【正文】 總則 1 目標 1 適用范圍 1 建設思路 1 建設原則 3 建設目標 52 體系框架 5 安全模型 6 體系框架 73 建設內容 13 組織機構 13 人員管理 13 物理管理 14 網(wǎng)絡管理 14 系統(tǒng)管理 14 應用管理 14 數(shù)據(jù)管理 15 運維管理 154 總體安全策略 15 物理安全策略 16 網(wǎng)絡安全策略 16 主機安全策略 17 應用安全策略 18 數(shù)據(jù)安全策略 18 病毒管理策略 195 附則 201 總則為加強和規(guī)范XXX單位信息系統(tǒng)安全工作，提高信息系統(tǒng)整體安全防護水平，實現(xiàn)信息安全的可控、能控、在控，依據(jù)國家有關法律、法規(guī)的要求，制定本文檔。 注重安全管理體系的建設，以及管理、技術和保障的相互結合。167。 安全模型根據(jù)XXX單位信息安全體系建設目標和總體安全策略，建立了與之對應的目標模型，稱為WP2DRR安全模型，該模型是基于時間的，由預警（Warning）、策略（Policy）、保護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）六個要素環(huán)節(jié)構成了一個完整的、動態(tài)的信息安全體系。 Recovery（恢復）：災難恢復能力直接決定了業(yè)務應用的持續(xù)可用性，任何意外的突發(fā)事件都可能造成服務中斷和數(shù)據(jù)受損，優(yōu)秀的災難恢復計劃能夠針對災難事件做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)遭受破壞，也能夠在最短的時間內，完成恢復操作。安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備，對這些安全機制和安全設備進行統(tǒng)一的管理和控制，負責管理和維護安全策略，配置管理相應的安全機制，確保這些安全技術與設施能夠按照設計的要求協(xié)同運作，可靠運行。167。 運行和維護安全管理，保護信息系統(tǒng)在運行期間的安全，并確保系統(tǒng)維護工作的安全。167。 接下來應該進行網(wǎng)絡安全建設，應該對計算機網(wǎng)絡的安全域進行劃分，對網(wǎng)絡結構進行調整，確保內部網(wǎng)絡與外部網(wǎng)絡、業(yè)務網(wǎng)絡與辦公網(wǎng)絡邊界清晰；在各安全域的邊界處部署防火墻、網(wǎng)絡入侵檢測等安全產品，形成立體的區(qū)域邊界保護機制，對各安全域進行邏輯安全隔離，禁止未授權的網(wǎng)絡訪問；在內部網(wǎng)絡中部署網(wǎng)絡脆弱性分析工具，定期對內部網(wǎng)絡進行檢查，并采取措施及時彌補新發(fā)現(xiàn)的安全漏洞。 數(shù)據(jù)管理系統(tǒng)數(shù)據(jù)備份是重要的安全保障機制，為了保障業(yè)務數(shù)據(jù)的安全性，降低突發(fā)意外事件所帶來的安全風險，制定統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份標準與規(guī)范，采取先進的數(shù)據(jù)備份技術，保證業(yè)務數(shù)據(jù)和系統(tǒng)軟件的安全性。（2）應當部署網(wǎng)絡管理體系，管理網(wǎng)絡資源和設備，實施監(jiān)控網(wǎng)絡系統(tǒng)的運行狀態(tài)，降低網(wǎng)絡故障帶來的安全風險。（9）管理機構應當定期對各項系統(tǒng)安全管理制度的有效性和實施狀況進行檢查，發(fā)現(xiàn)問題，進行改進。（8）應當建立專門崗位，負責用戶權限管理，以及授權和訪問控制系統(tǒng)的建設、運行、維護。5 附則本文件由XXX單位信息中心負責解釋與修訂。（4）數(shù)據(jù)備份至其他設備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾浴＃?）可以建立主機入侵檢測機制，發(fā)現(xiàn)主機系統(tǒng)中的異常操作行為，以及對主機發(fā)起的攻擊行為，并及時向管理員報警。（5）機房內部必須部署基礎防護系統(tǒng)和設備，如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設備。 系統(tǒng)管理系統(tǒng)安全的工作內容包括制定統(tǒng)一的系統(tǒng)安全管理規(guī)范，包括主機入侵檢測、系統(tǒng)安全漏洞分析和加固， 提升服務器主機系統(tǒng)的安全級別。 任何信息安全建設都需要人員負責管理和實施，因此，首先應該建立信息安全工作監(jiān)管組織機構，明確各級管理機構的人員配備，職能和責任。特別是對于國家法律法規(guī)、方針政策和標準符合程度的檢驗。 數(shù)據(jù)安全和加密管理，采用數(shù)據(jù)加密和完整性保護機制，防止數(shù)據(jù)被竊取和篡改，保護業(yè)務數(shù)據(jù)的安全。 安全風險管理，信息安全建設不是避免風險的過程，而是管理風險的過程。167。167。 兩種手段信息安全體系的建設應該包括安全技術與安全管理兩種手段，其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發(fā)揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。 技術管理并重僅有全面的安全技術和機制是遠遠不夠的，安全管理也具有同樣的重要性，XXX單位信息安全體系的建設，必須遵循安全技術和安全管理并重的原則。 信息安全體系建設的思路體現(xiàn)了以下的特點：167。 建設思路XXX單位信息安全建設工作的總體思路如下圖所示：信息化建設是基于當前通用的網(wǎng)絡與信息系統(tǒng)基礎技術，針對安全性問題和支撐安全技術，通過安全評估，對信息化建設和信息安全建設進行分析和總結，其中包括對建設現(xiàn)狀和發(fā)展趨勢的完整分析，歸納出系統(tǒng)中當前存在和今后可能存在的安全問題，明確網(wǎng)絡和信息系統(tǒng)運營所面臨的安全風險級別。 統(tǒng)一規(guī)劃要對的信息安全體系建設進行統(tǒng)一的規(guī)劃，制定信息安全體系框架，明確保障體系中所包含的內容。167。167。 體系框架通過對XXX單位的網(wǎng)絡和應用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風險的分析，根據(jù)安全保障目標模型，制定了XXX單位信息安全體系框架，制定該框架的目的在于從宏觀上指導和管理信息安全體系的建設和運營。技術和管理是相互結合的，一方面，安全防護技術措施需要安全管理措施來加強，另一方面技術也是對管理措施貫徹執(zhí)行的監(jiān)督手段。167。12項信息安全管理類之間的關系，如下圖所示。信息系統(tǒng)可以劃分成5個層次，從底層到上層依次為環(huán)境與設備管理、網(wǎng)絡與通信管理、主機與系統(tǒng)管理、應用與業(yè)