企業(yè)(集團(tuán))信息安全總體安全方針

1、企業(yè)（集團(tuán)）信息安全總體安全方針1.1.1 安全使命保障業(yè)務(wù)持續(xù)，促進(jìn)業(yè)務(wù)發(fā)展信息安全必須為業(yè)務(wù)服務(wù)，脫離業(yè)務(wù)的信息安全也就失去了其真正的意義。保證實(shí)現(xiàn)業(yè)務(wù)服務(wù)的信息系統(tǒng)正常運(yùn)行，進(jìn)而使企業(yè)（集團(tuán)）的業(yè)務(wù)持續(xù)開(kāi)展，就成為了信息安全建設(shè)的最根本使命。業(yè)務(wù)創(chuàng)新能力成為業(yè)務(wù)增值過(guò)程中的重要手段。業(yè)務(wù)創(chuàng)新背后離不開(kāi)信息安全技術(shù)的支撐。運(yùn)用信息安全技術(shù)和管理支撐業(yè)務(wù)創(chuàng)新的能力將會(huì)成為企業(yè)（集團(tuán)）的業(yè)務(wù)趨向安全保障的使命。1.1.2 安全目標(biāo)保證信息的機(jī)密性、完整性和可用性（直接目標(biāo)）信息機(jī)密性是指信息僅可讓授權(quán)獲取的人士訪問(wèn)。信息完整性是指保護(hù)信息和處理方法的準(zhǔn)確和完善。信息可用性是指確保授權(quán)人需要時(shí)可

2、以獲取信息和相應(yīng)的資產(chǎn)。信息安全必須保證信息的機(jī)密性、完整性和可用性，這是信息安全建設(shè)的重要目標(biāo)。企業(yè)（集團(tuán)）信息安全的建設(shè)必須以保證信息的機(jī)密、完整和可用為安全保障戰(zhàn)略目標(biāo)，這是企業(yè)（集團(tuán)）的需要，是企業(yè)信息化發(fā)展的需要，也是所有用戶的需求。第1頁(yè)共17r安全管理機(jī)將-崗位設(shè)置-人員配蓄-授權(quán)和審批-溝通和合作-審核和檢查人員安全管理人員錄用、離面安全克學(xué)和培訓(xùn) ，外部人員訪問(wèn)1.2安全保障框架企業(yè)（集團(tuán)）安全保障主體是構(gòu)筑企業(yè)信息化平臺(tái)和服務(wù)的基礎(chǔ)上，其核心是企業(yè)信息化相關(guān)的應(yīng)用系統(tǒng)，安全保障框架所有安全控制都應(yīng)包含為策略、組織、技術(shù)和運(yùn)作四個(gè)要素，即每條安全控制，都可以描述為“根據(jù)某某策

3、略，由某某組織（或人員），利用某某技術(shù)，進(jìn)行某某操作"。將安全控制的四要素分別綜合起來(lái)，成為策略體系、組織體系、技術(shù)體系和運(yùn)作體系。這四個(gè)體系構(gòu)成了安全保障框架。企業(yè)（集團(tuán)）安全保障框架框架總體示意如下圖所示:安全管理制度架構(gòu)安全制度制定和發(fā)布制.度評(píng)審和修訂（2統(tǒng)建設(shè)管理、- 設(shè)計(jì)實(shí)施- 采購(gòu)、供應(yīng)商- 開(kāi)發(fā)，測(cè)試- 驗(yàn)收、交付- 等級(jí)保護(hù)|系統(tǒng)運(yùn)維管理 環(huán)境、資產(chǎn) 介質(zhì).設(shè)備 監(jiān)控、安全 網(wǎng)絡(luò)、系統(tǒng),惡意代碼）、求碼/狗理安全應(yīng)用安全，網(wǎng)總安全數(shù)據(jù)安全主機(jī)安全企業(yè)（集團(tuán)）業(yè)務(wù)系統(tǒng):業(yè)務(wù)系統(tǒng)是企業(yè)（集團(tuán)）安全保障框架框架的核心，其實(shí)現(xiàn)業(yè)務(wù)功能的信息系統(tǒng)安全需求和等級(jí)決定了整體安全保

4、障的強(qiáng)度和力度。安全策略體系指導(dǎo)企業(yè)（集團(tuán)）信息系統(tǒng)設(shè)計(jì)、建設(shè)和維護(hù)管理工作的基本依據(jù)，所有相關(guān)人員應(yīng)根據(jù)工作實(shí)際情況履行相關(guān)安全策略，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全標(biāo)準(zhǔn)體系相關(guān)工作。安全組織體系落實(shí)信息安全管理機(jī)構(gòu)和人員安全管理部分的相關(guān)內(nèi)容，指導(dǎo)企業(yè)（集團(tuán)）安全職能的落實(shí)、崗位設(shè)置和相關(guān)人員的安全管理。安全技術(shù)體系：落實(shí)等級(jí)保護(hù)以及信息安全管理體系相關(guān)標(biāo)準(zhǔn)中安全技術(shù)中的所有控制要求，實(shí)現(xiàn)物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的所有安全控制項(xiàng)，通常采用安全技術(shù)產(chǎn)品加以實(shí)現(xiàn)。安全運(yùn)作體系：貫穿組織、策略和技術(shù)的流程和規(guī)范，是安全工作的關(guān)鍵，落實(shí)系統(tǒng)安全建設(shè)和系統(tǒng)安全運(yùn)維管理部

5、分的控制要求，指導(dǎo)企業(yè)（集團(tuán)）的安全實(shí)施和運(yùn)維的具體實(shí)現(xiàn)。安全組織、安全策略以及安全運(yùn)作統(tǒng)稱(chēng)為安全管理體系建設(shè)。企業(yè)（集團(tuán)）信息安全建設(shè)整體規(guī)劃2.1 信息安全管理體系建設(shè)2.1.1 安全組織建設(shè)企業(yè)（集團(tuán)）安全管理組織應(yīng)形成由主管領(lǐng)導(dǎo)牽頭的信息安全領(lǐng)導(dǎo)小組、具體信息安全職能部門(mén)負(fù)責(zé)日常工作的組織模式。信息安全領(lǐng)導(dǎo)小組職責(zé)信息安全領(lǐng)導(dǎo)小組是由企業(yè)（集團(tuán)）主管領(lǐng)導(dǎo)牽頭，各部門(mén)的負(fù)責(zé)人為組成成員的組織機(jī)構(gòu)，主要負(fù)責(zé)批準(zhǔn)企業(yè)（集團(tuán)）安全策略、分配安全責(zé)任并協(xié)調(diào)安全策略能夠?qū)嵤?，確保安全管理和建設(shè)有一個(gè)明確的方向，從管理層角度對(duì)信息安全管理提供支持。信息安全工作組職責(zé)信息安全工作組是由信息技術(shù)部領(lǐng)導(dǎo)牽

6、頭，內(nèi)設(shè)專(zhuān)職的安全管理組織和崗位，負(fù)責(zé)日常具體工作的落實(shí)、指導(dǎo)和協(xié)調(diào)。2.1.2 安全策略建設(shè)企業(yè)（集團(tuán)）應(yīng)以ISO27001以及GB/T22239-2008基本管理要求架構(gòu)為信息安全策略架構(gòu)，并根據(jù)企業(yè)（集團(tuán)）特點(diǎn)進(jìn)行調(diào)整擴(kuò)充，可分為七個(gè)方面，包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、系統(tǒng)廢止管理和系統(tǒng)檢查與評(píng)估，如圖所示：基本安全管理要求2.1.3 安全運(yùn)維建設(shè)信息系統(tǒng)交付后正式開(kāi)始支撐各項(xiàng)業(yè)務(wù)系統(tǒng)和日常辦公需要，如何保證信息系統(tǒng)持續(xù)穩(wěn)定安全運(yùn)行是安全運(yùn)維管理的重要工作內(nèi)容。只有保證信息系統(tǒng)日常正常穩(wěn)定運(yùn)行，才能切實(shí)發(fā)揮信息系統(tǒng)對(duì)企業(yè)（集團(tuán)）各項(xiàng)業(yè)務(wù)開(kāi)展和日

7、常辦公的支撐作用和效益。為此本方案設(shè)計(jì)了安全運(yùn)維體系涉及到各類(lèi)日常運(yùn)維操作規(guī)范和流程和安全事件管理與應(yīng)急響應(yīng)流程，構(gòu)成了支撐和落實(shí)各項(xiàng)信息安全管理方針和第6頁(yè)共17頁(yè)策略的堅(jiān)實(shí)基礎(chǔ)。2.1.3.1 日常運(yùn)維管理2.1.3.1.1 環(huán)境管理企業(yè)（集團(tuán)）所有的服務(wù)器和核心網(wǎng)絡(luò)設(shè)備均按照要求放置在集中的機(jī)房中，為了保證機(jī)房的各項(xiàng)安全資源的穩(wěn)定可靠，制定機(jī)房安全管理制度，對(duì)以下方面進(jìn)行規(guī)定：機(jī)房電力、空調(diào)、門(mén)禁、監(jiān)控等設(shè)備的管理進(jìn)行規(guī)定；規(guī)定進(jìn)出機(jī)房要求和記錄；規(guī)定對(duì)機(jī)柜、服務(wù)器、電源等設(shè)備的進(jìn)入、變動(dòng)和移出等操作；機(jī)房責(zé)任人和日常運(yùn)維職責(zé)內(nèi)容。企業(yè)（集團(tuán)）基本實(shí)現(xiàn)了業(yè)務(wù)工作和日常辦公的信息化和網(wǎng)絡(luò)化

8、，業(yè)務(wù)系統(tǒng)終端和辦公終端分布在各個(gè)辦公室，為了防范系統(tǒng)終端的安全風(fēng)險(xiǎn)，杜絕從終端對(duì)業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)的安全威脅，提升業(yè)務(wù)人員和所有員工的安全意識(shí)，制定辦公室安全管理制度，對(duì)以下方面進(jìn)行規(guī)定：辦公室的信息安全要求；辦公終端信息安全保密要求；辦公終端使用規(guī)范。2.1.3.2 資產(chǎn)管理信息資產(chǎn)是構(gòu)成網(wǎng)絡(luò)和信息系統(tǒng)的基礎(chǔ)，是系統(tǒng)各種服務(wù)功能實(shí)現(xiàn)的提供者和信息存儲(chǔ)的承載者。對(duì)資產(chǎn)進(jìn)行管理是一切安全運(yùn)維管理的基礎(chǔ)，企第6頁(yè)共17頁(yè)業(yè)（集團(tuán)）把各類(lèi)硬件、軟件、數(shù)據(jù)、介質(zhì)、文檔均作為信息資產(chǎn)進(jìn)行管理，制定資產(chǎn)管理制度加以規(guī)范，包括以下內(nèi)容：規(guī)定信息分類(lèi)和識(shí)別，不同類(lèi)別的存放、處理和傳輸?shù)陌踩?；按照信息系統(tǒng)制定

9、資產(chǎn)清單，包括責(zé)任人、重要程度、供應(yīng)商、部署位置等信息；資產(chǎn)的中報(bào)、領(lǐng)用、維修和報(bào)廢流程；要求定期對(duì)資產(chǎn)進(jìn)行盤(pán)點(diǎn)和安全性審計(jì)。資產(chǎn)對(duì)備份的要求。2.1.3.3 網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)作為信息系統(tǒng)的基礎(chǔ)性設(shè)施，為各個(gè)業(yè)務(wù)系統(tǒng)和辦公應(yīng)用提供連通和數(shù)據(jù)傳輸，實(shí)現(xiàn)信息共享。網(wǎng)絡(luò)對(duì)可靠性和安全性具有非常高的要求，企業(yè)（集團(tuán)）制定網(wǎng)絡(luò)安全管理制度對(duì)網(wǎng)絡(luò)的架構(gòu)和設(shè)備的安全管理進(jìn)行約定，主要包括以下內(nèi)容：網(wǎng)絡(luò)結(jié)構(gòu)和IP地址分配；網(wǎng)絡(luò)接入安全要求；網(wǎng)絡(luò)設(shè)備操作規(guī)范流程；網(wǎng)絡(luò)設(shè)備安全配置和版本更新要求；網(wǎng)絡(luò)設(shè)備帳戶授權(quán)、驗(yàn)證和審計(jì)要求；網(wǎng)絡(luò)流量和網(wǎng)絡(luò)漏洞的監(jiān)控。為落實(shí)網(wǎng)絡(luò)安全管理，將設(shè)計(jì)以下若干技術(shù)規(guī)范：網(wǎng)絡(luò)結(jié)構(gòu)和IP

10、地址管理流程網(wǎng)絡(luò)接入安全管理流程網(wǎng)絡(luò)設(shè)備安全技術(shù)規(guī)范網(wǎng)絡(luò)設(shè)備的維護(hù)流程2.1.3.4 系統(tǒng)安全管理將每個(gè)業(yè)務(wù)系統(tǒng)作為安全保護(hù)的對(duì)象，應(yīng)當(dāng)對(duì)每個(gè)業(yè)務(wù)系統(tǒng)制定相應(yīng)的安全運(yùn)維流程和規(guī)范，系統(tǒng)安全管理制度用于指導(dǎo)如何根據(jù)業(yè)務(wù)安全等級(jí)和安全需求來(lái)制定相應(yīng)的運(yùn)維流程和規(guī)范。主要包括以下內(nèi)容：應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略；系統(tǒng)管理角色分離要求、權(quán)限、責(zé)任分配原則；要求進(jìn)行系統(tǒng)配置管理和變更管理；操作系統(tǒng)安全運(yùn)維流程；數(shù)據(jù)庫(kù)安全運(yùn)維流程；應(yīng)用平臺(tái)安全運(yùn)維流程；系統(tǒng)安全日志審核要求；系統(tǒng)備份和數(shù)據(jù)備份要求。每個(gè)系統(tǒng)管理具體安全管理制度的落實(shí)依靠如下相關(guān)支撐技術(shù)規(guī)范和流程：操作系統(tǒng)安全技術(shù)規(guī)

11、范；數(shù)據(jù)庫(kù)系統(tǒng)安全技術(shù)規(guī)范；應(yīng)用平臺(tái)安全技術(shù)規(guī)范；應(yīng)用系統(tǒng)操作手冊(cè)；系統(tǒng)備份和數(shù)據(jù)備份流程；系統(tǒng)安全評(píng)估和審計(jì)流程；系統(tǒng)配置清單及變更記錄；2.1.3.5 防惡意代碼管理惡意代碼防范是一項(xiàng)全員需要進(jìn)行安全管理工作，因此單獨(dú)制定防惡意代碼管理制度指導(dǎo)全體員工防范由于惡意代引起的安全風(fēng)險(xiǎn)：規(guī)定全員防惡意代碼的職責(zé)；明確惡意代碼的可能感染源和防范手段；明確惡意代碼的報(bào)告流程；防惡意代碼產(chǎn)品的安裝、使用、升級(jí)流程；惡意代碼事件的統(tǒng)計(jì)、報(bào)告流程。2.1.3.6 監(jiān)控管理和IT門(mén)戶系統(tǒng)建立集中的安全監(jiān)控和管理中心相配套的安全監(jiān)控管理制度，對(duì)監(jiān)控內(nèi)容、監(jiān)控方式、監(jiān)控記錄集中保存、監(jiān)控記錄審計(jì)等進(jìn)行規(guī)范，安全

12、監(jiān)控管理制度主要包括以下內(nèi)容：規(guī)定安全監(jiān)控內(nèi)容，包括但不限于通信流量、軟硬件運(yùn)行狀況、用戶行為、漏洞發(fā)布情況、安全設(shè)備報(bào)警信息等；安全監(jiān)控的方式和工具；監(jiān)控記錄的審計(jì)和分析；可疑事件的報(bào)告；2.1.3.7 密碼管理敏感系統(tǒng)應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品，同時(shí)建立密碼管理制度，加強(qiáng)對(duì)密碼和加密設(shè)備的管理。按照等級(jí)保護(hù)和ISO27001要求建立密碼使用管理制度，對(duì)一下方面進(jìn)行規(guī)范：密碼復(fù)雜度管理密碼定期修改管理多因素認(rèn)證管理密碼保存管理2.1.3.8 變更管理信息安全風(fēng)險(xiǎn)是“動(dòng)態(tài)”的主要因素之一，就是網(wǎng)絡(luò)和信息系統(tǒng)是會(huì)發(fā)生變化的，為了防范由于網(wǎng)絡(luò)和系統(tǒng)變化對(duì)整體安全現(xiàn)狀的影響，規(guī)避變更

13、產(chǎn)生的風(fēng)險(xiǎn)，制定變更管理制度。對(duì)以下方面進(jìn)行規(guī)范：規(guī)范變更管理的范圍；規(guī)范變更流程，制定申報(bào)、方案制定、變更審核、審批流程；要求變更過(guò)程記錄；進(jìn)行系統(tǒng)變更前備份；要求制定變更失敗恢復(fù)流程和進(jìn)行恢復(fù)測(cè)試；2.1.3.9 備份與恢復(fù)管理為了保證業(yè)務(wù)連續(xù)性，企業(yè)（集團(tuán)）制定備份與恢復(fù)管理制度規(guī)范以下內(nèi)容：規(guī)定系統(tǒng)進(jìn)行安全需求分析時(shí)要考慮備份措施要求；對(duì)企業(yè)（集團(tuán)）信息備份級(jí)別進(jìn)行定義，確定每個(gè)級(jí)別的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期限及恢復(fù)測(cè)試頻次；規(guī)定備份存儲(chǔ)介質(zhì)的放置、命名、管理和離站運(yùn)輸方法。2.1.3.2安全事件管理和應(yīng)急響應(yīng)針對(duì)出現(xiàn)突發(fā)安全事件應(yīng)當(dāng)制定相應(yīng)的處理流程，針對(duì)不同的安全事件制

14、定針對(duì)性的應(yīng)急響應(yīng)預(yù)案。主要通過(guò)安全事件管理制度和應(yīng)急響應(yīng)預(yù)案管理制度兩項(xiàng)制度來(lái)落實(shí)。其中安全事件管理制度規(guī)定以下內(nèi)容：安全事件的定義、等級(jí)劃分；不同等級(jí)安全事件的發(fā)現(xiàn)、報(bào)告、分析、處置流程；安全事件的原因分析、記錄處理、經(jīng)驗(yàn)教訓(xùn)總結(jié)和補(bǔ)救措施的制定流程；要求每個(gè)信息系統(tǒng)做好安全事件記錄管理。應(yīng)急響應(yīng)預(yù)案管理制度規(guī)定以下內(nèi)容：要求針對(duì)典型事件和重大事件制定相應(yīng)的應(yīng)急響應(yīng)預(yù)案；規(guī)定應(yīng)急響應(yīng)人力、設(shè)備、技術(shù)、財(cái)務(wù)等相關(guān)支撐資源;規(guī)定應(yīng)急響應(yīng)預(yù)案的框架和模板；規(guī)定應(yīng)急響應(yīng)預(yù)案的演練和演練流程；2.2 物理安全建設(shè)按照國(guó)家對(duì)于計(jì)算機(jī)機(jī)房的相關(guān)建設(shè)標(biāo)準(zhǔn)，制定統(tǒng)一的計(jì)算機(jī)機(jī)房建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，對(duì)于計(jì)算機(jī)

15、機(jī)房建設(shè)中的環(huán)境參數(shù)、保障機(jī)制，以及運(yùn)行過(guò)程中的人員訪問(wèn)控制、監(jiān)控措施等進(jìn)行統(tǒng)一約定，頒布統(tǒng)一的計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員安全管理等作出詳細(xì)的規(guī)定。計(jì)算機(jī)機(jī)房的建設(shè)必須遵循國(guó)家在計(jì)算機(jī)機(jī)房場(chǎng)地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn)，保證物理環(huán)境安全。關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機(jī)和前置機(jī)服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計(jì)算機(jī)機(jī)房?jī)?nèi)部的適當(dāng)位置，通過(guò)物理訪問(wèn)控制機(jī)制，保證這些設(shè)備自身的安全性。應(yīng)當(dāng)建立人員出入訪問(wèn)控制機(jī)制，嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其它重要安全區(qū)域，訪問(wèn)控制機(jī)制還需要能夠提供審計(jì)功能，便于檢查和分析。應(yīng)當(dāng)指定專(zhuān)門(mén)的部門(mén)和人員，負(fù)責(zé)計(jì)算機(jī)機(jī)房的建設(shè)和管理工作，建

16、立24小時(shí)值班制度。建立計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問(wèn)控制管理等做出詳細(xì)的規(guī)定。管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題，進(jìn)行改進(jìn)。2.3 網(wǎng)絡(luò)安全建設(shè)網(wǎng)絡(luò)安全是信息安全保障的重點(diǎn)，制定統(tǒng)一的網(wǎng)絡(luò)結(jié)構(gòu)技術(shù)標(biāo)準(zhǔn)，對(duì)如何劃分內(nèi)部信息系統(tǒng)的安全區(qū)域，安全區(qū)域的邊界采取的隔離措施，進(jìn)行約定，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、辦公網(wǎng)與業(yè)務(wù)生產(chǎn)網(wǎng)，不同業(yè)務(wù)網(wǎng)之間的安全隔離。制定統(tǒng)一的互聯(lián)網(wǎng)接入點(diǎn)、外聯(lián)網(wǎng)接入點(diǎn)的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，統(tǒng)一約定網(wǎng)絡(luò)邊界接入點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、安全產(chǎn)品的部署模式，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。制定統(tǒng)一的遠(yuǎn)程

17、移動(dòng)辦公技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，保證遠(yuǎn)程移動(dòng)辦公接入的安全性。制定統(tǒng)一的無(wú)線網(wǎng)絡(luò)接入的安全技術(shù)標(biāo)準(zhǔn)和管理規(guī)范，確保無(wú)線接入的安全管理。制定統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)和管理規(guī)范。針對(duì)企業(yè)（集團(tuán)）的信息安全現(xiàn)狀的分析，當(dāng)前網(wǎng)絡(luò)安全建設(shè)需要解決的問(wèn)題如下：1 .將數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全區(qū)域隔離，將業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)與辦公區(qū)域進(jìn)行安全區(qū)域隔離，保證業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的安全獨(dú)立性，建議隔離不要采用交換機(jī)本身的ACL控制列表，采用專(zhuān)業(yè)的安全隔離控制系統(tǒng)實(shí)現(xiàn)2 .生產(chǎn)廠區(qū)的MES系統(tǒng)與前置機(jī)之間采用防火墻進(jìn)行隔離有技術(shù)上的安全隱患，防火墻隔離還只是邏輯層面的，生產(chǎn)廠區(qū)的MES系統(tǒng)

18、應(yīng)該采取物理隔離措施確保和互聯(lián)網(wǎng)的完全物理隔離，建議更換為物理隔離措施解決。3 .針對(duì)無(wú)線的網(wǎng)絡(luò)安全接入，采取無(wú)線射頻識(shí)別和阻斷技術(shù)，對(duì)私接的流氓AP進(jìn)行識(shí)別和阻斷，對(duì)通過(guò)無(wú)線非法外聯(lián)到外部AP的行為進(jìn)行識(shí)別阻斷，對(duì)冒充合法AP的釣魚(yú)AP進(jìn)行識(shí)別和阻斷，對(duì)很對(duì)合法AP進(jìn)行的無(wú)線掃描，破解，DDos攻擊，中間人攻擊進(jìn)行識(shí)別和阻斷。1 .利用針對(duì)網(wǎng)絡(luò)設(shè)備的脆弱性掃描技術(shù)和安全基線比對(duì)技術(shù)，對(duì)網(wǎng)絡(luò)設(shè)備例如交換機(jī)路由器進(jìn)行定期的掃描，及時(shí)修補(bǔ)網(wǎng)絡(luò)設(shè)備的漏洞，完善網(wǎng)絡(luò)設(shè)備的安全配置，提升網(wǎng)絡(luò)設(shè)備的安全級(jí)別。2 .利用運(yùn)維審計(jì)技術(shù)，對(duì)訪問(wèn)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的所有操作進(jìn)行記錄，確保所有操作都處于監(jiān)控狀態(tài)，一

19、旦有人非法操作或者惡意操作造成這些系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候可以進(jìn)行預(yù)警和追蹤溯源。2.4系統(tǒng)安全建設(shè)系統(tǒng)安全的工作內(nèi)容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機(jī)入侵檢測(cè)、系統(tǒng)安全漏洞分析和安全策略加固，提升服務(wù)器主機(jī)系統(tǒng)的安全級(jí)別。制定統(tǒng)一的網(wǎng)絡(luò)病毒查殺系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，有效抑制計(jì)算機(jī)病毒在內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)中的傳播和蔓延。針對(duì)企業(yè)（集團(tuán)）的信息安全現(xiàn)狀的分析，當(dāng)前系統(tǒng)安全建設(shè)需要解決的問(wèn)題如下：1 .利用針對(duì)操作系統(tǒng)的脆弱性掃描技術(shù)和安全基線比對(duì)技術(shù)，定期對(duì)操作系統(tǒng)的漏洞進(jìn)行檢測(cè)和分析，對(duì)安全配置進(jìn)行檢查，及時(shí)修補(bǔ)漏洞，完善安全配置，提升操作系統(tǒng)的安全級(jí)別。2 .全網(wǎng)部署可以統(tǒng)一管理的防惡意

20、代碼系統(tǒng)，實(shí)現(xiàn)防惡意代碼庫(kù)的統(tǒng)一及時(shí)升級(jí)，防惡意代碼策略的統(tǒng)一定制下發(fā)，惡意代碼的定時(shí)統(tǒng)一查殺。3 .全網(wǎng)部署可以統(tǒng)一管理的終端安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)終端軟硬件資產(chǎn)，進(jìn)程，端口，U盤(pán)存儲(chǔ)外設(shè)，安全配置，補(bǔ)丁等的統(tǒng)一管理，確保終端電腦有一個(gè)安全可控的環(huán)境。1.利用運(yùn)維審計(jì)技術(shù)，對(duì)訪問(wèn)操作系統(tǒng)的所有操作進(jìn)行記錄，確保所有操作都處于監(jiān)控狀態(tài)，一旦有人非法操作或者惡意操作造成操作系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候可以進(jìn)行追蹤溯源。2.5應(yīng)用和數(shù)據(jù)安全建設(shè)應(yīng)用安全機(jī)制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護(hù)，能夠滿足身份認(rèn)證、用戶授權(quán)，安全訪問(wèn)控制、數(shù)據(jù)安全使用和傳輸，業(yè)務(wù)安全審計(jì)等安全需求。制定統(tǒng)一的身份認(rèn)證、授權(quán)與訪問(wèn)控制、數(shù)據(jù)加密，業(yè)務(wù)安全審計(jì)等應(yīng)用層安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，改善業(yè)務(wù)應(yīng)用系統(tǒng)的整體安全性。針對(duì)企業(yè)（集團(tuán)）的信息安全現(xiàn)狀的分析，當(dāng)前應(yīng)用安全建設(shè)需要解決的問(wèn)題如下：1 .利用針對(duì)B/S結(jié)構(gòu)的業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的脆弱性掃描技術(shù)和安全基線比對(duì)技術(shù)，定期的對(duì)其漏洞進(jìn)行檢測(cè)和分析，對(duì)安全配置進(jìn)行檢查，及時(shí)修補(bǔ)漏洞，完善安全配置，提升應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的安全級(jí)別。2 .對(duì)訪問(wèn)B/S結(jié)