网络安全工作总体方针和安全策略.doc
《网络安全工作总体方针和安全策略.doc》由会员分享,可在线阅读,更多相关《网络安全工作总体方针和安全策略.doc(19页珍藏版)》请在咨信网上搜索。
1、XXX单位网络安全工作总体方针和安全策略V1。0目录1总则11。1目标11.2适用范围11。3建设思路11。4建设原则31.5建设目标42安全体系框架52.1安全模型52.2安全体系框架73建设内容133.1组织机构133。2人员管理133。3物理管理133。4网络管理143。5系统管理143.6应用管理143。7数据管理143。8运维管理154总体安全策略154。1物理环境安全策略154.2通信网络安全策略164。3区域边界安全策略174.4计算环境安全策略184。5安全管理中心策略195附则201 总则为加强和规范XXX单位网络安全工作,提高网络安全防护水平,实现网络安全的可控、能控、在控
2、,依据国家有关法律、法规的要求,制定本文档。1.1 目标以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保网络安全以及实现持续改进的目的等内容作为本单位网络安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。1.2 适用范围本文档适用于网络安全方案规划、安全建设实施和安全策略的制定。在全单位范围内给予执行,由信息安全领导小组对该项工作的落实和执行进行监督,由技术部配合信息安全领导小组对本案的有效性进行持续改进。1.3 建设思路XXX单位信息安全建设工作的总体思路如下图所
3、示:信息化建设是基于当前通用的网络与信息系统基础技术,针对安全性问题和支撑安全技术,通过安全评估,对信息化建设和信息安全建设进行分析和总结,其中包括对建设现状和发展趋势的完整分析,归纳出系统中当前存在和今后可能存在的安全问题,明确网络和信息系统运营所面临的安全风险级别。从支撑性安全技术展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的安全威胁,并根据其它系统中的信息安全建设实践中的经验,从信息安全领域的完整框架、思路、技术和理念出发,提供完整的安全建设思路和方法。在此基础之上,对信息安全领域的理论、框架和技术基础与XXX单位的安全问题有机地进行结合,有针对性地提出XXX单位安全保障总体
4、策略。安全保障总体策略包括了整体建设目标,安全技术策略,以及相应的管理策略。以安全保障总体策略为核心,分三个方面进行整体信息安全体系框架的制定,包括安全技术体系,安全管理体系和运营保障体系。在现实的运营过程中,安全保障不能够纯粹依靠安全技术来解决,更需要适当的安全管理,相互结合来提高整体安全性效果.在信息安全体系框架的指导下,依据相应的建设标准和管理规范,规划和制定详细的信息安全系统实施方案和运营维护计划。信息安全体系建设的思路体现了以下的特点: 统筹规划和设计在建设过程中占有非常重要的地位; 充分结合建设现状与信息安全通用技术和理念; 充分考虑了当前的建设现状以及未来业务发展的需要; 注重安
5、全管理体系的建设,以及管理、技术和保障的相互结合。1.4 建设原则信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域总体安全防护策略,执行信息系统安全等级保护制度.信息安全体系的建设,涉及面广、工作量大,必须坚持以下的原则,保证建设和运营的效果。 统一规划要对的信息安全体系建设进行统一的规划,制定信息安全体系框架,明确保障体系中所包含的内容.同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。 分步有序实施信息安全体系的建设,内容庞杂,必须坚持分步骤的有序
6、实施原则,循序渐进地进行. 基于安全需求依据信息系统担负的使命,积累的信息资产的重要性以及可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。 技术管理并重仅有全面的安全技术和机制是远远不够的,安全管理也具有同样的重要性,XXX单位信息安全体系的建设,必须遵循安全技术和安全管理并重的原则.制定统一的安全建设管理规范,指导的安全管理工作。 突出安全保障信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性. 持续
7、改进信息系统安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。 依法管理信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。 自保护和国家监管结合对信息系统安全实行自保护和国家保护相结合.组织机构要对自己的信息系统安全保护负责,
8、政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。1.5 建设目标根据XXX单位信息安全体系建设需求和原则,XXX单位信息安全的建设目标,可以用“一个目标、两种手段、三个体系”进行概括. 一个目标XXX单位信息安全的建设目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高XXX单位信息系统的整体安全等级,为XXX单位的业务发展提供坚实的信息安
9、全保障。 两种手段信息安全体系的建设应该包括安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可. 三个体系XXX单位信息安全体系的建设最终形成3个主要体系,具体包括安全技术体系、安全管理体系、以及运行保障体系.2 安全体系框架XXX单位进行信息安全建设的目标是建立起一个全面、有效的信息安全体系,在这个体系中,包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素,信息安全建设的内容多,规模大,必须进行全面的统筹规划,明确信息安全建设的工作内容、技术标准、组
10、织机构、管理规范、人员岗位配备、实施步骤、资金投入,才能够保证信息安全建设有序可控地进行,才能够使得信息安全体系发挥最优的保障效果。2.1 安全模型根据XXX单位信息安全体系建设目标和总体安全策略,建立了与之对应的目标模型,称为WP2DRR安全模型,该模型是基于时间的,由预警(Warning)、策略(Policy)、保护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)六个要素环节构成了一个完整的、动态的信息安全体系。预警、保护、检测、响应、恢复等环节都由技术内容和管理内容所构成。 Policy(安全策略):根据风险分析和评估产生的安全策略
11、描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。在WP2DRR安全模型中,策略处于核心地位,所有的防护、检测、响应、恢复都依据安全策略展开实施,安全策略为安全管理提供管理方向和支持手段. Warining(预警):根据以前所掌握的系统的弱点和当前了解的犯罪趋势预测未来可能受到的攻击和及危害.包括风险分析、病毒预报、黑客入侵趋势预报和情况通报、系统弱点报告和补丁到位。 Protection(防护):通过修复系统漏洞、正确设计开发和安装安全系统来预防安全事件的发生;通过定期检查来发现可能存在的系统弱点;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监控等手段来
12、防止恶意威胁。 Detection(检测):检测是非常重要的一个环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过检测和监控网络和信息系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。 Response(响应):响应是对安全事件做出反应,包括对检测到的系统异常或者攻击行为做出响应动作,以及处理突发的安全事件。恰当的响应动作和响应流程可以降低安全事件的不良影响,加强对重要资源的保护。 Recovery(恢复):灾难恢复能力直接决定了业务应用的持续可用性,任何意外的突发事件都可能造成服务中断和数据受损,优秀的灾难恢复计划能够针对灾难事件做到未雨绸缪,即使系统和数
13、据遭受破坏,也能够在最短的时间内,完成恢复操作.WP2DRR安全模型的特点就是动态性和基于时间的特性。它阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。WP2DRR模型是在传统的P2DR模型的基础上新增加了预警Warning和恢复Recover,增强了安全保障体系的事前预防和事后恢复能力,一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行。安全目标模型是信息安全体系框架的基础,XXX单位的信息安全体系框架紧密围绕这个安全模型的6个要素环节进行设计,每个要素环节的功能都在安全技术体系、安全组织和管理体系以及运行保障体系中体现出来。2.2
14、安全体系框架通过对XXX单位的网络和应用现状、安全现状、面临的安全风险的分析,根据安全保障目标模型,制定了XXX单位信息安全体系框架,制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。在此框架中,以安全策略为指导,融会了安全技术、安全管理和运行保障三个层次的安全体系,达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标.XXX单位信息安全体系框架的总体结构如下图所示: 安全策略在这个框架中,安全策略是指导。安全策略与安全技术体系、安全组织和管理体系以及运行保障体系这三大体系之间的关
15、系也是相互作用的。一方面,三大体系是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标;另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性. 安全技术体系安全技术体系是整个信息安全体系框架的基础,包括了安全基础设施平台、安全应用系统平台和安全综合管理平台这三个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架
16、。安全基础设施平台是以安全策略为指导,从物理和通信安全防护,网络安全防护,主机系统安全防护,应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系.安全应用系统平台处理安全基础设施与应用信息系统之间的关联和集成问题,应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部信息管理服务。安全综合管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策略,配置管理相应的安全机制,确保这些安全技术与
17、设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡向安全的信息系统应用体系.统一的安全管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。 安全管理体系安全组织和管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管理体系的设计立足于总体安全策略,并与安
18、全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。在XXX单位信息安全体系框架中,安全管理体系的设计充分参考和借鉴了国际信息安全管理标准BS7799(ISO17799)的建议要求.XXX单位信息安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。信息安全管理体系一共包括了12项管理类: 安全策略与制度,确保XX
19、X单位拥有明确的信息安全方针以及配套的策略和制度,以实现对信息安全工作的支持和承诺,保证信息安全的资金投入. 安全风险管理,信息安全建设不是避免风险的过程,而是管理风险的过程。没有绝对的安全,风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内.风险管理同时也是一个动态持续的过程。 人员和组织安全管理,建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理、协调信息安全监管部门与行内其它部门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险. 环境和设备安全管理,控制由于物理环境和硬件设施的不当所产生的风险。管理内容
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 工作 总体 方针 安全策略
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。