企业信息安全建设与管理制度.pdfVIP

企业 信息安全建设与管理制度 一 信息安全目标 信息安全涉及到信息的保密性 (Confidentiality) 、完整性 (Integrity) 、可用性 (Availability) 。 基于以上的需求分析，我们认为网络系统可以实现以下安全目标： ? 保护网络系统的可用性 ? 保护网络系统服务的连续性 ? 防范网络资源的非法访问及非授权访问 ? 防范 *** 者的恶意 ×××与破坏 ? 保护信息通过网上传输过程中的机密性、完整性 ? 防范病毒的侵害 ? 实现网络的安全管理 二 信息安全保障体系 2.1 信息安全保障体系基本框架 通过人、管理和技术手段三大要素，构成动态的信息与网络安全保障体系框架 WPDRR 模型， 实现系统的安全保障。 WPDRR 是指：预警（ Warning ）、保护（ Protection ）、检测（ Detection ）、 反应（ Reaction ）、恢复（ Recovery ），五个环节具有时间关系和动态闭环反馈关系。 安全保障是综合的、相互关联的，不仅仅是技术问题，而是人、管理和技术三大要素的结合。 支持系统安全的技术也不是单一的技术， 它包括多个方面的内容。 在整体的安全策略的控制和指 导下，综合运用防护工具（如：防火墙、 ×××加密等手段），利用检测工具（如：安全评估、 *** 检测 等系统）了解和评估系统的安全状态，通过适当的反应将系统调整到 “最高安全 ”和 “最低风险 ”的状态， 并通过备份容错手段来保证系统在受到破坏后的迅速恢复， 通过监控系统来实现对非法网络使用的追 查。 预警：利用远程安全评估系统提供的模拟 ×××技术来检查系统存在的、可能被利用的脆弱环节， 收集和测试网络与信息的安全风险所在，并以直观的方式进行报告，提供解决方案的建议，在经过分 析后，了解网络的风险变化趋势和严重风险点， 从而有效降低网络的总体风险， 保护关键业务和数据。 保护：保护通常是通过采用成熟的信息安全技术及方法来实现网络与信息的安全， 主要有防火墙、 授权、加密、认证等。 检测： 通过检测和监控网络以及系统， 来发现新的威胁和弱点， 强制执行安全策略。 在这个过程 中采用*** 检测、恶意代码过滤等等这样一些技术，形成动态检测的制度，建立报告协调机制，提高检 测的实时性。 反应：在检测到安全漏洞和安全事件之后必须及时做出正确的响应， 从而把系统调整到安全状态。 为此需要相应的报警、跟踪、处理系统，其中处理包括封堵、隔离、报告等子系统。 恢复：灾难恢复系统是当网络、数据、服务受到 ××××××并遭到破坏或影响后，通过必要的技术 手段（如容错、冗余、备份、替换、修复等），在尽可能短的时间内使系统恢复正常。 ２. ２安全体系结构技术模型 对安全的需求是任何单一安全技术都无法解决的， 应当选择适合的安全体系结构模型， 信息和网络安 全保障体系由安全服务、协议层次和系统单元三个层面组成，且每个层面都包含安全管理的内容。 2.3 安全区域策略 根据安全区域的划分，主管部门应制定针对性的安全策略。 1、定期对关键区域进行审计评估，建立安全风险基线 2 、对于关键区域安装分布式 *** 检测系统； 3、部署防病毒系统防止恶意脚本、 ×××和病毒 4 、建立备份和灾难恢复的系统； 5、建立单点登录系统，进行统一的授权、认证； 6、配置网络设备防预拒绝服务 ×××； 7、定期对关键区域进行安全漏洞扫描和网络审计，并针对扫描结果进行系统加固。 2.4 统一配置和管理防病毒系统 主管部门应当建立整体病毒防御策略， 以实现统一的配置和管理。 网络防病毒的策略应满足全面 性、易用性、实时性和可扩充性等方面的要求。 主管部门使用的防病