网络安全工作总体方针和安全策略

XXX单位网络安全工作总体方针和安全策略V1.0目录1总则..............................................................................................................11.1目标....................................................................................................11.2适用范围............................................................................................11.3建设思路............................................................................................11.4建设原则............................................................................................31.5建设目标............................................................................................42安全体系框架..............................................................................................52.1安全模型............................................................................................52.2安全体系框架....................................................................................73建设内容....................................................................................................133.1组织机构..........................................................................................133.2人员管理..........................................................................................133.3物理管理..........................................................................................133.4网络管理..........................................................................................143.5系统管理..........................................................................................143.6应用管理..........................................................................................143.7数据管理..........................................................................................143.8运维管理..........................................................................................154总体安全策略............................................................................................154.1物理环境安全策略..........................................................................154.2通信网络安全策略..........................................................................164.3区域边界安全策略..........................................................................174.4计算环境安全策略..........................................................................184.5安全管理中心策略..........................................................................195附则............................................................................................................201/201总则为加强和规范XXX单位网络安全工作，提高网络安全防护水平，实现网络安全的可控、能控、在控，依据国家有关法律、法规的要求，制定本文档。1.1目标以满足业务运行要求，遵守行业规程，实施等级保护及风险管理，确保网络安全以及实现持续改进的目的等内容作为本单位网络安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体目标。1.2适用范围本文档适用于网络安全方案规划、安全建设实施和安全策略的制定。在全单位范围内给予执行，由信息安全领导小组对该项工作的落实和执行进行监督，由技术部配合信息安全领导小组对本案的有效性进行持续改进。1.3建设思路XXX单位信息安全建设工作的总体思路如下图所示：2/20网络和信息技术信息化建设现状现存问题整体安全策略（建设目标、技术策略、管理策略）安全技术体系安全管理体系运营保障体系信息安全系统建设规划和实施方案信息安全技术和机制安全威胁和安全脆弱性建设现状发展趋势信息化建设是基于当前通用的网络与信息系统基础技术，针对安全性问题和支撑安全技术，通过安全评估，对信息化建设和信息安全建设进行分析和总结，其中包括对建设现状和发展趋势的完整分析，归纳出系统中当前存在和今后可能存在的安全问题，明确网络和信息系统运营所面临的安全风险级别。从支撑性安全技术展开，对现有网络和信息技术的固有缺陷出发，总结了普遍存在的安全威胁，并根据其它系统中的信息安全建设实践中的经验，从信息安全领域的完整框架、思路、技术和理念出发，提供完整的安全建设思路和方法。在此基础之上，对信息安全领域的理论、框架和技术基础与XXX单位的安全问题有机地进行结合，有针对性地提出XXX单位安全保障总体策略。安全保障总体策略包括了整体建设目标，安全技术策略，以及相应的管理策略。以安全保障总体策略为核心，分三个方面进行整体信息安全体系框架的制定，包括安全技术体系，安全管理体系和运营保障体系。在现实的运营过程中，安全保障不能够纯粹依靠安全技术来解决，更需要适当的安全管理，相互结合来提高整体安全性效果。在信息安全体系框架的指导下，依据相应的建设标准和管理规范，规划和制定详细的信息安全系统实施方案和运营维护计划。3/20信息安全体系建设的思路体现了以下的特点：统筹规划和设计在建设过程中占有非常重要的地位；充分结合建设现状与信息安全通用技术和理念；充分考虑了当前的建设现状以及未来业务发展的需要；注重安全管理体系的建设，以及管理、技术和保障的相互结合。1.4建设原则信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信息系统安全等级保护制度。信息安全体系的建设，涉及面广、工作量大，必须坚持以下的原则，保证建设和运营的效果。统一规划要对的信息安全体系建设进行统一的规划，制定信息安全体系框架，明确保障体系中所包含的内容。同时，还要制定统一的信息安全建设标准和管理规范，使得信息安全体系建设能够遵循一致的标准，管理能够遵循一致的规范。分步有序实施信息安全体系的建设，内容庞杂，必须坚持分步骤的有序实施原则，循序渐进地进行。基于安全需求依据信息系统担负的使命，积累的信息资产的重要性以及可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果。技术管理并重仅有全面的安全技术和机制是远远不够的，安全管理也具有同样的重要性，XXX单位信息安全体系的建设，必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范，指导的安全管理工作。4/20突出安全保障信息安全体系建设要突出安全保障的重要性，通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制，保障业务的持续性和数据的安全性。持续改进信息系统安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。依法管理信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响。自保护和国家监管结合对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。1.5建设目标根据XXX单位信息安全体系建设需求和原则，XXX单位信息安全的建设目标，可以用“一个目标、两种手段、三个体系”进行概括。一个目标XXX单位信息安全的建设目标是：基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个5/20层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高XXX单位信息系统的整体安全等级，为XXX单位的业务发展提供坚实的信息安全保障。两种手段信息安全体系的建设应该包括安全技术与安全管理两种手段，其中安全技术手段是安全保障的基础，安全管理手段是安全技术手段真正发挥效益的关键，管理措施的正确实施同时需要有技术手段来监管和验证，两者相辅相成，缺一不可。三个体系XXX单位信息安全体系的建设最终形成3个主要体系，具体包括安全技术体系、安全管理体系、以及运行保障体系。2安全体系框架XXX单位进行信息安全建设的目标是建立起一个全面、有效的信息安全体系，在这个体系中，包括了安全技术、安全管理、人员组织、教育培训、资金投入