信息安全规划设计模板.docx

信息系统安全规划方案樊山2014/1/26本文件中出现的全部内容，除另有特别注明，版权均属樊山所有。任何个人、机构未经樊山的书面授权许可，不得以任何方式复制引用文件的任何片断。樊山负责对本文档的解释。目录1概述31.1背景31.1.1简介31.1.2实施依据31.2需求分析31.2.1系统风险综述31.2.2系统等级化保护需求91.3建设目标101.3.1近期目标（2014年）101.3.2中期目标（2015年）111.3.3远期目标（2016年）112安全保障需求概要设计122.1设计思路122.1.1信息安全顶层设计思想122.1.2信息安全顶层设计内涵132.1.3信息安全设计模型142.1.4信息安全应满足的基本要素142.2管理保障设计162.3技术保障设计172.4过程控制保障设计172.5人员要求设计173通用安全设计193.1管理保障193.1.1风险管理体系设计193.1.2系统安全审计设计233.2技术保障253.2.1物理安全通用设计263.2.2网络安全通用设计263.2.3系统安全通用设计263.2.4应用安全通用设计263.2.5数据安全通用设计263.3过程保障273.3.1需求分析通用控制273.3.2开发采购通用控制273.3.3实施交付通用控制273.3.4运行维护通用控制283.3.5废弃通用控制333.4人员要求343.4.1人员角色与职责通用设计343.4.2具体角色353.4.3岗位设置原则364层面间安全设计384.1S1系统安全设计384.1.1网络规划拓扑384.1.2入侵检测系统部署384.1.3数据库审计系统384.1.4内网安全风险管理与审计系统384.1.5堡垒机系统385工程实施建议395.1第一期工程实施建议395.2第二期工程实施建议405.3第三期工程实施建议405.4工程预算40附件1 等级保护定级流程及矩阵41附件2 岗位职责分离表421 概述1.1 背景1.1.1 简介1.1.2 实施依据本次规划设计是基于国际、国家通行标准的基础之上，主要采用标准如下：ISO/IEC 27001：2005信息安全管理体系要求；GB/T 20984-2007 信息安全技术-信息安全风险评估规范；ISO/IEC 27005：2008 信息安全技术-信息安全风险管理。GB/T 222392008 信息安全技术 - 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 - 信息系统安全等级保护定级指南GB/T 20274：2008 信息安全技术 信息系统安全保障评估框架公通字（66号文）关于印发关于信息安全等级保护工作的实施意见的通知1.2 需求分析1.2.1 系统风险综述1.2.1.1 管理风险综述1.2.1.1.1 概述XXX管理风险评估是建立在ISO/IEC 27001：2005信息技术-信息安全管理体系-要求基础上133个控制点的符合性识别和控制。其中不适用24项，不符合57项，详见图：图 管理风险统计图分类极高高中低一般统计信息安全方针112信息安全组织1337资产管理112人力资源安全11物理与环境安全1315通信与操作管理14712访问控制235111系统获取、开发与维护437信息安全事件管理112符合性549统计4242811581.2.1.1.2 信息安全方针控制目标 不符合项不可接受风险说明ISO/IEC 27001:2005附件A的控制项组织控制技术控制系统测试可能/建议/要求优先级注释备注A5 安全策略A.5.1 信息安全策略A.5.1.1 信息安全策略文档X高NoA.5.1.2 信息安全策略评审X中管理审查记录No1.2.1.1.3 信息安全组织控制目标不符合项不可接受风险说明1.2.1.1.4 资产管理控制目标不符合项风险可接受说明1.2.1.1.5 人力资源安全控制目标不符合项不可接受风险说明说明：由于本次评估未包含人力资源安全内容，故本控制目标为不适用项。1.2.1.1.6 物理与环境安全控制目标不符合项不可接受风险说明1.2.1.1.7 通信与操作管理控制目标不符合项不可接受风险说明1.2.1.1.8 访问控制控制目标不符合项不可接受风险说明1.2.1.1.9 系统获取、开发与维护控制目标不符合项不可接受风险说明1.2.1.1.10 信息安全事件管理控制目标不符合项不可接受风险说明1.2.1.1.11 业务连续性管理控制目标不符合项不可接受风险说明1.2.1.1.12 符合性控制目标不符合项不可接受风险说明1.2.1.2 技术风险综述1.2.1.2.1 概述XXX技术风险评估是建立在国家信息安全等级保护相关要求标准之上，将从物理安全、网络安全、系统安全、应用安全、数据安全等5大方面进行安全评估，二级共有80个检查项，三级系统共135个检查项。序号系统名称安全等级标准安全现状安全威胁程度备注1三级58中2三级50中高3三级50中搞4三级90低5二级81中6二级71高7二级95低1.2.1.2.2 S1系统通过人工审核及人员访谈的方式发现信号系统在135个检查项中：符合项42个、部分符合项36个、不符合项48个、不适用项9个。1.2.1.2.2.1 物理安全1.2.1.2.2.2 网络安全1.2.1.2.2.3 系统安全1.2.1.2.2.4 应用安全1.2.1.2.2.5 数据安全1.2.2 系统等级化保护需求1.2.2.1 信息安全等级保护定级概述1.2.2.1.1 信息安全等级保护根据国家公通字（66号文）关于印发关于信息安全等级保护工作的实施意见的通知规定：根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全等级保护共分五级：1. 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。2. 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。3. 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。4. 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。5. 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.2.2.2 S1系统等级化要求与定义1.2.2.2.1 系统描述1.2.2.2.2 等级化定义业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息安全等级：第二级1.3 建设目标1.3.1 近期目标（2014年）在现代信息安全保障中，技术和管理是两个不可或缺的实现手段，这其中，管理手段尤其重要，起着决定性的作用。因此，本规划的首要目标是建立完善的信息安全管理体系，将信息安全纳入风险管理范畴，通过独立审计发现风险使信息安全管理从被动防御向主动发现发展。本目标是建立在ISO 27001信息安全管理体系基础上，对于内部审计和管理评审ISO 27001给出了明确的要求。内部审计的实质，就是验证组织信息安全管理体系的有效性，看其是否符合标准规范的要求，是否符合组织既定的安全需求。管理评审是组织的最高管理者的基本职责，通常都需要最高管理者主持专门的会议，让各职能部门领导、管理者代表、体系推行小组成员共同参加，对各类评审输入信息进行分析讨论，最终形成对ISMS持续改进的决策。1.3.2 中期目标（2015年）技术保障是信息安全保障手段必不可少的，技术保障是为了完善技术保障措施，依据风险评估报告所描述之风险，根据XXX信息化发展状况建立3年内的信息安全技术保障体系。完成建设后使XXX信息系统能够建立积极防御，综合防范，寻求业务与安全的平衡建设，确保XXX业务系统能够在可管理、可监视、可预见的状态下运行。1.3.3 远期目标（2016年）远期目标是对未来XXX所属信息技术系统能够在一个统一、有序、可管理状态下执行业务。应用所产生的信息安全保障手段的实现。2 安全保障需求概要设计2.1 设计思路本次评估是XXX第一次基于信息系统建立的风险识别工作，在风险评估中发现，XXX最大的风险主要来源于内部的管理问题和对已有信息系统以及未来信息系统本身的缺陷和瑕疵。在本次设计中重点通过管-控-纠-改四个方面，管：建立有效的信息安全管理体系；控：通过静态的技术控制和动态的过程控制相结合，形成有效防御；纠：通过检测机制，如：评估、审计、检测、预警等手段多层次、多角度识别安全问题，及时建立有效的控制机制；改：持续改进是形成信息安全状态维持的一种重要机制。2.1.1 信息安全顶层设计思想在信息化发展的今天，任何信息网络灾难事件的发生，都会给社会带来很大风险。因此在信息化对经济建设的融合、渗透、催化和倍增的背景下，加强信息安全的全局对策建设是非常必要的。如何保障信息系统和服务的不中断，使信息系统所支撑的业务正常运转，这就需要进行信息安全顶层设计和全局对策。信息安全顶层设计总体规划包含四个要点：1、做好信息安全的等级保护制度的落实。信息安全等级保护制度是在信息系统可能面临的风险和信息系统投入之间寻找到一个科学的平衡点。包括资金、人力、资源的各种投入都要形成一种优化配置状态。在资金不足的状态下，解决重点、难点的安全问题。2、建立健全的信息安全保障体系信息安全保障体系的建立分为技术保障体系、管理保障、过程保障和人员保障体系。信息安全技术保障体系的建立有4个要点：l 纵深防御工作。如：信息安全域的科学划分；要做好安全边界的防护和控制，物理隔离和逻辑隔离；信息安全设施在纵深多级的合理部署。l 动态防护策略。在各环节部署有效的对策，对外界的攻击要有检测、预警、监控、诊断、抑制、恢复和容灾的动态机制，在整个的动态防御流程中，保证信息系统和服务的正常运营。l 基于密码技术的网络信任体系建设。包括身份认证、授权管理、责任认定等环节，通过规范操作，保证身份和行为的可信性和可核查性。l 强化信息系统内部审计（内控机制）。内部安全事件的数量已经超过外部病毒、黑客攻击等安全事件，内部安全事件包括误操作、违规操作和违法操作（内部人员和外部人员互相勾结，违法泄漏公司机密）等。信息系统内部审计有事后审计、事中审计和事前审计。信息系统内部审计的发展方向是审计点前移，即从事后审计向事中审计甚至事前审计转化。3、信息安全系统的风险评估工作风险评估包括检查评估、自评估和委托评估。检查评估是从领导层强制执行的检查，由国家机关的官方检测，自评估和委托评估则是业主自己发起的，评估的目的是发现问题和及时纠正，以强化系统的安全保障。4、及时应对网络突发事件和灾难，做好系统应急和灾备工作。网络突发事件一般包括电子威胁类、物理威胁类和内容威胁类等几类。电子威胁类包括大规模病毒扩散等，物理威胁类包括地震、水灾等，内容威胁类事件则可能导致社会的不稳定，甚至会影响到国家的稳定。建立应急预案和灾备对策，对系统目标、规划、对策、组织、保障、培训等进行分级分类演练。2.1.2 信息安全顶层设计内涵信息安全顶层设计是组织自身对信息安全的需求，制定的一个切实可行的安全体系。它涵盖信息系统的基础安全服务和架构、安全运维、安全治理、风险管理和合规等各个子系统。由于组织信息安全建设需求的不同，各组织的信息安全顶层设计存在着较大的差异，因而直接照搬其它组织信息安全顶层设计的方法并不可行。另外，信息安全顶层设计涉及组织的业务流程和组织架构以及安全合规等问题，不是简单的安全产品的堆砌。可以说，信息安全顶层设计的设计和建设是一个极其复杂的系统工程，不是单一产品和技术平台可以解决的。在信息安全顶层设计的规划和建设中，组织还应该认识到，信息系统中信息的交互和安全风险是并生共存的。信息安全顶层设计的规划和建设并不能实现绝对的信息安全，除非切断所有的信息流动和共享，然而这将导致信息系统失去其存在的意义。2.1.3 信息安全设计模型信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。该标准给出了信息系统安全保障的基本概念和模型，并建立了信息系统安全保障框架。该标准详细给出了信息系统安全保障的一般模型，包括安全保障上下文、信息系统安全保障评估、信息系统保护轮廓和信息系统安全目标的生成、信息系统安全保障描述材料；信息系统安全保障评估和评估结果，包括信息系统保护轮廓和信息系统安全目标的要求、评估对象的要求、评估结果的声明等。（如图）图 信息系统安全保障的基本概念和模型2.1.4 信息安全应满足的基本要素随着协作业务模式、高明的犯罪攻击以及越来越复杂的IT基础设施的出现，现有的从战术上独立实施的安全技术已经不足以应对新的风险。应对方式应跨跃多个信息安全技术领域，从战略的高度端到端的管理风险：人员和身份识别：保障合法用户在允许的时间访问合适的资源人员和身份识别子系统是整个信息安全系统的基础，它一方面提供了有效的访问控制能力，另一方面实现了基于人员和身份的管理。获得授权的用户可以访问基础设施，数据，信息和服务。同时，其访问范围受到了其身份和权限的控制。人员和身份的识别可以采取多种方式进行，包括物理身份证或逻辑令牌或用户标识符等。数据和信息：保障数据在传输及整个生命周期中的安全数据和信息子系统主要负责对分布在组织各个信息系统中的数据和信息进行安全防护。数据和信息是组织的核心资产，信息系统中的数据和信息在存储、转移、使用、传输、交换等过程中，都有可能受到安全威胁。数据和信息子系统通过对资产进行分类统计、分配属性、设定强制访问策略、审计、加密等措施实现对数据和信息的保护。应用和流程：保障应用和业务服务的安全应用和流程子系统负责对组织业务应用的整个生命周期进行安全防护，它涵盖了从应用的设计开发、实施到使用的整个过程，使应用在其整个生命周期中获得有效的控制和安全的保护。另外组织的应用和业务安全还需要考虑行业或地区法律法规的遵从等内容。网络、服务器和终端：保障信息系统基础架构的安全网络、服务器和终端子系统主要面向组织信息系统的基础架构，它通过对存在于基础架构中安全隐患的主动监控和控制，避免或减少技术设施带来的风险，确保上层应用系统的安全和稳定。该子系统一般会通过部署相应的安全防护产品，结合安全监控、安全管理、应急响应预案等安全措施，来达到预期安全防护的目的。物理基础架构：保障信息系统有关物理设施和环境的安全物理基础架构子系统负责保护企业信息系统的物理基础设施和环境。物理基础设施和环境的损坏将极大的影响企业信息系统及其业务的连续性。该子系统涉及到的内容可能包括物理访问控制设施和环境被破坏，关键物理设施的损坏或丢失等。物理基础架构安全子系统通常需要通过一个有效、集中的监控系统，实现对有关资源的集中管理和监控，包括：物理设施、员工、客户、公用场所甚至天气情况等。在信息安全的理论体系中，这五个层次不是孤立的，它们是相辅相成的。组织在设计信息安全系统时必须全面考虑信息安全体系的各个层次，并结合自身具体情况进行有所侧重的规划和设计。只有通过对以上安全子系统的深入分析，才能建立起一个强大的安全矩阵，有效的应对各种安全风险和威胁。2.2 管理保障设计信息安全管理体系是信息安全保障体系的一个重要组成部分。信息安全管理体系框架是从管理的层面出发，按照多层防护的思想，为实现信息安全战略而搭建的。信息安全管理体系由几下几部分组成： 安全政策，标准管理规定信息安全政策与标准是信息安全管理、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定，是安全意识培养的内容来源，是组织管理控制和审计的依据，是技术方案必须遵从的基础要求。 安全意识培养宣传教育员工在信息安全方面的自我约束、自我控制，是信息安全管理体系的一个重要层次。安全意识培养是信息安全管理控制的基础，实际工作中大部分的信息安全控制需要依靠员工的主观能动性。 安全组织管理控制通过完善的组织架构，明确不同安全组织、不同安全角色的定位和职责以及相互关系，对信息安全风险进行控制管理。这里包含了“管理”和“监控”两方面的含义，特别是对专职的信息安全管理部门而言，“监控”是极其重要的职责。管理控制的落实需要通过标准、安全意识培养和审计工作进行保障和监督，同时它又是信息安全标准、安全意识培养和审计工作开展的重要对象。 审计监督审计监督是XXX内部风险控制的重要组成部分。内部审计是组织内部控制的一种自我监督机制。信息安全审计一般是在信息安全管理控制的基础上，由组织内部相对独立的专职部门对信息安全管理控制的效果进行监督。 风险评估发现问题信息安全风险评估的目标是了解支撑XXX关键业务运作的信息系统的安全状况，评估核心信息资产所面临的风险，发现信息安全实践中的薄弱环节和改进机会，明确信息系统的安全需求，提出信息安全控制措施改进方案。2.3 技术保障设计XXX信息系统安全技术解决方案是在理解安全管理的要求，用最小的投入得到最大的回报，同时也为安全运维管理提供了易于操作的平台。在对安全技术规划实施时，需要考虑以下内容： 整体安全性的规划。 对于不同的安全功能机制加以整合以达到统一控管及互补的目的。 考虑对其它同时进行的项目的影响。 从基础的、负面影响最小的安全措施入手。 具有未来的扩充性，不致因容量问题而须改变整体架构。 安全措施的设计与实施应当根据信息资产所面临的风险所定。安全措施的 设计应以达到安全保护目的为原则而非最大限度的投入。信息安全技术按照其所在的信息系统层次可以分为物理安全技术，基础架构安全（网络、主机和终端），应用安全技术，数据安全技术，身份和访问管理五大种类。安全技术体系的建立原则是要建设与管理制度相对应的安全架构设计。2.4 过程控制保障设计过程控制保障是在信息系统生命周期的五个阶段建立有效保障，从而从根本上管理和控制信息安全问题。信息安全问题应该从计划组织阶段开始重视，在信息系统生命周期每个阶段建立有效的安全控制和管理。2.5 人员要求设计要使IA 达到目的首先从最高管理许诺开始，这种许诺是基于对已经意识到的威胁的认识程度。这种承诺必须继之以建立有效的IA 策略和程序、指定角色和责任、资源的义务关键人员的培训（用户和系统管理者）和强制的人员义务。这些步骤包括建立物理安全和人员安全的度量以便控制和监控对IT 环境的设施和关键要素的访问。l 策略和程序l 培训和意识l 系统安全管理l 物理安全、l 人员安全l 设施对策3 通用安全设计通用安全设计是建立在宏观角度上的综合性设计，设计首先将各个系统所产生的共同问题及宏观问题统一解决，有效的降低在安全建设中的重复建设和管理真空的问题。在通用设计中重点针对组织信息安全管理体系和风险管理过程的控制元素；从系统生命周期考虑信息安全问题。3.1 管理保障3.1.1 风险管理体系设计XXX信息安全系统建设中，最重要的保障机制是设置安全管理机构，并设置由主管领导担任组长的信息安全管理领导小组，负责XXX信息系统安全管理的领导与指导工作。具体职责包括：审定XXX信息安全技术发展规划；审批信息安全方针、政策，分配信息安全管理职责；确认风险评估，审批信息安全预算计划及设施的购置；审批重大信息安全项目的开发和实施方案；听取信息安全管理职能部门的工作汇报,对与信息安全管理有关的重大事项进行决策；协调信息安全管理队伍与各部门之间的关系。3.1.1.1 信息安全管理组织结构系统需要有一个安全管理实体，即安全管理机构，在领导小组指挥下，具体落实领导的决策，了解与汇报执行情况，提出改进建议，真正体现管理的战斗力。安全管理部门应建立清晰实用的管理和技术持续性方案，不断评估和更新该方案；根据清楚的程序进行信息安全审计，向信息安全管理领导小组汇报信息系统存在的问题并提出改进的建议；制定清晰的方针政策和详细的操作指南；安全管理部门应组织专业人士定期（平均为一年一到两次）对系统安全进行风险评估，从保密性、完整性、可用性和可维护性四个基本方面进行评测和优化，将相应的风险降低到可接受的程度，实现信息安全的成本效益。图3-1 信息安全组织管理结构图（见附件3）3.1.1.2 信息安全方针与策略组织必须建立良好的信息安全方针和策略，并指导XXX总体的信息安全工作的开展。需要在一个组织机构明确的前提下建立信息系统的综合安全目标，并形成文件（如：信息安全管理手册）。在信息安全方针的指引下要建立定期的管理评审，每年至少一次。3.1.1.3 资产管理资产清单帮助确保进行了有效的资产保护，并且其它的业务目的，例如出于健康和安全、保险或者金融（资产管理）原因，也可能要用到资产清单。编写资产清单的过程是风险评估的一个重要方面。XXX要能够确定其资产、资产的相对价值和这些资产的重要性。根据该信息，组织可以提供与资产价值及其重要性相符的安全保护等级。应当为每个信息系统的重要资产都建立并保有一份资产清单。对于每种资产，都要清楚地进行确认，其所有权和安全等级划分，以及资产目前所处位置（当需要恢复损失和毁坏的信息时，这点就非常重要）都应当得到批准并记录在案。（详见资产调查表清单）3.1.1.4 人力资源管理3.1.1.4.1 人员录用l3.1.1.4.2 人员离岗l3.1.1.4.3 人员考核l3.1.1.4.4 安全意识教育和培训l3.1.1.4.5 外部人员访问管理l3.1.1.5 物理与环境安全3.1.1.6 通信与操作管理参加技术保障第4部分3.1.1.7 访问控制参加技术保障第4部分3.1.1.8 信息系统的获取、开发与维护参见3.3过程保障3.1.1.9 业务连续性管理3.1.1.10 符合性l3.1.1.11 风险评估管理3.1.1.11.1 风险评估计划3.1.1.11.1.1 设计目标信息安全风险评估的目标是了解支撑XXX关键业务运作的信息系统的安全状况，评估核心信息资产所面临的风险，发现信息安全实践中的薄弱环节和改进机会，明确信息系统的安全需求，提出信息安全控制措施改进方案。3.1.1.11.1.2 设计原则3.1.1.11.1.3 信息系统风险评估实施指南（详见XXX风险评估和风险管理程序）3.1.1.12 风险管理实施3.1.1.12.1 信息安全风险管理过程信息安全风险管理过程由确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审组成。如图所示，信息安全风险管理过程可能循环进行风险评估和/或风险处置活动。风险评估的循环方法能够使得每一次循环更加深入和具体。循环方法可以在确保高风险被准确识别和在识别控制措施上花费最小的时间和精力之间寻找平衡。首先确定范畴。然后进行风险评估。如果风险评估为进行有效决策的提供了充分的信息，以确定将风险降低到可接受级别所需活动，则风险评估任务结束，开始进行风险处置。如果信息不够充分，则进行另外一个修订范畴和风险评估的循环，也可能是整个范围内的部分内容进行循环。3.1.1.12.2 信息安全风险处置 3.1.1.12.3 信息安全风险的接受3.1.1.12.4 信息安全风险的沟通3.1.1.12.5 信息安全监视和评审监视和评审风险因子3.1.1.12.6 风险管理监视、评审和改进3.1.2 系统安全审计设计3.1.2.1 设计目标信息安全审计是指XXX为验证所有信息安全政策、标准、程序及其他相关规章制度的正确实施和检查信息系统符合安全实施标准的情况，以及检验安全运行效果，信息安全控制措施是否得当所进行的系统的、独立的检查和评价，是XXX信息安全保障体系的一种自我保证手段。3.1.2.2 设计原则信息安全审计需要保证相对的独立性，因此需要由独立的内部审计部门来负责。信息安全审计的具体工作主要是评价信息安全工作的开展情况，某些情况下也会使用信息安全监控工具。XXX开展信息安全审计工作的目的是：避免违背有关法律法规或合同约定事宜及其他安全要求的规定，确保XXX信息安全管理体系符合安全方针和标准要求，作为自我保障和改进机制的一部分，在保证信息安全管理体系持续有效运作的同时，不断的改进和完善。在信息安全管理体系中，信息安全审计在保障管理控制措施有效执行的同时还需要验证这些措施是否能有效实现信息安全工作目标。3.1.2.3 信息安全审计监督体系3.1.2.4 信息安全年度审计计划3.1.2.4.1 建立内审程序3.1.2.4.2 审计目的3.1.2.4.3 审计范围XXX所属信息系统，依据信息安全决策小组统一规划要求，按审计周期确定3.1.2.5 职责分工3.1.2.5.1 主管部门XXX信息资产部职责：全面执行内审工作，并协调审计人员与各部门的工作3.1.2.5.2 相关部门XXX所属各部门职责：协助审计小组完成内审计划3.1.2.5.3 控制程序和要求3.1.2.5.4 成立审计小组3.1.2.5.5 文件审计3.1.2.5.6 现场审计3.1.2.5.7 编写审计报告3.1.2.5.8 讨论纠正措施3.1.2.5.9 跟踪验证3.2 技术保障在规划、建设、使用、维护整个XXX系统项目的过程中，技术保障设计将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。主要标准参照依据为国家等级保护信息系统安全等级保护基本要求、信息系统等级保护安全设计技术要求，设计原则为以下几方面：1) 等级标准性原则构建XXX信息系统这样庞大的系统，必须坚持遵循相关的标准。本方案从设计到产品选型都遵循国家等级保护二级和三级相关标准。2) 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。3) 综合性、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。4) 易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。5) 设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。6) 无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。7) 可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。8) 保护原有投资的原则在进行XXX运营分系统信息安全体系建设时，应充分考虑原有投资，要充分利用XXX运营分系统已有的建设基础，规划其XXX系统的整体安全体系和灾难恢复系统。9) 综合治理XXX系统是企业大环境下一个系统工程，信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。3.2.1 物理安全通用设计3.2.2 网络安全通用设计3.2.3 系统安全通用设计3.2.4 应用安全通用设计3.2.5 数据安全通用设计3.3 过程保障3.3.1 需求分析通用控制3.3.1.1 设计目标需求分析是解决“做什么”的问题，是定义“做”的范围和尺度，是将用户要求我们做什么，变成我们书面承诺为用户做什么的过程。需求分析结果应确保所有的风险承担者都明白其含义，并形成文档，从而作为下一步工作的基础。本设计目的是为XXX在信息系统规划前能够统一定义安全性，事先建立好安全防护手段，降低安全风险出现的几率。3.3.1.2 设计原则信息安全需求来自于业务需求，根据ISSE信息系统安全过程控制控制原则，建立设计方案。3.3.1.3 建设方案3.3.2 开发采购通用控制3.3.2.1 设计目标开发采购过程是目前XXX面临的重要问题，由于很多情况下没有自主采购权，并且在采购过程中缺乏和乙方的直接沟通，因此建立有效的预防性控制措施和纠正性控制措施势在必行。3.3.2.2 设计原则信息系统开发采购过程的建设是建立在国家标准信息安全等级保护要求基础上。3.3.2.3 建设方案l3.3.3 实施交付通用控制3.3.3.1 设计目标实施交付控制的目的是为了在交付过程中能够有效识别系统在正式执行业务前可能出现的安全风险，本阶段发现的问题可通过修改设计、厂家现场解决或者修改维护策略进行补偿。3.3.3.2 设计原则本设计是在ITIL基础上结合ISO/IEC 27001：2005相关要求执行控制3.3.3.3 建设方案3.3.4 运行维护通用控制3.3.4.1 设计目标随着数据大集中进程的日益加快，大型数据中心的规模扩大迅速投入大量如服务器类、网络类、安全类等IT基础设施；同时，信息网络技术的应用层次不断深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，像类似于业务系统瘫痪，篡改信息或失窃之类的重大安全事故，都意味着巨大损失，根据美国FBI机构统计：在计算机网络、基础设施、存储数据遭受多种攻击和破坏中，有大概占80%的比例是来自内部人员所为，其发生频率远远高于外部黑客攻击。而对于目前大型数据中心来说，随着机房规模扩大，应用系统增加，运维人员数量增多，则意味着其发生的操作风险机率也在不断加大。纵观当前市场上IT服务、安全管理产品，维护主体还是IT运维人员，只在权限方面有限制外，对于IT运维人员本身所带来的潜在操作风险却没有涉及如何防范，主要还是基于信任或责任基础上，对于管理来讲存在很大风险。目前，已经越来越多的相关法令法规出台，如美国萨班斯（Sarbanes Oxley）法案，最新发布的巴塞尔新资本协议，信息安全管理体系ISO27000的总体思路、我国颁布的安全等级保护技术要求要求企业，特别是一些关键行业企事业单位，如金融、电力、政府等行业单位，建立起有效的内部审计制度，IT操作行为审计成为内部审计重中之重。实现网内行为审计，控制与防范风险，是目前行业所关注的核心问题。其实现目标：对内部运维管理人员实现有效监管；其监管的核心：一是“审计”，二是“控制”。审计：全面覆盖一般运维管理各种途径，全面审计、录像与回放操作；其操作行为：可定为人、时间、事件以及操作行为内容;其作用:可威慑违规人员，防范风险，明确责任，确保系统安全稳定。控制：包含“访问控制”与“访问集中”。访问控制：即对未经授权网络访问连接进行阻断并报警，保障运维安全、防范意外风险；访问集中：通过代理方式确定网络访问通道唯一性，实现所有运维过程强制集中化管理，规范运维人员操作行为与操作习惯。3.3.4.2 设计原则l 统一管理建立安全运维管理体系，需要组织指定管理人员负责安全运维管理体系的运行，该管理人员根据组织的业务需求和客户需要，对开发、实施和改进服务管理能力实施统一管理。管理人员根据运维对象分配角色，确定组织结构并实施组织优化。l 流程化建立安全运维管理体系，需要组织识别的服务管理流程，以及服务管理流程之间的接口、流程活动协调的方式。建立文件化的安全运维管理策略和计划，提供审计证据。l 预警平台建立安全运维管理体系，需建立预警平台，以监视、测量、审计运维服务对象、运维服务过程以及运维服务管理体系。l 绩效考核建立安全运维管理体系，需要建立绩效考核制度，定期检查员工绩效，奖励工作富有成效员工，惩戒违法法律法规、以及工作规范的员工，尤其违法信息安全规定的员工。l 风险评估建立安全运维管理体系，需要识别、评估、管理问题和风险，以及风险处理达成既定目标的方法。3.3.4.3 建设方案3.3.4.3.1 安全巡检3.3.4.3.1.1 巡检内容3.3.4.3.1.2 巡检流程3.3.4.3.2 安全运维管理3.3.4.3.2.1 变更管理3.3.4.3.2.1.1 变更内容：3.3.4.3.2.1.2 变更流程：3.3.4.3.2.2 安全加固3.3.4.3.2.2.1 加固内容：3.3.4.3.2.2.2 加固周期：3.3.4.3.2.2.3 加固流程：3.3.4.3.3 安全事件处置3.3.4.3.3.1 计算机病毒事件处置3.3.4.3.3.2 服务器安全事件处置3.3.4.3.3.3 网络安全事件处置3.3.4.3.3.4 信息安全预警3.3.4.3.3.4.1 信息安全预警的必要性信息安全预警是指信息网络的预警，随着网络威胁趋势在不断变化，以应用为目标或载体的威胁日益增多。近年来，网络入侵攻击、网上窃密事件日益频繁。网络信息安全威胁多以窃取、滥用、假冒、欺诈、篡改、阻塞、致瘫等新一代恶意代码形式为主。据统计网络恶意代码每年增长量竟达到128倍，复合式病毒泛滥，在线信息劫持频繁发生，僵尸网络不断扩大，被植入木马和谍报的IP地址数量猛增，网页篡改大量增加。我国网络信息安全威胁也面临着前所未有的严峻形势，一场新的高技术对抗将在新的高度上展开。以下是某安全研究中心提供的资料，显示了当前信息安全领域面临的形势： 每天上报挂马数据量：5080万条数据； 每天上报挂马数据大小：90150MB； 新病毒样本(去除重复和变种)：100个； 每天能够捕获的新网马样本(去除重复和变种)：1000个。建立信息安全及安全预警已迫在眉睫，从技术、管理上，解决信息安全控制与维护中的实际问题，是我们目前亟待解决的问题。3.3.4.3.3.4.2 范围3.3.4.3.3.4.3 发布方式n3.3.4.3.4 应急响应3.3.4.3.4.1 范围1、安全事件应急响应：安全事件是指计算机和网络设备系统的硬件、软件、数据因病毒感染或恶意攻击等安全原因遭到破坏、更改、泄漏，造成信息系统不能正常访问，或已经发现的有可能造成上述现象的安全隐患，如非授权访问、信息泄密、系统性能严重下降、网络拥塞、病毒爆发等。当出现以上安全事件时，服务方必须及时进行响应。2、完善响应流程：建立应急响应体系，完善应急响应流程，快速对安全事件进行准确定位，及时响应处理，快速恢复系统运行，降低安全事件造成的损失和影响。3、制订和完善重要信息安全设备和安全系统的应急响应预案：制定和完善重要信息系统的应急响应预案，根据应急预案，按照应急响应流程，组织相关人员进行应急演练，达到提高应急处理速度，多方协调联动能力，熟悉应急流程的目的。每年至少组织一次安全应急演练。3.3.4.3.4.2 过程阶段控制点数量控制手段准备阶段4跟踪并通告最新的安全威胁；完善被保护资产的安全防御设施，提高安全事件的监测和控制能力；制定业务连续性计划和灾害恢复计划；加强系统的风险管理，把握被保护系统的安全状况；完善应急响应的策略和流程并且加强宣传工作；维护应急响应的技术工具和各种资源库；加强应急响应技术人员对工具和流程操作的培训。检测阶段31. 事件发生与否的确认；2. 评估事件影响范围；3. 现场取样，收集事件证据；4. 向处理事件的上级部门汇报。抑制阶段31. 关掉已受害的系统；2. 断开网络；3. 修改防火墙或路由器的过滤规则；4. 封锁或删除被攻破的登录账号；5.关闭可被攻击利用的服务功能。根除阶段31. 系统异常行为分析2. 日志审计3. 入侵监测4.安全风险评估恢复阶段1把所有被破坏的资产彻底地还原到正常运作状态。（恢复被破坏系统需要建立在灾害恢复计划的基础上）总结阶段11、 形成事件处理的最终报告；2、 检查应急响应过程中存在的问题，重新评估和修改事件响应过程；3、评估应急响应人员在相互沟通和事件处理上存在的缺陷，以促进事后进行有针对性的培训。3.3.4.3.4.3 事件应急预案和应急演练方案为了保证信息网络系统安全及减少信息系统发生严重故障时对地铁三号线运营产生的影响，根据XXX信息系统、人员组织情况制订适合的安全应急预案。配备多重保险系统，做到以多种技术防范为主，及早消除现行信息网络系统的危机，确保信息系统正常运行。建立应急处理机构，平时应加强对应急保障预案的演练，不断深化、细化应急预案，提高应急处理能力。在信息系统遭受严重破坏时，迅速启用应急措施，明确应急指挥中心，维持各部门的正常运作，最大限度缩短对地铁三号线运营的影响时间。3.3.5 废弃通用控制3.3.5.1 设计目标不良的信息系统废弃过程会造成组织大量的数据丢失或者泄露，直接影响到组织的生产和无形资产的损失，本设计目标是在现有的组织架构下通过有序的管理控制对信息系统废弃过程建立控制约束，降低信息在废弃阶段造成的损失或危害。3.3.5.2 设计原则本设计依据GB/T 25058-2010国家信息安全等级保护实施指南建立。3.3.5.3 建设方案3.3.5.3.1 信息转移、暂存和清除3.3.5.3.2 设备迁移或废弃3.3.5.3.3 存储介质的清除或销毁3.4 人员要求3.4.1 人员角色与职责通用设计3.4.1.1 信息安全领导小组信息安全是XXX工作人员必须共用承担的责任。信息安全领导小组是系统安全工作的最高领导决策机构，负责本单位信息安全工作的宏观管理。信息安全领导小组负责信息安全总体规划与决策，并领导全公司安全建设、运行、维护和管理等工作；信息安全领导小组负责组织落实上层决策，制定本公司决策，并领导信息安全工作，信息安全领导小组的职责是：信息安全领导小组负责领导制定公司系统安全建设的总体规划并审议监督各部门安全工作规划的制定与实施；负责制定信息安全总体策略并审批；负责领导制定全公司与系