信息安全体系方案解读.doc

信息安全体系方案 (第一部分 综述) 目 录 1 概述 4 1.1 信息安全建设思路 4 1.2 信息安全建设内容 6 1.2.1 建立管理组织机构 6 1.2.2 物理安全建设 6 1.2.3 网络安全建设 6 1.2.4 系统安全建设 7 1.2.5 应用安全建设 7 1.2.6 系统和数据备份管理 7 1.2.7 应急响应管理 7 1.2.8 灾难恢复管理 7 1.2.9 人员管理和教育培训 8 1.3 信息安全建设原则 8 1.3.1 统一规划 8 1.3.2 分步有序实施 8 1.3.3 技术管理并重 8 1.3.4 突出安全保障 9 2 信息安全建设基本方针 9 3 信息安全建设目标 9 3.1 一个目标 10 3.2 两种手段 10 3.3 三个体系 10 4 信息安全体系建立的原则 10 4.1 标准性原则 10 4.2 整体性原则 11 4.3 实用性原则 11 4.4 先进性原则 11 5 信息安全策略 11 5.1 物理安全策略 12 5.2 网络安全策略 13 5.3 系统安全策略 13 5.4 病毒管理策略 14 5.5 身份认证策略 15 5.6 用户授权与访问控制策略 15 5.7 数据加密策略 16 5.8 数据备份与灾难恢复 17 5.9 应急响应策略 17 5.10 安全教育策略 17 6 信息安全体系框架 18 6.1 安全目标模型 18 6.2 信息安全体系框架组成 20 6.2.1 安全策略 21 6.2.2 安全技术体系 21 6.2.3 安全管理体系 22 6.2.4 运行保障体系 25 6.2.5 建设实施规划 25 概述 信息安全建设思路 XX信息安全建设工作的总体思路如下图所示： XX的信息安全建设由针对性安全问题和支撑性安全技术两条主线展开，这两条主线在安全建设的过程中的关键节点又相互衔接和融和，最终形成一个完整的安全建设方案，并投入实施。 首先，XX的信息化建设是基于当前通用的网络与信息系统基础技术，这使得信息化建设和安全技术有了一个共同的基础，使得XX的针对性安全需求与通用的安全解决技术和方案有了一定的共通点和结合点。 在这个基础上，通过安全评估，对信息化建设和信息安全建设进行分析和总结，其中包括对建设现状和发展趋势的完整分析，归纳出系统中当前存在和今后可能存在的安全问题，明确网络和信息系统运营所面临的安全风险级别。 从支撑性安全技术的主线展开，对现有网络和信息技术的固有缺陷出发，总结了普遍存在的安全威胁，并根据其它系统中的信息安全建设实践中的经验，从信息安全领域的完整框架、思路、技术和理念出发，提供完整的安全建设思路和方法。 在此基础之上，两条主线进入融和的阶段。信息安全领域的理论、框架和技术基础与XX的安全问题有机地进行结合，有针对性地提出XX安全保障总体策略。在这个安全保障总体策略中，包括了整体建设目标，安全技术策略，以及相应的管理策略。总体安全策略一方面充分体现了XX对自身信息化建设中安全问题的针对性，另一方面也充分基于现有的信息安全领域的安全模型和技术支持能力，因此具备了可行性、针对性和前瞻性。 以安全保障总体策略为核心，分三个方面进行整体信息安全体系框架的制定，包括安全技术体系，安全管理体系和运营保障体系。在现实的运营过程中，安全保障不能够纯粹依靠安全技术来解决，更需要适当的安全管理，相互结合来提高整体安全性效果。 在信息安全体系框架的指导下，依据相应的建设标准和管理规范，规划和制定详细的信息安全系统实施方案和运营维护计划。 为了更加稳妥地进行全面的信息安全建设，在信息安全系统实施过程中首先进行试点项目建设，在试点项目建设中进一步积累经验，并对某些实施方案的细节进行调整，为建设实施顺利地全面开真打下基础。 信息安全体系建设的思路体现了以下的特点： 统筹规划和设计在建设过程中占有非常重要的地位； 充分结合建设现状与信息安全通用技术和理念； 充分考虑了当前的建设现状以及未来业务发展的需要； 注重安全管理体系的建设，以及管理、技术和保障的相互结合； 采取试点工程计划，使得信息安全建设实施更加稳妥。 信息安全建设内容 XX的信息安全建设所涉及的工作内容包括以下部分。 建立管理组织机构 建立专职的信息安全监管机构，明确各级管理机构的人员岗位配置和职能权限，全面负责信息安全建设工作和维护信息安全系统的运营。 物理安全建设 按照国家对于计算机机房的相关建设标准，制定统一的计算机机房建设标准和管理规范，对于计算机机房建设中的环境参数、保障机制，以及运行过程中的人员访问控制、监控措施等进行统一约定，颁布统一的计算机机房管理制度，对设备安全管理、介质安全管理、人员安全管理等作出详细的规定。 网络安全建设 网络安全