v1.0可编辑可修改XXX单位信息平安工作总体方针目录1 总那么11.1 目标1.1.2 适用范围1.1.3 建设思路1.1.4 建设原那么3.1.5 建设目标5.2 体系框架5.2.1 平安模型6.2.2 体系框架7.3 建设内容143.1 组织机构1.43.2 人员治理1.43.3 物理治理1.53.4 网络治理1.53.5 系统治理1.53.6 应用治理1.53.7 数据治理1.63.8 运维治理1.64 总体平安策略164.1 物理平安策略 174.2 网络平安策略174.3 主机平安策略184.4 应用平安策略194.5 数据平安策略204.6 病毒治理策略205 附那么21#v1.0可编辑可修改1总那么为增强和标准XXX单位信息系统平安工作,提升信息系统整体平安防护水 平,实现信息平安的可控、能控、在控,依据国家有关法律、法规的要求,制定 本文档.1.1 目标本文档的目的是为XXX单位信息系统平安治理提供一个总体平安架构文件, 该文件将指导信息系统的平安治理体系的建立.平安治理体系的建立是为信息系 统的平安治理工作提供参照,以实现统一的平安策略治理,提升整体的网络与信 息平安水平,保证平安限制举措落实到位,保证网络通信畅通和业务系统的正常 运营.1.2 适用范围本文档适用于信息系统平安方案规划、平安建设实施和平安策略的制定.1.3 建设思路XXX单位信息平安建设工作的总体思路如下列图所示：信息化建设是基于当前通用的网络与信息系统根底技术,针对平安性问题和支撑平安技术,通过平安评估,对信息化建设和信息平安建设进行分析和总结, 其中包括对建设现状和开展趋势的完整分析, 归纳出系统中当前存在和今后可能 存在的平安问题,明确网络和信息系统运营所面临的平安风险级别.从支撑性平安技术展开,对现有网络和信息技术的固有缺陷出发,总结了普遍存在的平安威胁,并根据其它系统中的信息平安建设实践中的经验,从信息安全领域的完整框架、思路、技术和理念出发,提供完整的平安建设思路和方法.在此根底之上,对信息平安领域的理论、框架和技术根底与 XXX单位的平安 问题有机地进行结合,有针对性地提出XXX单位平安保证总体策略.平安保证总 体策略包括了整体建设目标,平安技术策略,以及相应的治理策略.以平安保证总体策略为核心,分三个方面进行整体信息平安体系框架的制 定,包括平安技术体系,平安治理体系和运营保证体系.在现实的运营过程中, 平安保证不能够纯粹依靠平安技术来解决, 更需要适当的平安治理,相互结合来 提升整体平安性效果.在信息平安体系框架的指导下,依据相应的建设标准和治理标准,规划和制定详细的信息平安系统实施方案和运营维护方案.信息平安体系建设的思路表达了以下的特点：统筹规划和设计在建设过程中占有非常重要的地位；充分结合建设现状与信息平安通用技术和理念；充分考虑了当前的建设现状以及未来业务开展的需要； 注重平安治理体系的建设,以及治理、技术和保证的相互结合.1.4 建设原那么信息系统平安坚持“平安第一、预防为主,治理和技术并重,综合防范的 总体方针,实现信息系统平安可控、能控、在控.依照“分区、分级、分域总 体平安防护策略,执行信息系统平安等级保护制度.信息平安体系的建设,涉及面广、工作量大,必须坚持以下的原那么,保证建 设和运营的效果.统一规划要对的信息平安体系建设进行统一的规划,制定信息平安体系框架,明保证 障体系中所包含的内容.同时,还要制定统一的信息平安建设标准和治理标准, 使得信息平安体系建设能够遵循一致的标准,治理能够遵循一致的标准.分步有序实施信息平安体系的建设,内容庞杂,必须坚持分步骤的有序实施原那么,循序渐 进地进行.基于平安需求依据信息系统担负的使命,积累的信息资产的重要性以及可能受到的威胁及 面临的风险分析平安需求,根据信息系统等级保护要求确定相应的信息系统平安 保护等级,遵从相应等级的标准要求,从全局上恰当地平衡平安投入与效果.技术治理并重仅有全面的平安技术和机制是远远不够的,平安治理也具有同样的重要性, XXX单位信息平安体系的建设,必须遵循平安技术和平安治理并重的原那么.制定 统一的平安建设治理标准,指导的平安治理工作.突出平安保证信息平安体系建设要突出平安保证的重要性,通过数据备份、冗余设计、应 急响应、平安审计、灾难恢复等平安保证机制,保证业务的持续性和数据的平安 性.持续改良信息系统平安治理是一种动态反响过程,贯穿整个平安治理的生存周期,随 着平安需求和系统脆弱性的时空分布变化, 威胁程度的提升,系统环境的变化以 及对系统平安熟悉的深化等,应及时地将现有的平安策略、风险接受程度和保护 举措进行复查、修改、调整以至提升平安治理等级,维护和持续改良信息平安管 理体系的有效性.依法治理信息平安治理工作主要表达为治理行为,应保证信息系统平安治理主体合 法、治理行为合法、治理内容合法、治理程序合法.对平安事件的处理,应由授 权者适时发布准确一致的有关信息,预防带来不良的社会影响.自保护和国家监管结合对信息系统平安实行自保护和国家保护相结合. 组织机构要对自己的信息系 统平安保护负责,政府相关部门有责任对信息系统的平安进行指导、 监督和检查, 形成自管、自查、自评和国家监管相结合的治理模式, 提升信息系统的平安保护 水平和水平,保证国家信息平安.1.5 建设目标根据XXX单位信息平安体系建设需求和原那么,XXX单位信息平安的建设目标, 可以用“一个目标、两种手段、三个体系进行概括.一个目标XXX单位信息平安的建设目标是：基于平安根底设施、以平安策略为指导,提供全面的平安效劳内容,覆盖从物理、网络、系统、直至数据和应用平台各个 层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息 平安体系,从而提升XXX单位信息系统的整体平安等级,为XXX单位的业务开展 提供坚实的信息平安保证.两种手段信息平安体系的建设应该包括平安技术与平安治理两种手段, 其中平安技术 手段是平安保证的根底,平安治理手段是平安技术手段真正发挥效益的关键, 管 理举措的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可.三个体系XXX单位信息平安体系的建设最终形成 3个主要体系,具体包括平安技术体 系、平安治理体系、以及运行保证体系.2体系框架XXX单位进行信息平安建设的目标是建立起一个全面、 有效的信息平安体系, 在这个体系中,包括了平安技术、平安治理、人员组织、教育培训、资金投入等 关键因素,信息平安建设的内容多,规模大,必须进行全面的统筹规划,明确信 息平安建设的工作内容、技术标准、组织机构、治理标准、人员岗位配备、实施 步骤、资金投入,才能够保证信息平安建设有序可控地进行, 才能够使得信息安 全体系发挥最优的保证效果.2.1 平安模型根据XXX单位信息平安体系建设目标和总体平安策略,建立了与之对应的目标模型,称为 WP2DR平安模型,该模型是基于时间的,由预警 Warn ng、策 略Policy保护Protection 检测Detection 响应Response恢 复Recovery六个要素环节构成了一个完整的、动态的信息平安体系.预警、 保护、检测、响应、恢复等环节都由技术内容和治理内容所构成.Policy平安策略：根据风险分析和评估产生的平安策略描述了系统中 哪些资源要得到保护,以及如何实现对它们的保护等.在WP2DR平安模 型中,策略处于核心地位,所有的防护、检测、响应、恢复都依据平安 策略展开实施,平安策略为平安治理提供治理方向和支持手段.Warining 预警：根据以前所掌握的系统的弱点和当前了解的犯罪趋势 预测未来可能受到的攻击和及危害.包括风险分析、病毒预报、黑客入 侵趋势预报和情况通报、系统弱点报告和补丁到位.Protection 防护：通过修复系统漏洞、正确设计开发和安装平安系统 来预防平安事件的发生；通过定期检查来发现可能存在的系统弱点；通 过教育等手段,使用户和操作员正确使用系统,预防意外威胁；通过访 问限制、监控等手段来预防恶意威胁.Detection 检测：检测是非常重要的一个环节,检测是动态响应和加 强防护的依据,它也是强制落实平安策略的有力工具,通过检测和监控 网络和信息系统,发现新的威胁和弱点,通过循环反响来及时做出有效 的响应.Response响应：响应是对平安事件做出反响, 包括对检测到的系统异 常或者攻击行为做出响应动作,以及处理突发的平安事件.恰当的响应 动作和响应流程可以降低平安事件的不良影响,增强对重要资源的保护.Recovery 恢复：灾难恢复水平直接决定了业务应用的持续可用性,任何意外的突发事件都可能造成效劳中断和数据受损,优秀的灾难恢复计 划能够针对灾难事件做到未雨绸缪,即使系统和数据遭受破坏,也能够 在最短的时间内,完成恢复操作.WP2DR平安模型的特点就是动态性和基于时间的特性.它阐述了这样一个结 论：平安的目标实际上就是尽可能地增大保护时间, 尽量减少检测时间和响应时 间.WP2DR模型是在传统的P2DR模型的根底上新增加了预警 Warning和恢复 Recover,增强了平安保证体系的事前预防和事后恢复水平,一旦系统平安事故 发生了,也能恢复系统功能和数据,恢复系统的正常运行.平安目标模型是信息平安体系框架的根底, XXX单位的信息平安体系框架紧 密围绕这个平安模型的6个要素环节进行设计,每个要素环节的功能都在平安技 术体系、平安组织和治理体系以及运行保证体系中表达出来.2.2 体系框架通过对XXX单位的网络和应用现状、平安现状、面临的平安风险的分析,根 据平安保证目标模型,制定了 XXX单位信息平安体系框架,制定该框架的目的在 于从宏观上指导和治理信息平安体系的建设和运营.该框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可 分割的信息平安保证要素组成.在此框架中,以平安策略为指导,融会了平安技 术、平安治理和运行保证三个层次的平安体系,到达系统可用性、可控性、抗攻 击性、完整性、保密性的平安目标.XXX单位信息平安体系框架的总体结构如下列图所示：平安应用系统平台I组织机构倍息资产 治理安综合治理平台Eg主 主叫吊詐推列骨芝拦b史兰居卜防火城网帝人辰捷测冋賂演葩花茁平安教育平安根底造潇平台2数砥和系统备涪应急响应灾难恢夏|r运行保证体系平安技术体系平安组织 与件理体系平安策略在这个框架中,平安策略是指导.平安策略与平安技术体系、平安组织和管理体系以及运行保证体系这三大体系之间的关系也是相互作用的.一方面,三大体系是在平安策略的指导下构建的,主要是要将平安策略中制定的各个要素转化 成为可行的技术实现方法和治理、运行保证手段,全面实现平安策略中所制定的 目标；另一方面,平安策略本身也有包括草案设计、评审、实施、培训、部署、 监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和治理手段进行治理,保证平安策略的及时性和有效性.平安技术体系平安技术体系是整个信息平安体系框架的根底,包括了平安根底设施平台、 平安应用系统平台和平安综合治理平台这三个局部,以统一的信息平安根底设施 平台为支撑,以统一的平安系统应用平台为