1、2014 秋秋信息安全信息安全XX管理策略管理策略 為了保證網絡信息的安全保密，網絡的管為了保證網絡信息的安全保密，網絡的管理和使用人員需要在使用和維護網絡的過理和使用人員需要在使用和維護網絡的過程中遵守一定的行為準則，而這一系列文程中遵守一定的行為準則，而這一系列文檔化的準則和規(guī)范，組成了信息安全檔化的準則和規(guī)范，組成了信息安全XX管管理策略理策略2信息安全信息安全XX管理策略管理策略 信息安全信息安全XX管理策略的特點管理策略的特點 系統(tǒng)化系統(tǒng)化 動態(tài)化動態(tài)化 細致化細致化 規(guī)范化規(guī)范化3信息安全信息安全XX管理策略管理策略 信息安全信息安全XX管理策略的特點管理策略的特點 系統(tǒng)化系統(tǒng)化

2、管理策略涉及網絡運維的諸多方面，需要根據(jù)具體管理策略涉及網絡運維的諸多方面，需要根據(jù)具體的業(yè)務和實際情況，建立一套系統(tǒng)的策略體系的業(yè)務和實際情況，建立一套系統(tǒng)的策略體系 動態(tài)化動態(tài)化 網絡面臨的威脅與攻擊不斷變化，需要根據(jù)環(huán)境、網絡面臨的威脅與攻擊不斷變化，需要根據(jù)環(huán)境、系統(tǒng)和當前形勢以及對系統(tǒng)的風險評估結果及時調系統(tǒng)和當前形勢以及對系統(tǒng)的風險評估結果及時調整策略，修訂規(guī)范整策略，修訂規(guī)范4信息安全信息安全XX管理策略管理策略 信息安全信息安全XX管理策略的特點管理策略的特點 細致化細致化 策略和規(guī)范不僅僅是信息系統(tǒng)運維單位的防護總體策略和規(guī)范不僅僅是信息系統(tǒng)運維單位的防護總體方針，更需要細化

3、分解，策略越詳細、可執(zhí)行性越方針，更需要細化分解，策略越詳細、可執(zhí)行性越強，從而越容易實施強，從而越容易實施 規(guī)范化規(guī)范化 在策略的制定、實施、培訓、評估、修訂以及監(jiān)督在策略的制定、實施、培訓、評估、修訂以及監(jiān)督檢查的全過程中，規(guī)范化是保證信息系統(tǒng)策略有效檢查的全過程中，規(guī)范化是保證信息系統(tǒng)策略有效落實的關鍵落實的關鍵5本章課程提綱本章課程提綱 安全安全XX管理策略體系管理策略體系 物理安全策略物理安全策略 信息安全技術策略信息安全技術策略 運維策略運維策略 安全保密策略管理安全保密策略管理6本章課程提綱本章課程提綱 安全安全XX管理策略體系管理策略體系 物理安全策略物理安全策略 信息安全技術

4、策略信息安全技術策略 運維策略運維策略 安全保密策略管理安全保密策略管理7安全安全XX管理策略體系管理策略體系 網絡安全網絡安全XX管理策略體系必須滿足管理策略體系必須滿足 保密性保密性 完整性完整性 可用性可用性 可認證性可認證性 可審計性可審計性 不可抵賴性不可抵賴性8CIA 完整的完整的策略體系策略體系包括：包括： 物理安全策略物理安全策略 信息安全信息安全技術策略技術策略 運運維維安全策略安全策略9安全安全XX管理策略管理策略體系體系 完整的完整的策略體系策略體系包括：包括： 物理安全策略物理安全策略 制定關于網絡中使用的設備、設施的物理安全所采用制定關于網絡中使用的設備、設施的物理安

5、全所采用的保護措施的保護措施 信息安全信息安全技術策略技術策略 制定制定關于網絡關于網絡所采取的安全防護技術和產品使用的保所采取的安全防護技術和產品使用的保護措施護措施 運維策略運維策略 制定關于網絡日常運行管理所采取的保護措施制定關于網絡日常運行管理所采取的保護措施10安全安全XX管理策略管理策略體系體系本章課程提綱本章課程提綱 安全安全XX管理策略體系管理策略體系 物理安全策略物理安全策略 信息安全技術策略信息安全技術策略 運維策略運維策略 安全保密策略管理安全保密策略管理1112安全安全XX管理策略管理策略體系體系物理安全策略物理安全策略物理隔離物理隔離XX場所環(huán)境場所環(huán)境控制控制中心機

6、房中心機房與配線間與配線間綜合布線綜合布線設備安全設備安全無線與多媒體無線與多媒體設備管控設備管控運維策略運維策略運行管理運行管理備份與恢復備份與恢復應急響應應急響應信息安全技術策略信息安全技術策略網絡層訪問控制網絡層訪問控制應用層訪問控制應用層訪問控制身份認證身份認證違規(guī)外聯(lián)監(jiān)控違規(guī)外聯(lián)監(jiān)控安全監(jiān)控與審計安全監(jiān)控與審計入侵檢測入侵檢測(IDS)病毒、木馬與惡意代病毒、木馬與惡意代碼防護碼防護信息交換與流轉信息交換與流轉漏洞掃描漏洞掃描密碼保護密碼保護信息完整性信息完整性抗抵賴抗抵賴電磁泄露發(fā)射防護電磁泄露發(fā)射防護 物理隔離物理隔離 物理物理隔離是網絡防護的基本策略。隔離是網絡防護的基本策略。

7、 核心內容是：核心內容是：權限不同的網絡之間必須實行物理隔離權限不同的網絡之間必須實行物理隔離。13安全安全XX管理策略管理策略體系體系 XX場所環(huán)境與區(qū)域控制場所環(huán)境與區(qū)域控制 核心內容是：核心內容是：保障網絡、服務器及計算機的安全以及受控使保障網絡、服務器及計算機的安全以及受控使用，防范周邊不安全因素威脅。用，防范周邊不安全因素威脅。 主要包括：主要包括：周邊環(huán)境、周邊環(huán)境、XX場所安防、監(jiān)控、人員車輛出入場所安防、監(jiān)控、人員車輛出入控制措施。控制措施。14安全安全XX管理策略管理策略體系體系 中心機房與配線間中心機房與配線間 核心內容是：核心內容是：保證服務器、網絡設備的物理安全以及受控

8、使保證服務器、網絡設備的物理安全以及受控使用用。 主要包括：主要包括：機房建設、安防監(jiān)控、出入控制以及日常管理。機房建設、安防監(jiān)控、出入控制以及日常管理。(秘密、秘密、機密機密采用采用B類機房要求，機密增強，類機房要求，機密增強，絕密絕密采用采用A類類機房機房)15安全安全XX管理策略管理策略體系體系 綜合布線綜合布線 核心內容是：核心內容是：在線路傳輸?shù)倪^程中，保證信息在線路傳輸?shù)倪^程中，保證信息之間之間的隔離。的隔離。 主要包括：主要包括：光纜、電纜的使用、線路傳導干擾器以及信息光纜、電纜的使用、線路傳導干擾器以及信息傳輸?shù)募用鼙Ｗo。傳輸?shù)募用鼙Ｗo。16安全安全XX管理策略管理策略體系體系

9、 設備安全設備安全 核心內容是：核心內容是：保障保障XX網使用的每個設備在所有環(huán)節(jié)中能夠受網使用的每個設備在所有環(huán)節(jié)中能夠受控管理，防止因設備不可控導致的信息外泄。控管理，防止因設備不可控導致的信息外泄。 主要包括：主要包括：設備與介質的采購、調配、使用、維修、報廢、設備與介質的采購、調配、使用、維修、報廢、銷毀以及臺賬記錄。銷毀以及臺賬記錄。17安全安全XX管理策略管理策略體系體系 無線與多媒體設備管控無線與多媒體設備管控 核心內容是：核心內容是：保障信息不會通過無線設備泄露或者被攻擊。保障信息不會通過無線設備泄露或者被攻擊。 主要包括：主要包括：禁止使用無線互聯(lián)功能設備處理禁止使用無線互聯(lián)

10、功能設備處理特殊特殊信息；聯(lián)信息；聯(lián)網系統(tǒng)嚴禁配備麥克風、攝像頭；談論特殊信網系統(tǒng)嚴禁配備麥克風、攝像頭；談論特殊信息時對互聯(lián)網計算機斷電；手機或其他通訊設息時對互聯(lián)網計算機斷電；手機或其他通訊設備嚴禁帶入備嚴禁帶入18安全安全XX管理策略管理策略體系體系 網絡層訪問控制網絡層訪問控制 核心內容是：核心內容是：為加強不同業(yè)務區(qū)信息的流轉控制，防止非受為加強不同業(yè)務區(qū)信息的流轉控制，防止非受控訪問，按照分域分級的原則進行訪問控制。控訪問，按照分域分級的原則進行訪問控制。 主要包括：主要包括：安全域的劃分策略、安全域的訪問控制策略、安全域的劃分策略、安全域的訪問控制策略、安全域的管理策略、網絡設備

11、端口控制與綁定、安全域的管理策略、網絡設備端口控制與綁定、安全設備部署與訪問控制、安全設備運行管理安全設備部署與訪問控制、安全設備運行管理策略策略19安全安全XX管理策略管理策略體系體系 應用層訪問控制應用層訪問控制 核心內容是：核心內容是：結合應用系統(tǒng)的訪問授權管理，在結合應用系統(tǒng)的訪問授權管理，在IP層、應用層、應用層實施訪問控制，防止信息非授權訪問層實施訪問控制，防止信息非授權訪問 主要包括：主要包括：安全設備部署與訪問控制策略、安全設備運行安全設備部署與訪問控制策略、安全設備運行管理策略、應用系統(tǒng)安全策略管理策略、應用系統(tǒng)安全策略20安全安全XX管理策略管理策略體系體系 身份認證身份認

12、證 核心內容是：核心內容是：根據(jù)不同等級，部署身份認證系統(tǒng)，通過與根據(jù)不同等級，部署身份認證系統(tǒng)，通過與OS、應用系統(tǒng)的集成，提高系統(tǒng)登錄的安全性應用系統(tǒng)的集成，提高系統(tǒng)登錄的安全性 主要包括：主要包括：服務器與終端身份認證策略、網絡設備身份認服務器與終端身份認證策略、網絡設備身份認證策略、打印輸出設備身份認證策略、應用系證策略、打印輸出設備身份認證策略、應用系統(tǒng)數(shù)據(jù)庫策略、安全保密產品認證策略、認證統(tǒng)數(shù)據(jù)庫策略、安全保密產品認證策略、認證系統(tǒng)部署配置與運行管理策略等系統(tǒng)部署配置與運行管理策略等21安全安全XX管理策略管理策略體系體系 違規(guī)外聯(lián)監(jiān)控違規(guī)外聯(lián)監(jiān)控 核心內容是：核心內容是：檢測并阻

13、斷檢測并阻斷XX計算機接入互聯(lián)網與其他公共信計算機接入互聯(lián)網與其他公共信息網的違規(guī)行為息網的違規(guī)行為 主要包括：主要包括：系統(tǒng)部署策略、管理策略、安全控制策略、運系統(tǒng)部署策略、管理策略、安全控制策略、運行管理策略等行管理策略等22安全安全XX管理策略管理策略體系體系 安全監(jiān)控審計安全監(jiān)控審計 核心內容是：核心內容是：通過安全監(jiān)控與審計產品對網絡中計算機的運通過安全監(jiān)控與審計產品對網絡中計算機的運行狀況、軟件安裝、進程服務、硬件端口等進行狀況、軟件安裝、進程服務、硬件端口等進行監(jiān)控行監(jiān)控 主要包括：主要包括：安全監(jiān)控與審計產品的部署、配置管理策略、安全監(jiān)控與審計產品的部署、配置管理策略、監(jiān)控審計

14、策略、運行管理策略監(jiān)控審計策略、運行管理策略23安全安全XX管理策略管理策略體系體系 入侵入侵檢測檢測 核心內容是：核心內容是：對網絡中流經的數(shù)據(jù)包進行實時監(jiān)控，及時預對網絡中流經的數(shù)據(jù)包進行實時監(jiān)控，及時預警入侵等安全事件警入侵等安全事件 主要包括：主要包括：入侵檢測產品部署策略、配置管理策略以及運入侵檢測產品部署策略、配置管理策略以及運行管理策略等行管理策略等24安全安全XX管理策略管理策略體系體系 病毒、木馬、惡意代碼防護病毒、木馬、惡意代碼防護 核心內容是：核心內容是：防止因病毒、木馬和惡意代碼導致的網絡癱瘓、防止因病毒、木馬和惡意代碼導致的網絡癱瘓、信息損毀、失竊密事件發(fā)生信息損毀、

15、失竊密事件發(fā)生 主要包括：主要包括：病毒、惡意代碼防護軟件的部署與安裝策略，病毒、惡意代碼防護軟件的部署與安裝策略，計算機病毒的掃描、特種計算機病毒的掃描、特種“木馬木馬”的查殺、監(jiān)的查殺、監(jiān)控策略，病毒庫下載、更新與維護以及網絡病控策略，病毒庫下載、更新與維護以及網絡病毒審計管理策略毒審計管理策略25安全安全XX管理策略管理策略體系體系 信息交換與流轉信息交換與流轉 核心內容是：核心內容是：不同密級網絡間信息交換相關策略不同密級網絡間信息交換相關策略 主要包括：主要包括：安全隔離與信息單向導入系統(tǒng)的使用策略，內安全隔離與信息單向導入系統(tǒng)的使用策略，內外網信息交換機制，不同密級信息交換策略外網

16、信息交換機制，不同密級信息交換策略26安全安全XX管理策略管理策略體系體系 漏洞掃描漏洞掃描 核心內容是：核心內容是：對對網絡中網絡中的設備以及應用系統(tǒng)進行掃描的設備以及應用系統(tǒng)進行掃描 主要包括：主要包括：漏洞掃描產品部署策略、配置管理策略、檢測漏洞掃描產品部署策略、配置管理策略、檢測掃描策略以及運行管理策略掃描策略以及運行管理策略27安全安全XX管理策略管理策略體系體系 密碼保護密碼保護 核心內容是：核心內容是：對對XX信息在不可控區(qū)域內傳輸時采取的基本防信息在不可控區(qū)域內傳輸時采取的基本防護措施護措施 主要包括：主要包括：密碼保護產品部署策略、配置管理策略以及運密碼保護產品部署策略、配置

17、管理策略以及運行管理策略行管理策略28安全安全XX管理策略管理策略體系體系 信息信息完整性完整性 核心內容是：核心內容是：通過網絡傳輸協(xié)議的選擇、應用系統(tǒng)的信息校通過網絡傳輸協(xié)議的選擇、應用系統(tǒng)的信息校驗確保驗確保XX信息在網絡傳輸、存儲和處理過程中信息在網絡傳輸、存儲和處理過程中的完整性的完整性 主要包括：主要包括：信息傳輸完整性策略、信息存儲完整性策略信息傳輸完整性策略、信息存儲完整性策略29安全安全XX管理策略管理策略體系體系 抗抵賴抗抵賴 核心內容是：核心內容是：通過網絡審計、數(shù)據(jù)庫審計、主機審計、應用通過網絡審計、數(shù)據(jù)庫審計、主機審計、應用審計實現(xiàn)操作行為的可追溯審計實現(xiàn)操作行為的可

18、追溯 主要包括：主要包括：網絡審計策略、主機審計策略、應用審計策略網絡審計策略、主機審計策略、應用審計策略以及數(shù)字簽名策略以及數(shù)字簽名策略30安全安全XX管理策略管理策略體系體系 電磁泄露發(fā)射防護電磁泄露發(fā)射防護 核心內容是：核心內容是：最大限度降低最大限度降低XX信息的電磁泄漏風險信息的電磁泄漏風險 主要包括：主要包括：屏蔽機房配置、屏蔽機柜配置、電磁干擾配置、屏蔽機房配置、屏蔽機柜配置、電磁干擾配置、電源隔離防護裝置電源隔離防護裝置31安全安全XX管理策略管理策略體系體系 運行維護運行維護 核心內容是：核心內容是：為保證網絡中網絡設備、終端、服務器、應用為保證網絡中網絡設備、終端、服務器、

19、應用系統(tǒng)、系統(tǒng)、OS、DB、安全保密產品能夠安全、穩(wěn)、安全保密產品能夠安全、穩(wěn)定運行采取的管理措施定運行采取的管理措施 主要包括：主要包括：網絡設備管理策略、服務器與用戶終端管理策網絡設備管理策略、服務器與用戶終端管理策略、打印輸出設備管理策略、應用系統(tǒng)與數(shù)據(jù)略、打印輸出設備管理策略、應用系統(tǒng)與數(shù)據(jù)庫管理策略和安全保密產品策略庫管理策略和安全保密產品策略32安全安全XX管理策略管理策略體系體系 備份與恢復備份與恢復 核心內容是：核心內容是：為保證網絡中設備以及應用的正常、有效運行，為保證網絡中設備以及應用的正常、有效運行，避免由于停電、設備故障導致設備損壞、信息避免由于停電、設備故障導致設備損

20、壞、信息丟失和應用服務停止丟失和應用服務停止 主要包括：主要包括：備份與恢復策略、數(shù)據(jù)備份和恢復策略、應用備份與恢復策略、數(shù)據(jù)備份和恢復策略、應用系統(tǒng)備份與恢復、電源備份策略以及備份恢復系統(tǒng)備份與恢復、電源備份策略以及備份恢復演練策略演練策略33安全安全XX管理策略管理策略體系體系 應急響應應急響應 核心內容是：核心內容是：當網絡發(fā)生系統(tǒng)癱瘓或發(fā)生信息丟失、被竊等當網絡發(fā)生系統(tǒng)癱瘓或發(fā)生信息丟失、被竊等異常事件時，能保證在最短時間內恢復數(shù)據(jù)和異常事件時，能保證在最短時間內恢復數(shù)據(jù)和應用服務應用服務 主要包括：主要包括：泄密泄密事件應急響應處置和系統(tǒng)運行安全事件應事件應急響應處置和系統(tǒng)運行安全事

21、件應急處置等應急響應策略急處置等應急響應策略34安全安全XX管理策略管理策略體系體系本章課程提綱本章課程提綱 安全安全XX管理策略體系管理策略體系 物理安全策略物理安全策略 信息安全技術策略信息安全技術策略 運維策略運維策略 安全保密策略管理安全保密策略管理 安全保密策略管理過程安全保密策略管理過程 職責分工職責分工35 安全保密策略的重要作用安全保密策略的重要作用 是規(guī)范是規(guī)范和和加強網絡安全加強網絡安全XX管理和技術措施實施管理和技術措施實施的指導性文件的指導性文件 是使用單位的網絡管理與使用人員必須遵循的是使用單位的網絡管理與使用人員必須遵循的安全保密行為準則安全保密行為準則 是網絡是網

22、絡過程管理過程管理的基本保密措施的基本保密措施 明確了網絡安全保密策略管理中相關機構和管明確了網絡安全保密策略管理中相關機構和管理部門在各個環(huán)節(jié)中的職責理部門在各個環(huán)節(jié)中的職責 規(guī)定了網絡安全規(guī)定了網絡安全XX管理和管理和技術監(jiān)督管理技術監(jiān)督管理的原則的原則和要求和要求36安全安全XX管理策略管理策略體系體系 安全保密策略管理過程安全保密策略管理過程 包括八個環(huán)節(jié)：包括八個環(huán)節(jié)： 策略策略制定、策略審批、策略發(fā)布、策略實施、制定、策略審批、策略發(fā)布、策略實施、策略培訓、策略評估、策略修訂、策略監(jiān)督策略培訓、策略評估、策略修訂、策略監(jiān)督37安全安全XX管理策略管理策略體系體系 策略策略制定制定

23、方案設計方案設計階段：結合安全風險分析編制網絡分階段：結合安全風險分析編制網絡分級保護方案級保護方案 建設建設階段：按照方案實施各項防護措施階段：按照方案實施各項防護措施 試運行試運行期間：經過充分論證預評估，制定并形期間：經過充分論證預評估，制定并形成完整的、文檔化的安全保密策略成完整的、文檔化的安全保密策略38安全安全XX管理策略管理策略體系體系 策略審批策略審批 網絡安全保密策略需要經過網絡安全保密策略需要經過保密工作機構保密工作機構、信信息化工作機構息化工作機構審核確認審核確認 審核通過審核通過后報保密委員會審批后報保密委員會審批 正式審批正式審批后，策略文檔需有機關、單位的正式后，策

24、略文檔需有機關、單位的正式發(fā)文編號，檔案管理部門備案發(fā)文編號，檔案管理部門備案39安全安全XX管理策略管理策略體系體系 策略發(fā)布策略發(fā)布 網絡安全保密策略的發(fā)布，應履行審批手續(xù)，網絡安全保密策略的發(fā)布，應履行審批手續(xù)，發(fā)布范圍保證覆蓋應涉及的全部機構和人員，發(fā)布范圍保證覆蓋應涉及的全部機構和人員，發(fā)布內容保證方便獲取和查閱發(fā)布內容保證方便獲取和查閱40安全安全XX管理策略管理策略體系體系 策略實施策略實施 信息化工作機構組織實施工作信息化工作機構組織實施工作 確保策略落實到位確保策略落實到位 對實施過程進行對實施過程進行記錄和備案，便于監(jiān)督檢查記錄和備案，便于監(jiān)督檢查41安全安全XX管理策略管

25、理策略體系體系 策略培訓策略培訓 開展多層次的培訓工作，使各級人員在熟悉掌開展多層次的培訓工作，使各級人員在熟悉掌握策略的基礎上，配合策略實施并維護策略的握策略的基礎上，配合策略實施并維護策略的有效性有效性42安全安全XX管理策略管理策略體系體系 策略評估策略評估 保密工作機構、信息化工作機構定期進行網絡保密工作機構、信息化工作機構定期進行網絡審計與安全風險評估審計與安全風險評估 對已實施的網絡安全保密策略進行定量、定性對已實施的網絡安全保密策略進行定量、定性分析分析43安全安全XX管理策略管理策略體系體系 策略修訂策略修訂 保密工作機構、信息化工作機構需不斷完善防保密工作機構、信息化工作機構

26、需不斷完善防護手段，及時對網絡安全保密策略進行修訂、護手段，及時對網絡安全保密策略進行修訂、更新，并履行審批手續(xù)更新，并履行審批手續(xù)44安全安全XX管理策略管理策略體系體系 策略監(jiān)督檢查策略監(jiān)督檢查 保密工作機構定期組織對策略實施、運行管理保密工作機構定期組織對策略實施、運行管理進行監(jiān)督檢查進行監(jiān)督檢查45安全安全XX管理策略管理策略體系體系 職責分工職責分工 包括八個包括八個部門部門： 保密委員會保密委員會 保密保密工作機構工作機構 信息化信息化工作機構工作機構 業(yè)務部業(yè)務部門門 行政行政部門部門 人事管理人事管理部門部門 保衛(wèi)管理保衛(wèi)管理部門部門 資產管理部門資產管理部門46安全安全XX管

27、理策略管理策略體系體系 保密保密委員會委員會 安全保密策略安全保密策略的最高決策機構，負責網絡安全的最高決策機構，負責網絡安全保密策略的保密策略的審批審批47安全安全XX管理策略管理策略體系體系 保密保密工作機構工作機構 負責網絡安全保密策略相關工作的負責網絡安全保密策略相關工作的監(jiān)督、檢查監(jiān)督、檢查和指導和指導 包括：包括： 指導安全保密相關制度的制定指導安全保密相關制度的制定 對安全保密對安全保密策略的落實情況進行監(jiān)督檢查策略的落實情況進行監(jiān)督檢查 負責信息、設備的密級確定負責信息、設備的密級確定 與人事部門配合做好策略的培訓與人事部門配合做好策略的培訓48安全安全XX管理策略管理策略體系體系 信息化信息化工作機構工作機構 制定和落實制定和落實網絡安全保密策略網絡安全保密策略 包括：包括： 網絡安全保密策略的制定、實施網絡安全保密策略的制定、實施 網絡安全保密策略的評估、修訂工作網絡安全保密策略的評估、修訂工作 在實施及日常管理工作中需要資產管理部門、在實施及日常管理工作中需要資產管理部門、行政部門、保衛(wèi)部門等的配合行政部門、保衛(wèi)部門等的配合49安全安全XX管理策略管理策略體系體系 業(yè)務部門業(yè)務部門 負責制定網絡中的信息設備日常使用和部門臺負責制定網絡中的信息設備日常使用和部門臺賬管理策略賬管理策略 包括：包括： 指導本指導本部門網