資訊保安規劃綜述

資訊保安

體系框架

(第一部分綜述)

目錄1 概述 4

1.1 資訊保安建設思路 4

1.2 資訊保安建設內容 6

1.2.1 建立管理組織機構 6

1.2.2 物理安全建設 6

1.2.3 網路安全建設 6

1.2.4 系統安全建設 7

1.2.5 應用安全建設 7

1.2.6 系統和資料備份管理 7

1.2.7 應急響應管理 7

1.2.8 災難恢復管理 7

1.2.9 人員管理和教育培訓 8

1.3 資訊保安建設原則 8

1.3.1 統一規劃 8

1.3.2 分步有序實施 8

1.3.3 技術管理並重 8

1.3.4 突出安全保障 9

2 資訊保安建設基本方針 9

3 資訊保安建設目標 9

3.1 乙個目標 10

3.2 兩種手段 10

3.3 三個體系 10

4 資訊保安體系建立的原則 10

4.1 標準性原則 10

4.2 整體性原則 11

4.3 實用性原則 11

4.4 先進性原則 11

5 資訊保安策略 11

5.1 物理安全策略 12

5.2 網路安全策略 13

5.3 系統安全策略 13

5.4 病毒管理策略 14

5.5 身份認證策略 15

5.6 使用者授權與訪問控制策略 15

5.7 資料加密策略 16

5.8 資料備份與災難恢復 17

5.9 應急響應策略 17

5.10 安全教育策略 17

6 資訊保安體系框架 18

6.1 安全目標模型 18

6.2 資訊保安體系框架組成 20

6.2.1 安全策略 21

6.2.2 安全技術體系 21

6.2.3 安全管理體系 22

6.2.4 執行保障體系 25

6.2.5 建設實施規劃 25

xx資訊保安建設工作的總體思路如下圖所示：

xx的資訊保安建設由針對性安全問題和支撐性安全技術兩條主線展開，這兩條主線在安全建設的過程中的關鍵節點又相互銜接和融和，最終形成乙個完整的安全建設方案，並投入實施。

首先，xx的資訊化建設是基於當前通用的網路與資訊系統基礎技術，這使得資訊化建設和安全技術有了乙個共同的基礎，使得xx的針對性安全需求與通用的安全解決技術和方案有了一定的共通點和結合點。

在這個基礎上，通過安全評估，對資訊化建設和資訊保安建設進行分析和總結，其中包括對建設現狀和發展趨勢的完整分析，歸納出系統中當前存在和今後可能存在的安全問題，明確網路和資訊系統運營所面臨的安全風險級別。

從支撐性安全技術的主線展開，對現有網路和資訊科技的固有缺陷出發，總結了普遍存在的安全威脅，並根據其它系統中的資訊保安建設實踐中的經驗，從資訊保安領域的完整框架、思路、技術和理念出發，提供完整的安全建設思路和方法。

在此基礎之上，兩條主線進入融和的階段。資訊保安領域的理論、框架和技術基礎與xx的安全問題有機地進行結合，有針對性地提出xx安全保障總體策略。在這個安全保障總體策略中，包括了整體建設目標，安全技術策略，以及相應的管理策略。

總體安全策略一方面充分體現了xx對自身資訊化建設中安全問題的針對性，另一方面也充分基於現有的資訊保安領域的安全模型和技術支援能力，因此具備了可行性、針對性和前瞻性。

以安全保障總體策略為核心，分三個方面進行整體資訊保安體系框架的制定，包括安全技術體系，安全管理體系和運營保障體系。在現實的運營過程中，安全保障不能夠純粹依靠安全技術來解決，更需要適當的安全管理，相互結合來提高整體安全性效果。

在資訊保安體系框架的指導下，依據相應的建設標準和管理規範，規劃和制定詳細的資訊保安系統實施方案和運營維護計畫。

為了更加穩妥地進行全面的資訊保安建設，在資訊保安系統實施過程中首先進行試點專案建設，在試點專案建設中進一步積累經驗，並對某些實施方案的細節進行調整，為建設實施順利地全面開真打下基礎。

資訊保安體系建設的思路體現了以下的特點：

統籌規劃和設計在建設過程中占有非常重要的地位；

充分結合建設現狀與資訊保安通用技術和理念；

充分考慮了當前的建設現狀以及未來業務發展的需要；

注重安全管理體系的建設，以及管理、技術和保障的相互結合；

採取試點工程計畫，使得資訊保安建設實施更加穩妥。

xx的資訊保安建設所涉及的工作內容包括以下部分。

建立專職的資訊保安監管機構，明確各級管理機構的人員崗位配置和職能許可權，全面負責資訊保安建設工作和維護資訊保安系統的運營。

按照國家對於計算機機房的相關建設標準，制定統一的計算機機房建設標準和管理規範，對於計算機機房建設中的環境引數、保障機制，以及執行過程中的人員訪問控制、監控措施等進行統一約定，頒布統一的計算機機房管理制度，對裝置安全管理、介質安全管理、人員安全管理等作出詳細的規定。

網路安全是資訊保安保障的重點，制定統一的網路結構技術標準，對如何劃分內部資訊系統的安全區域，安全區域的邊界採取的隔離措施，進行約定，保證內部網路與外部網路、辦公網與業務生產網之間的安全隔離。

制定統一的網際網路接入點、外聯網接入點的技術標準和管理規範，統一約定網路邊界接入點的網路結構、安全產品的部署模式，保證內部網路與外部網路之間的安全隔離。

制定統一的遠端移動辦公技術標準和管理規範，保證遠端移動辦公接入的安全性。

制定統一的網路安全系統建設標準和管理規範，包括防火牆、網路入侵檢測、網路脆弱性分析、網路層加密等。

系統安全的工作內容包括制定統一的系統安全管理規範，包括主機入侵檢測、系統安全漏洞分析和加固，提公升伺服器主機系統的安全級別。

制定統一的網路病毒查殺系統的建設標準和管理規範，有效抑制計算機病毒在內部網路和資訊系統中的傳播和蔓延。

應用安全機制在應用層為業務系統提供直接的安全保護，能夠滿足身份認證、使用者授權與訪問控制、資料安全傳輸等安全需求。

制定統一的身份認證、授權與訪問控制、應用層通訊加密等應用層安全系統的建設標準和管理規範，改善業務應用系統的整體安全性。

系統和資料備份是重要的安全保障機制，為了保障業務資料的安全性，降低突發意外事件所帶來的安全風險，制定統一的系統和資料備份標準與規範，採取先進的資料備份技術，保證業務資料和系統軟體的安全性。

制定統一的應急響應計畫標準，建立應急響應計畫，包括安全事件的檢測、報告、分析、追查、和系統恢復等內容。在發生安全事件後，盡快作出適當的響應，將安全事件的負面影響降至最低，保障金融業務正常運轉。

災難是指對網路和資訊系統造成任何破壞作用的意外事件，要制定詳細的災難恢復計畫，考慮到資料大集中的安全需求，採用異地容災備份等技術，確保資料的安全性和業務的持續性，在災難發生後，盡快完成恢復。

制定統一的人員安全管理和教育培訓規範，定期對資訊系統的使用者進行安全教育和培訓，對普通使用者進行基本的安全教育，對安全技術崗位的使用者進行崗位技能培訓，提高全員的安全意識，培養高素質的安全技術和管理隊伍。

資訊保安體系的建設，涉及面廣、工作量大，必須堅持以下的原則，保證建設和運營的效果。

要對的資訊保安體系建設進行統一的規劃，制定資訊保安體系框架，明確保障體系中所包含的內容。同時，還要制定統一的資訊保安建設標準和管理規範，使得資訊保安體系建設能夠遵循一致的標準，管理能夠遵循一致的規範。

資訊保安體系的建設，內容龐雜，必須堅持分步驟的有序實施原則，循序漸進地進行。

僅有全面的安全技術和機制是遠遠不夠的，安全管理也具有同樣的重要性，xx資訊保安體系的建設，必須遵循安全技術和安全管理並重的原則。制定統一的安全建設管理規範，指導的安全管理工作。

資訊保安規劃綜述

電子資訊工程綜述

銀行資訊保安規劃概述

安全評價方法綜述

資訊保安規劃綜述

電子資訊工程綜述

銀行資訊保安規劃概述

安全評價方法綜述

相關推薦