企业信息安全建设与管理制度

企业信息平安建设与管理制度一信息平安目标信息平安涉及到信息的保密性Confidentiality、完整性Integrity、可用性Availability基于以上的需求分析，我们认为网络系统可以实现以下平安目标0爱惜网络系统的可用性0爱惜网络系统服务的连续性0防范网络资源的非法访问及非授权访问0防范…者的恶意XXX与破坏0爱惜信息通过网上传输过程中的机密性、完整性防范病毒的侵害0实现网络的平安管理二信息平安保障体系

2.1信息平安保障体系基本框架通过人、管理和技术手段三大要素，构成动态的信息与网络平安保障体系框架WPDRR模型，实现系统的平安保障WPDRR是指预警Warning、爱惜Protection、检测Detection、反应Reaction、复原Recovery,五个环节具有时间关系和动态闭环反馈关系平安保障是综合的、相互关联的，不仅仅是技术问题，而是人、管理和技术三大要素的结合支持系统平安的技术也不是单一的技术，它包括多个方面的内容在整体的平安策略的限制和指导下，综合运用防护工具如防火墙、XXX加密等手段，利用检测工具如平安评估、*”检测等系统了解和评估系统的平安状态，通过适当的反应将系统调整到“最高平安”和“最低风险”的状态,并通过备份容错手段来保证系统在受到破坏后的快速复原，通过监控系统来实现对非法网络运用的追查预警利用远程平安评估系统供应的模拟xxx技术来检查系统存在的、可能被利用的脆弱环节，收集和测试网络与信息的平安风险所在，并以宜观的方式进行报告，供应解决方案的建议，在经过分析后，r解网络的风险变更趋势和严峻风险点，从而有效降低网络的总体风险，爱惜关键业务和数据爱惜:爱惜通常是通过接受成熟的信息平安技术及方法来实现网络与信息的平安,主要有防火墙、授权、加密、认证等检测通过检测和监控网络以及系统，来发觉新的威逼和弱点，强制执行平安策略在这个过程中接受***检测、恶意代码过滤等等这样一些技术，形成动态检测的制度，建立报告协调机制，提高检测的实时性反应:在检测到平安漏洞和平安事务之后必需刚好做出正确的响应，从而把系统调整到平安状态为此须要相应的报警、跟踪、处理系统，其中处理包括封堵、隔离、报告等子系统熨原灾难复原系统是当网络、数据、服务受到XXXXXX并遭到破坏或影响后，通过必要的技术手段（如容错、冗余、备份、替换、修复等），在尽可能短的时间内使系统复原正常

2.2平安体系结构技术模型对平安的需求是任何单一平安技术都无法解决的，应当选择适合的平安体系结构模型，信息和网络平安保障体系由平安服务、协议层次和系统单元三个层面组成，且每个层面都包含平安管理的内容

2.3平安区域策略依据平安区域的划分，主管部门应制定针对性的平安策略

1、定期对关键区域进行审计评估，定立平安风险基线

2、对于关键区域安装分布式***检测系统；

3、部署防病毒系统防止恶意脚本、XXX和病毒

4、建立备份和灾难复原的系统

5、建立单点登录系统，进行统一的授权、认证

6、配置网络设备防预拒绝服务XXX

7、定期对关键区域进行平安漏洞扫描和网络审计，并针对扫描结果进行系统加固

2.4统一-配置和管理防病毒系统主管部门应当建立整体病毒防卫策略，以实现统一的配置和管理网络防病毒的策略应满足全面性、易用性、实时性和可扩充性等方面的要求主管部门运用的防病毒系统应供应集中的管理机制，建立病毒系统管理中心，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升级等，并在各个防毒产品上收集病毒防护状况的日志，并进行分析报告建立更新中心，负责整个病毒升级工作，定期地、自动地到病毒供应商网站上获得最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后通过病毒系统管理中心，由管理中心分发到客户端与服务器端，自动对杀毒软件进行更新

2.5网络平安管理在网络平安中，除了接受上述技术措施之外，加强网络的平安管理，制定有关规章制度，对于确保网络的平安、牢靠地运行，将起到特殊有效的作用平安体系建设中，平安管理是一个特殊重要的部分任何的平安技术保障措施，最终要落实到具体的管理规章制度以及具体的管理人员职贲上，并通过管理人员的工作得到实现平安管理遵循国际标准ISO17799,它强调管理体系的有效性、经济性、全面性、普遍性和开放性，目的是为希望达到确定管理效果的组织供应一•种高质量、高好用性的参照.各单位以此为参照建立自己的信息平安管理体系，可以在别人阅历的基础上依据自己的实际状况进行设计、取舍，以达到对信息进行良好管理的目的信息平安不仅仅是一个技术问题，更重要的是一个管理问题对一种资产进行爱惜的最好方法就是为它建立一个完整的、科学的管理体系建立和实施信息平安管理体系（ISMS）是保障企事业单位、政府机构信息平安的重要措施目前世界上包括中国在内的绝大多数政府签署协议支持并认可ISO17799标准其组成部分如图所示，各模块的作用如下:管理体制图1）总体策略确定平安的总体目标，所遵循的原则2）组织确定平安策略之后，必需明确责任部门，落实具体的实施部门3）信息资产分类与限制、职员的平安、物理环境的平安、业务连续性管理有了目标和责任单位，紧接着要求我们必需细致考虑流程，从信息资产、人、物理环境、业务可用性等方面考虑平安的具体内容4）通信与操作平安、访问限制、系统开发与维护这三方面属于解决平安的技术问题，即解决如何做的问题？如何通过技术支撑平安目标、平安策略和平安内容的实施5）检查监控与审计用于检杳平安措施的效果，评估平安措施执行的状况和实施效果

2.

5.1平安运行组织平安运行管理组织体系主要由主管领导、信息中心和业务应用相关部门组成，其中领导是核心，信息中心是系统运行管理体系的实体化组织，业务应用相关部门是系统支撑平台的干脆运用者确定系统内部的管理职能部门，明确责任部门，也就是要组织平安运行管理团队，由该部门负责运行的平安维护问题

2.

5.2平安管理制度面对网络平安的脆弱性，除在网络设计上增加平安服务功能，完善系统的平安保密措施外，还必需建立网络的平安管理明确平安职责，制定平安管理制度，实施平安管理的原则为多人负责原则、任期有限原则、职责分别原则

2.

5.3应急响应机制筹建管理人员和技术人员共同参与的内部组织，提出应急响应的支配和程序，供应计算机系统和网络平安事务的供应技术支持和指导；供应平安漏洞或隐患信息的通告、分析事务统计分析报告；供应平安事务处理相关的培训三.信息平安体系架构通过对网络应用的全面了解，依据平安风险、需求分析结果、平安策略以及网络的平安目标具体的平安限制系统可以从以下几个方面分述物理平安、系统平安、网络平安、应用平安、管理平安

3.1物理平安保证计算机信息系统各种设备的物理平安是保障整个网络系统平安的前提物理平安是爱惜计算机网络设备、设施以及其它媒体免遭地点、水灾、火灾等环境事故以及人为操作失误或错误及各种计克机犯罪行为导致的破坏过程它主要包括三个方面

3.

1.1环境平安对系统所在环境的平安爱惜，如区域爱惜和灾难爱惜（参见国家标准GB50173—93《电子计嵬机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地平安要求》）

3.

1.2设备平安设备平安主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源爱惜等设备冗余备份；通过严格管理及提高员工的整体平安意识来实现

3.

1.3媒体平安包括媒体数据的平安及媒体本身的平安明显，为保证信息网络系统的物理平安，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证明这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害为r防止系统中的信息在空间上的扩散，通常是在物理上实行确定的防护措施，来削减或干扰扩散出去的空间信号

3.2系统平安

3.

2.1网络结构平安网络结构的平安主要指，网络拓扑结构是否合理线路是否有冗余路由是否冗余，防止单点失败等

3.

2.2操作系统平安对于操作系统的平安防范可以实行如下策略尽量接受平安性较高的网络操作系统并进行必要的平安配置、关闭一些起不常用却存在平安隐患的应用、对一些保存有用户信息及其口令的关键文件（如Windows NT下的LMHOST、SAM等）运用权限进行严格限制加强口令字的运用（增加口令困难程度、不要运用与用户身份有关的、简洁揣测的信息作为口令），并刚好给系统打补丁、系统内部的相互调用不对外公开通过配备操作系统平安扫描系统对操作系统进行平安性扫描，发觉其中存在的平安漏洞，并有针对性地进行对网络设备重新配置或升级

3.

2.3应用系统平安在应用系统平安上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET.RLOGIN等服务还有就是加强登录身份认证确保用户运用的合法性并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内充分利用操作系统和应用系统本身的R志功能，对用户所访问的信息做记录，为事后审查供应依据

3.3网络平安网络平安是整个平安解决方案的关键，从访问限制、通信保密、***检测、网络平安扫描系统、防病毒分别描述

3.

3.1隔离与访问限制0严格的管理制度可制定的制度有《用户授权实施细则》、《口令字及账户管理规范》、《权限管理制度》、《平安责任制度》等0配备防火墙防火墙是实现网络平安最基本、最经济、最有效的平安措施之一防火墙通过制定严格的平安策略实现内外网络或内部网络不同信任域之间的隔离与访问限制并且防火墙可以实现单向或双向限制，对一些高层协议实现较细粒的访问限制

3.

3.2***检测利用防火墙并经过严格配置，可以阻挡各种担忧全访问通过防火墙，从而降低平安风险但是，网络平安不行能完全依靠防火墙单一产品来实现，网络平安是个整体的，必需配相应的平安产品，作为防火墙的必要补充“检测系统就是最好的平安产品，•”检测系统是依据已有的、最新的XXX手段的信息代码对进出网段的全部操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）从而防止针对网络的xxx与犯罪行为”检测系统一般包括限制台和探测器（网络引擎）限制台用作制定及管理全部探测器（网络引擎）探测器（网络引擎）用作监听进出网络的访问行为，依据限制台的指令执行相应行为由于探测器实行的是监听不是过游数据包，因此，***检测系统的应用不会对网络系统性能造成多大影响

3.

3.3病毒防护由丁•在网络环境下，计和机病毒有不行估量的威逼性和破坏力我们都知道，网络系统中运用的操作系统一般均为WINDOWS系统，比较简洁感染病毒因此计算机病毒的防范也是网络平安建设中应当考虑的重要的环节之%反病毒技术包括预防病毒、检测病毒和杀毒种技术

3.4应用平安

3.

4.1资源共享严格限制内部员工对网络共享资源的运用在内部了•网中一般不要轻易开放共享书目，否则较简洁因为疏忽而在与员工间交换信息时泄漏重要信息对有经常交换信息需求的用户，在共享时也必需加上必要的口令认证机制，即只右.通过口令的认证才允许访问数据虽然说用户名加U令的机制不是很平安，但对一般用户而言，还是起到确定的平安防护，即使有刻意破解者，只要口令设得困难些，也得花费相当长的时间

3.

4.2信息存储对有涉及隐私信息的用户主机，运用者在应用过程中应当做到尽量少开放一些不常用的网络服务对数据服务器中的数据库必需做平安备份通过网络备份系统，可以对数据库进行远程备份存储

3.5平安管理

3.

5.1制定健全的平安管理体制制定健全的平安管理体制将是网络平安得以实现的重要保证可以依据自身的实际状况，制定如平安操作流程、平安事故的奖罚制度以及对任命平安管理人员的考查等

3.

5.2构建平安管理平台构建平安管理平台将会降低很多因为无意的人为因素而造成的风险构建平安管理平台从技术上如，组成平安管理子网，安装集中统一的平安管理软件，如病毒软件管理系统、网络设备管理系统以及网络平安设备统管理软件通过平安管理平台实现全网的平安管理

3.

5.3增加人员的平安防范意识应当经常对单位员工进行网络平安防范意识的培训，全面提高员工的整体网络平安防范意识企业信息平安建设与管理组织架构应用质中大门网络传输展网络AR-保路尼L物理质「通信平台-网络平台——系统平台一应用平台匚拗理环填,认证-访问控利一数据完整性——数据保田性一抗抵赖审计可用性。