【正文】 全性和業(yè)務(wù)的持續(xù)性，在災(zāi)難發(fā)生后，盡快完成恢復(fù)。制定統(tǒng)一的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，包括防火墻、網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)脆弱性分析、網(wǎng)絡(luò)層加密等。 按照的統(tǒng)一標(biāo)準(zhǔn)，建立安全審計(jì)與分析系統(tǒng)、系統(tǒng)和數(shù)據(jù)備份計(jì)劃、安全事件應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃等安全保障機(jī)制，重在保護(hù)業(yè)務(wù)數(shù)據(jù)等信息資產(chǎn)，保證內(nèi)外應(yīng)用服務(wù)的持續(xù)可用性。在建設(shè)實(shí)施規(guī)劃中突出體現(xiàn)了分步有序?qū)嵤┑脑瓌t。167。 合規(guī)性：指導(dǎo)如何檢驗(yàn)信息安全管理工作的效果。167。167。 環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。167。167。一方面，三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)；另一方面，安全策略本身也有包括草案設(shè)計(jì)、評(píng)審、實(shí)施、培訓(xùn)、部署、監(jiān)控、強(qiáng)化、重新評(píng)估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時(shí)性和有效性。WP2DRR模型是在傳統(tǒng)的P2DR模型的基礎(chǔ)上新增加了預(yù)警Warning和恢復(fù)Recover，增強(qiáng)了安全保障體系的事前預(yù)防和事后恢復(fù)能力，一旦系統(tǒng)安全事故發(fā)生了，也能恢復(fù)系統(tǒng)功能和數(shù)據(jù)，恢復(fù)系統(tǒng)的正常運(yùn)行。 Detection（檢測(cè)）：檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過檢測(cè)和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)做出有效的響應(yīng)。 Policy(安全策略)：根據(jù)風(fēng)險(xiǎn)分析和評(píng)估產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。167。 依法管理信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。167。信息安全體系的建設(shè)，涉及面廣、工作量大，必須堅(jiān)持以下的原則，保證建設(shè)和運(yùn)營(yíng)的效果。 在信息安全體系框架的指導(dǎo)下，依據(jù)相應(yīng)的建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，規(guī)劃和制定詳細(xì)的信息安全系統(tǒng)實(shí)施方案和運(yùn)營(yíng)維護(hù)計(jì)劃。安全管理體系的建立是為信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)統(tǒng)一的安全策略管理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位，保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。從支撐性安全技術(shù)展開，對(duì)現(xiàn)有網(wǎng)絡(luò)和信息技術(shù)的固有缺陷出發(fā)，總結(jié)了普遍存在的安全威脅，并根據(jù)其它系統(tǒng)中的信息安全建設(shè)實(shí)踐中的經(jīng)驗(yàn)，從信息安全領(lǐng)域的完整框架、思路、技術(shù)和理念出發(fā)，提供完整的安全建設(shè)思路和方法。 充分結(jié)合建設(shè)現(xiàn)狀與信息安全通用技術(shù)和理念；167。同時(shí)，還要制定統(tǒng)一的信息安全建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，使得信息安全體系建設(shè)能夠遵循一致的標(biāo)準(zhǔn)，管理能夠遵循一致的規(guī)范。167。 自保護(hù)和國(guó)家監(jiān)管結(jié)合對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。 三個(gè)體系XXX單位信息安全體系的建設(shè)最終形成3個(gè)主要體系，具體包括安全技術(shù)體系、安全管理體系、以及運(yùn)行保障體系。 Warining（預(yù)警）：根據(jù)以前所掌握的系統(tǒng)的弱點(diǎn)和當(dāng)前了解的犯罪趨勢(shì)預(yù)測(cè)未來可能受到的攻擊和及危害。恰當(dāng)?shù)捻憫?yīng)動(dòng)作和響應(yīng)流程可以降低安全事件的不良影響，加強(qiáng)對(duì)重要資源的保護(hù)。該框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動(dòng)、相互依賴、不可分割的信息安全保障要素組成。安全基礎(chǔ)設(shè)施平臺(tái)是以安全策略為指導(dǎo)，從物理和通信安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)，主機(jī)系統(tǒng)安全防護(hù)，應(yīng)用安全防護(hù)等多個(gè)層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，建立起的一個(gè)各個(gè)部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。在XXX單位信息安全體系框架中，安全管理體系的設(shè)計(jì)充分參考和借鑒了國(guó)際信息安全管理標(biāo)準(zhǔn)《BS7799（ISO17799）》的建議要求。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。 網(wǎng)絡(luò)和通信安全管理，控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對(duì)XXX單位業(yè)務(wù)系統(tǒng)的損害。 項(xiàng)目工程安全管理，保護(hù)信息系統(tǒng)項(xiàng)目工程過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。 12項(xiàng)信息安全管理類的作用關(guān)系為：167。 根據(jù)“方針和策略”，由“人員和組織”實(shí)施信息安全管理工作。這5個(gè)信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的層次性。然后，對(duì)所有員工進(jìn)行基本安全教育，為信息安全系統(tǒng)相關(guān)技術(shù)人員提供專門的安全理論和安全技能培訓(xùn)，提高全員的安全意識(shí)，打造一支高素質(zhì)的專業(yè)技術(shù)和管理隊(duì)伍。 人員管理依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)要求，對(duì)人員錄用、考核、培訓(xùn)、離崗等一系列管理進(jìn)行規(guī)范性要求。 應(yīng)用管理應(yīng)用安全機(jī)制在應(yīng)用層為業(yè)務(wù)系統(tǒng)提供直接的安全保護(hù)，能夠滿足身份認(rèn)證、用戶授權(quán)與訪問控制、數(shù)據(jù)安全傳輸?shù)劝踩枨蟆? 總體安全策略信息安全策略是信息安全建設(shè)的核心，它描述了在信息安全建設(shè)過程中，需要對(duì)哪些重要的信息資產(chǎn)進(jìn)行保護(hù)，以及如何進(jìn)行保護(hù)。（7）管理機(jī)構(gòu)應(yīng)當(dāng)定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。（8）應(yīng)當(dāng)建立網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)標(biāo)準(zhǔn)和相關(guān)的運(yùn)營(yíng)維護(hù)管理規(guī)范，在范圍內(nèi)指導(dǎo)實(shí)際的系統(tǒng)建設(shè)和維護(hù)管理。（7）應(yīng)當(dāng)建立主機(jī)系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機(jī)弱點(diǎn)分析、主機(jī)審計(jì)日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容。（6）應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。（6）數(shù)據(jù)備份時(shí)必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)時(shí)，都必須是加密傳輸和存儲(chǔ)。（4）從外部介質(zhì)安裝數(shù)據(jù)和程序之前，或安裝下載的數(shù)據(jù)和程序之前，必須對(duì)其進(jìn)行病毒掃描，以防止存在病毒感染操作系統(tǒng)和應(yīng)用程序。20 / 2