X XXX 信息化服務中心

　信息安全 總體 策略

　 項目名稱

　XXX 安全運維服務項目 客戶名稱

　XXX 信息化服務中心 實施地點

　XXX 信息化服務中心 實施單位

　XXX 信息技術有限 實施時間

　XXX 年 7 月 20 日星期五

　文檔修訂情況

　版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 XXX-07-17

　 目錄

　1

　物理安全策略 .......................................................................................................................................... 3

　2

　網(wǎng) 網(wǎng) XXX 全策略 ......................................................................................................................................... 3

　3

　系統(tǒng)安全策略 .......................................................................................................................................... 4

　4

　病毒管理策略 .......................................................................................................................................... 4

　5

　身份認證策略 .......................................................................................................................................... 5

　6

　用戶授權與訪問控制策略 ....................................................................................................................... 5

　7

　數(shù)據(jù)加密策略 .......................................................................................................................................... 5

　8

　數(shù)據(jù)備份與災難恢復 .............................................................................................................................. 6

　9

　應急響應策略 .......................................................................................................................................... 6

　10

　安全教育策略 ...................................................................................................................................... 7

　 1 物理安全策略 ? 計算機機房的建設必須遵循國家在計算機機房場地選擇、環(huán)境安全、布線施工方面的標準，保證物理環(huán)境安全。

　? 關鍵應用系統(tǒng)的服務器主機和前置機服務器、主要的網(wǎng)絡設備必須放置于計算機機房內部的適當位置，通過物理訪問控制機制，保證這些設備自身的安全性。

　? 應當建立人員出入訪問控制機制，嚴格控制人員出入計算機機房和其它重要安全區(qū)域，訪問控制機制還需要能夠提供審計功能，便于檢查和分析。

　? 應當指定專門的部門和人員，負責計算機機房的建設和管理工作，建立 24 小時值班制度。

　? 建立計算機機房管理制度，對設備安全管理、介質安全管理、人員出入訪問控制管理等做出詳細的規(guī)定。

　? 管理機構應當定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。

　2 網(wǎng) 網(wǎng) 絡安 全策略 ? 必須對網(wǎng)絡和信息系統(tǒng)進行安全域劃分，建立隔離保護機制，并且在各安全域之間建立訪問控制機制，杜絕發(fā)生未授權的非法訪問現(xiàn)象，特別的，必須對生產(chǎn)網(wǎng)和辦公網(wǎng)進行劃分和隔離。

　? 應當部署網(wǎng)絡管理體系，管理網(wǎng)絡資源和設備，實施監(jiān)控網(wǎng)絡系統(tǒng)的運行狀態(tài)，降低網(wǎng)絡故障帶來的安全風險。

　? 應當對關鍵的通信線路、網(wǎng)絡設備提供冗余設計，防止關鍵線路和設備的單點故障造成通信服務中斷。

　? 應當在各安全域的邊界，綜合部署網(wǎng) XXX 全訪問措施，包括防火墻、入侵檢測、VPN，建立多層次的，立體的網(wǎng) XXX 全防護體系。

　? 應當建立網(wǎng)絡弱點分析機制，發(fā)現(xiàn)和彌補網(wǎng)絡中存在的安全漏洞，及時進行自我完善。

　? 應當建立遠程訪問機制，實現(xiàn)安全的遠程辦公和移動辦公。

　? 應當指定專門的部門和人員，負責網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設、管理維護。

　? 應當建立網(wǎng) XXX 全系統(tǒng)的建設標準和相關的運營維護管理規(guī)范，在范圍內指導實際的系統(tǒng)建設和維護管理。

　? 管理機構應當定期對網(wǎng) XXX 全措施和安全管理制度的有效性和實施狀況進行檢查，

　 發(fā)現(xiàn)問題，進行改進。

　3 系統(tǒng)安全策略 ? 應當對關鍵服務器主機設備提供冗余設計，防止單點故障造成網(wǎng)絡服務中斷。

　? 應當建立主機弱點分析機制，發(fā)現(xiàn)和彌補系統(tǒng)軟件中存在的不當配置和安全漏洞，及時進行自我完善。

　? 應當建立主機系統(tǒng)軟件版本維護機制，及時升級系統(tǒng)版本和補丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)。

　? 應當建立主機系統(tǒng)軟件備份和恢復機制，在災難事件發(fā)生之后，能夠快速實現(xiàn)系統(tǒng)恢復。

　? 可以建立主機入侵檢測機制，發(fā)現(xiàn)主機系統(tǒng)中的異常操作行為，以及對主機發(fā)起的攻擊行為，并及時向管理員報警。

　? 應當指定專門的部門和人員，負責主機系統(tǒng)的管理維護。

　? 應當建立主機系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機弱點分析、主機審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復等內容。

　? 應當建立桌面系統(tǒng)使用管理規(guī)范，約束和指導用戶使用桌面系統(tǒng)，并對其進行正確有效的配置和管理。

　? 管理機構應當定期對各項系統(tǒng)安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。

　4 病毒管理策略 ? 應當建立全面網(wǎng)絡病毒查殺機制，實現(xiàn) XXX 信息化服務中心全網(wǎng)范圍內的病毒防治，抑止病毒的傳播。

　? 所有內部網(wǎng)絡上的計算機在聯(lián)入內部網(wǎng)絡之前，都應當安裝和配置殺毒軟件，并且通過管理中心進行更新，任何用戶不能禁用病毒掃描和查殺功能。

　? 所有內部網(wǎng)絡上的計算機系統(tǒng)都應當定期進行完整的系統(tǒng)掃描。

　? 從外部介質安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對其進行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應用程序。

　? 第三方數(shù)據(jù)和程序在安裝到內部網(wǎng)絡的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進行病毒掃描測試。

　? 任何內部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復制、破壞或者影響計算機內存、存儲介質、操作系統(tǒng)、應用程序的計算機代碼

　 ? 應當指定專門的部門和人員，負責網(wǎng)絡病毒防治系統(tǒng)的管理維護。

　? 應當建立網(wǎng)絡病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。

　? 應當建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導用戶在桌面系統(tǒng)上的操作行為，以及對殺毒軟件的配置和管理，達到保護桌面系統(tǒng)、抑止病毒傳播的目的。

　? 管理機構應當定期對與病毒查殺有關安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。

　5 身份認證策略 ? 應當在范圍內建立統(tǒng)一的用戶身份管理基礎設施，向應用系統(tǒng)提供集中的用戶身份認證服務。

　? 應當選擇安全性高，投入收益比率較好，易管理維護的身份認證技術，建立身份管理基礎設施。

　? 每個內部員工具有范圍內唯一的身份標識，用戶在訪問應用系統(tǒng)之前，必須提交身份標識，并對其進行認證；員工離職時，要撤銷其在信息系統(tǒng)內部的合法身份。

　? 應當對現(xiàn)有的應用系統(tǒng)進行技術改造，使用身份管理基礎設施的安全服務。

　? 應當建立專門的部門和崗位，負責用戶身份的管理，以及身份管理基礎設施的建設、運行、維護。

　? 應當在范圍內建立用戶標識管理規(guī)范，對用戶標識格式，產(chǎn)生和撤銷流程進行統(tǒng)一規(guī)定。

　6 用戶授權與訪問控制策略 ? 應當依托身份認證基礎設施，將集中管理與分布式管理有機結合起來，建立分級的用戶授權與訪問控制管理機制。

　? 每個內部員工在信息系統(tǒng)內部的操作行為必須被限定在合法授權的范圍之內；員工離職時，要撤銷其在信息系統(tǒng)內部的所有訪問權限。

　? 應當對現(xiàn)有的應用系統(tǒng)進行技術改造，使用授權與訪問控制系統(tǒng)提供的安全服務。

　? 應當建立專門崗位，負責用戶權限管理，以及授權和訪問控制系統(tǒng)的建設、運行、維護。

　? 應當在范圍內，建立包括用戶權限的授予和撤銷在內的一整套管理流程和制度。

　7 數(shù)據(jù)加密策略 ? 加密技術的采用和加密機制的建立，應該符合國家有關的法律和規(guī)定。

　 ? 應當建立內部信息系統(tǒng)的密級分級標準，判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲過程中，是否需要采用加密機制。

　? 應當建立密鑰管理體制，保證密鑰在產(chǎn)生、使用、存儲、傳輸?shù)拳h(huán)節(jié)中的安全性。

　? 加密機制應當使用國際標準的密碼算法，或者國內通過密碼管理委員會審批的專用算法，其中對稱密碼算法的密鑰長度不得低于 128 比特，公鑰密碼算法的密鑰長度不得低于 1024 比特。

　? 應當在物理上保證所有的硬件加密設備和軟件加密程序，以及存儲涉密數(shù)據(jù)的介質載體的安全。

　? 應當指定專門的管理機構，負責本策略的維護，監(jiān)督本策略的實施。

　? 任何內部信息系統(tǒng)，都需要向管理機構提出申請，經(jīng)管理機構審批，獲得授權后，才能夠使用加密機制。禁止任何內部信息系統(tǒng)和人員，在未授權的情況下，使用任何加密機制。

　? 管理機構應當每年對加密算法的選擇范圍和密鑰長度的最低要求進行一次復審和評估，使得本策略與加密技術的發(fā)展相適應。

　8 數(shù)據(jù)備份與災難恢復 ? 在業(yè)務系統(tǒng)主要應用服務器中采用硬件冗余技術，避免硬件的單點故障導致服務中斷。

　? 綜合考慮性能和管理等因素，采用先進的系統(tǒng)和數(shù)據(jù)備份技術，在范圍內建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機制，防止數(shù)據(jù)出現(xiàn)邏輯損壞。

　? 對業(yè)務系統(tǒng)采取適當?shù)漠惖貍浞輽C制，使得數(shù)據(jù)備份計劃具備一定的容災能力。

　? 建立災難恢復計劃，提供災難恢復手段，在災難事件發(fā)生之后，快速對被破壞的信息系統(tǒng)進行恢復。

　? 應當建立專門崗位，負責用戶權限管理，以及授權和訪問控制系統(tǒng)的建設、運行、維護。

　? 建立日常數(shù)據(jù)備份管理制度，對備份周期和介質保管進行統(tǒng)一規(guī)定。

　? 建立災難恢復計劃，對人員進行災難恢復培訓，定期進行災難恢復的模擬演練。

　9 應急響應策略 ? 應當建立應急響應中心，配置專門崗位，負責制定范圍內的信息安全策略、完成計算機網(wǎng)絡和系統(tǒng)安全事件的緊急響應、及時發(fā)布安全漏洞和補丁修補程序等安全公告、進行安全系統(tǒng)審計數(shù)據(jù)分析、以及提供安全教育和培訓。

　 ? 應當制定詳細的安全事件的應急響應計劃，包括安全事件的檢測、報告、分析、追查、和系統(tǒng)恢復等內容。

　10 安全教育策略 ? 應該建立專門的機構和崗位，負責安全教育與培訓計劃的制定和執(zhí)行 ? 應當制定詳細的安全教育和培訓計劃，對信息安全技術和管理相關人員進行安全專業(yè)知識和技能培訓，對普通用戶進行安全基礎知識、安全策略和管理制度培訓，提高人員的整體安全意識和安全操作水平。

　? 管理機構應當定期對安全教育和培訓的成果進行抽查和考核，檢驗安全教育和培訓活動的效果。

相關熱詞搜索：信息安全 總體 策略