8-1信息安全总体规划.doc

XXX单位 信息安全总体规划 2013年11月 目 录 1 概述 4 1.1 信息安全现状 4 1.2 信息安全建设思路 4 1.3 信息安全建设原则 6 1.3.1 统一规划 6 1.3.2 分步有序实施 7 1.3.3 技术管理并重 7 1.3.4 突出安全保障 7 1.4 信息安全建设目标 8 1.4.1 一个目标 8 1.4.2 两种手段 8 1.4.3 三个体系 8 2 信息安全体系框架 9 2.1 安全目标模型 9 2.2 信息安全体系框架组成 10 2.2.1 安全策略 11 2.2.2 安全技术体系 12 2.2.3 安全管理体系 12 2.2.4 运行保障体系 15 2.2.5 建设实施规划 15 3 信息安全建设内容 16 3.1 建立管理组织机构 16 3.2 物理安全建设 16 3.3 网络安全建设 17 3.4 系统安全建设 17 3.5 应用安全建设 17 3.6 系统和数据备份管理 17 3.7 应急响应管理 18 3.8 灾难恢复管理 18 3.9 人员管理和教育培训 18 4 信息安全策略 18 4.1 物理安全策略 19 4.2 网络安全策略 19 4.3 系统安全策略 20 4.4 病毒管理策略 20 4.5 身份认证策略 21 4.6 用户授权与访问控制策略 22 4.7 数据加密策略 22 4.8 数据备份与灾难恢复 23 4.9 应急响应策略 23 4.10 安全教育策略 23 概述 信息安全现状 随着信息化建设步伐的加大，企业业务系统繁多，软硬件基础设施的数量庞大，网络结构越趋复杂。与此同时，在企业网络中各类安全事件也频频发生，给企业的正常信息化工作造成了很大的障碍，这其中包括： 木马，病毒造成的破坏 管理的欠缺及资源滥用造成的网络效率及性能低下 系统及软件的漏洞和后门造成的潜在的安全漏洞 网络内部用户的误操作和恶意行为造成的信息流失与泄漏 缺乏有效的监控与审计手段造成的安全事件的难以追责，安全隐患不能及时发现与处理等 为了预防和解决上述种种现象的发生，XXX单位（以下简称“XX单位”）需要制定有序的信息安全建设规划，通过一系列的信息安全工作的实施，全面了解、分析信息化安全管理状况，积极进行信息安全加固与修复，优化工作流程与管理制度，加强信息系统等级保护能力，应急处理能力，建立符合实际情况的信息安全管理体系，预防重大信息安全事件发生，防止信息业务系统中断，确保信息化系统安全稳定运行。 信息安全建设思路 XX单位信息安全建设工作的总体思路如下图所示： XX单位的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开，这两条主线在安全建设的过程中的关键节点又相互衔接和融和，最终形成一个完整的安全建设方案，并投入实施。 首先，XX单位的信息化建设是基于当前通用的网络与信息系统基础技术，这使得信息化建设和安全技术有了一个共同的基础，使得XX单位的针对性安全需求与通用的安全解决技术和方案有了一定的共通点和结合点。 在这个基础上，通过安全评估，对信息化建设和信息安全建设进行分析和总结，其中包括对建设现状和发展趋势的完整分析，归纳出系统中当前存在和今后可能存在的安全问题，明确网络和信息系统运营所面临的安全风险级别。 从支撑性安全技术的主线展开，对现有网络和信息技术的固有缺陷出发，总结了普遍存在的安全威胁，并根据其它系统中的信息安全建设实践中的经验，从信息安全领域的完整框架、思路、技术和理念出发，提供完整的安全建设思路和方法。 在此基础之上，两条主线进入融和的阶段。信息安全领域的理论、框架和技术基础与XX单位的安全问题有机地进行结合，有针对性地提出XX单位安全保障总体策略。在这个安全保障总体策略中，包括了整体建设目标，安全技术策略，以及相应的管理策略。总体安全策略一方面充分体现了XX单位对自身信息化建设中安全问题的针对性，另一方面也充分基于现有的信息安全领域的安全模型和技术支持能力，因此具备了可行性、针对性和前瞻性。 以安全保障总体策略为核心，分三个方面进行整体信息安全体系框架的制定，包括安全技术体系，安全管理体系和运营保障体系。在现实的运营过程中，安全保障不能够纯粹依靠安全技术来解决，更需要适当的安全管理，相互结合来提高整体安全性效果。 在信息安全体系框架的指导下，依据相应的建设标准和管理规范，规划和制定详细的信息安全系统实施方案和运营维护计划。 为了更加稳妥地进行全面的信息安全建设，在信息安全系统实施过程中首先进行试点项目建设，在试点项目建设中进一步积累经验，并对某些实施方案的细节进行调整，为建设实施顺利地全面开真打下基础。 信息安全体系建设的思路体现了以下的特点： 统筹规划和设计在建设过程中占有非常重要的地位； 充分结合建设现状与信息安全通用技术和理念； 充分考虑了当