精华内容
下载资源
问答
  • 如何做好银行信息安全防护?

    千次阅读 2014-08-08 13:53:40
    2012年3月,央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息,导致部分用户银行卡账号被盗。  2013年5月28日,发布重大安全警报:“超级网银...

            2012年3月,央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息,导致部分用户银行卡账号被盗。

            2013年5月28日,发布重大安全警报:“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,全国连续出现多起各大银行客户被骗案例。

            而就在前几日一银行职员利用支付宝快捷支付盗窃客户40余万!

            据国家计算机网络应急技术处理协调中心发布的2012年网络安全报告显示:在网络钓鱼网站中,仿冒中国工商银行等网上银行的约占54.8%。

           在互联网、金融、电商盛行的今天,银行信息安全工作变得越来越重要。从上述触目惊心的例子和调查报告中我们不难看出,一些银行安全防范意识过于重外轻内、未建立一套完善的安全防护体系及在信息安全管理方面上的弱化,主要体现在以下几个方面:

           信息安全防范意识弱

           没有核心业务数据的存在,使得从基层行的领导和一般员工想当然地认为:信息安全管理是上级行的事情,或者只是技术部门的事情,于是事不关己,高高挂起;他们对于信息安全可能会造成的影响和危害程度认识不足,或者认为以前没有出事,出现安全问题的可能性不大,存在侥幸心理,因而麻痹大意。

           安全防范重外轻内

           目前银行信息安全建设仅重视通过设置防火墙、填堵漏洞等防止外部的攻击,往往忽视内部人员的工作审计及控制,给安全防范留下了隐患。

           网络安全防范缺少整体联动

           信息安全防范目前有不少仍然以各行为条块各自为政,各有各的一套做法,散兵游勇孤军奋战未形成合力,从上往下尚没有形成统一的网络安全防范体系,缺少整体的联动运作。

           信息安全防范缺少专业评估

           在安全防范上虽然做了不少工作,但是信息安全的程度究竟怎么样,达到了什么级别,还存在哪些隐患,还有哪些漏洞,基本上没有进行过认真专业的评估,未形成正常的安全评估体系。

           针对以上不足,银行要做好信息安全管理工作,需从以下几方面加强:

           加强宣传引导,切实提高安全防范意识

           技术管理部门要因势利导,加强宣传引导,使干部员工牢固树立大局观念,增强全行“一盘棋”意识,深刻领会信息安全管理的重要性。

           严格内部管理,坚持内外兼防和内外并重

           一方面要加强宣传教育,提高技术人员思想素质,做到防微杜渐;另一方面要加强内部管理,建立各项健全的内部安全管理规章制度,强化内部约束机制,做到系统管理、开发和运行维护的岗位职责严格分离,生产、开发以及外联环境严格隔离,同时加强技术防范,在分支行积极部署监控审计系统,进行工作内容审计等。

           实行责任制,建立安全防范体系

           信息安全管理要坚持统一领导、统一部署、统一规范,实行全行一盘棋,层层签定安全责任状,各级行科技部门联合起来,不留死角,共同构筑牢固的网络安全防范体系。此外,将信息安全工作融入全行大安全保卫工作中去,明确部门分工,构筑安全管理的几道防线,技术部门负责技术安全,业务部门负责应用安全,保卫部门负责场地设施安全等。

           明确岗位职责,提高网络防范水平

           分支行技术部门的重要职责之一是信息安全管理,因此首先要充实计算机安全人员,将思想素质高、技术业务精的人员充实到安全岗位上来;另外明确各级安全员的岗位职责,并通过专业培训、技术讲座等多种形式,提高各级管理员的网络防范水平和应急处理能力,积极引进计算机安全专业技术人员。

           增加安全产品的投入,提高技术防范能力

           计算机网络系统牵一发而动全身,网络的安全性应是当前计算机安全管理工作的重中之重。电子化建设的资金应向计算机安全产品特别是网络安全产品的倾斜,添置一些关于网络系统漏洞扫描、入侵检测等等方面的网络安全管理设备,并对现有的网络系统的安全性进行正确的评估;同时对通讯连接线路的安全程度需要进一步认证。

          转自:联软科技  

    展开全文
  • 本节书摘来自华章出版社《信息安全保障》一书中的...为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。 2.2.1 信息安...

    本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看

    2.2 我国信息安全保障工作主要内容

    为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。

    2.2.1 信息安全标准化

    信息安全标准为信息安全保障各项工作提供规范,为保障工作的各参与方提供交流和评判的基准,因此,信息安全标准化是国家构建信息安全保障体系的重要基础环节。
    1.?意义
    信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益、促进产业发展的重要手段之一。虽然国际上有很多标准化组织研究制定了多个信息安全标准,但是由于信息安全标准事关国家安全利益,因此不能过分依赖于国际标准,而是要在充分借鉴国际标准的前提下,通过本国组织和专家制定出符合本国国情并可以信任的信息安全技术和管理等领域的标准,切实有效地保护国家利益和安全。
    信息安全标准是解决信息安全产品和系统在设计、研发、生产、建设、使用和测评中的一致性、可靠性、可控性、先进性和符合性的技术规范与依据。信息安全保障体系的建设是一个极其庞大的复杂系统,没有配套的安全标准,就不能构造出一个可用、实用的信息安全保障体系。信息安全标准化建设作为我国信息安全保障体系的重要组成部分,具有极其重要的意义。
    信息安全标准化工作是解决信息安全问题的重要技术支撑,其作用突出地体现在能够确保有关产品、设施的技术先进性、可靠性和一致性。在按国际规则实行IT产品市场准入时能够为相关产品的安全性合格评定提供依据,以强化和保证我国信息化的安全产品、工程、服务的技术自主可控。
    2.?实践历程
    目前,国务院授权在国家质量监督检验检疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有529个专业技术委员会。中国标准化工作实行统一管理与分工负责相结合的管理体制,由88个国务院有关行政主管部门和国务院授权的有关行业协会分工管理本部门、本行业的标准化工作,由31个省、自治区、直辖市政府有关行政主管部门分工管理本行政区域内本部门、本行业的标准化工作。
    1984年7月,在我国的全国计算机与信息处理标准化技术委员会下,建立了相应的数据加密分技术委员会,在国家技术监督局和原电子工业部的领导下,归口管理国内外的信息技术数据加密的标准化工作。1997年8月,随着信息技术的发展和工作范围的扩大,在原数据加密分委员会的基础上,改组成立了信息技术安全分技术委员会(与国际ISO/IEC JTC1/SC27信息技术的安全技术分委会对应)。它是一个具有广泛代表性、权威性和军民结合的信息安全标准化组织,其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化,归口国内外对应的标准化工作。2002年4月,经国家标准化管理委员会批准,全国信息安全标准化技术委员会(简称“信安标委”,委员会编号为TC260)正式成立。
    信安标委成立后,逐步形成“基础性研究——标准预研——标准制定”3个阶段波浪式的标准研制新模式,以工作组为主体开展信息安全标准的研究制定工作。工作组由国内信息安全技术领域的有关部门、研究机构、企事业单位及高等院校等代表组成,是标准研制的技术力量。目前正式成立了信息安全标准体系与协调工作组(WG1)、涉密信息系统安全保密工作组(WG2)、密码工作组(WG3)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)、通信安全工作组(WG6)和信息安全管理工作组(WG7)7个工作组。
    信安标委制定形成了我国信息安全标准体系框架,并以该标准体系框架作为指导我国信息安全标准制订工作的指导性技术文件,围绕信息安全保障体系建设,积极开展了配套标准的研究制定工作。
    除全国信息安全标准化委员会、公安部信息系统安全标准化技术委员会、中国通信标准化协会网络与信息安全技术工作委员会3个专业性信息安全标准化组织外,我国其他有关主管部门和地方政府也发布了部分信息安全行业标准或地方标准。

    2.2.2 信息安全应急处理与信息通报

    发生信息安全事件可能造成严重损失和恶劣社会影响,我国非常重视信息安全事件管理。应急处理与信息通报是信息安全事件管理的重要内容。加强信息安全应急处理与信息通报是信息安全保障实践活动的重要内容,能够提高安全事件的整体应对能力。
    1.?意义
    国家信息基础设施安全应急保障工作是国家信息安全保障体系建设的重要组成部分。建立健全应急处理与信息通报机制依赖于建设和完善信息安全监控体系,提高网络安全事件应对和防范能力,防止有害信息传播。因此,高度重视信息安全应急处置工作,健全信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案,具有十分重要的意义。
    1)信息安全应急处理与信息通报工作是国家信息安全保障工作的基本制度和重要措施。
    建立国家网络与信息安全通报机制,有利于各部门、各领域实现信息交流与共享,综合分析安全威胁和安全状况,做好信息安全预警和防范工作,提升对信息安全事件的快速反应和整体应对能力,保证应对措施的及时性和有效性;有利于国家调动和整合各领域的有利资源,迅速、全面掌握整体情况,及时做出决策部署;有利于全社会增强安全防范意识,共同参与信息安全保障工作。因此,建立国家网络与信息安全通报制度,是国家信息安全保障工作的基本制度和重要举措。
    2)信息安全应急处理与信息通报工作有利于提高基础信息网络与重要信息系统的信息安全防范、保障能力。
    建立国家网络与信息安全信息通报制度,能够及时、全面地收集、汇总各方面的网络与信息安全信息,经过综合研判分析,提出对策、建议并及时通报基础信息网络和重要信息系统,为事件发生单位提供对策和技术支持,为其他单位提供预警信息,从而协助基础信息网络和重要信息系统全面掌握国内、外网络与信息安全政策和技术动态,有针对性地制定和实施安全防范措施,增强网络与信息安全防范、保障能力,确保涉及国计民生的基础信息网络和重要信息系统的安全。
    3)信息安全应急处理与信息通报工作有助于加强国家网络与信息安全应急处置工作。
    建立国家网络与信息安全通报制度,能够在发生重大网络与信息安全事件时,在国家网络与信息安全协调小组和成员单位之间以及各成员单位之间,建立畅通的信息交流渠道,全面收集事件的相关情况,及时上报协调小组,同时将协调小组的预警命令和决策部署下达到成员单位,做好预警和防范工作,建立健全国家信息安全应急处置协调机制和指挥调度机制,提高对网络与信息安全事件的快速反应和整体应对能力,保证应急处置措施的及时性和有效性,确保国家基础信息网络和重要信息系统的安全。
    2.?实践历程
    信息安全应急保障体系包括组织机构、标准法规、支撑系统和运行能力4个方面。组织机构是负责国家信息基础设施安全应急处理与通报工作的主体;标准法规是实施国家信息基础设施安全应急处理与通报工作的行为准则和技术标准;支撑系统是支持国家信息基础设施安全应急处理与通报工作实施的技术手段;运行能力是组织机构按照标准法规、利用支撑系统处置国家信息基础设施安全应急事件的能力。
    (1)信息安全应急处理机制的建立
    2000年,我国成立了国家计算机网络应急技术处理协调中心(National Computer network Emergency Response technical Team Coordination Center of China,CNCERT/CC)、国家计算机病毒应急处理中心和国家计算机网络入侵防范中心,建立了最早的技术合作雏形。后来根据在2001年应对一系列大规模网络安全事件中得到的经验教训,这个合作体系又扩大到各骨干互联网运营单位。扩展后的合作体系使我国对大规模网络安全事件的应急响应效率和能力有了极大的提高。自2003年起,各部门都开始制定与互联网相关的应急预案,开始重视应急协调预案和不同部门间的协调。根据新的网络安全威胁特点,这个体系在2004年又进行了进一步的扩展和调整,形成了我国公共互联网络应急处理体系,以便发挥政府、产业界、专业组织、研究机构和安全企业等方面的作用,在中央和地方组成的核心框架下,形成有机整体,使网络安全事件的预防、应对能力均得到更全面、更有效的加强。
    我国的应急响应机构包括CNCERT/CC、中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)及其他专业性的组织。CNCERT/CC由工业和信息化部(以下简称“工信部”)互联网应急处理协调办公室直接领导,负责协调我国各计算机网络安全事件应急组(Computer Emergency Response Team,CERT),共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急和防范等安全服务和技术支持,及时收集、核实、汇总和发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流。CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组织,从事网络安全技术的研究和非营利性质的网络安全服务。目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应组织或安全管理相关部门,是一个由30多个单位组成、覆盖全国的应急响应组织。其他专业性的应急组织还包括国家计算机病毒应急处理中心、国家计算机网络入侵防范中心、国家863计划反计算机入侵和防病毒研究中心。
    (2)信息安全通报机制的建立
    网络信息的安全保障和应急处置涉及多个部门、多个层次,需要建立和规范对影响网络与信息安全的事件的发现、分析、通报、预警以及处置的工作机制,以便统一发布危害警报,统一协调行动。协同加强安全防范,确保一旦发生大规模病毒感染、网络攻击及其他网络信息安全事件时,能够及时有效处置,减少危害损失和影响范围。
    根据“谁主管、谁负责;谁经营,谁负责”的原则,强化各个部门的信息汇总和研判工作,在国家网络与信息安全协调小组的领导下,形成跨部门的网络与信息安全有关信息的共享机制。坚持政府主导,充分发挥社会中介的作用。采用分类、分级的处理方式,规范网络与信息安全的预警和通报工作,及时有效地化解安全风险。
    “分类、分级”的预警与通报机制由公安部负责协调小组成员单位和各重要信息系统主管部门的网络与信息安全信息汇总和反馈工作。发生网络信息安全事件后,协调小组成员单位和各重要信息系统主管部门除按正常渠道上报外,必须及时通知公安机关,公安部在综合分析后,及时将研判结果通报各有关单位。公安部公共信息网络安全监察部门,面向全国接受网络与信息安全方面的报警,组织对计算机安全犯罪行为的调查和打击,研究并提出相应的应对措施,分析研判信息安全问题的性质、危害程度和可能的影响范围,必要时向政府机关、科研单位和网络营运管理部门发布安全预警信息。发生网络安全事件后,各部门、各单位、各网络运营单位和社会公众有义务及时向各级公安机关报告。
    工信部负责基础电信网络和互联网的网络与信息安全事件通报,通过CERT的协作机制,接受网络与信息安全事件报告,分析研判信息安全事件的性质和危害程度,研究提出相应的对应措施,组织技术应急,面向基础电信网络和互联网发布预警信息。
    国家网络与信息安全协调小组办公室将定期对国家网络与信息安全的总体形势进行综合研究和会商,研究提出相应的管理和技术政策建议,并向国务院报告。出现可能影响社会稳定和国民经济正常运行的网络与信息安全威胁时,随时组织会商,及时报告。

    2.2.3 信息安全等级保护

    实施信息安全等级保护能够针对不同系统有效实现恰当保护,提供所需级别的保护能力,是我国在相应法规、政策和标准的基础上推行的一项重要信息安全保障工作。
    1.?意义
    近年来,党中央、国务院高度重视,各有关部门协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施不到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济发展和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定是当前信息化发展中迫切需要解决的重大问题。
    实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统实施分等级保护,重点保障基础信息网络和关系国家安全、经济命脉和社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适合社会主义市场经济发展的信息安全模式。
    实行信息安全等级保护,本质上就是要明确重点、确保重点。首先是要明确重点,在国家层面,这个重点就是那些关系国家安全、经济命脉、社会稳定的基础网络和重要信息系统。对于部门、地方和企业而言,也应根据实际确定自己的保护重点。其次,在系统定级的基础上,还要综合平衡信息安全风险和建设成本,进一步确定重点部位,将有限的资源用到最急需、最核心的地方,根据安全等级进行建设和管理,确保核心系统安全。最后,实行等级保护要坚持从实际出发。我国的信息化发展不平衡,东中西部差异较大,不同部门、不同地区信息化所处的发展阶段不同,面临的信息安全风险和信息安全需求也不一样。因此,在信息安全保障中必须从实际安全需求出发,不能片面追求“绝对安全”,搞不计成本的安全,也不能搞一刀切、上下一般粗、全国一个模式。必须区分轻重缓急,根据不同等级、不同类别、不同阶段,突出重点,将有限的资源用到最急需保障的地方。这也是实事求是思想路线在信息安全保障工作中的具体体现。
    信息安全等级保护是国家信息安全保障的基本制度和方法,开展信息安全等级保护工作是促进信息化发展,保障国家信息安全的重要举措,也是我国多年来信息安全工作的经验总结。开展信息安全等级保护,就是要解决我国信息安全面临的威胁和存在的主要问题,有效体现“适度安全、保护重点”的目的,将有限的财力、物力和人力投入重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效提高我国信息和信息系统安全建设的整体水平。
    2.?实践历程
    1994年2月18日,《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)发布,以国务院行政法规的形式正式确定对我国境内的计算机信息系统实行安全等级保护制度,明确公安部作为主管单位,对具体工作从法律上做了明确规定,由公安机关负责国家信息安全等级保护工作的监督、检查和指导,公安部会同有关部门制定安全等级划分标准和保护的具体办法,公安部根据本条例制定实施办法。
    (1)研究制定等级保护的准则、规范和标准
    1999年,GB 17859—1999《计算机信息系统安全保护等级划分准则》(以下简称《划分准则》)发布。这是一部强制性国家标准,它既是一部技术法规,也是等级保护的重要基础标准,它从功能上把信息系统的安全等级划分为5个级别的安全保护能力。随后,国家先后颁布了多部信息安全等级保护相关标准,逐步形成等级保护标准体系。
    (2)强化等级保护
    为了进一步贯彻落实27号文件精神,推动等级保护工作,2004年9月15日,公安部会同国家保密局和国信办共同研究制定《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称《实施意见》),把等级保护确认为国家信息安全的基本制度和根本方法,明确了信息安全等级保护的建设原则、工作要求、实施计划,对信息等级保护工作做了更加具体的明确,把等级保护提到一个新的高度。2005年《实施意见》下发,等级保护工作全面启动。
    2005年9月15日,国信办正式发布《电子政务信息安全等级保护实施指南(试行)》(国信办[2005]25号)(以下简称《实施指南(试行)》),着重阐述了电子政务信息安全等级保护的基本概念、工作方法和实施过程,供各级党政机关在新建和已建电子政务系统中开展信息安全等级保护工作参考。
    (3)开展等级保护基础调研
    2005年底,公安部和国信办联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号),就此拉开2006年信息安全等级保护工作的序幕。2006年1月17日,根据《实施意见》,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室(以下简称“国信办”)联合发布《关于印发〈信息安全等级保护管理办法(试行)〉的通知》(公通字[2006]7号),于2006年3月1日起实施。
    2006年5月20日,信息安全等级保护基础调查工作初步完成,共调研了涉及各级财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业、公用通信和广播电视传媒等4897个信息系统。
    (4)开展等级保护试点工作
    2006年5月19日,由公安部副部长任组长,公安部、国家保密局、国家密码管理局和国信办有关领导为成员的国家等级保护工作协调小组召开了第一次会议。信息产业部、广电总局、铁道部、人民银行、海关总署、国税总局、民航总局、国家电网公司、证监会和保监会等国家基础信息网络和重要信息系统主管部门的有关领导参加了本次会议。2006年6月6日,公安部、国家保密局、国家密码管理局和国信办联合正式下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号),确定从2006年7~10月组织开展信息安全等级保护试点工作。
    (5)开展等级保护定级工作,等级保护获得快速推进
    2007年6月22日,公安部、保密局、密码管理局和国信办四部委联合正式下发《关于印发〈信息安全等级保护管理办法〉的通知》(公通字[2007]43号),标志着信息安全等级保护工作的正式实行。该管理办法正式确定了信息安全等级保护制度的基本内容及各项工作要求,进一步明确了国家、公民、法人和其他组织在等级保护工作中的责任和义务,各职能部门在信息安全等级保护工作中的职责分工,以及信息系统运营使用单位、行业主管部门的安全保障法律责任。
    公安部、国家保密局、国家密码管理局和国信办于2007年7月26日联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),部署各省、自治区、直辖市公安、保密、密码管理、信息化领导小组办公室以及中央和国家机关各部委相关部门组织开展重要信息系统安全等级保护定级工作。

    2.2.4 信息安全风险评估

    重视信息安全风险评估是信息化发达国家的重要经验,作为风险评估先驱者的信息化发达国家越来越重视信息系统风险评估工作。早在20世纪70年代初期,美国政府就提出了风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露和未授权访问等造成损失的大小,制订、实施和维持信息安全计划,以保证信息和信息系统的适度安全。2002年颁布的《2002联邦信息安全管理法》对信息安全风险评估提出了更加具体的要求,指定联邦管理和预算办公室(Office of Management and Budget,OMB)督促这项工作,要求各联邦机构周期性地评估各自信息和信息系统的未授权访问、信息泄露、服务中断和系统破坏所造成的风险和危害,周期性地测试信息安全措施和技术的有效性。
    2006年6月,美国国土安全部正式发布了《国家基础设施保护计划》(National Infrastructure Protection Plan,NIPP)。NIPP是美国国土安全框架的一个关键要素,它是建立于一系列国家战略之上,包括2002年7月发布的《国土安全战略》,2003年2月发布的《关键基础设施和重要资产物理保护的国家战略》,2003年2月发布的《保护网际空间国家战略》,以及2003年12月发布的第7号国土安全总统令。从NIPP和这一系列美国国家战略中可以看出,以风险管理框架为基础开展风险评估工作,已经成为美国等西方发达国家保障关键基础设施和重要资源,从而保护国土安全的一个核心要素和重要手段。
    1.?意义
    信息安全风险评估是信息安全保障体系建立过程中一种重要的评价方法和决策机制,在信息安全保障体系建设中具有不可替代的地位和重要作用。信息安全风险评估是信息安全保障的基础性工作,它既是明确安全需求、确定安全保障重点的科学方法和手段,又是信息安全建设和管理的重要保证。没有准确及时的风险评估,各个机构无法对其信息安全的状况做出准确的判断。
    风险评估工作的目的是为国家信息化发展服务,促进信息安全保障体系的建设,提高信息系统的安全保护能力。目前,国家关键基础设施对信息系统的依赖性越来越强,因此,许多重要信息网络和重要信息系统单位开展信息安全风险评估的需求越来越迫切,一些大型应用行业在考虑信息系统建设的布局时,已经在信息安全评估、咨询和规划方面投入了实质性的资金支持。现阶段,风险评估工作的主要任务是要认清信息安全环境和状况,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。
    风险评估工作的意义和作用,具体体现在以下几个方面。
    (1)信息安全风险评估是信息安全建设的起点和基础
    信息安全风险评估是科学分析信息和信息系统在保密性、完整性和可用性等方面所面临的风险,揭示一个组织机构的风险状况,并提出改进风险状况的建议的工作。只有在正确、全面认识风险后,才能在控制风险、减少风险、转移风险和接受风险之间做出正确的判断,才能决定调动多少资源,采取何种应对措施去化解、降低风险。所有信息安全建设和管理都应该是基于信息安全风险评估的结果,只有这样,信息安全建设才能做到从实际出发,坚持需求主导、突出重点,以最小的代价去最大程度地保障安全。
    风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握其安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,进而服务于国家信息化的发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。
    (2)信息安全风险评估是信息安全建设和管理的科学方法
    信息系统的安全性取决于系统的资产、脆弱性和威胁等多种安全要素,这些要素之间的关系以及与系统环境的关系。资产包括设备、软件、数据以及人员等,脆弱性包括系统自身在结构上、管理上和技术上的弱点和不足,威胁有自然威胁与人为威胁、内部威胁与外部威胁等,包括病毒传播、黑客攻击、网络窃密等。风险评估提供了这样一种科学的方法,它将系统的风险理论应用于某一组织的具体生产运营环境,使组织的管理层和决策层能了解组织信息安全的客观状况,基于对现状的了解,才能做出后续信息安全相关建设的正确决策。
    (3)风险评估实际上是在倡导一种适度安全
    从理论上讲,不存在绝对的安全,风险总是客观存在的。风险评估并不追求零风险,不计成本的绝对安全,或者试图完全消灭风险。信息安全风险评估要求在认清风险的基础上,决定哪些风险是必须要避免的,哪些风险是可以容忍的。也就是说,信息安全风险评估要求组织的管理者在风险与成本之间寻求一个最佳平衡点,这体现了适度安全的原则。
    2.?实践历程
    在我国,实施信息安全风险评估已有十余年。国家政策性文件《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)对信息安全风险评估工作的重视,促使我国的信息安全风险评估工作开始进入快车道。为贯彻国家政策对风险评估工作的要求,2003年,国信办成立课题组,启动了信息安全风险评估工作。课题组通过调研、标准编写和试点3个阶段的工作,先后对北京、广州、深圳和上海4个地区十几个行业的50多家单位进行了深入细致的调查与研究。在调查研究的基础上,课题组撰写了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》,全面介绍信息安全风险评估的基本概念、基本理论和基本方法,阐述了信息安全风险评估的意义以及在我国推动信息安全风险评估工作的具体建议。
    2004年1月9日,全国信息安全保障工作会议在北京召开,该会对风险评估工作提出了明确要求,要“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。”2004年3~9月,国家信息中心组织国内二十多家单位,编制完成了《信息安全风险评估指南》、《信息安全风险管理指南》等标准规范草案。
    2005年2~8月,国务院信息办在北京市、上海市、黑龙江省、云南省、人民银行、税务总局、国家电网公司、国家信息中心等地方、部门和单位组织开展了国家基础信息网络和重要信息系统信息安全风险评估试点工作,进一步完善两个标准草案并验证两个标准草案的可用性,为全面推广信息安全风险评估工作,出台信息安全风险评估相关政策文件进行了实践探索。开展风险评估试点工作显著提高了试点单位信息安全防护和管理水平,探索了风险评估工作的基本规律和方法,检验并完善了有关标准,培养和锻炼了人才队伍。
    2005年12月16日,国家网络与信息安全协调小组正式通过了《关于开展信息安全风险评估的意见》,于2006年1月正式发布,标志着我国将开始在全国范围内,尤其是基础信息网络和重要信息系统,推进信息安全风险评估工作,使信息安全风险评估工作在实践中更加深入。该意见明确关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估技术服务由国家专控队伍承担。中国信息安全测评中心和国家信息技术安全研究中心是国家信息安全风险评估专控队伍。自2006年起,每年国信办都组织风险评估专控队伍对全国基础信息网络和重要信息系统进行检查。2006年3月7日,国信办分别在北京、云南组织召开了全面推进信息安全风险评估工作的宣贯会,由此拉开我国分步全面推广信息安全风险评估工作的序幕。
    2007年发布的GB/T 20984—2007《信息安全风险评估规范》和2009年发布的GB/Z 24364—2009《信息安全风险管理指南》,使我国的风险评估和风险管理工作更趋规范。

    2.2.5 灾难恢复

    灾难恢复能力是信息安全保障能力的重要组成部分。灾难性事件的破坏力是巨大的,然而最近几年,灾难性事件频发,由此导致很多关键业务系统中断,造成严重后果。确保灾难过后关键业务能在较短时间内恢复是信息安全保障工作的目标之一。灾难恢复规划是实现业务连续性的重要步骤,是信息安全保障实践的重要内容。
    1.?意义
    灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从不正常状态恢复到可接受状态而设计的活动和流程。
    当前,信息系统灾难恢复工作已经引起了国家、社会和单位的高度重视。灾难恢复是单位保持业务连续运作的需要,长期可持续发展的要求。它是单位加强风险管理,提高市场竞争力的重要手段,同时也是保证国家安全、人民利益、社会稳定和经济发展的需要。国内、外一系列已经发生的信息安全事件表明,如果没有应对灾难的准备和一定的恢复能力,重要信息系统一旦发生重大事故或者遭遇突发事件,将严重影响国民经济发展和社会稳定。灾难恢复是为高风险、低概率事件所准备的。在一般情况下,灾难恢复资源处于闲置状态,但当灾难来临时,若灾难备份中心不能正常发挥作用,将对单位和社会造成巨大的损失和影响。而信息系统灾难恢复管理是信息安全保障的重要组成部分,灾难恢复建设是现有信息系统安全保护的延伸,承载灾难恢复系统建设的灾备中心是保障信息安全的重要基础设施。灾难恢复是整个信息安全应急工作的一个重要环节,是信息安全综合保障的最后一道防线。我国政府高度重视重要信息系统的灾难备份和灾难恢复工作,出台了有关政策和指南。
    2.?实践历程
    20世纪90年代末期,一些单位在信息化建设的同时,开始关注数据的安全保护,进行数据的备份和恢复。但当时,无论从灾难恢复理论水平、重视程度、从业人员数量和质量,还是技术水平方面都很不成熟。
    2000年的“千年虫”事件和2001年的“9•11”事件引发了国内对信息系统灾难的集体性关注。随着国内信息化建设的不断完善,以及数据大集中的开展,国家对灾难恢复工作高度重视,越来越多的单位和部门认识到灾难恢复的重要性和必要性,开展灾难恢复建设的时机已基本成熟。
    2002年4月,银监会颁布了《商业银行内部控制指引》,其中第八章《计算机信息系统的内部控制》第一百一十七条指出:建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全;第一百三十一条中明确规定:商业银行应当建立计算机安全应急系统,制订详细的应急方案,并定期进行修订和演练。数据备份应当做到异地存放,在条件允许时,应当建立异地计算机灾难备份中心。2002年8月,人民银行下发的《中国人民银行关于加强银行数据集中安全工作的指导意见》中明确规定:“为保障银行业务的连续性,确保银行稳健运行,实施数据集中的银行必须建立相应的灾难备份中心”。
    2004年9月,国信办印发了《关于做好重要信息系统灾难备份工作的通知》(信安通[2004]11号),对做好国家重要信息系统灾难备份工作的主要目标、基本原则和近期任务提出了明确要求。文件强调了“统筹规划,资源共享,平战结合”的灾备工作原则。为进一步推动8个重点行业加快实施灾难恢复工作,国信办于2005年4月下发了《重要信息系统灾难恢复指南》(以下简称《指南》),指明了灾难恢复工作的流程,灾备中心的等级划分及灾难恢复预案的制定,使得灾难恢复建设迈上了一个新的台阶。
    2006年,在《指南》工作组的基础上,成立了标准工作组,编写《信息系统灾难恢复规范》(以下简称《规范》),编制任务由全国信息安全标准化委员会下达,由中国信息安全测评中心承担。2007年6月14日《规范》正式发布,编号为GB/T 20988—2007,这是我国灾难恢复行业第一部国家标准。
    除了国家政策上的支持,近年来,各行业为了提高信息系统的可靠性,也逐步展开了信息系统的灾难恢复建设。随着各单位对灾难恢复重视程度的提高,相关管理办法和规范陆续出台,2004年,中国灾难恢复市场开始初具规模。目前,深圳市已经开始建设灾备中心,北京、上海、广州和杭州等地方政府正在研究建设灾备中心。有关部委也在启动灾难恢复工作,海关总署已建成灾备中心,其他一些单位的灾备中心也在建设或规划中。
    2005年5月和2006年7月,在国务院信息办的指导下,中国信息产业商会信息安全产业分会分别在广东南海和北京成功举办了灾难恢复行业高层论坛和研讨会,对中国灾难恢复行业有序、健康发展起到了积极推动作用。
    2.2.6 人才队伍建设
    构建信息安全保障体系的各项工作,都需要具有相应信息安全知识和技能的人员来推动。然而,信息安全人才短缺却是当前我国信息安全保障工作面临的主要问题之一。针对这一现状,国家已经先后在多个政策和规划当中提出加快加强信息安全人才队伍建设的要求。
    1.?意义
    在整个信息安全保障工作中,人是最核心、最活跃的因素,信息安全保障工作最终也是通过人来落实的。因此,加快信息安全人才培养体系建设是发展我国信息安全保障体系必备的基础和先决条件。
    多年来,国家高度重视我国信息安全人才队伍的培养和建设。2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号),针对信息安全人才建设与培养工作提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。2010年4月6日,中央军委印发《关于加强新形势下军队信息安全保障工作的意见》,意见提出要加强信息安全人才队伍建设,抓好专业力量训练和组织运用,要充分发挥广大官兵在信息安全防护中的主体作用,采取多种形式开展信息安全教育,进一步增强信息安全意识。2012年5月,国务院常务会议发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》,明确提出加强宣传教育和人才培养,开展面向全社会的信息化应用和信息安全宣传教育培训。
    我国培养信息安全人才以建成国家信息安全保障体系为目标,明确信息安全人才培养的使命,把培养信息安全高级人才与信息安全的普及教育相结合,提高公民的信息安全意识。在加强学科教育的同时,加大信息安全职业培训的规模,满足社会信息化发展的需求。
    2.?实践历程
    2005年,教育部发布《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》,从加强信息安全学科体系研究、信息安全硕士和博士点建设、稳定信息安全本科专业设置和建立信息安全继续教育制度等十个方面提出了指导性意见。2007年我国成立了“教育部高等学校信息安全类专业教学指导委员会”,进一步促进了高校的信息安全学科建设。
    1999~2012年,我国已有80余所高校建立了信息安全本科专业,每年培养信息安全类专业本科毕业生近万人,信息安全学科建设和人才培养进入热潮阶段。从2001年武汉大学创建全国第一个信息安全本科专业,到北京大学软件与微电子学院宣布正式成立信息安全系,各高校在互联网安全监察、等级保护、风险评估、网络攻防、内容安全、数字版权保护、安全策略管理、安全系统设计与监理、计算机犯罪取证、安全标准与管理规范等多个方面形成了信息安全工程硕士的培养体系,并已经向政府立法、执法、监管和广大企、事业单位输送了大批专门人才。我国信息安全专业教育已基本形成了从专科、本科、硕士、博士到博士后的正规高等教育人才培养体系。
    除正规大学教育外,我国信息安全非学历教育已基本形成了以各种认证为核心,辅以各种职业技能培训的信息安全人才培训体系。这种培训认证是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。目前,我国信息安全认证培训主要是政府相关部门的认证,如中国信息安全测评中心的“注册信息安全专业人员”(Certified Information Security Professional,CISP)资质认证;以及一些信息安全企业认证,如微软、思科等。这些都对提高信息安全专业人员的理论和技术水平,提升信息安全产业的竞争能力,强化国家信息安全管理起到了重要作用。
    然而,我国现有信息安全人才培养状况尚不能满足国家政府部门、基础信息系统和网络等关系到国计民生的重要部门与行业的需求。一方面,国内每年对信息安全人才的需求量高达数十万,今后一段时间,还将持续增长,而人才供给(包括学历教育和在职教育)每年不到3万人,在未来一段时间内,信息安全从业人员的数量同社会实际需求仍然存在较大缺口。另一方面,信息安全人才综合能力要求高,知识更新快,而当前我国信息安全教育应用实践性不足,难以满足用人单位的深层次、个性化要求。

    展开全文
  • 在上期中,我们探讨了中小企业信息安全的现状,并集中阐述了中小企业在安全意识、投入能力、技术储备等方面所面临的问题。读罢该文,可能给大家一种在中小企业中实施信息安全步履维艰之感,但事实是否如此呢?可以说...
            在上期中,我们探讨了中小企业信息安全的现状,并集中阐述了中小企业在安全意识、投入能力、技术储备等方面所面临的问题。读罢该文,可能给大家一种在中小企业中实施信息安全步履维艰之感,但事实是否如此呢?可以说答案是否定的,因为在现实中,每个企业的客观情况都不同,我们所谈到的问题只是中小企业相对于较大规模企业的一些弱势,而由于中小企业固有的灵活性和可控性,只要在实施信息安全的过程中对这些问题多加注意,成功地完成信息安全工作还是相当乐观的。下面我们结合中小企业的情况,提供一些适合中小企业使用的安全工作框架和流程。

    设 计
    在我们实施信息安全工程之前,需要制订一套完善的信息安全策略,该套策略是企业信息安全的基础,本文中所讲的信息安全策略不仅指最高阶的要求、描述和方向,也囊括了最细化的解决方案。

    简单来说,企业的信息安全规划主要需要解决两个问题:要保护什么以及如何保护。从使用信息的设备到储存信息的位置,从Internet链接到公司雇员,信息安全工作面向的保护对象其实是相当广泛的,从保护措施来看,也不仅仅是人们惯常所想的权限控制、加密等等,根据信息安全策略的覆盖范围,资料室门锁的配备要求、性能指标、技术类型等也可能成为安全策略的重要内容。

    首先我们需要了解哪些信息资产属于需要保护的范畴,识别被保护对象这个任务可以通过信息分级、风险评估等技术完成。企业可以建立一套信息分级系统,将企业的所有信息资产划分到不同的级别当中,这样就可以相对容易的知道哪些是必须得到保护的(如专利技术和战略规划等),哪些是应该得到保护的(如客户信息和生产成本数据),以及哪些是不需要进行保护的(如产品宣传资料)。在进行信息分级工作的同时,还应该评估所有信息资产所面临的安全风险。信息分级体现了信息资产受到威胁时所造成的影响程度,而风险评估能够使我们了解到信息资产受到威胁的可能性。

    完成上述工作之后,我们会对被保护对象的情况有一个整体而清晰的认识,在这个基础上,我们就可以针对不同的对象设计出相应的安全措施。在设计安全措施时我们需要遵循一些基本原则:信息系统所面临的风险应小于其创造的价值以及在安全上的投入应低于所保护对象的价值;举例来说,企业的客户数据库中保存了所有客户的联系方式及信用卡信息,如果我们不对该数据库进行有效的安全管理,很可能有人通过盗用这些信息进行诈骗,这种风险通常就超过了我们利用这些数据库进行工作所带来的便利,而如果这些数据的综合价值在十万元左右,我们就不应该为保护这些数据购买一套价值二十万元的防火墙,这个投入额度显然远远超过了这些数据的价值,而且单纯的部署防火墙设备只能在一定程度上防止对数据库的恶意攻击而不能阻止员工对数据库的滥用。

    实 施
    在安全实施过程中,主要的工作是进行设施的选择、部署、培训以及开展安全策略教育。安全设施的范畴很广,既有防病毒软件、防火墙、入侵检测系统这样常见的硬件设备,也有AAA、PKI这样的应用解决方案,还包括了授权规划、访问控制这样的安全规程。我们需要根据安全策略中所设计的要求和内容,有效的完成实施工作,为企业的信息安全体系提供稳定的平台。

    对于信息安全实施及相关工作的几点建议是:一定不要在策略完备之前进行实施,这就好像在没有蓝图的情况下进行建筑施工一样,是极端危险并且毫无成功保障的;实施的成功有赖于决策层的支持,如果企业的管理者不能始终如一的支持该项目,那安全工作无异于一纸空谈;安全策略必须在企业中进行充分的宣传,这也是提高企业整体安全意识的重要步骤之一,只有所有的员工都深刻认识到安全工作的重要性,信息安全体系才能够正常的运作;在自身技术资源不足的时候,多征询当地专业信息安全机构的意见,这些机构通常乐意免费提供自己的知识储备和咨询力量,并且本地的机构通常能提供较好的应急响应。

    管 理
    我们在该连载的上篇提到过,安全设施的建立并不是安全工作的终结,在完成了信息安全体系的实施工作之后,相关的管理和维护工作将面临着更大的考验,因为设计和实施工作通常有着较为明确的要求,并且具有较为固定的工作期限,而管理和维护工作则是一个不存在终点的进程,特别是由于中小企业安全意识薄弱和技术储备不足等问题的作用,随着时间的推移,安全系统的控制能力会不断的降低,这需要企业认真的施行安全管理,以保障安全系统的效用。

    信息安全管理规程为应用环境变更和安全事故的响应提供了可参考的架构。任何企业都必须面对应用环境的变化,即使只增加了一个应用程序,或者一个职员的岗位发生变化,都可能对整个安全体系造成深刻的影响,所以变更管理在信息安全工作中起着相当关键的作用,变更管理工作的内容包括及时的识别变更并详细记录相关信息,对变更进行足够的评估,以确定其产生的影响是否会破坏原有的安全策略,如果该变更是可以接受的,我们才能够实现它,并且在实现之前要做好计划,在完成变更的同时,我们需要更新相应的安全策略并完成新策略的培训工作。

    响应安全事故也是信息安全工作中的主要组成部分,安全事故通常是指违反安全策略的行为,可能是信息基础设施被入侵,也可能是某个员工修改了不允许他访问的文档,管理安全事故需要企业的全体员工都清楚的理解和贯彻安全策略,因为对于安全事故来说,时间是非常非常重要的,尽早的识别安全事故的发生能够从很大程度上降低企业的损失,而且全员的良好参与能够有效地减少安全事故的发生几率。为了有效地对安全事故做出响应,应该事先针对安全策略建立起应急响应计划,即使没有足够的技术力量建立自己的应急响应小组,至少也应该在管理规程中标注出发生各种安全事故时,应该采取的步骤和需要联系的人员(包括其联系方式),而且对于重要的信息资产,还应该建立灾难恢复计划,以保证在经历了严重的安全事故后,能尽快的恢复到正常状态,保障企业的业务运行。

    评 估
    除了以上的三个主要步骤之外,信息安全事务中还有一项容易被忽略的工作,那就是安全评估。在很多时候,系统管理员仅仅是定期用自己的扫描器对所有的节点进行扫描,事实证明这样的措施是远远不够的,除了有针对性的进行漏洞扫描之外,所有安全策略中包含的设施都应该被定期检查,而且应该对照当前的安全策略,以合适的频率进行补丁升级,按照系统清单跟踪系统漏洞及其它风险,定期审查安全系统所产生的日志。评估工作的最主要目的就是:尽可能早的发现潜在的问题。

    在短短的篇幅里我们无法表述信息安全实施中的太多细节,而只能结合中小企业的信息安全要求,概略的对信息安全工作的框架和流程进行一番探讨,并希望这些精炼的信息能帮助中小企业的信息安全工作人员更好的规划自己的工作,不断的提升您系统的信息安全水平

    展开全文
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...

    本文转载自公众号爱方案(ID:ifangan)。

    本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。

    一、 概述

    1.1引言

    本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。

    本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。

    1.2 背景

    1.2.1 XX行业相关要求

    国家XX行业总局一直以来十分重视信息安全管理工作,先后下发了涉及保密计算机运行、等级保护定级等多个文件,下发了《XX行业信息安全保障体系建设指南》,指南从技术、管理、运维三个方面对安全保障提出了建议,如下图所示。

    1.2.2国家等级保护要求

    等级保护工作作为我国信息安全保障工作中的一项基本制度,对提高基础网络和重要信息系统安全防护水平有着重要作用,在《信息系统安全等级保护基本要求》中对信息安全管理和信息安全技术也提出了要求,如下图所示。

    1.2.3三个体系自身业务要求

    在国家数字XX行业政策的引导下,近年来信息系统建设日趋完善,业务系统对信息系统的依赖程度逐渐增加,信息系统的重要性也逐渐提高,其安全保障就成为了重点。信息系统的重要组成部分包括MES系统、ERP系统、网站系统、工商协同营销系统、LIMS系统、OA系统及生产系统等。企业生产已经高度依赖于企业的信息化和各信息系统。

    信息系统现阶段还无法达到完全的自动化和智能化运行。因此需要各级技术人员对信息系统进行运行和维护。

    在整个信息系统运行的过程中,起主导作用的仍然是人,是各级管理员。设备的作用仍然仅仅停留在执行层面。因此信息系统的稳定运行的决定因素始终都在于人员的操作。

    信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。

    当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,就可以对保障体系进行新的规划和设计。从而使新的保障体系能够适应企业不断发展和变化的安全需求。这也仍遵循和完善了PDCA原则。

    1.3三个体系规划目标

    1.3.1 安全技术和安全运维体系规划目标

    建立技术体系的目的是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:

    1、防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。

    2、检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。

    3、响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。

    4、恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。

    1.3.2安全管理体系规划目标

    本次项目通过风险评估对XX公司自身安全管理现状进行全面了解后,对信息安全管理整体提出以下目标:健全信息安全管理组织,建立信息安全专业服务团队,建立完善的信息安全风险管理流程,完善信息安全制度与标准,建立规范化的流程。

    1.4技术及运维体系规划参考模型及标准

    1.4.1参考模型

    目前安全模型已经从以前的被动保护转到了现在的主动防御,强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护(Protection)、检测(Detection)、响应(Reaction)的安全模型。上个世纪90年代末,ANS联盟在PDR模型的基础上建立了新的P2DR模型。该模型是可量化、可由数学证明、基于时间的、以PDR为核心的安全模型。这里P2DR2是策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。

    • 策略(Policy)

    策略是P2DR模型的核心,所有的防护、检测、响应都是依据策略。它描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。

    • 防护(Protection)

    防护是主动防御的防御部分,系统的安全最终是依靠防护来实现的。防护的对象涵盖了系统的全部,防护手段也因此多种多样。

    • 检测(Detection)

    检测是动态响应和加强防护的依据。通过不间断的检测网络和系统,来发现威胁。

    • 响应(Response)

    响应是主动防御的实现。根据策略以及检测到的情况动态的调整防护,达到主动防御的目的。

    随着技术的进步,人们在P2DR模型以后又提出了APPDRR模型,即在P2DR模型中加入恢复(Recovery)手段。这样一旦系统安全事故发生了,也能恢复系统功能和数据,恢复系统的正常运行。

    1.4.2参考标准

    主要参考标准:

    《信息保障技术框架v3.1》(IATF) 美国国家安全局

    《信息系统安全管理指南》(ISO 13335) 国际标准化组织

    《信息安全风险评估指南》(国标审议稿)中华人民共和国质监总局

    其它参考标准:

    AS/NZS 4360: 1999 风险管理标准

    ISO/IEC 17799:2005 /BS7799 Part 1

    ISO/IEC 27001:2005 /BS7799 Part 2

    ISO/IEC 15408(CC)

    GB17859-1999

    等级保护实施意见(公通字[2004]66号)

    《计算机信息系统安全保护等级划分准则》GB 17859

    行业参考标准:

    《XX行业行业信息安全保障体系建设指南》

    1.5管理体系规划参考模型及标准

    1.5.1国家信息安全标准、指南

    1. GB/T 20274—2006 信息系统安全保障评估框架
    2. GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分:信息技术安全概念和模型
    3. GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全
    4. GB/T 19716—2005 信息技术—信息安全管理实用规则

    1.5.2国际信息安全标准

    1. ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求
    2. ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型
    3. ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架
    4. ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法
    5. ISO/IEC WD 15443—3 信息技术安全保障框架 第三部分 保障方法分析
    6. ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估

    二、 技术体系建设规划

    2.1技术保障体系规划

    2.2.1设计原则

    技术保障体系的规划遵循一下原则:

    • 先进性原则

    采用的技术和形成的规范,在路线上应与当前世界的主流发展趋势相一致,保证依据规范建成的XX公司网络安全系统具有先进性和可持续发展性。

    • 实用性原则

    具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长,相互补充。当某一种或某一层保护失效时,其它仍可起到保护作用。

    • 可靠性原则

    加强网络安全产品的集中管理,保证关键网络安全设备的冷热备份,避免骨干传输线路的单点连接,保证系统7*24小时不间断可靠运行。

    • 可操作性原则

    根据XX公司风险评估结果,制定出各具特色、有较强针对性和可操作性的网络安全技术保障规划,适用于XX公司信息安全的规划、建设、运行、维护和管理。

    • 可扩展性原则

    规范应具有良好的可扩展性,能适应安全技术的快速发展和更新,能随着网络安全需求的变化而变化,网络安全保护周期应与整个网络的工作周期相同步,充分保证投资的效益。

    2.1.2技术路线

    • 分级保护的思想

    遵照《XX行业行业信息安全保障体系建设指南》、《关于信息安全等级保护工作的实施意见》的要求,结合XX公司网络应用实际,XX公司网络的信息安全防护措施需要满足安全等级保护要求,必须按照确定的安全策略,整体实施安全保护。

    • 分层保护的思想

    按照XX公司业务承载网络的核心层、接入(汇聚)层、接入局域网三个层次,根据确定的安全策略,规范设置相应的安全防护、检测、响应功能,利用虚拟专用网络(例如MPLS VPN、IPSec VPN、SSL VPN)、公钥基础设施/授权管理基础设施(PKI/PMI)、防火墙、在线入侵抵御、入侵检测、防病毒、强审计、冷热备份、线路冗余等多种安全技术和产品,进行全方位的安全保护。

    • 分域保护的思想

    控制大型网络安全的另一种思想是把网络划分成不同的逻辑网络安全域,每一个网络安全域由所定义的安全边界来保护。综合考虑信息性质、使用主体等要素,XX公司网络划分为计算域、支撑域、接入域、基础设施域四种类型安全域。

    通过在相连的两个网络之间采用访问控制措施来进行网络的隔离和连接服务。其中,隔离安全服务包括身份认证、访问控制、抗抵赖和强审计等;连接安全服务包括传输过程中的保密、完整和可用等。

    • 动态安全的思想

    动态网络安全的思想,一方面是要安全体系具备良好的动态适应性和可扩展性。威胁和风险是在不断变化的,安全体系也应当根据新的风险的引入或风险累积到一定程度后,适时进行策略调整和体系完善;另一方面是在方案的制定和产品的选取中,注重方案和产品的自愈、自适应功能,在遭遇攻击时,具有一定的自动恢复和应急能力。

    2.2信息安全保障技术体系规划

    2.2.1安全域划分及网络改造

    安全域划分及网络改造是系统化安全建设的基础性工作,也是层次化立体化防御以及落实安全管理政策,制定合理安全管理制度的基础。此过程保证在网络基础层面实现系统的安全防御。

    目标规划的理论依据

    • 安全域简介

    安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,相同的网络安全域共享一样的安全策略。

    相对以上安全域的定义,广义的安全域概念是指:具有相同和相似的安全要求和策略的IT要素的集合。这些IT要素包括但不仅限于:物理环境、策略和流程、业务和使命、人和组织、网络区域、主机和系统……

    • 总体架构

    如下图所示:安全域的划分如下:

    本次建议的划分方法是立体的,即:各个域之间不是简单的相交或隔离关系,而是在网络和管理上有不同的层次。

    网络基础设施域是所有域的基础,包括所有的网络设备和网络通讯支撑设施域。

    网络基础设施域分为骨干区、汇集区和接入区。

    支撑设施域是其他上层域需要公共使用的部分,主要包括:安全系统、网管系统和其他支撑系统等。

    计算域主要是各类的服务器、数据库等,主要分为一般服务区、重要服务区和核心区。

    边界接入域是各类接入的设备和终端以及业务系统边界,按照接入类型分为:互联网接入、外联网接入、内联网接入和内网接入。

    建设规划内容

    一、边界接入域

    边界接入域的划分

    边界接入域的划分,根据XX公司公司的实际情况,相对于ISO 13335定义的接入类型,分别有如下对应关系:

    ISO 13335

    实际情况

    组织单独控制的连接

    内部网接入(终端接入,如办公网);业务边界(如核心服务边界)

    公共网络的连接

    互联网接入(如Web和邮件服务器的外部接入,办公网的Internet接入等)

    不同组织间的连接

    外联网接入(如各个部门间的接入等)

    组织内的异地连接

    内联网接入(如XXX单位接入等其他部门等通过专网接入)

    组织内人员从外部接入

    远程接入(如移动办公和远程维护)

    边界接入域威胁分析

    由于边界接入域是XX公司公司信息系统中与外部相连的边界,因此主要威胁有:

    黑客攻击(外部入侵)

    恶意代码(病毒蠕虫)

    越权(非授权接入)

    终端违规操作

    ……

    针对边界接入域的主要威胁,相应的防护手段有:

    访问控制(如防火墙)用于应对外部攻击

    远程接入管理(如VPN)用于应对非授权接入

    入侵检测与防御(IDS&IPS)用于应对外部入侵和蠕虫病毒

    恶意代码防护(防病毒)用于应对蠕虫病毒

    终端管理(注入控制、补丁管理、资产管理等)对终端进行合规管理

    二、计算域

    计算域的划分

    计算域是各类应用服务、中间件、大机、数据库等局域计算设备的集合,根据计算环境的行为不同和所受威胁不同,分为以下三个区:

    一般服务区

    用于存放防护级别较低(资产级别小于等于3),需直接对外提供服务的信息资产,如办公服务器等,一般服务区与外界有直接连接,同时不能够访问核心区(避免被作为攻击核心区的跳板);

    重要服务区

    重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区;

    核心区

    核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。

    计算域的划分参见下图:

    重要服务区

    重要服务区用于存放级别较高(资产级别大于3),不需要直接对外提供服务的信息资产,如前置机等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心区;

    核心区

    核心区用于存放级别非常高(资产级别大于等于4)的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。

    计算域的划分参见下图:

    图 2_3计算域划分图

    计算域威胁分析

    由于计算域处于信息系统的内部,因此主要威胁有:

    • 内部人员越权和滥用
    • 内部人员操作失误
    • 软硬件故障
    • 内部人员篡改数据
    • 内部人员抵赖行为
    • 对外服务系统遭受攻击及非法入侵

    针对计算域主要是内部威胁的特点,主要采取以下防护手段:

    • 应用和业务开发维护安全
    • 基于应用的审计
    • 身份认证与行为审计
    • 同时也辅助以其他的防护手段:
    • 对网络异常行为的检测
    • 对信息资产的访问控制

    三、支撑设施域

    支撑设施域的划分

    图 2_4支撑基础设施域划分图

    如上图所示,将网络管理、安全管理和业务运维(业务操作监控)放置在独立的安全域中,不仅能够有效的保护上述三个高级别信息系统,同时在突发事件中也有利于保障后备通讯能力。

    其中,安全设备、网络设备、业务操作监控的管理端口都应该处于独立的管理VLAN中,如果条件允许,还应该分别划分安全VLAN、网管VLAN和业务管理VLAN。

    支撑设施域的威胁分析

    支撑设施域是跨越多个业务系统和地域的,它的保密级别和完整性要求较高,对可用性的要求略低,主要的威胁有:

    网络传输泄密(如网络管理人员在网络设备上窃听业务数据)

    非授权访问和滥用(如业务操作人员越权操作其他业务系统)

    内部人员抵赖(如对误操作进行抵赖等)

    针对支撑设施域的威胁特点和级别,应采取以下防护措施:

    带外管理和网络加密

    身份认证和访问控制

    审计和检测

    四、网络基础设施域

    网络基础设施域的划分

    网络基础设施域的威胁分析

    主要威胁有:

    • 网络设备故障
    • 网络泄密
    • 物理环境威胁

    相应的防护措施为:

    • 通过备份、冗余确保基础网络的可用性
    • 通过网络传输加密确保基础网络的保密性
    • 通过基于网络的认证确保基础网络的完整性

    2.2.2现有信息技术体系描述

    XX公司现有网络拓扑

    XX公司网络结构脆弱性评估

    1、网络结构层次不清晰

    当前网络骨干区域,基本形成以两台C6509为核心,多台C2970/C2950等为接入的架构,网络骨干设备性能优异,扩展能力较强。但部分区域仍然存在结构层次不清晰、不合理之处。

    远程接入区域,包括XXX单位通过专线直接接入到核心交换机C6509上,其它的上联国家局、XX公司局等专线链路也直接接入到核心交换机C6509上,除国家局配置有防火墙外,其它连接均未经过任何汇聚或访问控制设备。核心交换机C6509同时兼具上述多条专线接入设备的任务,网络逻辑层次结构较为模糊。

    2、网络单点故障

    当前网络核心层为冗余设备,下联接入层交换为冗余线路,其它对外连接均为单设备和单线路连接,存在网络单点故障隐患。

    各远程接入链路均为一条电信专线,没有其它冗余的广域网链路,存在远程接入链路单点故障。

    外网服务器区的Web和Mail服务器的互联网连接和访问均为单线路,存在单点故障。

    3、网络安全域划分不明

    公司大多数内网服务器系统分布在XX网段,没有进一步的VLAN划分及其它防护措施的隔离。

    ERP、协同办公、营销等重要系统混杂在一起,与其它服务器都部署在同一个区域,非常不利于隔离防护及后期的安全规划建设。

    下属车间存在生产网与办公网络混用的情况。各生产网与办公网未严格隔离,未整合边界,未实施集中安全防护。

    业务维护人员、网络管理人员、安全管理人员以及第三方运维人员,未划分专门的管理支撑域。当前主要根据办公物理位置,各自接入到办公网中,未与普通办公人员网络区域隔离。

    远程接入区域,根据对端可信度及管理职责等,可以划分为四类,1、国家XX行业;2、省商业公司链路;3、XXX单位接入。当前未进行分类隔离,统一安全策略。

    4、部分节点区域缺乏必要安全防护措施

    内部终端用户访问内部服务器、互联网络没有有效的控制行为;能够访问互联网的终端不能有效控制访问带宽并进行行为审计。

    远程接入XXX单位专线直接接入到核心交换机Cisco3845上,两端均未部署防火墙实施访问控制。XXX单位用户可以任意访问到总部网络,任意访问内网服务器。

    全网缺乏一套集中的安全运营管理中心,当前网络设备、安全设备、主机及业务系统的日志及安全运行状况监控,仅由各自维护人员手工操作,直接登录设备检查分析。

    内网服务器区、生产服务器区缺乏业务审计设备,无法记录关键的业务、维护操作行为。

    5、现有的安全技术防护手段

    在互联网出口部署了防火墙两台,同时设置访问规则对Web服务器和内网用户对互联网的访问进行网络层控制;

    在核心交换机上部署了入侵检测系统,对核心交换上的数据信息进行入侵行为的检测;

    在邮件系统部署了防垃圾邮件系统,可对垃圾邮件进行过滤;

    内网部署了趋势的网络防病毒系统,

    内网部署了内网管理系统,可对内部网络终端进行接入管理、主机维护管理、补丁管理、主机行为审计等。

    2.3技术体系规划主要内容

    2.3.1网络安全域改造建设规划

    改造建议说明:

    1、新增管理支撑域,作为整个网络的设备和系统管理中心。

    2、新增汇聚层网络设施域,部署四台三层交换机,核心部件采用冗余配置,作为整个网络的汇聚层,这样既便于接入区和服务区的访问控制,又将生产区和办公区进行了区分,并分担了核心交换机的负担。

    3、在核心交换和新增的汇聚交换间部署防火墙进行服务域的访问控制;

    4、将原有的服务器使用VLAN方式划分为核心服务域和一般服务域;

    5、更换互联网出口防火墙为安全网关,采用双机冗余方式部署,并启用IPS检测、AV检测功能,为对外提供服务的WEB和MAIL服务器制定保护策略;

    6、在互联网安全网关后增加上网行为管理系统,采用双机冗余方式部署,对访问互联网的流量和访问进行控制和审计;

    7、将互联网出口替换下的防火墙部署到单独划分的财务服务域前端,进行必要的访问控制保护;

    8、将XXX单位连接线路由原来的连接核心C6509改为连接新增加的汇聚层防火墙上,增加外部访问的访问控制。

    2.3.2网络安全设备建设规划

    网络安全设备分为边界保护类,入侵检测/防御类,终端保护等多种。

    网络安全产品的类型是由网络安全技术决定的,为了实现全面的安全防护,以不同的实体出现的安全设备要在技术上覆盖所有的安全领域,也就是所有安全设备功能的总和在技术层面应该能够防御目前网络环境下所有安全威胁的总和。

    安全产品虽然不是安全防护体系的决定因素,却是安全防御体系的基石。是实现系统化全方位网络安全防护的必要条件。

    在充分分析目前XX公司已经部署的网络安全设备的前提下,又结合了风险评估的结果,以及安全域划分和网络改造的具体需求,得出了最终需要新增的网络安全设备需求。

    此过程保证在设备层面实现安全技术体系。部署完成后,XX公司所有安全设备防护功能的总和在技术层面上将能够满足防护和应对目前已知安全威胁。同时满足《XX行业行业信息安全保障体系建设指南》中在技术体系建设方面对网络安全部分的要求。

    结合规划的安全域,在新的安全环境下,规划的安全设备部署示意图如下:

    一、防火墙设备

    部署位置

    防火墙部署在核心层和汇聚层之间。如下图所示。

    安全功能

    防火墙系统是进行安全域边界防护的有效手段。需要部署防火墙将网络分割成不同安全区域,并对核心业务系统形成纵深保护体系。在新增的汇聚网络层和核心网络层之间冗余部署四台防火墙设备,实现生产接入域、办公接入域和其他区域访问的控制,生产接入域和办公接入域之间的访问控制。通过此次安全域的划分和网络改造,使防火墙主要可以起到如下几类作用:

    限制各个接入网络对网络设备的访问。

    限制接入网络穿过的源。

    限制接入网络能访问的目的。

    限制接入网络穿过的应用端口。

    限制能提供的应用端口。

    二、安全网关设备

    部署位置

    一体化安全网关部署在互联网出口处,做互联网边界综合防护。如下图所示。

    实现安全功能:

    访问控制

    IP地址过滤、MAC地址过滤、IP+MAC绑定、用户认证、流量整形、连接数控制等

    IPS防御体系

    通过继承的IPS功能,精确抵御黑客攻击、蠕虫、木马、后门;抑制间谍软件、灰色软件、网络钓鱼的泛滥;并可有效防止拒绝服务攻击。

    网络防病毒

    能够有效抵御文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件等。

    抗DoS攻击

    采用特征控制和异常控制相结合的手段,有效保障抗拒绝服务攻击的准确性和全面性,阻断绝大多数的DoS攻击行为。

    三、上网行为管理设备

    部署位置

    上网行为管理部署在互联网出口处。如下图所示。

    安全功能:

    P2P流量控制

    对P2P的应用加以控制,例如提供最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能,最终可实现禁止使用P2P软件或限制P2P软件的可用带宽,从而达到控制P2P流量的目标,将宝贵的、有限的带宽资源保留给组织中关键的应用和业务。

    服务分级

    服务分级是一种带宽管理的理解方式。也可以理解为某种程度上QoS。针对不同访问需求的用户也可以进行服务的分级处理,对带宽要求高的人员可以获得较多的带宽,从而保证其访问的需求。

    关键应用保障

    目前XX公司在应用方面已经建立基于互联网的Web和Mail系统,需要在应用层加以优先保证。上网行为管理设备可以基于应用的重要程度进行带宽资源的合理分配,从而保证重要的、时效性高的应用能够获得较多的带宽,最终能够保障关键应用的正常运行。

    四、业务安全审计设备

    部署位置

    网络安全审计设备主要部署在核心业务区域,按照XX公司安全域的规划,需要部署业务审计系统的位置为服务域(核心服务域+一般服务域),生产服务域(卷包中控、物流中控、制丝中控、动力中控),重点审计内容是人为通过网络对各服务器系统、数据的访问行为审计和控制,部署示意图如下:

    服务域审计系统部署示意图

    生产服务域审计系统部署示意图

    安全功能

    满足合规要求

    目前,越来越多的单位面临一种或者几种合规性要求。XX公司面也面临着合规性的要求。一是等级保护的要求;二是行业规范的要求。在国烟办的147号文件中,明确要求部署网络审计设备。

    有效减少核心信息资产的破坏和泄漏

    对企业的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用网络安全审计系统,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和泄漏。

    追踪溯源,便于事后追查原因与界定责任

    一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限(例如掌握DBA帐号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。由于目标系统不能区别不同人员使用同一个帐号进行维护操作,所以不能界定维护人员的真实身份。试用网络安全审计系统提供基于角色的审计,能够有效地区分不同维护人员的身份,便于事后追查原因与界定责任。

    直观掌握业务系统运行的安全状况

    业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。网络安全审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。

    实现独立审计与三权分立,完善IT内控机制

    从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。网络安全审计系统基于网络旁路监听的方式实现独立的审计与三权分立,完善了IT内控机制。

    五、漏洞扫描设备

    部署位置

    漏洞扫描系统部署在管理支撑域,通过一个二层接入交换机接入到核心交换机,示意图如下图所示:

    安全功能

    通过对网络设备,操作系统,应用系统的扫描,有效了解系统弱点,为实施安全防护方案和制定安全管理策略提供依据和参考。

    制定周期性扫描计划,实现周期性的安全自评,为有效的风险管理提供参考和支持。

    2.3.3 CA认证体系建设

    现状

    XX公司目前暂无CA认证系统,但按照国家总局的统一建设要求,已经将CA认证系统作为即将开始的项目。

    建设规划目标

    通过建设CA认证体系,为业务应用系统提供稳定可靠的信息安全服务,切实保障系统使用人员身份的真实性、信息传输的保密性、数据交换的完整性、发送信息的不可否认性,为信息化建设和发展奠定安全基础。

    建设规划内容

    CA认证体系平台建设

    按照《XX行业行业CA认证体系建设方案》规范,XX公司行业CA认证体系项目由数字证书签发服务平台标准版、数字证书应用支撑平台和数字证书系综合监管平台组成,

    本次建设的企业级数字证书签发服务平台标准版,主要建设内容包括CA、RA、KMC系统;数字证书应用支撑服务平台,主要建设内容包括:签名服务器、SSL安全代理服务器、身份认证系统、时间戳服务器;数字证书综合监管平台,主要建设内容包括:数字证书备案系统、数字证书安全审计系统。

    CA认证体系应用建设

    1、 应用系统身份认证

    利用CA认证体系同现有应用系统的身份认证方式相结合,针对重要业务系统或重要岗位,进行身份验证,保留登录记录,落实责任,方便管理。

    2、 综合应用平台单点登录

    对已建设的信息系统进行整合和数据交流,并提供统一身份验证平台,实行信息门户单点登录。CA认证体系建设和该平台相结合,使单点登录系统更安全,并便于管理。

    3、 远程VPN访问身份认证

    由于营销人员等分布全国各地,需要远程访问公司服务器。CA认证系统和VPN远程访问控制相结合,更能保障身份唯一性,并大幅提高互联网访问的安全性。

    2.3.4数据安全保障

    一、建设规划目标

    1、知识产权保障

    通过部署电子文档安全系统,使得企业成为电子数据的真正所有者,保证企业知识产权。有效提高企业在市场上的竞争力。

    2、电子文档管理流程优化

    通过部署电子文档安全系统,优化文档安全管理工作的效率,从前需要人工审核的部门由计算机网络取代,提高了工作效率。同时,在服务器上备份所有的文件审查日志。数据的完整性、可靠性都得到了极大的提升,也减免了传统的纸质备份保密资料给企业带来的成本。

    二、建设规划内容

    1、建议部署结构

    在进行文档保护系统部署结构时,考虑到必须保证业务的高可用性。因此,采用了双服务端热备设计,此举能够保证,在一台服务器出现故障的时候,另一台会接管故障服务器的工作,保证业务的可用性。

    2、建议权限划分

    建议根据XX公司用户角色不同,初步将用户权限规划为如下:

    离线功能

    加解密功能

    日志记录

    用途

    记录对文件的操作

    普通办公PC

    办公笔记本电脑(出差)

    可选

    家用笔记本电脑

    可选

    家用PC(员工在家办公)

    仅阅读之用

    针对不同的用户,可以随时灵活的变更权限,保证安全性和易用性两不误。

    3、系统使用

    在正常使用的过程中,最终用户一般感受不到电子文档的存在,除非用户需要:

    将文件解密;

    带电脑离开公司的网络环境;

    希望产生的文档不加密;

    需要把机密文档中的文字复制到特定的网站。

    2.3.5终端安全管理

    XX公司现已经部署了一套综合的终端安全管理系统,实现了对网络终端进行主动的管理和控制、补丁分发、强制安全策略、远程帮助等主要功能。通过该系统,实现终端主动防护能力和有效的管理,形成整体的安全准入控制体系。

    2.3.6 备份与恢复

    现状

    目前XX公司还没与建立起行之有效的备份与恢复机制。在网络层,系统层,应用层都涉及到备份与恢复的问题。网络层的备份主要指的设备和线路的冗余。在安全域划分网络改造中已经涉及并考虑的了线路的冗余问题。

    外网通信线路冗余

    按照相关文件的要求,在XX行业技术体系要求中需要建立通信线路冗余。主要是体现在两个方面:

    互联网公共出口的线路冗余。通常做法是选择两家以上的运营商同时接入互联网,增加冗余,降低通讯链路故障风险。

    公司内部广域网的线路冗余,比如和国家局或者天水烟厂之间的通讯链接。通常是租用的SDH专线。可以考虑增加VPN线路作为冗余。在专线故障的时候启用VPN线路应急。

    2.3.7安全运营中心建设

    目前XX公司还未建立安全运行中心。建立安全运营管理中心,使得XX公司的网络安全管理机构能及时准确地获知整个网络安全体系的效果和现状,并且帮助进行正确的决策分析。

    通过安全运营管理中心,将不同位置、不同资产(主机、网络设备和安全设备等)中分散且海量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理。

    2.3.8周期性风险评估及风险管理

    项目目标

    通过周期性的风险评估,发现信息系统存在的安全隐患,以维持公司的整体信息安全水平;

    通过周期性的安全加固增强主机的安全性,减小由于主机漏洞而导致的安全风险。

    项目内容

    XX公司的业务系统长期稳定安全地运行,是XX公司能够提供优质服务的保障。

    由于信息安全的动态性特点,信息安全工作是一个持续的、长期的工作,建议XX公司每年定期请安全顾问进行安全风险评估。通过专业、持续的安全服务来解决信息系统日常运行维护中的安全问题,降低安全风险、提高信息系统安全水平。

    风险评估的范围为XX公司的整个信息系统。

    安全风险评估服务包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。

    给出风险评估报告和安全现状报告,系统风险修正措施以及系统安全指导性架构。此项服务可以帮助XX公司了解自身网络安全现状,并根据报告和建议进行投资预算。

    本次已进行的风险评估是实现XX公司信息安全风险管理的重要组成部分。周期性的风险评估是实现P2DR2安全模型的重要机制和组成部分。

    建议每年对XX公司的网络系统进行一次安全风险评估,由于XX公司的网络安全工作目前刚起步,许多工作刚开始,整个XX公司缺乏相关的经验,建议XX公司在三到五年内,聘请一家较有经验的网络安全公司,每年为XX公司提供一次网络安全的风险评估服务。

    3. 运维体系建设规划

    3.1风险评估及安全加固

    3.1.1 风险评估

    此次XX公司安全项目本身已经包含信息系统风险评估部分。详细信息参见风险评估各部分输出文档。

    3.1.2 安全加固

    风险评估是安全加固的前提,风险评估依据资产,威胁,脆弱性的分析得到信息系统各部分面临的安全风险。安全加固则是依据风险评估的结果,为了降低系统风险所采取的措施之一。

    通过对当前系统进行加固操作,修补主机系统、网络设备、数据库、应用和中间件存在的弱点,可以全面提高设备的安全性。降低系统运行风险。

    3.2信息安全运维体系建设规划

    3.2.1机房安全规划

    制定详细的机房环境维护管理流程,安排专门人员进行机房环境的定期维护管理,并做好相关的记录和检查;

    将现有的机房安全管理制度制作标牌悬挂机房内,并监督执行;

    安排机房安全管理人员,并制作标牌悬挂机房内。

    3.2.2资产和设备安全

    资产管理

    对现有资产管理制度进行修订,增加安全管理内容;

    通过一定的服务活动更新资产清单,并增加资产编号的标示标牌;

    通过安全评估活动增加资产定性赋值,完善现有资产管理表格。

    介质管理

    介质管理在XX公司的“信息安全保密管理规定”中已经有明确的规定,后续工作为加强管理的执行;

    对于移动备份介质的存放和管理可在“信息安全保密管理规定”进行一定的修订,确保明确明晰;

    对于介质维修和销毁的规定,可在“信息安全保密管理规定”进行一定的修订,确保明确明晰。

    设备管理

    部署专用设备和软件系统,对设备操作使用进行有效的监管。

    3.2.3网络和系统安全管理

    一、网络安全管理

    1、部署网络漏洞扫描系统,并制定扫描管理规范,定期对网络和服务系统进行扫描,并生成检查报告;

    2、在现有管理的规范上,细化管理流程包含服务变更、授权访问等形成系统的申请、审批、核查流程;

    3、在现有管理规范的基础上,结合后期网络整改的需求制定专门的网络安全管理规范;

    4、根据网络和各业务系统的实际情况,补充详细的管理流程对安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面进行管理;

    5、部署安全运维管理系统和业务审计系统收集各种日志信息,并集中进行存储、管理和分析,为事件处理提供有力支持;

    6、通过按照国家局身份认证系统建设规范和计划,建设XX公司的身份认证系统,实现身份认证和授权管理的补充;

    建议部署内网NTP服务器,并配置所有系统使用NTP服务器进行时间校验和更新;

    7、按照国家局身份认证系统的规范进行建设,可根据身份认证系统的建设进行访问用户的身份认证和授权;

    二、系统安全管理

    1、服务器补丁采取谨慎处理,建议聘请专业安全公司协同应用系统开发厂商对漏洞修补对业务系统的影响进行评估后,对能够修补的补丁进行修正,不能修补的补丁漏洞通过网络访问控制、入侵防御等技术手段将风险控制到可接受范围内;

    2、在网络访问控制方面采用访问控制、入侵防御、业务审计、终端管理相结合的技术手段实现从网络层到应用层的综合防护;

    3、系统自身的管理通过系统管理员进行,访问系统应用的帐号均分配了合适的访问权限;

    4、部署漏洞扫描系统,定期对业务系统进行必要的检查;

    5、细化各类用户的责任、义务和风险,对系统帐户的登记造册、用户名分配、初始口令分配、用户权限及其审批程序、系统资源分配、注销等做出一定规定,并形成有效可行的流程;

    6、部署安全运维管理系统和业务审计系统,对系统自身的各项操作信息进行审计和管理,使之符合于对应的安全管理规定。

    3.2.4监控管理和安全管理中心

    建议部署安全运维管理中心,收集设备完整的各项资源使用信息、访问授权、操作记录、日志信息等并进行综合分析;

    建议部署的安全运维管理中心与已经部署的IT运维管理系统进行接口处理,将安全运维管理中心的安全事件处理自动发送IT运维管理中心进行规范处理管理。

    3.2.5备份与恢复

    1、需要制定专门的数据备份管理流程,对备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期、放置场所、文件命名规则、介质替换频率和将数据离站运输的方法等进行详细规定;

    2、将执行恢复程序,检查和测试备份介质的有效性的检查验证工作变为定期开展工作;

    3.2.6恶意代码防范

    1、策划全员安全培训,增强恶意代码的防范意识;

    2、建议新增网关防病毒系统,与现有网络版防病毒系统形成立体防护;

    3、建议制定单独的恶意代码管理规范。

    3.2.7变更管理

    增强变更档案管理。

    3.2.8信息安全事件管理

    1、在原有检测系统的基础上,增加安全事件高风险节点的入侵防御手段和安全防护;

    2、建设安全运维管理平台,对安全事件和事故的处理进行集中管理和分析处理;同时与现有的信息管理系统进行有效的整合,将信息管理、信息安全管理进行有效的结合;

    3、对已经制定的各项事件处理流程,编制培训和演练计划。

    应急预案的培训和演练事件建议每一年举办一次。制定并执行4、明确的计划要求,对应急预案进行定期审查和根据实际情况更新的内容,更新完成后及时进行培训和演练。

    3.2.9 密码管理

    按照国家局的相关要求进行XX公司的CA体系建设;

    参考CA建设内容、相关要求和自身实际情况,制定专项的密码管理条款或规定。

    4. 管理体系建设规划

    4.1体系建设

    4.1.1 建设思路

    一个信息安全项目和驱动因素会涉及六项主要输入:

    业务需求

    安全必须与业务需求相结合,这些需求与XX公司的业务战略、目的和目标,以及公司(在互联网上)经营业务的方式相联系;有效的安全将支持和确保公司业务的成功。

    合规需求

    任何公司都有一些必须遵从的法律法规,这些规定可能是行业相关的或者具体规定公司经营的,例如,XX公司必须遵循国家等级保护的规定,同时要遵循国家XX行业局的相关规定。

    威胁

    企业必须了解其信息和业务所面临的内外部威胁。对XX公司可能这些威胁来自于病毒对业务的破坏或拒绝服务的攻击,或主机网络瘫痪,以及内外部人员的误操作等。威胁也可能是无意的,但也会破坏业务的运营,如办公室火灾或者一些计算机设备损坏。

    后果

    了解安全事件的后果是至关重要的。如若不能理解公司是如何应用信息的,就不可能针对重大风险做出有效的安全控制计划。必须平衡实施安全控制的成本和所保护的资产的价值。

    安全治理

    安全项目的治理定义了,谁将控制以及谁对妥善保护公司信息资产负有责任。治理将定义安全组织模式并对安全项目绩效和价值进行评估。

    安全管理规划思路

    4.1.2规划内容

    本文安全管理体系规划内容从以下几个方面考虑。

    安全管理体系规划内容图

    4.2信息安全管理体系现状

    4.2.1现状

    XX公司在信息系统建设过程中意识到信息安全的重要性,在安全技术方面不断完善技术体系,安全管理方面也采取了相应的措施,在人员、制度和流程上都有所体现:

    明确信息系统各部分以及各重要应用系统的管理员和职责,具体如下:

    网络管理员

    数据库管理员

    ERP管理员

    MES管理员

    OA管理员

    辅助系统管理员

    营销系统管理员

    自动化系统管理员

    服务器硬件管理员

    服务器维护管理员

    4.2.2问题

    根据风险评估的结果,结合相关调研材料,目前XX公司信息安全管理现状如下:

    缺乏信息安全方针

    由于安全目标方针不明确,导致全员不能清晰领悟安全的重要性,安全思想不能得到有效贯彻落实,对于安全建设还抱有可有可无的思想状态。

    安全管理策略制度不完善

    缺乏系统开发安全规范,可能会存在项目过程文档、内部敏感信息外流的风险,以及系统漏洞被非法利用,如网站遭到数据库注入攻击,系统维护人员直接访问数据库导致系统重要数据被破坏。

    无符合性相应的文档规范,安全产品部署不符合目前等级保护的相关要求,对重要系统今后的正常运行产生一定障碍。

    人员安全管理不规范

    人员管理不规范导致内部人员无意失误、恶意破坏系统及被非法利用;

    对第三方人员的访问无管理流程规范,会导致第三方人员的恶意破坏或误操作;

    终端人员的误操作或恶意尝试会涉及到全网机器,导致整个公司的正常业务运作。

    如果按下图管理成熟度模型评价XX公司的管理体系应该处在2左右,即大多数过程能遵循固定的模式。

    成熟度模型

    4.3管理体系建设规划

    4.3.1信息安全最高方针

    信息安全最高方针是为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致;是管理层正式发布的总体意图与方向,管理者应根据业务目标制定清晰的方针方向,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。

    最高方针事例:

    为保护公司的信息资产(包括软硬件设施、数据、信息的安全)免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失,保障各项生产、经营管理工作正常有序的开展。

    贯宣口号事例:

    建立安全理念建设安全文化坚持以人为本认识安全效益

    建议:信息安全方针文档应经过管理层的批准,并传达给所有员工和外部相关方。

    4.3.2 风险管理

    建议:

    1、在信息系统的建设、运单位、变更过程中引入风险管理。

    2、对实施风险管理的信息系统中的信息资产进单位识别。

    3、应该识别受保护的信息资产所面临的威胁和信息系统所存在的脆弱性。

    4、对信息系统已采取的控制措施进行识别,并对控制措施的有效性进行确认。

    5、应该根据安全事件发生的可能性和影响程度,评估风险,确定风险等级。

    6、应该选择恰当的控制措施,并实施这些措施以降低信息系统安全风险。

    7、建立相应的制度保证风险管理的落实及维护。

    4.3.3组织与人员安全

    组织和人员是信息安全工作的重要支撑,建立有效的安全组织机构和相应的人员是做好XX公司信息安全工作的必要条件。

    一、组织结构

    建议:

    1、XX公司需要建立以厂领导为最高领导的信息安全领导小组,对XX公司信息系统的安全负有领导责任。

    2、该组织结构能够满足XX公司安全组织需求,但需要加强其职能。

    3、对上述组织结构中人员进行明确角色划分,并明确其任务分工,列入职位说明书里。

    二、信息安全职责

    建议:

    1、应在信息安全领导小组中设立信息安全运行的不同岗位,如网络管理员、数据库系统管理员、操作系统管理员、业务系统管理员等。

    2、明确规定信息系统安全管理过程中人员配备及职责。

    3、应该建立与加强与外部其它组织间的安全协作。

    4、应贯彻工作岗位中角色分离的原则,互斥、不兼容的职能角色必须分离。

    5、必须制定公司员工的安全使用原则,明确员工,尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转职、离职等的安全要求。

    XX公司在管理员设置以及人员方面较好的满足了信息安全职责划分的要求。但是仍然需要在管理员角色管理,用工人员制度方面有所加强。

    三、人员安全管理

    建议:

    1、制定《员工信息安全手册》,作为唯一针对全公司的信息安全操作手册。

    2、对《员工信息安全手册》进行宣传推广。主要手段:邮件、内网论坛、集中培训宣讲。

    3、《员工信息安全手册》执行情况检查与改进

    四、信息安全培训

    建议:

    1、 应建立长期有效的信息安全培训机制,对员工进行相关的安全培训, 增强安全意识、提高安全技能。

    2、员工上岗前,应进行岗位信息安全培训,并签署信息安全保密协议。在岗位发生变动时,及时调整信息系统操作权限。

    3、信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息安全权限和责任的变化。

    五、信息安全检查与考核

    建议:

    1、应定期进行信息安全检查与考核,包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。

    2、 制定正式的安全奖惩条例,处罚和奖励必须分明。

    4.3.4信息资产管理

    信息资产是指同信息系统相关的对XX公司有价值的事物,如计算机硬件和软件、数据库、服务和文档等。

    本章适用于XX公司所有部门。

    信息资产的分类分级

    建议:

    1、为了保证信息资产得到适当的保护,应该对信息分类分级,指明其保护级别。信息资产鉴别和分类是整个XX公司信息安全管理的基础,这样才能够真正知道要保护的对象。

    2、涉密(是指涉及国家秘密)信息资产应按办公室涉密信息资产规定进行管理。

    3、涉及企业秘密的资产信息,应按办公厅机密信息分类方法和制度,根据机密程度和商业重要程度对数据和信息进行分类。

    信息资产的标识

    建议:

    1、对所有识别出并进行分类的信息资产,应当建立资产目录并进行标识,标识方法可采用有形标签和电子标签。

    2、将信息资产分为不同的安全防护等级,有助于“应级而异”地规划、设计、实施相关的信息资产安全管理和保护措施,从而更有效地保障信息资产的机密性、完整性和可用性。

    信息资产的管理

    建议:

    1、根据业务、组织、人员等变化定期审查信息资产的归属类别,并更新其归属类别。

    2、应建立信息资产的物理存放、淘汰、报废等管理规定。

    3、应对各类信息资产设立责任人,明确安全责任。

    信息资产的审计和执行

    建议:

    1、各部门领导及信息资产管理员应当对本部门各类信息资产进行有效监督和管理,对违反管理规定的行为要及时指正,对严重违反者要立即上报;

    2、安全领导小组应当定期/不定期组织对各个部门的信息资产的安全状态进行审计,对违反管理规定的情况要通报批评;

    3、对严重违反规定,可能或者己经造成重大损失的情况要立即汇报上级安全指导委员会。

    4.3.5网络安全管理

    XX公司已经制定了《计算机网络管理规定》,各部门除了需要严格按照该规定执行外,还应该增加下列内容:网络基础的管理,网络运行的管理,无线网络管理.

    4.3.6桌面安全管理

    终端用户行为管理

    建议:

    1、应制定终端用户行为管理规范,严格控制用户的日常操作,并尽量避免应一台终端出现问题导致全网受影响。

    2、在操作之前,所有对主机及系统的访问都必须向用户提供示警信息。

    3、必须要求通过安全的登录程序登录主机及系统。

    4、用户必须具有唯一的个人身份标识,保证对主机及系统的所有活动都可以追溯到责任者。

    5、对于员工违反安全策略和安全流程,制定相应的纪律处分规定进行处罚。

    桌面防病毒管理

    建议:

    1、制定防病毒的管理制度和操作指南。

    2、设立专门的管理员负责防病毒的管理工作。

    3、如遇病毒安全事故,则按照信息安全事件响应。

    4、应在全网范围内建立多层次的防病毒体系,要使用国家规定的、服务技术支持优秀、具有计算机使用系统安全专用产品销售许可证的网络防病毒产品。各部门对防病毒软件的部署应该做到统一规划,统一部署,统一管理。

    4.3.7 服务器管理

    1、服务器系统是指承载重要业务的服务器,其安全管理不同于普通桌面系统,其它全管理不仅针对自身操作系统,还包括业务系统。

    2、应制定服务器系统安全管理规范,对服务器的软件安装、主机操作系统、服务器补丁/升级及变更等各方面进行管理。

    3、XX公司已经制定了《服务器管理规定》,用于加强对服务器的管理。各部门除了要严格执行《服务器管理规定》所述各项规定外,还需要进一步细化,遵守下述服务器安全管理规定:软件安装安全管理,服务器系统安全管理,服务器补丁/升级安全管理,变更管理。

    4.3.8第三方安全管理

    由于XX公司业务系统较多,有很多系统是委托第三方机构进行开发或者代维,XX公司不能直接管理第三方,所以可能面临着很大的威胁。

    此章节适用于与第三方机构及人员活动的各部门。

    建立第三方安全管理的规范和制度,并要求其严格遵守。严格控制第三方对XX公司信息系统的访问,并在合同中规定其安全责任和安全控制要求,以维护第三方访问的安全性。

    4.3.9系统开发维护安全管理

    XX公司信息化建设步伐很快,新的系统陆续在开发,如果开发过程中的安全管理做好可避免系统运行后因应用系统漏洞而受到威胁。

    本章适用于涉及信息系统开发维护的所有部门。

    应建立系统开发维护管理规范,对系统开发过程及维护过程进行严格管理。

    4.3.10业务连续性管理

    业务连续性管理是确认影响业务发展的关键性因素及其可能面临的威胁。并由此而拟定一系列计划与步骤用来确保企业无论处于何种状况下,这些关键因素的作用都能正常而持续地发挥作用,应对可能发生的冲击及对企业运作造成的威胁,确保业务的连续稳定连续运行。通常在企业信息安全工作里,业务连续性是指应急响应和灾难恢复工作。

    XX公司已经建立了《信息安全事故响应预案》,各部门除了要严格遵守和执行上述预案外,还应该从风险管理的角度的出发,多方面考虑业务连续性的要求,细化应急响应工作内容。,具体要求:建立应急响应小组,制定应急响应计划,信息安全事件的报告和应急处理,建立应急信息库,应急恢复演练和测试。

    4.3.11项目安全建设管理

    项目安全建设管理是指从可行性研究、立项、招投标、合同到设计、施工等各个环节按照法律法规、工程建设相关管理规定为依据在信息安全方面进行的管理。

    此章节适用于进行建立IT相关项目的各部门。

    应结合公司相关工程建设管理规范对项目整个过程建立安全管理规范,包括项目设计安全管理,项目施工安全管理,项目试运行安全管理,项目验收安全管理.

    4.3.12物理环境安全

    物理环境安全不仅包括机房,还包括工作环境等区域,应针对这些区域进行安全管理。

    此章适用于XX公司所有部门。

    物理环境安全包括物理区域划分,物理访问控制,物理设备安全管理,物理文档安全管理。

    4.4管理体系建设规划

    4.4.1项目规划

    通过本规划中的建设项目达到等级保护和国家局安全保障体系建设指南的相关管理基本要求。具体规划项目内容如下:

    类别

    基本要求

    项目编号

    建设项目

    管理

    安全管理机构

    ISM-1

    信息安全组织建立

    安全管理制度

    ISM-2

    信息安全制度完善

    人员安全管理

    ISM-3

    人员安全能力建设

    系统建设管理

    ISP-4

    第三方运维管理

    ISP-3

    信息安全建设过程完善

    制度评审

    ISM-4

    信息安全制度评审

    运维

    流程规范

    ISP-2

    网络安全流程规范完善

    ISP-1

    系统运维规范建设

    风险评估

    ISM-5

    风险评估能力建设

    采购与实施过程管理

    ISP-3

    信息安全建设过程完善

    日常维护

    ISP-5

    配置管理规范建设

    ISP-2

    网络安全流程规范完善

    应急与事件响应

    ISP-6

    应急响应能力建设

    备注:ISM:Information Security Management,信息安全管理

    ISP:information Security Procedure,信息安全流程

    规划项目内容表

    4.4.2总结

    通过上述安全管理体系的建设,可以使XX公司的安全管理水平达到一个新的高度,满足现实安全需求的要求,同时也满足合规性的相关要求。随着XX公司信息安全技术体系,管理体系运维体系的相继建设,XX公司的信息系统将大大提高安全防护能力,并且在制度上能够保证安全措施的落实,从而极大的提高了系统的安全性。

    本文转载自公众号爱方案(ID:ifangan)。

    展开全文
  • 计算机信息安全认识实习报告

    千次阅读 2020-12-20 20:42:19
    认知实习,通过了解公司的相关信息和技术发展以及招聘情况,让我们了解我们信息安全专业在未来的发展趋势,使我们了解本专业相关领域的发展现状,了解到计算机相关领域的发展现状和最新科研成果,以及在生产科研中的...
  • 信息安全习题(含答案)

    万次阅读 多人点赞 2018-07-06 16:21:37
    信息安全技术教程习题及答案第一章 概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√2. 计算机场地可以选择在公共区域人流量比较大的地方。×3. 计算机场地可以选择在化工厂生产车间...
  • 需要网络安全制度汇编请...需要加强等网络、信息安全级保护定级备案,网络安全测评及网络安全整改工作。 链接:https://pan.baidu.com/s/1Z5n_1S4hHUFfuuci2yIpnw 提取码:fwfi 机房管理制度 为规范机房内部管理...
  • 信息安全工程师是信息产业部和人事部举办的软考中新增开的一门考试。软考全称全国计算机技术与软件专业技术资格(水平)考试,这门新开的信息安全工程师分属该考试“信息系统”专业,位处中级资格,是信息产业部和...
  • 在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,拥有国际信息安全认证的...国内的信息安全相关的权威认证基本上都是针对具备数年工作经验从业者,偏理论、偏框架、...
  • 信息安全8个总原则

    千次阅读 2019-09-21 15:32:54
    信息安全保护工作事关大局,影响组织和机构的全局,主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认识,组织有效队伍,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使...
  • 如何做好软件维护工作

    千次阅读 2011-12-31 14:59:58
    繁琐,简单,低能,枯燥,没有技术含量……那如何做好软件维护工作呢?做好软件维护工作又有什么意义呢?  软件维护工作基本的任务就是做好日常检查,备份,预防系统可能出现的故障,及早的发现问题,解决问题。不...
  • 信息安全事件管理

    万次阅读 2007-06-25 14:35:00
    目 次前 言 III引 言 IV1 范围 12 规范性引用文件 13 定义 14 背景 14.1 目标 14.2 过程 25 益处和关键问题 45.1 益处 55.2 关键问题 66 信息安全事件及其原因示例 96.1 拒绝服务 96.2 信息收集 96.3 未授权访问 107...
  • 个人信息安全如何保障?

    万次阅读 2017-02-25 20:49:13
    一、个人信息内容 一般情况下个人资料包括姓名、性别、年龄、家庭住址、工作单位、身份证号码、遗传特征、指纹、婚姻、健康、病历、财务情况通信地址、E-mail地址、学历、经历、账号与密码等。还包括社会活动及其他...
  • 企业信息安全之社工学审计

    千次阅读 2016-07-09 07:47:22
    在现代的信息安全中,数据泄露已成为常态。在日常的生活中,各种社交软件和各种网络平台的盛行强烈地吸引着众多的网民去注册。其中社交软件和各种跨平台账号登录基本上都会涉及到邮箱、账号、QQ号码、手机号码、...
  • 如何做好开发组长工作

    万次阅读 2016-05-27 10:06:54
    首先,对上一级,需要通过开发组长或者项目组组长了解整个项目的进度情况以及小组各成员的工作情况,很多时候上一级都会比较忙,而他要了解底下的人员做得怎么样,大多数时候都得靠小组长提供这些信息。另有什么新的...
  • 基于这个目的,《防线:企业Linux安全运维理念和实战》以笔者在500强企业中使用企业级开源操作系统Linux在信息安全中的部署和使用方法为切入点,来介绍如何做好信息安全工作。  《防线:企业Linux安全运维理念和...
  • 信息安全制度(用户篇)

    千次阅读 2019-03-05 12:06:21
    一、遵守《中华人民共和国计算机信息系统安全保护条例》及其他有关的国家法律、法规和规定。 二、制定和严格执行安全管理制度。 三、保存会员登录记录30天以上 四、会员登记的私人信息资料,网站不得向外界散发、...
  • 笔者曾经参加ISG 比赛时有位导师的经典语录:信息安全管的是什么? 其实质管理的就是输入和输出。 (如果你已经踏上管理岗位,其实会发现这句话在企业管理中也是适用的) 所以管住你的输入和输出,就能管住你的信息...
  • 2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。 背景情况 工控安全事关经济发展、社会稳定和国家安全。近年来,随着信息化和工业化...
  • 企业信息安全建设工作可以从多个方面来建设与完善,我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验,与各位共勉,干货在后面。 等级保护包含哪些方面 根据GB/T22239-2008 《...
  • 信息安全基础练习题(看完包过)

    千次阅读 2020-06-20 09:20:33
    信息安全基础课程练习与参考解答 一、单项选择题 密码学的目的是( C )。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究漏洞扫描 数据机密性安全服务的基础是( D )。 A. 数据完整性机制 B. 数字...
  • 网络与信息安全应急处置预案

    千次阅读 2018-11-06 01:09:20
    网络与信息安全应急处置预案
  • 中国信息安全行业发展之路

    千次阅读 2007-08-24 20:43:00
    最近(2007—8)在网络上看到很多关于信息安全发展趋势的讨论,我便搜集一些,做了点整理的工作,写下这篇短文,希望对解决中国信息安全行业的现状及以后何去何从有所帮助。 这里讲的信息安全不光包括物理介质上的...
  • 物联网环境下信息安全问题与对策

    千次阅读 2019-04-17 19:13:05
    物联网环境下信息安全问题与对策 一、物联网安全概述 1.物联网简介 物联网是依托于互联网而形成有着一定约定和协议的网络系统,物联网系统能够通过通信、信息交换、信息传感设备等将互联网与现实物品相联系,实现...
  • 信息安全学习----渗透测试知识点

    万次阅读 2021-02-16 21:43:32
    信息安全学习----渗透测试知识点 信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库...
  • 信息安全建设三部曲

    千次阅读 2018-03-20 17:54:15
    从那些刷爆朋友圈的事故说起随着社会、科技等的快速发展,信息、数据逐渐凸显重要位置,并且一跃成为企业...信息和数据的关键重要性,决定了信息安全在企业中的重要性。如何保障信息和数据的安全,也将逐渐成为企业...
  • 个人信息安全现状及保护方法

    万次阅读 2017-04-02 23:21:02
    个人信息安全现状及保护方法 摘要 随着科技的高速发展,互联网,智能设备的日益普及,大数据处理技术和云计算技术的应用越来越多,普通用户的个人信息数据越来越多并且越来越完整的被各种信息系统收集,...
  • 网络信息安全及防范策略

    万次阅读 2017-03-02 17:26:30
    电子政务是信息时代政府工作和管理方式的一次重大变革,与传统政府相比,电子政务使政府运作更为公开透明,信息资源利用更加充分合理,大大增强了政府的服务功能,提高了办事效率,降低了管理成本。但与此同时,电子政务的...
  • 国产密码算法:锻造信息安全之盾

    千次阅读 2015-10-10 09:34:59
    随着商业银行信息化的快速发展,以网上银行为代表的基于Internet和其他各类网络的应用系统迅速普及。由于个人金融信息具有高度的敏感性,因此,这些信息在网络上的...那么商业银行怎样才能保护好个人金融信息安全呢?采
  • 公安部最近披露消息:自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 93,231
精华内容 37,292
关键字:

如何做好信息安全工作