X XXX 信息化服務(wù)中心

　信息安全 總體 策略

　 項(xiàng)目名稱

　XXX 安全運(yùn)維服務(wù)項(xiàng)目 客戶名稱

　XXX 信息化服務(wù)中心 實(shí)施地點(diǎn)

　XXX 信息化服務(wù)中心 實(shí)施單位

　XXX 信息技術(shù)有限 實(shí)施時(shí)間

　XXX 年 7 月 20 日星期五

　文檔修訂情況

　版本 修訂記錄 日期 修訂 審核 批準(zhǔn) v1.0 制作文檔 XXX-07-17

　 目錄

　1

　物理安全策略 .......................................................................................................................................... 3

　2

　網(wǎng) 網(wǎng) XXX 全策略 ......................................................................................................................................... 3

　3

　系統(tǒng)安全策略 .......................................................................................................................................... 4

　4

　病毒管理策略 .......................................................................................................................................... 4

　5

　身份認(rèn)證策略 .......................................................................................................................................... 5

　6

　用戶授權(quán)與訪問(wèn)控制策略 ....................................................................................................................... 5

　7

　數(shù)據(jù)加密策略 .......................................................................................................................................... 5

　8

　數(shù)據(jù)備份與災(zāi)難恢復(fù) .............................................................................................................................. 6

　9

　應(yīng)急響應(yīng)策略 .......................................................................................................................................... 6

　10

　安全教育策略 ...................................................................................................................................... 7

　 1 物理安全策略 ? 計(jì)算機(jī)機(jī)房的建設(shè)必須遵循國(guó)家在計(jì)算機(jī)機(jī)房場(chǎng)地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn)，保證物理環(huán)境安全。

　? 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房?jī)?nèi)部的適當(dāng)位置，通過(guò)物理訪問(wèn)控制機(jī)制，保證這些設(shè)備自身的安全性。

　? 應(yīng)當(dāng)建立人員出入訪問(wèn)控制機(jī)制，嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其它重要安全區(qū)域，訪問(wèn)控制機(jī)制還需要能夠提供審計(jì)功能，便于檢查和分析。

　? 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)計(jì)算機(jī)機(jī)房的建設(shè)和管理工作，建立 24 小時(shí)值班制度。

　? 建立計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問(wèn)控制管理等做出詳細(xì)的規(guī)定。

　? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題，進(jìn)行改進(jìn)。

　2 網(wǎng) 網(wǎng) 絡(luò)安 全策略 ? 必須對(duì)網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全域劃分，建立隔離保護(hù)機(jī)制，并且在各安全域之間建立訪問(wèn)控制機(jī)制，杜絕發(fā)生未授權(quán)的非法訪問(wèn)現(xiàn)象，特別的，必須對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)進(jìn)行劃分和隔離。

　? 應(yīng)當(dāng)部署網(wǎng)絡(luò)管理體系，管理網(wǎng)絡(luò)資源和設(shè)備，實(shí)施監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，降低網(wǎng)絡(luò)故障帶來(lái)的安全風(fēng)險(xiǎn)。

　? 應(yīng)當(dāng)對(duì)關(guān)鍵的通信線路、網(wǎng)絡(luò)設(shè)備提供冗余設(shè)計(jì)，防止關(guān)鍵線路和設(shè)備的單點(diǎn)故障造成通信服務(wù)中斷。

　? 應(yīng)當(dāng)在各安全域的邊界，綜合部署網(wǎng) XXX 全訪問(wèn)措施，包括防火墻、入侵檢測(cè)、VPN，建立多層次的，立體的網(wǎng) XXX 全防護(hù)體系。

　? 應(yīng)當(dāng)建立網(wǎng)絡(luò)弱點(diǎn)分析機(jī)制，發(fā)現(xiàn)和彌補(bǔ)網(wǎng)絡(luò)中存在的安全漏洞，及時(shí)進(jìn)行自我完善。

　? 應(yīng)當(dāng)建立遠(yuǎn)程訪問(wèn)機(jī)制，實(shí)現(xiàn)安全的遠(yuǎn)程辦公和移動(dòng)辦公。

　? 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)網(wǎng) XXX 全系統(tǒng)的規(guī)劃、建設(shè)、管理維護(hù)。

　? 應(yīng)當(dāng)建立網(wǎng) XXX 全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營(yíng)維護(hù)管理規(guī)范，在范圍內(nèi)指導(dǎo)實(shí)際的系統(tǒng)建設(shè)和維護(hù)管理。

　? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)網(wǎng) XXX 全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，

　 發(fā)現(xiàn)問(wèn)題，進(jìn)行改進(jìn)。

　3 系統(tǒng)安全策略 ? 應(yīng)當(dāng)對(duì)關(guān)鍵服務(wù)器主機(jī)設(shè)備提供冗余設(shè)計(jì)，防止單點(diǎn)故障造成網(wǎng)絡(luò)服務(wù)中斷。

　? 應(yīng)當(dāng)建立主機(jī)弱點(diǎn)分析機(jī)制，發(fā)現(xiàn)和彌補(bǔ)系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞，及時(shí)進(jìn)行自我完善。

　? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件版本維護(hù)機(jī)制，及時(shí)升級(jí)系統(tǒng)版本和補(bǔ)丁程序版本，保持系統(tǒng)軟件的最新?tīng)顟B(tài)。

　? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)軟件備份和恢復(fù)機(jī)制，在災(zāi)難事件發(fā)生之后，能夠快速實(shí)現(xiàn)系統(tǒng)恢復(fù)。

　? 可以建立主機(jī)入侵檢測(cè)機(jī)制，發(fā)現(xiàn)主機(jī)系統(tǒng)中的異常操作行為，以及對(duì)主機(jī)發(fā)起的攻擊行為，并及時(shí)向管理員報(bào)警。

　? 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)主機(jī)系統(tǒng)的管理維護(hù)。

　? 應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計(jì)日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。

　? 應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對(duì)其進(jìn)行正確有效的配置和管理。

　? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)各項(xiàng)系統(tǒng)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題，進(jìn)行改進(jìn)。

　4 病毒管理策略 ? 應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機(jī)制，實(shí)現(xiàn) XXX 信息化服務(wù)中心全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。

　? 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)在聯(lián)入內(nèi)部網(wǎng)絡(luò)之前，都應(yīng)當(dāng)安裝和配置殺毒軟件，并且通過(guò)管理中心進(jìn)行更新，任何用戶不能禁用病毒掃描和查殺功能。

　? 所有內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)系統(tǒng)都應(yīng)當(dāng)定期進(jìn)行完整的系統(tǒng)掃描。

　? 從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對(duì)其進(jìn)行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。

　? 第三方數(shù)據(jù)和程序在安裝到內(nèi)部網(wǎng)絡(luò)的系統(tǒng)之前，必須在隔離受控的模擬系統(tǒng)上進(jìn)行病毒掃描測(cè)試。

　? 任何內(nèi)部用戶不能故意制造、執(zhí)行、傳播、或引入任何可以自我復(fù)制、破壞或者影響計(jì)算機(jī)內(nèi)存、存儲(chǔ)介質(zhì)、操作系統(tǒng)、應(yīng)用程序的計(jì)算機(jī)代碼

　 ? 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)網(wǎng)絡(luò)病毒防治系統(tǒng)的管理維護(hù)。

　? 應(yīng)當(dāng)建立網(wǎng)絡(luò)病毒防治系統(tǒng)的管理規(guī)范，有效發(fā)揮病毒防治系統(tǒng)的安全效能。

　? 應(yīng)當(dāng)建立桌面系統(tǒng)病毒防治管理規(guī)范，約束和指導(dǎo)用戶在桌面系統(tǒng)上的操作行為，以及對(duì)殺毒軟件的配置和管理，達(dá)到保護(hù)桌面系統(tǒng)、抑止病毒傳播的目的。

　? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)與病毒查殺有關(guān)安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題，進(jìn)行改進(jìn)。

　5 身份認(rèn)證策略 ? 應(yīng)當(dāng)在范圍內(nèi)建立統(tǒng)一的用戶身份管理基礎(chǔ)設(shè)施，向應(yīng)用系統(tǒng)提供集中的用戶身份認(rèn)證服務(wù)。

　? 應(yīng)當(dāng)選擇安全性高，投入收益比率較好，易管理維護(hù)的身份認(rèn)證技術(shù)，建立身份管理基礎(chǔ)設(shè)施。

　? 每個(gè)內(nèi)部員工具有范圍內(nèi)唯一的身份標(biāo)識(shí)，用戶在訪問(wèn)應(yīng)用系統(tǒng)之前，必須提交身份標(biāo)識(shí)，并對(duì)其進(jìn)行認(rèn)證；員工離職時(shí)，要撤銷其在信息系統(tǒng)內(nèi)部的合法身份。

　? 應(yīng)當(dāng)對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造，使用身份管理基礎(chǔ)設(shè)施的安全服務(wù)。

　? 應(yīng)當(dāng)建立專門的部門和崗位，負(fù)責(zé)用戶身份的管理，以及身份管理基礎(chǔ)設(shè)施的建設(shè)、運(yùn)行、維護(hù)。

　? 應(yīng)當(dāng)在范圍內(nèi)建立用戶標(biāo)識(shí)管理規(guī)范，對(duì)用戶標(biāo)識(shí)格式，產(chǎn)生和撤銷流程進(jìn)行統(tǒng)一規(guī)定。

　6 用戶授權(quán)與訪問(wèn)控制策略 ? 應(yīng)當(dāng)依托身份認(rèn)證基礎(chǔ)設(shè)施，將集中管理與分布式管理有機(jī)結(jié)合起來(lái)，建立分級(jí)的用戶授權(quán)與訪問(wèn)控制管理機(jī)制。

　? 每個(gè)內(nèi)部員工在信息系統(tǒng)內(nèi)部的操作行為必須被限定在合法授權(quán)的范圍之內(nèi)；員工離職時(shí)，要撤銷其在信息系統(tǒng)內(nèi)部的所有訪問(wèn)權(quán)限。

　? 應(yīng)當(dāng)對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行技術(shù)改造，使用授權(quán)與訪問(wèn)控制系統(tǒng)提供的安全服務(wù)。

　? 應(yīng)當(dāng)建立專門崗位，負(fù)責(zé)用戶權(quán)限管理，以及授權(quán)和訪問(wèn)控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。

　? 應(yīng)當(dāng)在范圍內(nèi)，建立包括用戶權(quán)限的授予和撤銷在內(nèi)的一整套管理流程和制度。

　7 數(shù)據(jù)加密策略 ? 加密技術(shù)的采用和加密機(jī)制的建立，應(yīng)該符合國(guó)家有關(guān)的法律和規(guī)定。

　 ? 應(yīng)當(dāng)建立內(nèi)部信息系統(tǒng)的密級(jí)分級(jí)標(biāo)準(zhǔn)，判定信息系統(tǒng)在消息傳輸和數(shù)據(jù)存儲(chǔ)過(guò)程中，是否需要采用加密機(jī)制。

　? 應(yīng)當(dāng)建立密鑰管理體制，保證密鑰在產(chǎn)生、使用、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)中的安全性。

　? 加密機(jī)制應(yīng)當(dāng)使用國(guó)際標(biāo)準(zhǔn)的密碼算法，或者國(guó)內(nèi)通過(guò)密碼管理委員會(huì)審批的專用算法，其中對(duì)稱密碼算法的密鑰長(zhǎng)度不得低于 128 比特，公鑰密碼算法的密鑰長(zhǎng)度不得低于 1024 比特。

　? 應(yīng)當(dāng)在物理上保證所有的硬件加密設(shè)備和軟件加密程序，以及存儲(chǔ)涉密數(shù)據(jù)的介質(zhì)載體的安全。

　? 應(yīng)當(dāng)指定專門的管理機(jī)構(gòu)，負(fù)責(zé)本策略的維護(hù)，監(jiān)督本策略的實(shí)施。

　? 任何內(nèi)部信息系統(tǒng)，都需要向管理機(jī)構(gòu)提出申請(qǐng)，經(jīng)管理機(jī)構(gòu)審批，獲得授權(quán)后，才能夠使用加密機(jī)制。禁止任何內(nèi)部信息系統(tǒng)和人員，在未授權(quán)的情況下，使用任何加密機(jī)制。

　? 管理機(jī)構(gòu)應(yīng)當(dāng)每年對(duì)加密算法的選擇范圍和密鑰長(zhǎng)度的最低要求進(jìn)行一次復(fù)審和評(píng)估，使得本策略與加密技術(shù)的發(fā)展相適應(yīng)。

　8 數(shù)據(jù)備份與災(zāi)難恢復(fù) ? 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù)，避免硬件的單點(diǎn)故障導(dǎo)致服務(wù)中斷。

　? 綜合考慮性能和管理等因素，采用先進(jìn)的系統(tǒng)和數(shù)據(jù)備份技術(shù)，在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機(jī)制，防止數(shù)據(jù)出現(xiàn)邏輯損壞。

　? 對(duì)業(yè)務(wù)系統(tǒng)采取適當(dāng)?shù)漠惖貍浞輽C(jī)制，使得數(shù)據(jù)備份計(jì)劃具備一定的容災(zāi)能力。

　? 建立災(zāi)難恢復(fù)計(jì)劃，提供災(zāi)難恢復(fù)手段，在災(zāi)難事件發(fā)生之后，快速對(duì)被破壞的信息系統(tǒng)進(jìn)行恢復(fù)。

　? 應(yīng)當(dāng)建立專門崗位，負(fù)責(zé)用戶權(quán)限管理，以及授權(quán)和訪問(wèn)控制系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)。

　? 建立日常數(shù)據(jù)備份管理制度，對(duì)備份周期和介質(zhì)保管進(jìn)行統(tǒng)一規(guī)定。

　? 建立災(zāi)難恢復(fù)計(jì)劃，對(duì)人員進(jìn)行災(zāi)難恢復(fù)培訓(xùn)，定期進(jìn)行災(zāi)難恢復(fù)的模擬演練。

　9 應(yīng)急響應(yīng)策略 ? 應(yīng)當(dāng)建立應(yīng)急響應(yīng)中心，配置專門崗位，負(fù)責(zé)制定范圍內(nèi)的信息安全策略、完成計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全事件的緊急響應(yīng)、及時(shí)發(fā)布安全漏洞和補(bǔ)丁修補(bǔ)程序等安全公告、進(jìn)行安全系統(tǒng)審計(jì)數(shù)據(jù)分析、以及提供安全教育和培訓(xùn)。

　 ? 應(yīng)當(dāng)制定詳細(xì)的安全事件的應(yīng)急響應(yīng)計(jì)劃，包括安全事件的檢測(cè)、報(bào)告、分析、追查、和系統(tǒng)恢復(fù)等內(nèi)容。

　10 安全教育策略 ? 應(yīng)該建立專門的機(jī)構(gòu)和崗位，負(fù)責(zé)安全教育與培訓(xùn)計(jì)劃的制定和執(zhí)行 ? 應(yīng)當(dāng)制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全技術(shù)和管理相關(guān)人員進(jìn)行安全專業(yè)知識(shí)和技能培訓(xùn)，對(duì)普通用戶進(jìn)行安全基礎(chǔ)知識(shí)、安全策略和管理制度培訓(xùn)，提高人員的整體安全意識(shí)和安全操作水平。

　? 管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)安全教育和培訓(xùn)的成果進(jìn)行抽查和考核，檢驗(yàn)安全教育和培訓(xùn)活動(dòng)的效果。

相關(guān)熱詞搜索：信息安全 總體 策略