信息安全总体策略.docx
《信息安全总体策略.docx》由会员分享,可在线阅读,更多相关《信息安全总体策略.docx(20页珍藏版)》请在冰点文库上搜索。
信息安全总体策略
信息安全总体策略
***********有限公司
2019年5月
1目的
为了加强***********有限公司信息安全建设与管理工作,切实提高信息系统的安全保障能力,进一步深入贯彻落实国家《关于加强信息安全保障工作的意见》(中办[2003]27号文件)、《信息安全等级保护管理办法》(公通字[2007]43号)等政策文件要求,特制定本策略。
2适用范围
适用于***********有限公司管辖范围内信息安全的管理工作。
3职责
***********有限公司应遵守本制度中相关要求进行信息资产相关的购买(建设)、使用、维护、管理、变更、销毁等活动。
4管理要求
4.1管理制度体系
建立由信息安全方针、安全策略、安全管理制度、安全技术规范以及流程组成的一整套信息安全管理体系。
4.1.1信息安全方针/信息安全总体策略
纲领性文档,陈述信息安全工作的总体目标、范围、原则和安全框架等,是信息安全各个方面所应遵守的原则方法和指导性策略。
4.1.2信息安全管理制度和规定
遵从总体策略中规定的安全各个方面所应遵守的原则方法,是指导性策略引出的具体管理规定、管理办法和实施办法,规定安全管理活动中各项管理内容,如组织安全、人员安全、系统建设和运行维护安全等的管理目标、要求、责任以及过程。
4.1.3信息安全技术标准和规范
遵从总体策略中规定的安全各个方面所应遵守的原则方法,是指导性策略引出的具体的技术标准和规范。
技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。
4.1.4安全工作流程和安全操作规程
工作流程详细规定主要业务应用和事件处理的流程和步骤,以及相关注意事项,安全操作规程指导具体工作和日常运维操作。
4.1.5安全记录单
落实安全工作流程和安全操作规程的具体表单。
主要包括日常操作的记录、工作记录、流转记录以及审批记录等。
4.2制度管理
应对安全管理类制度的制定负责,应组织相关人员,包括安全专家,制度适用的应用系统承建单位和业主单位等,对制定的安全管理制度进行论证和审定。
安全管理制度制定后,必须有效发布,发布过程中必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关部分的充分培训,保证每个人员都知道和了解与其相关部分的内容。
建立并执行管理制度评审的工作制度,每年审查安全策略系列文档,对其中不适用的或欠缺的条款及时进行修改和补充。
参见《信息安全制度管理规定》。
4.3合规性管理
安全管理制度符合我国现行信息和计算机安全相关法律,并符合国家等级保护制度要求,信息系统根据国家信息系统等级保护要求中的信息系统定级、备案、建设整改工作进行建设。
参见《信息安全制度管理规定》。
4.3.1安全管理机构
安全管理机构是对信息系统安全管理全权负责的组织,针对安全管理机构的职责及策略参见《信息安全组织及职责管理规定》。
4.3.2人员安全管理
4.3.2.1人员录用
人员录用过程中的安全责任应由行政人事部以及人员所属部门共同承担。
在实际的人员录用过程中,以上部门均应指定专门人员负责自身责任范围内的录用工作。
参见《人员安全管理规定》。
4.3.2.2人员离岗
人员离岗过程中的安全责任应由行政人事部、信息安全部门共同承担。
在实际的人员离岗过程中,以上部门均应指定专门人员负责自身责任范围内的离岗工作。
参见《人员安全管理规定》。
4.3.2.3人员培训与考核
人员培训应从整体考虑,对人员技能需求进行分析,形成人员培训计划,设计培训内容,明确培训方式。
应注意根据岗位特点,针对不同岗位制定不同的培训计划,同时对培训的情况和结果进行记录并归档保存。
人员考核应形成文件化的岗位考核计划,有序的安排各岗位人员进行考核,至少应定期对涉及信息安全管理、检查和执行的岗位人员进行安全技能的考核,以及对各个岗位的人员进行安全认知的考核。
当员工违反了安全策略和安全流程时,应依据处罚条款进行惩戒,记录惩戒结果,并从惩戒事件本身进行总结,分析惩戒原因和规避措施。
参见《人员安全管理规定》。
4.3.2.4外部人员访问管理
“外部人员”通常是指软件开发商,硬件供应商,系统集成商,设备维护商,和服务提供商,实习生,临时工等非本单位人员。
参见《人员安全管理规定》。
4.3.3系统建设管理
4.3.3.1系统规划
信息系统规划阶段安全管理包括项目立项、项目需求与要求、项目审批和项目招标相关阶段的信息安全管理要求。
规划中应根据信息系统的等级划分情况和整体安全策略,统一考虑信息系统安全技术框架、安全管理策略、总体建设规划和初步设计方案。
4.3.3.2产品采购与使用
产品的采购和使用必须符合国家的有关规定,产品的采购和使用应指定或授权专门的部门负责。
参见《产品采购安全管理办法》。
4.3.3.3系统实施
信息系统实施阶段安全管理包括项目签约、项目计划、项目实施和试运行相关阶段的安全管理要求。
制定系统实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
工程实施方应当制定详细的系统实施方案,控制系统实施过程,并组织相关机构和专家对系统实施方案进行论证和审定。
工程实施方必须确保正式地执行安全工程过程,提供系统实施的相关文档和实施过程控制记录。
针对第三方参与的系统实施项目,应选择具有集成资质,具备相关项目实施成功案例的信誉较好的厂商作为合作方,并以书面文档形式规范其责任、任务要求、实施过程中的安全行为、环境要求、工程质量以及实施后的服务承诺等相关内容。
参见《信息系统建设安全管理办法》。
4.3.3.4系统验收
测试验收的标准需要保证功能、性能和安全三方面满足要求,要由专门人员或部门负责,在系统测试验收控制方法和人员行为准则的约束下执行测试验收工作。
对于自身缺少测试能力的单位需要委托外部单位帮助完成测试工作,并出具公正的安全性测试报告。
系统的安全性测试验收应独立进行,至少应审查主机端口开放情况是否符合系统说明、使用网络侦听工具审查通讯数据包是否符合系统说明和使用恶意代码软件检测软件包中可能存在的恶意代码等。
系统运营单位应对系统交付的要求,包括系统交付的控制方法和人员行为准则进行规定,根据合同要求制定系统交付的清单,依据交付清单进行清点。
系统建设单位应对负责系统使用和维护的人员进行相应培训,并履行服务承诺。
参见《信息系统建设安全管理办法》。
4.3.4系统运维管理
4.3.4.1资产管理
建立资产安全管理制度,规定资产管理的责任人员或责任部门,规范资产的使用、传输、存储、维护和销毁等各种行为。
编制资产清单,资产清单应保留电子档和纸质文件,在资产属性发生变化或资产增减时应及时修改资产清单,保留修改记录,并形成文件化的资产清单检查程序,定期组织人员依据检查程序对资产清单进行一致性检查,保留检查记录。
对资产分类与标识方法作出规定,规定分类标识的原则和方法,明确标识的格式,明确标识的管理职责和方法。
参见《信息资产安全管理办法》。
4.3.4.2介质管理
形成文件化的介质管理办法,根据所承载数据和软件的重要程度加强介质安全管理,即对存储介质的使用、存储、携带、记录、清单等活动提供明确的安全管理方法。
参见《信息系统运维安全管理规定》。
4.3.4.3设备管理
建立设备管理制度,对信息系统相关的各种软硬件设备、线路等进行规范化管理,防范对设备XX的使用,以及对设备放置区域的XX的访问。
4.3.4.4监控管理
形成监控管理相关制度和要求,对机房、通信线路、主机、网络设备和应用软件的运行状况、流量、用户行为等进行监测和报警,形成记录并妥善保存,并组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,采取必要的应对措施。
配备安全入侵监控工具,能发现安全事件并具备处理能力。
建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
参见《信息系统运维安全管理规定》。
4.3.4.5网络安全管理
建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、配置文件备份和外部连接的授权、批准等方面作出规定,以审查网络系统的安全性,降低网络系统存在的安全风险,确保网络系统安全可靠地运行。
参见《信息系统运维安全管理规定》。
4.3.4.6系统安全管理
建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程、日志分析等方面作出规定,以保障信息系统安全运行和使用。
参见《信息系统运维安全管理规定》。
4.3.4.7恶意代码防范管理
为加强网络与信息系统安全保护,避免遭受恶意代码攻击和病毒感染,建立恶意代码防范管理制度。
内容包括防范意识、培训要求、日常注意事项、防恶意代码软件使用等内容。
所有终端需安装基本的防病毒软件以保护系统的正常运行,配备恶意代码主动监控工具,发现并阻止恶意代码的传播,指定专人定期对网络和主机进行恶意代码检测并保存检测记录。
参见《信息系统运维安全管理规定》。
4.3.4.8密码管理
建立密码使用管理制度,识别国家密码管理相关规定和要求,指导对密码技术和产品的选择,使用符合国家密码管理规定的密码技术和产品。
参见《信息系统运维安全管理规定》。
4.3.4.9变更管理
变更是指对系统/平台需求的增补或修改,所做增补或修改可能会影响生产环境的稳定性。
规范变更管理流程,控制变更产生的影响,减少变更发生的问题,保障信息系统安全运行和使用,需建立变更管理制度。
参见《信息系统变更管理规定》。
4.3.4.10备份与恢复管理
为保证备份和恢复策略与整体管理目标的一致性,应制定备份与恢复策略,并指定部门或人员负责备份与恢复工作。
应对备份信息的备份方式、备份频度、存储介质、保存期和信息恢复等进行规范,对备份设备的维护和检测进行规范。
参见《信息系统运维安全管理规定》。
4.3.4.11安全事件处置
为加强***********有限公司网络与信息安全事件的管理,全面提高网络与信息安全水平,保障网络通信畅通,提高系统服务质量,应规范安全事件的处置机制。
参见《网络与信息安全事件应急预案》。
4.3.4.12应急计划管理
应制定统一的应急预案框架,在统一框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
建立重要事件的应急预案,包括黑客入侵、病毒大规模传播、网络和系统中断、火灾等灾难的应急预案,并对应急预案进行测试,保证其可以执行,保留测试记录。
参见《网络与信息安全事件应急预案》。
4.3.4.13系统废止管理
信息系统需要终止运行时,应由使用者或管理者提出申请,说明原因、风险及采取的保护措施,经过相应领导审批才能正式终止运行。
参见《信息资产安全管理办法》。
4.3.4.14信息系统终止
信息系统终止运行前,应进行必要的数据和软件备份,对终止运行的设备进行数据清除,重要的数据应采用多次读写覆盖的方式清除敏感或秘密数据,对无法执行删除操作的受损存储设备必须销毁。
保密性较高的设备数据清除应获得批准并在双人监控下才能销毁,销毁记录应妥善保存。
信息系统的终止运行应实行备案制度,明确实施流程并保留相关记录。
参见《信息资产安全管理办法》。
4.3.4.15系统检查与评估
4.3.4..1系统检查管理
应定期组织人员进行安全检查。
安全检查可以自查,也可以由信息安全工作小组组织人员进行检查,也可以请第三方安全公司进行检查。
安全检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况、日志信息和系统漏洞等,所有检查内容应形成检查表。
安全检查结果应进行汇总分析,形成安全检查报告,并制定措施防止安全检查结果的非授权散布,只对经过授权的人员通报安全检查结果。
4.3.4..2系统审计管理
对信息系统实施安全审计的目的是避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息安全管理符合安全方针和标准要求,作为自我保障和改进机制的一部分,在保证信息安全管理体系持续有效运作的同时,不断地改进和完善。
应制定安全审计制度规范安全审计工作,定期按照程序进行安全审核和检查活动,安全审计包含如下要求:
1)识别适用于***********有限公司的法律法规,收集和整理管理部门的相关管理要求,并落实执行;
2)实施适当的程序,以确保在使用与知识产权有关的材料和软件时符合法律法规和合同要求;
3)应按照法律法规、合同和业务要求,保护重要记录免受损失、破坏或伪造篡改;
4)审计工作的独立性;
5)保护数据的安全;
6)定期进行信息安全检查,确保符合信息安全规范的要求。
4.3.5网络安全策略
4.3.5.1网络接入策略
网络接入策略用于规范各种接入网络的行为,接入网络的行为可根据接入形式分为网络边界接入、设备接入及VPN接入三种类型。
4.3.5.1.1网络边界接入策略
网站系统面向互联网提供服务,根据互联接口的风险和网络内信息资产的价值,确定网络边界的接入策略:
1)互联网的接入点必须在互联网出口防火墙以外;
2)所有互联网到内部的访问,都需要通过防火墙进行端口级的访问控制;
3)此边界只提供互联网用户对外网应用域服务器区的访问;
4)禁止互联网用户通过远程桌面等方式远程管理内部计算机和设备;
5)允许内部用户有限制地访问互联网,关闭有风险的协议和端口。
4.3.5.1.2设备接入策略:
对于非网站系统的信息资产,如有接入网络的需求,必须提出正式申请并审核通过后,方可接入网络。
申请人及审批部门需要控制以下关键风险:
1)接入设备自身具备良好的安全机制;
2)不对网络系统及业务系统造成不良影响;
3)对设备的操作人员得到认可。
4.3.5.1.3VPN接入策略:
原则上不准许通过互联网访问核心区的业务及数据,如因业务需求确定需要接入,需通过VPN设备进行加密链路实现网络层的保密性控制。
VPN接入策略如下:
1)互联网VPN用户只能通过VPN访问办公网资源和通过信息中心网络访问外网;
2)每个需要使用VPN的用户建立单独的VPN帐户,VPN账户对应到人,禁止共享VPN帐户;
3)VPN帐户必需采用“用户名+密码+USBKey”的双因素认证技术实现接入认证;
4)VPN帐户的口令必须符合《密码策略》的规定;
5)VPN连接建立后,VPN用户只能访问分配的VPN资源,禁止访问其它网络资源;
6)VPN配置超时时间,建立VPN连接后超过一定时间不使用的情况下自动将其断开。
4.3.5.2网络访问控制策略
4.3.5.2.1外网应用域主要部署业务系统,其中规则策略应根据业务特性而定,内网应用域要与外网应用域相隔离,避免来自互连网的威胁。
根据服务性质最小化有针对性的开放服务端口。
4.3.5.2.2安全网络域为骨干网络区域,部署外网接入的路由器及核心交换机。
通过在骨干网络部署防火墙,过滤所有区域进出信息系统的数据包,其策略对内访问限制仅访问网站业务服务器,限制访问地址与端口,不允许访问其他区域资源。
4.3.5.2.3安全管理域主要部署网管平台、漏洞扫描及日志审计系统等,其策略只允许开放与相关网络、服务器、主机设备及网管平台最小权限的通讯行为。
4.3.5.2.4安全用户域指内网办公用户通过交换设备接入网络的区域,区域中应根据部门情况划分不同的VLAN,并进行访问控制。
4.3.5.2.5扩展域是一个单独的扩展区域,可以使用VLAN等形式进行划分,并与其他各区域相隔离。
该区域可用于外联区、第三方用户接入、广域网区等。
4.3.5.3网络安全审计策略
网络安全审计策略用于规范网络系统进行审计时的策略约束。
外部应用域主要是对互联网提供服务的WEB服务器和部分应用服务器,针对其业务特点和安全需求,定义审计策略如下:
1)对此区域的所有应用系统的管理操作进行审计;
2)对此区域的所有服务器的SSH、Telnet、Windows远程桌面、FTP访问进行审计;
3)在访问控制策略开放了SSH、Telnet、Windows远程桌面、FTP等访问需求后,应及时添加相应审计策略;
4)对来自网络的对数据库的高级操作进行审计;
5)针对主要的网络设备,需要审计其设备运行状况、网络流量和用户管理登陆等行为。
4.3.5.4网络入侵检测和报警策略
网络入侵检测和报警策略用于规范入侵检测系统的检测规则配置和报警配置,信息系统主要面临来自外部的威胁,重点检测来自互联网的入侵攻击,因此,检测和报警策略如下:
1)按安全事件类型分,主要检测缓冲溢出、网络设备攻击、安全扫描、木马后门、蠕虫病毒、拒绝服务、CGI攻击、协议分析、安全审计、可疑行为、安全漏洞、CGI访问、脆弱口令、穷举探测、间谍软件等类型的攻击;
2)按系统类型分,主要检测IIS服务、WINDOWS系统、通用网络设备、通用协议、专用CGI程序、其它应用等类型的攻击;
3)对于同一事件的报警,如果数量太多,需要进行归并配置;
4)所有中高级风险配置报警方式为日志报警SNMP,发送到安全管理平台。
4.3.5.5网络及安全设备口令策略
为规范管理员对网络及安全设备的访问及操作行为,降低由于口令强度不够和设置不完善等造成的安全隐患和风险,提出以下口令安全策略:
1)网络设备管理员口令长度不得少于8个字符。
2)口令复杂度要求:
至少是字母、数字及符号的组合。
3)每6个月内至少需修改一次口令,再次修改的密码应确保未使用最近2次内的重复的口令。
4)密码属于敏感信息,要严格控制和管理。
5)密码在本地存储和传输过程中要采用加密处理,不应以明文形式存储和传输。
6)不允许存在空密码和弱密码的情况。
4.3.5.6网络及安全设备安全配置策略
为了加强信息系统所涉及网络设备、安全设备的安全管理,规范网络设备、安全设备配置的安全性,保证网络设备、安全设备自身的安全性,制定以下网络设备、安全设备安全配置策略。
1)对登录网络设备、安全设备的用户进行身份鉴别,设置安全管理员、系统管理员和审计管理员账户。
2)管理员账户的口令需要满足口令策略,严禁使用弱口令。
3)网络设备需配置VLAN。
4)网络设备及安全设备需配置网络时钟。
5)设置超时进行处理功能,采取结束会话、限制非法登录次数(5次)和限制非法登录失败5次对用户进行锁(2分钟)等措施。
6)设置登录终端的连接操作超时(5分钟)锁定或退出。
7)当对网络设备进行远程管理时,采取SSL、SSH等方式防止鉴别信息在网络传输过程中被窃听,并对管理员登录地址进行限制。
8)当对安全设备进行远程管理时,采取HTTPS、SSH等方式防止鉴别信息在网络传输过程中被窃听,并对管理员登录地址进行限制。
9)系统配置需要定期备份,在进行配置变更后立即备份。
4.3.5.7病毒防护策略
为实现网络及服务器可以有效抵御病毒威胁,需建立有效的病毒防护体系,并制定以下策略:
1)在网络边界处部署防病毒网关,对恶意代码进行检测。
2)所有主机统一安装网络版防病毒软件,并实时更新病毒库。
3)在服务器等关键主机上使用U盘等移动介质时,必须首先对移动介质进行病毒查杀后方可使用。
4)及时安装操作系统和软件的更新补丁。
4.3.5.8上网控制策略
内部服务器在访问互联网等外网资源时,使用非法链路连接外网或不当的访问外网资源,会对信息系统带来较大的安全风险,为避免此类安全风险,特制定以下上网控制策略:
1)在满足业务需求的情况下,禁止内部服务器有连接互联网的行为。
2)因业务需求而必须访问互联网时,必须使用统一提供的上网方式,严禁使用其他等方式私自进行连接。
3)访问互联网时,严禁访问ICMP,TCP135-139、445、593、4444、5554、9996,UDP69、135-139、445等高风险端口。
4)不得利用互联网查阅、复制、制造和传播危害国家安全、妨碍社会治安和淫秽色情的信息。
5)内部用户访问互联网时,严禁在使用下载、视频等P2P软件时,大量占用网络带宽。
6)为了保证关键业务和主要上网应用的带宽满足高峰期需求,为外网应用域业务和HTTP、SMTP、POP3等应用分配优先的带宽资源。
4.3.6主机安全策略
为了保护主机操作系统的安全,需控制操作系统及数据库所存在的安全风险,制定主机安全策略。
适用范围:
关键应用及核心数据所涉及的主机操作系统、数据库系统及管理终端。
4.3.6.1操作系统安全配置策略
为控制操作系统所面临的安全风险,制定以下操作系统安全策略:
1)对操作系统进行权限管理,根据管理与维护人员的职责范围设置最小权限。
2)操作系统的安装须遵从最小化安装原则,仅仅安装并运行必须的系统服务和应用程序。
3)设置超时进行处理功能,采取结束会话、限制非法登录次数(5次)和限制非法登录失败5次对用户进行锁(2分钟)等措施。
4)设置登录终端的连接操作超时(5分钟)锁定或退出。
5)对windows操作系统进行远程管理时,采取加密的远程桌面方式防止鉴别信息在网络传输过程中被窃听,并对管理员登录地址进行限制。
6)对非windows操作系统进行远程管理时,采取SSH方式防止鉴别信息在网络传输过程中被窃听,并对管理员登录地址进行限制。
7)操作系统需配置网络时钟。
8)在按规定安装各类软件时遵从最小化安装源则,关闭和卸载与其业务操作无关的功能和服务。
9)对系统不需要的共享路径进行禁用或删除。
10)将windows系统设置为“不显示上次登陆用户名”。
11)将windows系统设置为设置“关机前清除虚拟内存页面”。
12)安装必需的补丁程序,补丁程序的安装需综合考虑安全风险及应用系统运行的具体情况,有选择性地进行补丁的测试、安装:
(1)对业务系统的操作系统,补丁加载前一定要进行相同环境的测试,加载前要做好系统备份和数据备份,并制定补丁回退机制和流程;
(2)对办公电脑(包括桌面机和笔记本)的操作系统,实施统一的补丁管理,实现补丁的统一测试、自动分发和在线检查,保证补丁更新的安全性与及时性。
13)对信息系统中服务器操作系统的重要文件设置访问控制权限,严格控制这些文件执行情况。
14)操作系统应安装防病毒软件,确保病毒库已更新至最新版本,并及时进行病毒查杀处理。
15)人员完成应用系统的操作或离开工作岗位时,应及时退出系统。
4.3.6.2数据库安全配置策略
为加强信息安全管理,规范数据库系统的配置安全,制定数据库系统的安全配置策略如下:
1)对数据库系统进行权限管理,必需根据管理与维护人员的职责范围设置最小权限。
2)禁止将系统默认配置做为数据库系统的最终配置,必需根据应用对数据库系统的需求及安全设置要求对数据库进行优化配置,关闭不必要的服务。
3)数据库系统应安装必需的补丁程序,补丁程序应根据应用服务运行的具体情况,有选择性地进行补丁的测试、安装。
4)仅允许采用本地登陆的方式管理与维护数据库系统,禁止采用远程连接的方式对数据库系统进行访问与操作。
4.3.6.3操作系统安全审计策略
为了能够发现和跟踪系统中发生的各种可疑事件,需要对操作系统进行安全审计,操作系统安全审计策略如下:
1)以日志的形式记录用户登录系统、文件访问操作、账户修改等行为的过程和结果信息,做到发生可疑事件时有据可查;
2)对操作系统重要的可执行文件的访问控制情况进行审计,发现并记录对这些文件的访问
升级会员 