǒng)一約定，頒布統(tǒng)一的計算機機房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細的規(guī)定。網(wǎng)XXX全建設(shè)網(wǎng)XXX全是信息安全保障的重點，制定統(tǒng)一的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)標準，對如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域，安全區(qū)域的邊界采取的隔離措施，進行約定，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng)之間的安全隔離。制定統(tǒng)一的互聯(lián)網(wǎng)接入點、外聯(lián)網(wǎng)接入點的技術(shù)標準和管理規(guī)范，統(tǒng)一約定網(wǎng)絡(luò)邊界接入點的網(wǎng)絡(luò)結(jié)構(gòu)、安全產(chǎn)品的部署模式，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。制定統(tǒng)一的遠程移動辦公技術(shù)標準和管理規(guī)范，保證遠程移動辦公接入的安全性。制定統(tǒng)一的網(wǎng)XXX全系統(tǒng)建設(shè)標準和管理規(guī)范，包括防火墻、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)脆弱性分析、網(wǎng)絡(luò)層加密等。

系統(tǒng)安全建設(shè)系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機入侵檢測、系統(tǒng)安全漏洞分析和加固，提升服務(wù)器主機系統(tǒng)的安全級別。制定統(tǒng)一的網(wǎng)絡(luò)病毒查殺系統(tǒng)的建設(shè)標準和管理規(guī)范，有效抑制計算機病毒在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和蔓延。應(yīng)用安全建設(shè)應(yīng)用安全機制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護，能夠滿足身份認證、用戶授權(quán)與訪問控制、數(shù)據(jù)安全傳輸?shù)劝踩枨?。制定統(tǒng)一的身份認證、授權(quán)與訪問控制、應(yīng)用層通信加密等應(yīng)用層安全系統(tǒng)的建設(shè)標準和管理規(guī)范，改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。系統(tǒng)和數(shù)據(jù)備份管理系統(tǒng)和數(shù)據(jù)備份是重要的安全保障機制，為了保障業(yè)務(wù)數(shù)據(jù)的安全性，降低采取突發(fā)意外事件所帶來的安全風險，制定統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份標準與規(guī)范，采取先進的數(shù)據(jù)備份技術(shù)，保證業(yè)務(wù)數(shù)據(jù)和系統(tǒng)軟件的安全性。應(yīng)急響應(yīng)管理制定統(tǒng)一的應(yīng)急響應(yīng)計劃標準，建立應(yīng)急響應(yīng)計劃，包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。在發(fā)生安全事件后，盡快作出適當?shù)捻憫?yīng)，將安全事件的負面影響降至最低，保障金融業(yè)務(wù)正常運轉(zhuǎn)。災(zāi)難恢復(fù)管理災(zāi)難是指對網(wǎng)絡(luò)和信息系統(tǒng)造成任何破壞作用的意外事件，要制定詳細的災(zāi)難恢復(fù)計劃，考慮到數(shù)據(jù)大集中的安全需求，采用異地容災(zāi)備份等技術(shù)，確保數(shù)難恢復(fù)計劃，考慮到數(shù)據(jù)大集中的安全需求，采用異地容災(zāi)備份等技術(shù)，確保數(shù)據(jù)的安全性和業(yè)務(wù)的持續(xù)性，在災(zāi)難發(fā)生后，盡快完成恢復(fù)。人員管理和教育培訓制定統(tǒng)一的人員安全管理和教育培訓規(guī)范，定期對信息系統(tǒng)的用戶進行安全教育和培訓，對普通用戶進行基本的安全教育，對安全技術(shù)崗位的用戶進行崗位技能培訓，提高全員的安全意識，培養(yǎng)高素質(zhì)的安全技術(shù)和管理隊伍。信息安全建設(shè)原則信息安全體系的建設(shè)，涉及面廣、工作量大，必須堅持以下的原則，保證建設(shè)和運營的效果。統(tǒng)一規(guī)劃要對信息安全體系建設(shè)進行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內(nèi)容。同時，還要制定統(tǒng)一的信息安全建設(shè)標準和管理規(guī)范，使得信息安全體系建設(shè)能夠遵循一致的標準，管理能夠遵循一致的規(guī)范。分步有序?qū)嵤┬畔踩w系的建設(shè)，內(nèi)容龐雜，必須堅持分步驟的有序?qū)嵤┰瓌t，循序漸進地進行。技術(shù)管理并重僅有全面的安全技術(shù)和機制是遠遠不夠的，安全管理也具有同樣的重要性，XXX信息化服務(wù)中心信息安全體系的建設(shè)，必須遵循安全技術(shù)和安全管理并重的原則。制定統(tǒng)一的安全建設(shè)管理規(guī)范，指導(dǎo)的安全管理工作。突出安全保障信息安全體系建設(shè)要突出安全保障的重要性，通過數(shù)據(jù)備份、冗余設(shè)計、應(yīng)急響應(yīng)、安全審計、災(zāi)難恢復(fù)等安全保障機制，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全性。2信息安全建設(shè)基本方針XXX信息化服務(wù)中心信息安全體系建設(shè)的基本安全方針是“統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運營安全”。統(tǒng)一規(guī)劃建設(shè)，突出了進行統(tǒng)籌規(guī)劃的重要性，提供了的安全建設(shè)所需的統(tǒng)一技術(shù)標準、管理規(guī)范，以及實施步驟的安排，也保證了人員和資金的投入。全面綜合防御，是指在技術(shù)層面上，綜合使用了多種安全機制，將不同安全機制的保護效果有機地結(jié)合起來，構(gòu)成完整的立體防護體系。技術(shù)管理并重，突出了安全管理在信息安全體系中的重要性，僅僅憑借安全技術(shù)體系，無法解決所有的安全問題，安全管理體系與技術(shù)防護體系相互配合，增強技術(shù)防護體系的效率和效果，同時也彌補當前技術(shù)無法完全解決的安全缺陷，實現(xiàn)了最佳的保護效果。保障運營安全，突出了安全保障的重要性，利用多種安全保障機制，保障了網(wǎng)絡(luò)和信息系統(tǒng)的運行安全，也保障了業(yè)務(wù)的持續(xù)性和業(yè)務(wù)數(shù)據(jù)的安全性。3信息安全建設(shè)目標根據(jù)XXX信息化服務(wù)中心信息安全體系建設(shè)的基本方針，XXX信息化服務(wù)中心信息安全的建設(shè)目標，可以用“一個目標、兩種手段、三個體系”進行概括。3.1一個XXX信息化服務(wù)中心信息安全的建設(shè)目標是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺各個層面，以及保護、檢測、響應(yīng)、恢復(fù)等各個環(huán)節(jié)，構(gòu)建全面、完整、高效的信息安全體系，從而提高XXX信息化服務(wù)中心信息系統(tǒng)的整體安全等級，為XXX信息化服務(wù)中心的業(yè)務(wù)發(fā)展提供堅實的信息安全保障。兩種手段信息安全體系的建設(shè)應(yīng)該包括安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。三個體系XXX信息化服務(wù)中心信息安全體系的建設(shè)最終形成3個主要體系，具體包括安全技術(shù)體系、安全管理體系、以及運行保障體系。4信息安全體系建立的原則XXX信息化服務(wù)中心信息安全體系的設(shè)計與建設(shè)過程，遵循了以下基本指導(dǎo)原則。標準性原則盡可能遵循現(xiàn)有的與信息安全相關(guān)的國際標準、國內(nèi)標準、行業(yè)標準，包括在技術(shù)框架中與具體的信息安全技術(shù)相關(guān)的標準，以及在管理框架中與安全管理相關(guān)的標準。標準性原則從根本上保證了XXX信息化服務(wù)中心的信息安全體系建設(shè)具有良好的全面性、標準性、和開放性。整體性原則從宏觀的、整體的角度出發(fā)，系統(tǒng)地建設(shè)XXX信息化服務(wù)中心信息安全體系，不僅僅局限于安全技術(shù)層面，或者技術(shù)層面中孤立的安全技術(shù)，而是全面構(gòu)架信息安全技術(shù)體系，覆蓋從物理安全、通信和網(wǎng)XXX全、主機系統(tǒng)安全、到數(shù)據(jù)和應(yīng)用系統(tǒng)安全各個層面。同時，建立全面有效的安全管理體系和運行保障體系，使得安全技術(shù)體系發(fā)揮最佳的保障效果。實用性原則建立信息安全體系，必須針對XXX信息化服務(wù)中心網(wǎng)絡(luò)和信息系統(tǒng)的特點，在現(xiàn)狀分析和風險評估的基礎(chǔ)上有的放矢地進行，不能簡單地照抄照搬其它的信息安全保障方案。同時，信息安全體系中的所有內(nèi)容，都被用來指導(dǎo)XXX信息化服務(wù)中心信息安全系統(tǒng)的建設(shè)和管理維護等實際工作，因此必須堅持可操作性和實用性原則，避免空洞和歧義現(xiàn)象。實用性還體現(xiàn)在信息安全體系的建設(shè)過程中，由于內(nèi)容龐雜，必須堅持分步驟的有序?qū)嵤┰瓌t，循序漸進地進行建設(shè)。先進性原則信息安全體系中所涉及的安全技術(shù)和機制，應(yīng)該具有一定的先進性和前瞻性，既能夠滿足當前系統(tǒng)的安全要求，又能夠滿足未來3到5年時間內(nèi)，XXX信息化服務(wù)中心的信息安全系統(tǒng)建設(shè)的需要，為網(wǎng)絡(luò)和信息系統(tǒng)提供有效的安全服務(wù)保障。5信息安全策略信息安全策略是信息安全建設(shè)的核心，它描述了在信息安全建設(shè)過程中，需要對哪些重要的信息資產(chǎn)進行保護，以及如何進行保護。在對XXX進行的安全風險評估的基礎(chǔ)之上，明確了信息安全建設(shè)工作的內(nèi)容和重點，并形成了指導(dǎo)信息安全建設(shè)的《XXX-信息安全總體策略》，總體策略的設(shè)計堅持了管理與技術(shù)并重的原則，以確保網(wǎng)絡(luò)和信息系統(tǒng)的安全性為主，采用多重保護、最小授權(quán)、和嚴格管理等措施，從宏觀整體的角度進行闡述，是信息安全建設(shè)總的指導(dǎo)原則。按照要保障的資產(chǎn)對象的不同，總體策略劃分為物理安全、網(wǎng)XXX全、系統(tǒng)安全、病毒防治、身份認證、應(yīng)用授權(quán)和訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份和災(zāi)難恢復(fù)、應(yīng)急響應(yīng)、教育培訓等若干方面進行闡述。隨著技術(shù)的發(fā)展以及系統(tǒng)的升級、調(diào)整，安全策略也應(yīng)該進行重新評估和制定，隨時保持策略與安全目標的一致性。物理安全策略計算機機房的建設(shè)必須遵循國家在計算機機房場地選擇、環(huán)境安全、布線施工方面的標準，保證物理環(huán)境安全。關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機和前置機服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計算機機房內(nèi)部的適當位置，通過物理訪問控制機制，保證這些設(shè)備自身的安全性。應(yīng)當建立人員出入訪問控制機制，嚴格控制人員出入計算機機房和其它重要安全區(qū)域，訪問控制機制還需要能夠提供審計功能，便于檢查和分析。應(yīng)當指定專門的部門和人員，負責計算機機房的建設(shè)和管理工作，建立24小時值班制度。建立計算機機房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細的規(guī)定。管理機構(gòu)應(yīng)當定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。網(wǎng)XXX全策略必須對網(wǎng)絡(luò)和信息系統(tǒng)進行安全域劃分，建立隔離保護機制，并且在各安全域之間建立訪問控制機制，杜絕發(fā)生未授權(quán)的非法訪問現(xiàn)象，特別的，必須對生產(chǎn)網(wǎng)和辦公網(wǎng)進行劃分和隔離。應(yīng)當部署網(wǎng)絡(luò)管理體系，管理網(wǎng)絡(luò)資源和設(shè)備，實施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，降低網(wǎng)絡(luò)故障帶來的安全風險。應(yīng)當對關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計，防止關(guān)鍵線路和設(shè)備的單點故障造成通信服務(wù)中斷。應(yīng)當在各安全域的邊界，綜合部署網(wǎng)XXX全訪問措施，包括防火墻、入侵檢測、VPN，建立多層次的，立體的網(wǎng)XXX全防護體系。應(yīng)當建立網(wǎng)絡(luò)弱點分析機制，發(fā)現(xiàn)和彌補網(wǎng)絡(luò)中存在的安全漏洞，及時進行自我完善。應(yīng)當建立遠程訪問機制，實現(xiàn)安全的遠程辦公和移動辦公。應(yīng)當指定專門的部門和人員，負責網(wǎng)XXX全系統(tǒng)的規(guī)劃、建設(shè)、管理維護。應(yīng)當建立網(wǎng)XXX全系統(tǒng)的建設(shè)標準和相關(guān)的運營維護管理規(guī)范，在范圍內(nèi)指導(dǎo)實際的系統(tǒng)建設(shè)和維護管理。管理機構(gòu)應(yīng)當定期對網(wǎng)XXX全措施和安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。系統(tǒng)安全策略應(yīng)當對關(guān)鍵服務(wù)器主機設(shè)備提供冗余設(shè)計，防止單點故障造成網(wǎng)絡(luò)服務(wù)中斷。應(yīng)當建立主機弱點分析機制，發(fā)現(xiàn)和彌補系統(tǒng)軟件中存在的不當配置和安全漏洞，及時進行自我完善。應(yīng)當建立主機系統(tǒng)軟件版本維護機制，及時升級系統(tǒng)版本和補丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)。應(yīng)當建立主機系統(tǒng)軟件備份和恢復(fù)機制，在災(zāi)難事件發(fā)生之后，能夠快速實現(xiàn)系統(tǒng)恢復(fù)?？梢越⒅鳈C入侵檢測機制，發(fā)現(xiàn)主機系統(tǒng)中的異常操作行為，以及對主機發(fā)起的攻擊行為，并及時向管理員報警。應(yīng)當指定專門的部門和人員，負責主機系統(tǒng)的管理維護。應(yīng)當建立主機系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機弱點分析、主機審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。應(yīng)當建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對其進行正確有效的配置和管理。管理機構(gòu)應(yīng)當定期對各項系統(tǒng)安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。病毒管理策略應(yīng)當建立全面網(wǎng)絡(luò)病毒查殺機制，實現(xiàn)XXX信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。所有內(nèi)部網(wǎng)絡(luò)上的計算機在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當安裝和配置殺毒軟件，并且通過管理中心進行更新，任何用戶不能禁用病毒掃描和查殺功能。所有內(nèi)部網(wǎng)絡(luò)上的計算機系統(tǒng)都應(yīng)當定期進行完整的系統(tǒng)掃描。從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對其進行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進行病毒掃描測試。任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計算機內(nèi)存、存儲介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計算機代碼應(yīng)當指定專門的部門和人員，負責網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護。應(yīng)當建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。應(yīng)當建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為，以及對殺毒軟件的配置和管理，達到保護桌面系統(tǒng)、抑止病毒傳播的目的。管理機構(gòu)應(yīng)當定期對與病毒查殺有關(guān)安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。身份認證策略應(yīng)當在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施，向應(yīng)用系統(tǒng)提供集中的用戶身份認證服務(wù)。應(yīng)當選擇安全性高，投入收益比率較好，易管理維護的身份認證技術(shù)，建立身份管理基礎(chǔ)設(shè)施。每個內(nèi)部員工具有范圍內(nèi)唯一的身份標識，用戶在訪問應(yīng)用系統(tǒng)之前，必須提交身份標識，并對其進行認證；員工離職時，要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。應(yīng)當對現(xiàn)有的應(yīng)用系統(tǒng)進行技術(shù)改造，使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。應(yīng)當建立專門的部門和崗位，負責用戶身份的管理，以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運行、維護。應(yīng)當在范圍內(nèi)建立用戶標識管理規(guī)范，對用戶標識格式，產(chǎn)生和撤銷流程進行統(tǒng)一規(guī)定。用戶授權(quán)與訪問控制策略應(yīng)當依托身份認證基礎(chǔ)設(shè)施，將集中管理與分布式管理有機結(jié)合起來，建立分級的用戶授權(quán)與訪問控制管理機制。每個內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi)；員工離職時，要撤銷其在信息系統(tǒng)內(nèi)部的所有訪問權(quán)限。應(yīng)當對現(xiàn)有的應(yīng)用系統(tǒng)進行技術(shù)改造，使用授權(quán)與訪問控制系統(tǒng)提供的安全服務(wù)。應(yīng)當建立專門崗位，負責用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護。應(yīng)當在范圍內(nèi)，建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。數(shù)據(jù)加密策略加密技術(shù)的采用和加密機制的建立，應(yīng)該符合國家有關(guān)的法律和規(guī)定。應(yīng)當建立內(nèi)部信息系統(tǒng)的密級分級標準，判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲過程中，是否需要采用加密機制。應(yīng)當建立密鑰管理體制，保證密鑰在產(chǎn)生、使用、存儲、傳輸?shù)拳h(huán)節(jié)中的安全性。加密機制應(yīng)當使用國際標準的密碼算法，或者國內(nèi)通過密碼管理委員會審批的專用算法，其中對稱密碼算法的密鑰長度不得低于128比特，公鑰密碼算法的密鑰長度不得低于1024比特。應(yīng)當在物理上保證所有的硬件加密設(shè)備和軟件加密程序，以及存儲涉密數(shù)據(jù)的介質(zhì)載體的安全。應(yīng)當指定專門的管理機構(gòu)，負責本策略的維護，監(jiān)督本策略的實施。任何內(nèi)部信息系統(tǒng)，都需要向管理機構(gòu)提出申請，經(jīng)管理機構(gòu)審批，獲得授權(quán)后，才能夠使用加密機制。禁止任何內(nèi)部信息系統(tǒng)和人員，在未授權(quán)的情況下，使用任何加密機制。管理機構(gòu)應(yīng)當每年對加密算法的選擇范圍和密鑰長度的最低要求進行一次復(fù)審和評估，使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。數(shù)據(jù)備份與災(zāi)難恢復(fù)在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù)，避免硬件的單點故障導(dǎo)致服務(wù)中斷。綜合考慮性能和管理等因素，采用先進的系統(tǒng)和數(shù)據(jù)備份技術(shù)，在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機制，防止數(shù)據(jù)出現(xiàn)邏輯損壞。對業(yè)務(wù)系統(tǒng)采取適當?shù)漠惖貍浞輽C制，使得數(shù)據(jù)備份計劃具備一定的容災(zāi)能力。建立災(zāi)難恢復(fù)計劃，提供災(zāi)難恢復(fù)手段，在災(zāi)難事件發(fā)生之后，快速對被破壞的信息系統(tǒng)進行恢復(fù)。應(yīng)當建立專門崗位，負責用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護。建立日常數(shù)據(jù)備份管理制度，對備份周期和介質(zhì)保管進行統(tǒng)一規(guī)定。建立災(zāi)難恢復(fù)計劃，對人員進行災(zāi)難恢復(fù)培訓，定期進行災(zāi)難恢復(fù)的模擬演練。應(yīng)急響應(yīng)策略應(yīng)當建立應(yīng)急響應(yīng)中心，配置專門崗位，負責制定范圍內(nèi)的信息安全策略、完成計算機網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急響應(yīng)、及時發(fā)布安全漏洞和補丁修補程序等安全公告、進行安全系統(tǒng)審計數(shù)據(jù)分析、以及提供安全教育和培訓。應(yīng)當制定詳細的安全事件的應(yīng)急響應(yīng)計劃，包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。安全教育策略應(yīng)該建立專門的機構(gòu)和崗位，負責安全教育與培訓計劃的制定和執(zhí)行應(yīng)當制定詳細的安全教育和培訓計劃，對信息安全技術(shù)和管理相關(guān)人員進行安全專業(yè)知識和技能培訓，對普通用戶進行安全基礎(chǔ)知識、安全策略和管理制度培訓，提高人員的整體安全意識和安全操作水平。管理機構(gòu)應(yīng)當定期對安全教育和培訓的成果進行抽查和考核，檢驗安全教育和培訓活動的效果。6信息安全體系框架XXX信息化服務(wù)中心進行信息安全建設(shè)的目標是建立起一個全面、有效的信息安全體系，在這個體系中，包括了安全技術(shù)、安全管理、人員組織、教育培訓、資金投入等關(guān)鍵因素，信息安全建設(shè)的內(nèi)容多，規(guī)模大，必須進行全面的統(tǒng)籌規(guī)劃，明確信息安全建設(shè)的工作內(nèi)容、技術(shù)標準、組織機構(gòu)、管理規(guī)范、人員崗位配備、實施步驟、資金投入，才能夠保證信息安全建設(shè)有序可控地進行，才能夠使得信息安全體系發(fā)揮最優(yōu)的保障效果。為此制定了XXX信息安全體系框架，該框架主要包括安全技術(shù)框架,安全管理框架、運營保障框架、三部分組成，從宏觀上規(guī)劃和管理的信息安全建設(shè)工作。6.1安全目標模型根據(jù)XXX信息化服務(wù)中心信息安全體系建設(shè)目標和總體安全策略，建立了與之對應(yīng)的目標模型，稱為WP2DRR安全模型，該模型是基于時間的，由預(yù)警(Warning)、策略(Policy)、保護(Protection)、檢測(Detection)、響應(yīng)(Response)、恢復(fù)(Recovery)六個要素環(huán)節(jié)構(gòu)成了一個完整的、動態(tài)的信息安全體系。預(yù)警、保護、檢測、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。Policy（安全策略）：□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□在WP2DRR安全模型中，策略處于核心地位，所有的防護、檢測、響應(yīng)、恢復(fù)都依據(jù)安全策略展開實施，安全策略為安全管理提供管理方向和支持手段。WariningP警）：□□□□□□□□□□□□□□□□□□□□□□□預(yù)測未來可能受到的攻擊和及危害。包括風險分析、病毒預(yù)報、黑客入侵趨勢預(yù)報和情況通報、系統(tǒng)弱點報告和補丁到位。Protection防護）：□□□□□□□□□□□□□□□□□□□□□□來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)控等手段來防止惡意威脅。Detection（檢測）：□□□□□□□□□□□□,□□□□□□□□□強防護的依據(jù)，它也是強制落實安全策略的有力工具，通過檢測和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應(yīng)。Response響應(yīng)）：□□□□□□□□□□□□,□□□□□□□□□□?；蛘吖粜袨樽龀鲰憫?yīng)動作，以及處理突發(fā)的安全事件。恰當?shù)捻憫?yīng)動作和響應(yīng)流程可以降低安全事件的不良影響，加強對重要資源的保護?！鯮ecoveryfl恢復(fù)）：□□□□□□□□□□□□□□□□□□□□□,任何意外的突發(fā)事件都可能造成服務(wù)中斷和數(shù)據(jù)受損，優(yōu)秀的災(zāi)難恢復(fù)計劃能夠針對災(zāi)難事件做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)遭受破壞，也能夠在最短的時間內(nèi)，完成恢復(fù)操作。WP2DRR□□□□□□□□□□□□□□□□□□□□□□□□□□□□□結(jié)論：安全的目標實際上就是盡可能地增大保護時間，盡量減少檢測時間和響應(yīng)時間。WP2DRR□□□□□□□P2DR□□□□□□□□□□□□Warning和恢復(fù)Recover,增強了安全保障體系的事前預(yù)防和事后恢復(fù)能力，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運行。安全目標模型是信息安全體系框架的基礎(chǔ)，XXX信息化服務(wù)中心的信息安全體系框架緊密圍繞這個安全模型的6個要素環(huán)節(jié)進行設(shè)計，每個要素環(huán)節(jié)的功能都在安全技術(shù)體系、安全組織和管理體系以及運行保障體系中體現(xiàn)出來。6.2信息安全體系框架組成通過對XXX□□□□□□□□□□□□□□□□□□□□□□□□□□□險的分析，根據(jù)安全保障目標模型，制定了XXX信息化服務(wù)中心信息安全體系框架，制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運營。該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補、相互推動、相互依賴、不可分割的信息安全保障要素組成。一個系統(tǒng)的、完整的、有機的信息安全體系的作用力遠遠大于各個信息安全保障要素的保障能力之和。在此框架中，以安全策略為指導(dǎo)，融會了安全技術(shù)、安全管理和運行保障三個層次的安全體系，達到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標。XXX□□□□□□□□□□□□□□□□□□□□□□□□□：

安全策略n安全策略在這個框架中，安全策略是指導(dǎo)。安全策略與安全技術(shù)體系、安全組織和管理體系以及運行保障體系這三大體系之間的關(guān)系也是相互作用的。一方面，三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實現(xiàn)方法和管理、運行保障手段，全面實現(xiàn)安全策略中所制定的目標；另一方面，安全策略本身也有包括草案設(shè)計、評審、實施、培訓、部署、監(jiān)控、強化、重新評估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進行管理，保證安全策略的及時性和有效性。安全技術(shù)體系安全技術(shù)體系是整個信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這三個部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助，在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)，從物理和通信安全防護，網(wǎng)XXX全防護，主機系統(tǒng)安全防護，應(yīng)用安全防護等多個層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機制，建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護體系。安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供金融業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機制與安全設(shè)備，對這些安全機制和安全設(shè)備進行統(tǒng)一的管理和控制，負責管理和維護安全策略，配置管理相應(yīng)的安全機制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運作，可靠運行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡向安全的信息系統(tǒng)應(yīng)用體系。統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。安全管理體系安全組織和管理體系是安全技術(shù)體系真正有效發(fā)揮保護作用的重要保障，安全管理體系的設(shè)計立足于總體安全策略，并與安全技術(shù)體系相互配合，增強技術(shù)防護體系的效率和效果，同時也彌補當前技術(shù)無法完全解決的安全缺陷。技術(shù)和管理是相互結(jié)合的，一方面，安全防護技術(shù)措施需要安全管理措施來加強，□□□□□□□□□□□□□□□□□□□□□□□在XXX□□□□□□心信息安全體系框架中，安全管理體系的設(shè)計充分參考和借鑒了國際信息安全管□□□□BS7799(ISO17799)》的建議。XXX信息化服務(wù)中心信息安全管理體系由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應(yīng)，這些安全控制是為了達成相應(yīng)安全目標的管理工作和要求。信息安全管理體系一共包括了12項管理類：□□□□□□□,□□XXX□□□□□□□□□□□□□□□□□□以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。安全風險管理，信息安全建設(shè)不是避免風險的過程，而是管理風險的過程。沒有絕對的安全，風險總是存在的。信息安全體系建設(shè)的目標就是要把風險控制在可以接受的范圍之內(nèi)。風險管理同時也是一個動態(tài)持續(xù)的過程。人員和組織安全管理，建立組織機構(gòu)，明確人員崗位職責，提供安全教育和培訓，對第三方人員進行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的信息安全風險。環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當所產(chǎn)生的風險。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。網(wǎng)絡(luò)和通信安全管理，控制和保護網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對XXX門戶網(wǎng)站等業(yè)務(wù)系統(tǒng)的損害。主機和系統(tǒng)安全管理，控制和保護XXX信息化服務(wù)中心的計算機主機及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。應(yīng)用和業(yè)務(wù)安全管理，對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進行安全管理，防止其收到破壞和濫用。數(shù)據(jù)安全和加密管理，采用數(shù)據(jù)加密和完整性保護機制，防止數(shù)據(jù)被竊取和篡改，保護銀行業(yè)務(wù)數(shù)據(jù)的安全。項目工程安全管理，保護信息系統(tǒng)項目工程過程的安全，確保項目的成果是可靠的安全系統(tǒng)。運行和維護安全管理，保護信息系統(tǒng)在運行期間的安全，并確保系統(tǒng)維護工作的安全。業(yè)務(wù)連續(xù)性管理管理，通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。合規(guī)性（符合性）管理，確保XXX信息化服務(wù)中心的信息安全保障工作符合國家法律、法規(guī)的要求；且XXX信息化服務(wù)中心的信息安全方針、規(guī)定和標準得到