企業(yè)(集團)信息安全總體安全方針

1、企業(yè)（集團）信息安全總體安全方針1.1.1 安全使命保障業(yè)務持續(xù)，促進業(yè)務發(fā)展信息安全必須為業(yè)務服務，脫離業(yè)務的信息安全也就失去了其真正的意義。保證實現(xiàn)業(yè)務服務的信息系統(tǒng)正常運行，進而使企業(yè)（集團）的業(yè)務持續(xù)開展，就成為了信息安全建設的最根本使命。業(yè)務創(chuàng)新能力成為業(yè)務增值過程中的重要手段。業(yè)務創(chuàng)新背后離不開信息安全技術的支撐。運用信息安全技術和管理支撐業(yè)務創(chuàng)新的能力將會成為企業(yè)（集團）的業(yè)務趨向安全保障的使命。1.1.2 安全目標保證信息的機密性、完整性和可用性（直接目標）信息機密性是指信息僅可讓授權獲取的人士訪問。信息完整性是指保護信息和處理方法的準確和完善。信息可用性是指確保授權人需要時可

2、以獲取信息和相應的資產(chǎn)。信息安全必須保證信息的機密性、完整性和可用性，這是信息安全建設的重要目標。企業(yè)（集團）信息安全的建設必須以保證信息的機密、完整和可用為安全保障戰(zhàn)略目標，這是企業(yè)（集團）的需要，是企業(yè)信息化發(fā)展的需要，也是所有用戶的需求。第1頁共17r安全管理機將-崗位設置-人員配蓄-授權和審批-溝通和合作-審核和檢查人員安全管理人員錄用、離面安全克學和培訓 ，外部人員訪問1.2安全保障框架企業(yè)（集團）安全保障主體是構筑企業(yè)信息化平臺和服務的基礎上，其核心是企業(yè)信息化相關的應用系統(tǒng)，安全保障框架所有安全控制都應包含為策略、組織、技術和運作四個要素，即每條安全控制，都可以描述為“根據(jù)某某策

3、略，由某某組織（或人員），利用某某技術，進行某某操作"。將安全控制的四要素分別綜合起來，成為策略體系、組織體系、技術體系和運作體系。這四個體系構成了安全保障框架。企業(yè)（集團）安全保障框架框架總體示意如下圖所示:安全管理制度架構安全制度制定和發(fā)布制.度評審和修訂（2統(tǒng)建設管理、- 設計實施- 采購、供應商- 開發(fā)，測試- 驗收、交付- 等級保護|系統(tǒng)運維管理 環(huán)境、資產(chǎn) 介質(zhì).設備 監(jiān)控、安全 網(wǎng)絡、系統(tǒng),惡意代碼）、求碼/狗理安全應用安全，網(wǎng)總安全數(shù)據(jù)安全主機安全企業(yè)（集團）業(yè)務系統(tǒng):業(yè)務系統(tǒng)是企業(yè)（集團）安全保障框架框架的核心，其實現(xiàn)業(yè)務功能的信息系統(tǒng)安全需求和等級決定了整體安全保

4、障的強度和力度。安全策略體系指導企業(yè)（集團）信息系統(tǒng)設計、建設和維護管理工作的基本依據(jù)，所有相關人員應根據(jù)工作實際情況履行相關安全策略，制定并遵守相應的安全標準、流程和安全制度實施細則，做好安全標準體系相關工作。安全組織體系落實信息安全管理機構和人員安全管理部分的相關內(nèi)容，指導企業(yè)（集團）安全職能的落實、崗位設置和相關人員的安全管理。安全技術體系：落實等級保護以及信息安全管理體系相關標準中安全技術中的所有控制要求，實現(xiàn)物理、網(wǎng)絡、主機、應用和數(shù)據(jù)的所有安全控制項，通常采用安全技術產(chǎn)品加以實現(xiàn)。安全運作體系：貫穿組織、策略和技術的流程和規(guī)范，是安全工作的關鍵，落實系統(tǒng)安全建設和系統(tǒng)安全運維管理部

5、分的控制要求，指導企業(yè)（集團）的安全實施和運維的具體實現(xiàn)。安全組織、安全策略以及安全運作統(tǒng)稱為安全管理體系建設。企業(yè)（集團）信息安全建設整體規(guī)劃2.1 信息安全管理體系建設2.1.1 安全組織建設企業(yè)（集團）安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式。信息安全領導小組職責信息安全領導小組是由企業(yè)（集團）主管領導牽頭，各部門的負責人為組成成員的組織機構，主要負責批準企業(yè)（集團）安全策略、分配安全責任并協(xié)調(diào)安全策略能夠實施，確保安全管理和建設有一個明確的方向，從管理層角度對信息安全管理提供支持。信息安全工作組職責信息安全工作組是由信息技術部領導牽

6、頭，內(nèi)設專職的安全管理組織和崗位，負責日常具體工作的落實、指導和協(xié)調(diào)。2.1.2 安全策略建設企業(yè)（集團）應以ISO27001以及GB/T22239-2008基本管理要求架構為信息安全策略架構，并根據(jù)企業(yè)（集團）特點進行調(diào)整擴充，可分為七個方面，包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理、系統(tǒng)廢止管理和系統(tǒng)檢查與評估，如圖所示：基本安全管理要求2.1.3 安全運維建設信息系統(tǒng)交付后正式開始支撐各項業(yè)務系統(tǒng)和日常辦公需要，如何保證信息系統(tǒng)持續(xù)穩(wěn)定安全運行是安全運維管理的重要工作內(nèi)容。只有保證信息系統(tǒng)日常正常穩(wěn)定運行，才能切實發(fā)揮信息系統(tǒng)對企業(yè)（集團）各項業(yè)務開展和日

7、常辦公的支撐作用和效益。為此本方案設計了安全運維體系涉及到各類日常運維操作規(guī)范和流程和安全事件管理與應急響應流程，構成了支撐和落實各項信息安全管理方針和第6頁共17頁策略的堅實基礎。2.1.3.1 日常運維管理2.1.3.1.1 環(huán)境管理企業(yè)（集團）所有的服務器和核心網(wǎng)絡設備均按照要求放置在集中的機房中，為了保證機房的各項安全資源的穩(wěn)定可靠，制定機房安全管理制度，對以下方面進行規(guī)定：機房電力、空調(diào)、門禁、監(jiān)控等設備的管理進行規(guī)定；規(guī)定進出機房要求和記錄；規(guī)定對機柜、服務器、電源等設備的進入、變動和移出等操作；機房責任人和日常運維職責內(nèi)容。企業(yè)（集團）基本實現(xiàn)了業(yè)務工作和日常辦公的信息化和網(wǎng)絡化

8、，業(yè)務系統(tǒng)終端和辦公終端分布在各個辦公室，為了防范系統(tǒng)終端的安全風險，杜絕從終端對業(yè)務系統(tǒng)和網(wǎng)絡的安全威脅，提升業(yè)務人員和所有員工的安全意識，制定辦公室安全管理制度，對以下方面進行規(guī)定：辦公室的信息安全要求；辦公終端信息安全保密要求；辦公終端使用規(guī)范。2.1.3.2 資產(chǎn)管理信息資產(chǎn)是構成網(wǎng)絡和信息系統(tǒng)的基礎，是系統(tǒng)各種服務功能實現(xiàn)的提供者和信息存儲的承載者。對資產(chǎn)進行管理是一切安全運維管理的基礎，企第6頁共17頁業(yè)（集團）把各類硬件、軟件、數(shù)據(jù)、介質(zhì)、文檔均作為信息資產(chǎn)進行管理，制定資產(chǎn)管理制度加以規(guī)范，包括以下內(nèi)容：規(guī)定信息分類和識別，不同類別的存放、處理和傳輸?shù)陌踩?；按照信息系統(tǒng)制定

9、資產(chǎn)清單，包括責任人、重要程度、供應商、部署位置等信息；資產(chǎn)的中報、領用、維修和報廢流程；要求定期對資產(chǎn)進行盤點和安全性審計。資產(chǎn)對備份的要求。2.1.3.3 網(wǎng)絡安全管理網(wǎng)絡作為信息系統(tǒng)的基礎性設施，為各個業(yè)務系統(tǒng)和辦公應用提供連通和數(shù)據(jù)傳輸，實現(xiàn)信息共享。網(wǎng)絡對可靠性和安全性具有非常高的要求，企業(yè)（集團）制定網(wǎng)絡安全管理制度對網(wǎng)絡的架構和設備的安全管理進行約定，主要包括以下內(nèi)容：網(wǎng)絡結構和IP地址分配；網(wǎng)絡接入安全要求；網(wǎng)絡設備操作規(guī)范流程；網(wǎng)絡設備安全配置和版本更新要求；網(wǎng)絡設備帳戶授權、驗證和審計要求；網(wǎng)絡流量和網(wǎng)絡漏洞的監(jiān)控。為落實網(wǎng)絡安全管理，將設計以下若干技術規(guī)范：網(wǎng)絡結構和IP

10、地址管理流程網(wǎng)絡接入安全管理流程網(wǎng)絡設備安全技術規(guī)范網(wǎng)絡設備的維護流程2.1.3.4 系統(tǒng)安全管理將每個業(yè)務系統(tǒng)作為安全保護的對象，應當對每個業(yè)務系統(tǒng)制定相應的安全運維流程和規(guī)范，系統(tǒng)安全管理制度用于指導如何根據(jù)業(yè)務安全等級和安全需求來制定相應的運維流程和規(guī)范。主要包括以下內(nèi)容：應根據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；系統(tǒng)管理角色分離要求、權限、責任分配原則；要求進行系統(tǒng)配置管理和變更管理；操作系統(tǒng)安全運維流程；數(shù)據(jù)庫安全運維流程；應用平臺安全運維流程；系統(tǒng)安全日志審核要求；系統(tǒng)備份和數(shù)據(jù)備份要求。每個系統(tǒng)管理具體安全管理制度的落實依靠如下相關支撐技術規(guī)范和流程：操作系統(tǒng)安全技術規(guī)

11、范；數(shù)據(jù)庫系統(tǒng)安全技術規(guī)范；應用平臺安全技術規(guī)范；應用系統(tǒng)操作手冊；系統(tǒng)備份和數(shù)據(jù)備份流程；系統(tǒng)安全評估和審計流程；系統(tǒng)配置清單及變更記錄；2.1.3.5 防惡意代碼管理惡意代碼防范是一項全員需要進行安全管理工作，因此單獨制定防惡意代碼管理制度指導全體員工防范由于惡意代引起的安全風險：規(guī)定全員防惡意代碼的職責；明確惡意代碼的可能感染源和防范手段；明確惡意代碼的報告流程；防惡意代碼產(chǎn)品的安裝、使用、升級流程；惡意代碼事件的統(tǒng)計、報告流程。2.1.3.6 監(jiān)控管理和IT門戶系統(tǒng)建立集中的安全監(jiān)控和管理中心相配套的安全監(jiān)控管理制度，對監(jiān)控內(nèi)容、監(jiān)控方式、監(jiān)控記錄集中保存、監(jiān)控記錄審計等進行規(guī)范，安全

12、監(jiān)控管理制度主要包括以下內(nèi)容：規(guī)定安全監(jiān)控內(nèi)容，包括但不限于通信流量、軟硬件運行狀況、用戶行為、漏洞發(fā)布情況、安全設備報警信息等；安全監(jiān)控的方式和工具；監(jiān)控記錄的審計和分析；可疑事件的報告；2.1.3.7 密碼管理敏感系統(tǒng)應使用符合國家密碼管理規(guī)定的密碼技術和產(chǎn)品，同時建立密碼管理制度，加強對密碼和加密設備的管理。按照等級保護和ISO27001要求建立密碼使用管理制度，對一下方面進行規(guī)范：密碼復雜度管理密碼定期修改管理多因素認證管理密碼保存管理2.1.3.8 變更管理信息安全風險是“動態(tài)”的主要因素之一，就是網(wǎng)絡和信息系統(tǒng)是會發(fā)生變化的，為了防范由于網(wǎng)絡和系統(tǒng)變化對整體安全現(xiàn)狀的影響，規(guī)避變更

13、產(chǎn)生的風險，制定變更管理制度。對以下方面進行規(guī)范：規(guī)范變更管理的范圍；規(guī)范變更流程，制定申報、方案制定、變更審核、審批流程；要求變更過程記錄；進行系統(tǒng)變更前備份；要求制定變更失敗恢復流程和進行恢復測試；2.1.3.9 備份與恢復管理為了保證業(yè)務連續(xù)性，企業(yè)（集團）制定備份與恢復管理制度規(guī)范以下內(nèi)容：規(guī)定系統(tǒng)進行安全需求分析時要考慮備份措施要求；對企業(yè)（集團）信息備份級別進行定義，確定每個級別的備份方式、備份頻度、存儲介質(zhì)、保存期限及恢復測試頻次；規(guī)定備份存儲介質(zhì)的放置、命名、管理和離站運輸方法。2.1.3.2安全事件管理和應急響應針對出現(xiàn)突發(fā)安全事件應當制定相應的處理流程，針對不同的安全事件制

14、定針對性的應急響應預案。主要通過安全事件管理制度和應急響應預案管理制度兩項制度來落實。其中安全事件管理制度規(guī)定以下內(nèi)容：安全事件的定義、等級劃分；不同等級安全事件的發(fā)現(xiàn)、報告、分析、處置流程；安全事件的原因分析、記錄處理、經(jīng)驗教訓總結和補救措施的制定流程；要求每個信息系統(tǒng)做好安全事件記錄管理。應急響應預案管理制度規(guī)定以下內(nèi)容：要求針對典型事件和重大事件制定相應的應急響應預案；規(guī)定應急響應人力、設備、技術、財務等相關支撐資源;規(guī)定應急響應預案的框架和模板；規(guī)定應急響應預案的演練和演練流程；2.2 物理安全建設按照國家對于計算機機房的相關建設標準，制定統(tǒng)一的計算機機房建設標準和管理規(guī)范，對于計算機

15、機房建設中的環(huán)境參數(shù)、保障機制，以及運行過程中的人員訪問控制、監(jiān)控措施等進行統(tǒng)一約定，頒布統(tǒng)一的計算機機房管理制度，對設備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細的規(guī)定。計算機機房的建設必須遵循國家在計算機機房場地選擇、環(huán)境安全、布線施工方面的標準，保證物理環(huán)境安全。關鍵應用系統(tǒng)的服務器主機和前置機服務器、主要的網(wǎng)絡設備必須放置于計算機機房內(nèi)部的適當位置，通過物理訪問控制機制，保證這些設備自身的安全性。應當建立人員出入訪問控制機制，嚴格控制人員出入計算機機房和其它重要安全區(qū)域，訪問控制機制還需要能夠提供審計功能，便于檢查和分析。應當指定專門的部門和人員，負責計算機機房的建設和管理工作，建

16、立24小時值班制度。建立計算機機房管理制度，對設備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細的規(guī)定。管理機構應當定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。2.3 網(wǎng)絡安全建設網(wǎng)絡安全是信息安全保障的重點，制定統(tǒng)一的網(wǎng)絡結構技術標準，對如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域，安全區(qū)域的邊界采取的隔離措施，進行約定，保證內(nèi)部網(wǎng)絡與外部網(wǎng)絡、辦公網(wǎng)與業(yè)務生產(chǎn)網(wǎng)，不同業(yè)務網(wǎng)之間的安全隔離。制定統(tǒng)一的互聯(lián)網(wǎng)接入點、外聯(lián)網(wǎng)接入點的技術標準和管理規(guī)范，統(tǒng)一約定網(wǎng)絡邊界接入點的網(wǎng)絡結構、安全產(chǎn)品的部署模式，保證內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的安全隔離。制定統(tǒng)一的遠程

17、移動辦公技術標準和管理規(guī)范，保證遠程移動辦公接入的安全性。制定統(tǒng)一的無線網(wǎng)絡接入的安全技術標準和管理規(guī)范，確保無線接入的安全管理。制定統(tǒng)一的網(wǎng)絡安全系統(tǒng)建設標準和管理規(guī)范。針對企業(yè)（集團）的信息安全現(xiàn)狀的分析，當前網(wǎng)絡安全建設需要解決的問題如下：1 .將數(shù)據(jù)中心的業(yè)務應用系統(tǒng)與數(shù)據(jù)庫系統(tǒng)進行安全區(qū)域隔離，將業(yè)務應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)與辦公區(qū)域進行安全區(qū)域隔離，保證業(yè)務應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全獨立性，建議隔離不要采用交換機本身的ACL控制列表，采用專業(yè)的安全隔離控制系統(tǒng)實現(xiàn)2 .生產(chǎn)廠區(qū)的MES系統(tǒng)與前置機之間采用防火墻進行隔離有技術上的安全隱患，防火墻隔離還只是邏輯層面的，生產(chǎn)廠區(qū)的MES系統(tǒng)

18、應該采取物理隔離措施確保和互聯(lián)網(wǎng)的完全物理隔離，建議更換為物理隔離措施解決。3 .針對無線的網(wǎng)絡安全接入，采取無線射頻識別和阻斷技術，對私接的流氓AP進行識別和阻斷，對通過無線非法外聯(lián)到外部AP的行為進行識別阻斷，對冒充合法AP的釣魚AP進行識別和阻斷，對很對合法AP進行的無線掃描，破解，DDos攻擊，中間人攻擊進行識別和阻斷。1 .利用針對網(wǎng)絡設備的脆弱性掃描技術和安全基線比對技術，對網(wǎng)絡設備例如交換機路由器進行定期的掃描，及時修補網(wǎng)絡設備的漏洞，完善網(wǎng)絡設備的安全配置，提升網(wǎng)絡設備的安全級別。2 .利用運維審計技術，對訪問網(wǎng)絡設備和安全設備的所有操作進行記錄，確保所有操作都處于監(jiān)控狀態(tài)，一

19、旦有人非法操作或者惡意操作造成這些系統(tǒng)出現(xiàn)問題的時候可以進行預警和追蹤溯源。2.4系統(tǒng)安全建設系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機入侵檢測、系統(tǒng)安全漏洞分析和安全策略加固，提升服務器主機系統(tǒng)的安全級別。制定統(tǒng)一的網(wǎng)絡病毒查殺系統(tǒng)的建設標準和管理規(guī)范，有效抑制計算機病毒在內(nèi)部網(wǎng)絡和信息系統(tǒng)中的傳播和蔓延。針對企業(yè)（集團）的信息安全現(xiàn)狀的分析，當前系統(tǒng)安全建設需要解決的問題如下：1 .利用針對操作系統(tǒng)的脆弱性掃描技術和安全基線比對技術，定期對操作系統(tǒng)的漏洞進行檢測和分析，對安全配置進行檢查，及時修補漏洞，完善安全配置，提升操作系統(tǒng)的安全級別。2 .全網(wǎng)部署可以統(tǒng)一管理的防惡意

20、代碼系統(tǒng)，實現(xiàn)防惡意代碼庫的統(tǒng)一及時升級，防惡意代碼策略的統(tǒng)一定制下發(fā)，惡意代碼的定時統(tǒng)一查殺。3 .全網(wǎng)部署可以統(tǒng)一管理的終端安全管理系統(tǒng)，實現(xiàn)對終端軟硬件資產(chǎn)，進程，端口，U盤存儲外設，安全配置，補丁等的統(tǒng)一管理，確保終端電腦有一個安全可控的環(huán)境。1.利用運維審計技術，對訪問操作系統(tǒng)的所有操作進行記錄，確保所有操作都處于監(jiān)控狀態(tài)，一旦有人非法操作或者惡意操作造成操作系統(tǒng)出現(xiàn)問題的時候可以進行追蹤溯源。2.5應用和數(shù)據(jù)安全建設應用安全機制在應用層為業(yè)務系統(tǒng)提供直接的安全保護，能夠滿足身份認證、用戶授權，安全訪問控制、數(shù)據(jù)安全使用和傳輸，業(yè)務安全審計等安全需求。制定統(tǒng)一的身份認證、授權與訪問控制、數(shù)據(jù)加密，業(yè)務安全審計等應用層安全系統(tǒng)的建設標準和管理規(guī)范，改善業(yè)務應用系統(tǒng)的整體安全性。針對企業(yè)（集團）的信息安全現(xiàn)狀的分析，當前應用安全建設需要解決的問題如下：1 .利用針對B/S結構的業(yè)務應用系統(tǒng)和數(shù)據(jù)庫的脆弱性掃描技術和安全基線比對技術，定期的對其漏洞進行檢測和分析，對安全配置進行檢查，及時修補漏洞，完善安全配置，提升應用系統(tǒng)和數(shù)據(jù)庫的安全級別。2 .對訪問B/S結