集团网络安全信息化规划建议书.doc

《集团网络安全信息化规划建议书.doc》由会员分享，可在线阅读，更多相关《集团网络安全信息化规划建议书.doc（93页珍藏版）》请在三一办公上搜索。

1、阳光新能源集团网络信息化规划建议书 武汉信息技术有限公司2014-02-20文档说明 非常感谢阳光新能源集团（简称集团）给予武汉信息技术有限公司机会参与贵司的阳光新能源集团网络信息化规划项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于武汉公司和集团内部使用，未经武汉信息技术有限公司书面许可，请勿扩散到第三方。文档属性属性内容客户名称:阳光新能源集团项目名称:阳光新能源集团网络信息化规划项目项目编号:20140217文档副标题:文档编号:文档版本:1.0版本日期:2014-02-17文档状态:公司内部参照:作者:鄢贤凯文

2、档变更版本修订日期修订人描述1.02014-02-17王浩初始版本文档送呈姓名目的集团：汪辛 科技：华恩惠审阅目 录第一部分 概述和介绍11概述11.1目的和范围11.2读者和应用范围21.1应用层安全威胁21.3安全要素和原则31.4参考标准和资料32系统安全框架模型描述5第二部分 系统安全管理框架83系统安全策略83.1系统安全策略概述83.1.1系统安全最高方针文件83.1.2编制与评审93.2策略结构描述103.2.1策略文档结构图103.2.2最高方针103.2.3安全体系框架113.2.4规范113.2.5管理制度、规定和标准113.2.6基层文档123.3系统安全保证123.3.

3、1管理体系的安全保证123.3.2产品的安全保证123.3.3安全保证技术手段133.3.4其它安全保证134系统安全组织管理144.1系统安全组织概述144.2角色和责任144.3第三方管理174.4人员安全184.5宣传、教育和培训194.6与外界的安全合作205系统安全运作管理215.1系统安全生命周期215.2信息资产鉴别和分类235.3系统安全风险评估245.4系统的安全规划和接收255.5维护管理255.5.1物理和环境安全265.5.2信息备份265.5.3操作者日志265.5.4差错记录275.6意外和灾难恢复/入侵事件处理275.7运作的技术化和产品化285.7.1系统安全管

4、理平台285.7.2系统安全管理协议28第三部分 系统安全技术框架316系统安全技术框架316.1IAARC框架图示316.2Identification & Authentication 鉴别和认证326.2.1技术特点326.2.2与其它要素的关系326.2.3典型技术和产品代表326.3Access Control 访问控制336.3.1技术特点336.3.2与其它要素的关系346.3.3典型技术和产品代表356.4Content Security 内容安全366.4.1技术特点366.4.2与其它要素的关系366.4.3典型技术和产品代表366.5Redundant & Recover

5、y 冗余和恢复376.5.1技术特点376.5.2与其它要素的关系376.5.3典型技术和产品代表376.6Audit&Response 审计和响应386.6.1技术特点386.6.2与其它要素的关系386.6.3典型技术和产品代表387鉴别和认证框架407.1鉴别的对象和粒度407.2用户鉴别机制417.2.1基于所知的I&A417.2.2基于所持的I&A427.2.3基于所具有的I&A427.2.4Single Sign-on437.3PKI体系437.4I&A系统的应用437.4.1管理447.4.2维护447.4.3混合的鉴别认证体系448访问控制框架468.1访问控制与授权468.2

6、访问控制的准则468.2.1基于鉴别的访问控制468.2.2基于角色的访问控制478.2.3地点478.2.4时间478.2.5交易限制478.2.6服务限制478.2.7通用访问模式488.3访问控制策略488.4用户访问管理498.5用户职责508.6网络访问控制508.6.1使用网络服务的方针508.6.2合理化网络拓扑518.6.2.1强制路径518.6.2.2网络路由控制518.6.3网络设备安全518.6.4网络的隔离528.6.4.1系统安全域隔离的原则538.6.5网络接入安全548.6.5.1网络连接控制548.6.5.2外部连接的用户认证558.6.5.3节点认证558.7

7、操作系统访问控制558.8应用访问控制578.8.1基于Web应用的访问控制588.9移动计算和远程工作588.10访问控制的部署588.10.1需要全面布置访问控制588.10.2需要充分实现RM机制598.10.3在网络层面上的访问控制部署598.10.4在主机和操作系统层面上的访问控制部署598.10.5在应用系统层面上的访问控制部署599审计和响应框架609.1一般安全目标609.1.1个体的可审计性609.1.2入侵检测609.1.3事件定位与跟踪619.1.4问题分析619.2日志和审计619.2.1法律方面的考虑619.2.2键盘操作监控619.2.3审计的对象629.2.4事件

8、日志629.2.5监控系统的使用629.2.5.1流程和风险区629.2.5.2风险因素639.2.5.3日志和事件审查639.2.6时间同步649.3网络日志审计体系659.3.1日志系统总体框架659.3.1.1安全产品日志管理669.3.1.2网络设备日志管理679.3.1.3主机系统日志管理679.3.1.4应用系统日志管理689.3.1.5总体框架示意图699.3.2集中式的日志系统709.4入侵检测719.4.1不同的部署类型719.4.1.1基于网络的入侵检测719.4.1.2基于主机的入侵检测729.4.1.3基于应用的入侵检测729.4.2不同类型的发现机制729.4.2.1

9、基于日志的检测729.4.2.2基于基线的检测739.4.2.3基于协议分析的检测739.4.2.4基于模式匹配的检测739.4.2.5协议分析和模式匹配相结合的检测749.4.3入侵检测的动态响应机制749.5网络安全的监控管理749.5.1监控管理系统的用途759.5.2监控管理系统的架构759.5.3入侵检测系统的部署原则769.6用户行为监控系统779.6.1用户行为监控系统特性要求779.6.2用户行为监控系统部署原则779.7系统弱点扫描7810冗余和恢复框架7910.1冗余和恢复的关键要素7910.2通过冗余实现高可用性7910.3系统自动响应恢复能力8010.4网络安全业务连续

10、性管理8111内容安全框架8111.1加密8111.1.1关于使用加密控制措施的方针8111.1.2加密技术8211.1.3数字签名8211.1.4防抵赖服务8311.1.5密钥的管理8311.1.5.1密钥的保护8311.1.5.2标准、程序和方法8411.2防病毒8511.2.1防病毒技术和产品的部署8511.2.1.1单机8511.2.1.2企业级桌面8511.2.1.3文件服务器8611.2.1.4群件服务器8611.2.1.5网关8611.2.2应用防病毒技术和产品的要点8711.2.2.1多层次的纵深防范8711.2.2.2防病毒代码的更新8711.2.2.3防病毒体系的集中管理8

11、711.3VPN的安全措施88第一部分 概述和介绍1 概述随着企业规模的不断扩大，安全防护措施仅仅依托各子域边界的防火墙，以及在网络互联接口侧配置的访问控制列表，仅仅依靠这些还不足以完全抵挡网络风险的发生。针对近年来日益猖獗的DDOS攻击、木马、SQL注入等较为严重的网络安全问题，需要进一步完善防护机制，充分利用已有技术手段和安全设备，构建安全设施平台，部署安全防护产品，逐步提高安全防护能力，提升安全防护级别，加固风险，消除漏洞。因此安全需求成为一个非常突出的问题。目前企业面临的主要应用威胁有： 边界防火墙设备面临DDoS攻击； 来自公网的病毒、木马、DDoS/DoS攻击； 数据中心服务器（业

12、务支撑，MIS，Email）存在安全漏洞，给网络入侵者提供了可乘之机，服务器一旦被入侵，造成信息失窃； 网络蠕虫病毒，快速传播，危害极大； 外来计算机带来安全风险，带入病毒等； 内部扫描侦测；1.1 目的和范围本文档对于集团网络安全整体框架进行描述，不仅包括安全架构模型，安全策略和程序，安全组织，安全运作管理等方面；而且在安全技术方面进行较为详尽的描述。文档可以作为今后安全建设和安全管理的主要参考，作为集团网络进行全局安全工作部署的指南和依据。1.2 读者和应用范围本框架应用于对集团网络的策略、组织、运作、安全措施使用和安全产品部署等多方面的安全进行评估、设计和改进。或者说，在进行集团网络安全

13、工作规划、实施、运行维护和评估时，可以依据框架对相关的管理和技术要素以及相互之间的关系进行分析。本文档的读者包括集团网络管理者、安全管理人员、系统设计者、项目组双方成员以及本项目的评审人员。1.3 应用层安全威胁传统的以防火墙、IDS、防病毒为中心的安全解决方案最大的问题是，防火墙工作在TCP/IP 34层上，根本就“看”不到应用层安全威胁的存在，而据国家信息安全产品评测中心的最新应用安全报告表明：目前internet Top10的安全威胁为：1. 未被验证的输入􁳾2. 错误的访问控制3. 错误的认证和会话管理4. 跨站脚本5. 缓冲溢出6. 注入式漏洞7. 不适当的异常处理

14、8. 不安全的存储9. 拒绝服务10. 不安全的配置管理传统以防火墙、防病毒软件为中心的信息安全方案对这些威胁是“看不见的”，形同虚设，这正是目前企业部署了一系列传统安全方案后，信息安全问题仍然如此严重的根源所在。因此我们需要从信息安全管理、技术的全新角度，提出一个全新的安全整体解决方案。1.4 安全要素和原则以下安全原则应贯彻到网络安全工作的各个方面和各个阶段：l 系统安全目标必须与组织的整体目标相一致l 系统安全是健全管理的重要环节l 系统安全必须考虑投入和收益l 系统安全的责任必须清晰l 系统安全需要全面的、整体的解决方法l 系统安全需要周期性反复评估l 系统安全的实施者需要了解残余风险

15、l 系统安全要考虑组织文化等许多其它因素1.5 参考标准和资料l ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型l ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求l ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求l IT Baseline Protection Manual/Model (Federal Agency of Security in Information Technology, Germ

16、any)l Canadian Handbook on Information Technology Security, 1997l ISO17799 Part I, Code of Practice for Information Security Managementl BS7799 Part II, Specification for Information Security Management2 系统安全框架模型描述如上图所示，系统安全框架可以分为安全管理框架和安全技术框架两个部分。这两部分既相对独立，又有机结合，形成整体安全框架。安全管理框架自上而下包括安全策略、安全组织管理和安全运

17、作管理三个层面；安全技术框架覆盖鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应五个部分。l 系统安全策略是由最高方针统率的一系列文件，结合有效的发布、执行和定期的回顾机制保证其对系统安全的指导和支持作用。l 安全组织明确安全工作中的角色和责任，以保证在组织内部开展和控制系统安全的实施。l 系统安全运作管理是整个系统安全框架的执行环节。通过明确安全运作的周期和各阶段的内容，保证安全框架的有效性。l Identification & Authentication 鉴别和认证。I&A是通过对系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标签或证书等。l Access Control 访问

18、控制。访问控制以Reference Monitor形式工作，或者说类似于网关、接口和边界的形式。主业务必须通过Access Control关口才能进行正常访问。l Content Security内容安全。内容安全主要是直接保护在系统中传输和存储的数据（信息）的内容，保证其特性不被破坏。l Redundant & Recovery 冗余和恢复。通过设备或者线路的冗余保障业务的连续性，通过备份恢复业务。l Audit & Response审计和响应。审计主要实现机制是通过Standby/ Sniffer类型的工作方式实现。这种机制一般情况下并不干涉和直接影响主业务流程，而是对主业务进行记录、检查

19、、监控等。响应主要是对安全事件作出告警，阻断等反应。第二部分 系统安全管理框架系统安全管理框架的描述包括策略、组织和运作三个方面。3 系统安全策略系统安全策略为系统安全提供指导和支持。集团网络应该制定一套清晰的指导方针、规范和标准，并通过在组织内对系统安全策略的发布和落实来保证对系统安全的承诺与支持。3.1 系统安全策略概述3.1.1 系统安全最高方针文件系统安全最高方针文件应得到集团计费业务中心最高管理者的批准，并以适当的方式发布、传达到计费业务中心所有员工。该文件应该阐明管理者对实行系统安全的承诺，并陈述系统安全管理的方法。它至少应该包括以下几个部分：l 系统安全的定义，总体目标和范围，及

20、重要性；l 申明支持系统安全目标和原则的管理意向；l 对组织有重大意义的安全策略、原则、标准和符合性的简要说明； l 对系统安全管理的总体和具体责任的定义；l 提及支持安全方针的文件，如：信息系统的详细的安全策略和程序，或用户应该遵守的安全规定等。系统最高安全方针应以恰当、易得、易懂的方式向预期使用者进行传达。最高方针是建立策略体系，指导安全工作的基础。在安全方针的指导下，再进一步建设策略文档体系。3.1.2 编制与评审系统安全策略应当有专门的部门编制，并由专人按照既定的评审程序负责保持和评审。该程序应确保任何影响原始策略制定的变化都会得到相应的评审，如：重大的安全事故、新的弱点、组织基础结构

21、或技术基础设施的变化。有计划的、定期的评审应包括但不限于以下各项：l 策略的有效性，可通过记录在案的安全事故的性质、数量和所造成的影响来论证；l 对运营效率进行控制的成本和效果；l 技术变化所造成的影响；安全策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段，同时在发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都知道和了解与其相关部分的内容。必须要意识到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于牵扯到网络许多部门和绝大多数人员，可能需要改变工作方式和流程，所以推行起来的阻力会相当大；同

22、时安全策略本身存在的缺陷，包括不切实可行，太过复杂和繁琐，部分规定有缺欠等等，都会导致整体策略难以落实。每年审视安全策略系列文档时，需要包括但不限于以下内容：l 系统安全策略中的主要更新；l 系统安全标准中的主要更新；l 安全管理组织机构和人员安全职责的主要更新；l 操作流程的主要更新；l 各类管理规定、管理办法和暂行规定的主要更新；l 用户协议的主要更新；3.2 策略结构描述3.2.1 策略文档结构图下图给出了网络安全策略体系的局部。网络最终的安全策略体系应包括但不限于以下文档。3.2.2 最高方针最高方针，纲领性的安全策略主文档，陈述方针的目的、适用范围、系统安全的管理意图、支持目标以及指

23、导原则，系统安全各个方面所应遵守的原则和方法。与其它部分的关系：所有其它安全文档都从最高方针引申出来，并遵照最高方针，不与之发生违背和抵触。3.2.3 安全体系框架安全整体架构描述，应覆盖安全策略、组织、运作、安全技术措施使用和安全产品部署等多方面。与其它部分的关系：所有其它安全文档是安全体系框架某个部分的细化和引申，应遵照体系框架，不与之发生违背和抵触。安全体系框架向上遵照最高安全方针，是安全方针的实现。3.2.4 规范规范包括技术规范和管理规范，涉及技术要素和管理方法的实现。技术规范将作为设备、系统和应用程序的安装、配置、采购、评审以及日常安全管理和维护时的标准；管理规范将作为组织建设、人

24、员考评等方面必须遵照的标准。与其它部分的关系：向上遵照安全体系框架，向下延伸到安全操作流程，考评标准等文档。3.2.5 管理制度、规定和标准各类管理规定、管理办法、暂行规定和技术标准，针对具体情况，具有较强的可操作性，可以随情况变化及时调整。与其它部分的关系：向上遵照规范，向下延伸到具体设备配置流程、年度培训计划等文档。3.2.6 基层文档包括具体人员的保密协议、具体操作系统的配置流程。与其它部分的关系：向上遵照制度、规定和标准。3.3 系统安全保证所谓保证就是参照标准，全面地、系统地开展安全工作，使安全状况达到标准规定的或描述的相应程度。标准是建立在大量的实践经验和理论论证的基础上，能够全面

25、地，有条理地覆盖某个领域的安全要点，因此参考标准开展安全工作，可以保证安全工作的可靠性和有效性。3.3.1 管理体系的安全保证系统安全管理体系是保证一个系统的安全按照系统化的方法进行建设和运行的基础。因此对于一个系统的安全保证要依赖于对于一个系统安全管理系统的安全保证。在现有的系统安全管理标准中，BS7799/ISO17799是唯一被国际公认的管理指南，而且还有配套认证标准。与ISO9000系列质量保证体系可以帮助进行质量管理体系建设和认证类似， BS7799标准可以用来形成集团网络安全管理体系。可以通过获得BS7799认证证书来标志在管理层面获得一个切实的安全保证。3.3.2 产品的安全保证

26、安全产品是组成完整安全体系的重要组成部分。有效的安全产品可以大大提高整个体系的效力。对于安全产品和保证产品的安全是整个体系安全保证的一个重要部分。对于产品进行安全保证的重要手段就是参照ISO15408国际标准对于系统产品进行安全测评认证。参照ISO15408标准，不同类型的系统安全产品都有其“防护轮廓PP”，而不同厂家生产的安全产品都应当定义自己的“安全目标ST”。PP要被ISO15408所认可，ST要声称符合PP并被认证。经过这个体系就可以得到对于产品的安全保证。3.3.3 安全保证技术手段通过许多安全技术手段可以获取安全信息，对安全信息进行总结可以了解安全保证的具体情况。审计作为系统安全技

27、术模型中的一个要素，是整个技术体系中最为典型的安全保证技术手段；日志、入侵检测、用户行为监测、一致性检查等等都是检验安全保证等级的重要技术方法；风险评估对于系统中的风险进行鉴别、分类和赋值是对于一个体系进行安全保证分析的典型流程和方法学，而且可以给出一个比较量化的结论。3.3.4 其它安全保证除了上述阐述系统安全保证的几个方面之外，还可以用类似的方法对于其他安全环节、要素、特性进行阐述。比如：人员安全保证与从事系统安全工作的人员签署安全保密协议；对专业人员进行培训并且要求通过专业的资质认证。技术方案论证和评审对于重要的系统建设等方案进行论证和评审，可以加强方案的安全保证程度。可以用本文档中阐述

28、的系统安全技术框架对于技术方案的各个要素进行审查，确保各个环节都被充分地考虑。4 系统安全组织管理4.1 系统安全组织概述集团网络应建立合适的系统安全管理组织框架，以保证在组织内部开展和控制系统安全的实施。应该建立具有管理权的适当的安全领导小组来批准安全方针、分配安全职责，建议安全工作小组协调组织内部系统安全的实施。如有必要，应在组织内建立提供系统安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系，以跟踪行业趋势，监督安全标准和评估方法，并在处理安全事故时提供适当的支持。4.2 角色和责任作为一个安全组织，会渗透到许多相关部门。很多人员都会直接或者间接地参与系统安全工作。这些人可能包

29、括：l 高层管理人员以高层管理的身份，负责整个计费业务中心系统安全工作的指导。l 安全领导小组由高层领导挂帅，各部门主要领导组成。负责对系统安全方面的重大问题做出决策，并支持和推动系统安全工作在整个组织范围内的实施。l 系统安全管理者以一个专门的系统安全工作小组领导者的身份，负责整个组织的安全；负责系统安全工作的整体协调；负责系统安全的日常管理。l 专家组聘请业内专家作为组织的管理技术方面的支持资源。l 技术提供者系统管理员等技术人员，负责具体系统的安全。l 支撑组织包括QA人员，人力资源部门，物理安全人员等。l 用户包括信息的用户和系统的用户l 第三方人员应该建立有领导层参加的安全领导小组，

30、以批准系统安全策略、分配安全责任并协调组织范围的安全策略实施，确保对安全管理和建设有一个明确的方向并得到管理层的实际支持。安全领导小组应通过合理的责任分配和有效的资源管理促进系统安全。这个安全领导小组可能需要跨部门组建。其具体职责有：l 就整个组织系统安全的作用和责任达成一致；l 审查和批准系统安全策略以及总体责任；l 就系统安全的重要和原则性的方法、处理过程达成一致，并提供支持。如风险评估、信息分类方法等；l 确保将安全作为制定业务建设和维护计划、内部信息系统建设的一个部分；l 授权对安全控制措施是否完善进行评估，并协调新系统或新服务的系统安全的控制措施的实施情况；l 审查重大的系统安全事故

31、，并协调改进措施；l 审核系统安全建设和管理的重要活动，如重要安全项目建设、重要的安全管理措施出台等；l 在整个组织中增加对系统安全工作支持的力度。根据业界的安全组织建设的经验，建议集团网络安全组织的职位和责任规划如下：l 安全工作小组以一个专门的系统安全工作组织的身份，负责整个网络的安全。配置6-10名专职安全人员，建议近期为6人，逐步发展到10人的规模。内设以下职位：n 小组管理者负责系统安全的整体协调工作；负责系统安全的日常管理。n 系统安全管理岗位负责系统的安全管理、协调和技术指导。n 安全策略管理岗位负责安全策略的开发制定、推广、协调和指导。n 入侵检测和紧急响应岗位负责监控入侵检测

32、设备，并对投诉的、上报的和发现的等等各种安全事件进行响应。n 培训岗位负责安全培训、策略培训工作的管理、协调和实施。n 安全审计岗位负责按照安全绩效考核标准进行安全审计管理、工作监督和指导。建议条件成熟时设置安全中心，为处级单位，负责整个网络的信息安全，领导和整合各个部门和省级的安全资源。l 安全顾问组聘请安全专家作为技术支持资源和管理咨询，主要向安全工作小组负责。l 从长远来看，可以在网管系统的基础上，建立安全维护中心，负责监控系统安全状况，管理安全产品，指导系统安全管理、系统安全管理、紧急响应等岗位的工作。对于安全人员素质，则应该根据其相应的工作职责来确认，要求胜任其本职工作，具备相应的技

33、术素质和协调管理素质。在目前的情况下，安全工作小组的完整组建可能比较困难，那么相应的岗位可以由其他部门的人员兼职来完成，有些岗位也可以进行外包，由第三方的人员来实现。4.3 第三方管理“第三方”通常是指软件开发商，硬件供应商，系统集成商，设备维护商，服务提供商，实习生，临时工等。一般第三方使用的访问类型有如下两种，这两种访问方式带来的风险截然不同。l 实际访问，如对办公室、机房的物理访问；l 信息访问，如对信息系统、主机、网络设备、数据库的访问。对于实际访问的第三方，按照访问的时间长短和访问的性质，可以分为临时来访的第三方，和非临时来访的第三方两种。其定义如下：l 临时来访的第三方指因业务洽谈

34、、参观、交流、提供短期和不频繁的技术支持服务而来访的第三方组织或个人。l 非临时来访的第三方指因从事合作开发、参与项目工程、提供技术支持、售后服务、服务外包或顾问服务等，必须在移动办公和工作的第三方组织或个人。对于这两种短期和长期的实际物理访问，应该出台不同的管理规定，负责接待的部门和接待人对第三方来访的安全负责，并对访问机房等敏感区域持谨慎态度。对于信息访问，主要分为维护服务商和合作伙伴两类。维护服务商类包括软件开发商，硬件供应商，系统集成商，设备维护商，和服务提供商等，主要是工程建设和运行维护期间的对移动网络信息系统的访问。除了在本地访问，也会有远程访问。建议出台维护服务商的管理办法，至少

35、包括如下内容：l 维护商必须遵守移动的各项信息安全标准和管理规定；l 必须签署保密协议，必须签署安全承诺协议，或在合同中规定相关的内容；l 维护商对其维护目标的安全配置要求，必须符合网络相应的安全配置标准；l 维护商申请访问权限时，必须阐明其申请理由、访问方式、要求权限、访问时间和地点等内容，移动的安全管理人员需要核实其申请访问权限的必要性和访问方式，评估其可能带来的安全风险，尽可能采取一些措施来降低风险。在风险可接受的情况下，才批准其访问权限的申请，并尽可能不给超级用户权限。l 远程维护的日志审计等。对于另一类第三方，主要是银行等合作伙伴。原则上应该不信任他们，连接的接口应该采取访问控制措施

36、，并尽可能采取安全措施来减小风险。但在某些情况下，访问控制措施难以部署，这种情况下，只有通过签署SLA等协议，通过约定和相应的法律来保证安全。4.4 人员安全通过对于组织中的各个角色在系统安全工作中的地位和责任分析制定安全责任书，以书面的形式确定下来，并以此作为检查和监督的依据，尽可能地排除由于组织风险和组织管理问题导致的系统安全问题。这个工作必须得到高层领导和安全领导小组的支持。4.5 宣传、教育和培训为了确保所有人员意识到系统安全的威胁和利害关系，并具有在日常工作过程中支持组织安全方针的能力，应对用户进行安全程序和正确使用信息处理设备的培训，以尽量降低可能的安全风险。安全教育计划对于全员的

37、系统安全宣传、教育和培训进行综合描述，并给出指南性意见。各个部分有其自身的侧重：l 宣传侧重“Why为什么”要做安全l 教育侧重“What什么”要得到安全l 培训侧重“How如何”得到安全组织中所有员工以及相关的第三方用户，应该接受适当的培训并且根据组织方针和程序的变化定期再培训。这包括安全要求、法律责任和商业控制措施，还包括在被授权访问信息或服务之前正确使用信息处理设备，如登录程序、软件包的使用等培训。安全教育计划应当包括但不限于的工作内容有：l 安全意识宣传l 人员安全知识水平评估l 不同人员对安全知识需求的分析l 分阶段的教育规划l 知识来源分析首先对于关键业务部门的人员实施最急需的培训

38、。培训应与资质认证相结合。资质认证是衡量系统管理人员和安全工作人员专业素质的尺度之一。通过不断的培训和相应的资质认证，可以循序渐进的提高安全技术水平和管理水平，并将其保持在较高状态。4.6 与外界的安全合作常年聘请固定的安全专家或公司进行安全顾问咨询服务已经成为国外大公司维护自身信息系统安全的一个重要手段。鉴于系统的安全组织现状和安全技术现状，应该常年聘请固定的安全专家或公司，倾听他们在安全领域的专业建议。需要聘请有经验的安全顾问，可以凭借他们丰富的安全专业知识和经验，负责安全系统项目建设、日常安全管理和控制、业务系统的安全管理和维护工作的技术把关，对安全组织体系的规划、安全运行体系的规划、安

39、全技术体系的规划等安全建设工作提供指导，并在安全决策方面提供帮助。一旦发生安全事故也需要安全顾问的建议。这样可以避免安全系统建设中的盲目性、重复性、低层次性和不能有效发挥作用而造成的重大浪费，这样可以节省大量的金钱和人力成本，确保以最小的代价解决安全问题，凭借其经验可以解决当前最迫切和最严重和安全问题，从而迅速提高集团网络的安全水平，避免走弯路和浪费。所以从总体来说，聘请安全顾问具有极高的性价比。系统安全顾问的职责是负责为系统安全的各种问题提供建议，这些意见既可以来自他们本人，也可以来自为他们提供支持的资源。在发生可疑的安全事故或破坏行为时，应尽早向系统安全顾问或其它专家进行咨询，以得到专家的

40、指导或可供研究的资源。尽管多数内部安全调查是在管理层的控制下进行的，但仍然应该邀请安全顾问，倾听他们的建议，或由他们领导、实施这一活动。鉴于集团网络的组织规模和当前安全顾问行业的现状，聘请一位或几位独立和安全顾问，在安全水平和商业角度都没有保障，所以建议在提供安全专家顾问服务的公司中选择一家信誉好、实力强、技术过硬的公司作为长年的合作伙伴。5 系统安全运作管理系统安全运作管理是整个系统安全框架的驱动和执行环节。一个有效的系统安全组织会在系统安全策略的指导下，在系统安全技术的保障下，实施系统安全运作。5.1 系统安全生命周期为了降低风险和减少成本，应根据系统安全的生命周期特征，应用按阶段实施的可

41、操作的模型PADIMEE。如下图所示：l Policy Phase策略制订阶段：确定安全策略和安全目标；l Assessment Phase评估分析阶段：实现需求分析、风险分析、安全功能分析和评估准则设计等，明确表述现状和目标之间的差距；l Design Phase方案设计阶段：形成系统安全解决方案，为达到目标给出有效的方法和步骤；l Implementation Phase工程实施阶段：根据方案设计的框架，建设、调试并将整个系统投入使用。l Management Phase运行管理阶段：在管理阶段包括两种情况正常状态下的维护和管理（Management Status），以及异常状态下的应急响

42、应和异常处理（Emergency Response Status）。l Education Phase安全教育：是贯穿整个安全生命周期的工作，需要对企业的决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行教育。PADIMEE模型应当成为信息系统安全实施过程的指南。所有的安全系统的建设都应当按照PADIMEE过程来指导。一个系统安全完整解决方案必须对系统安全建设和运行的整个生命周期给予清晰的描述，不能仅仅局限于安全产品的集成。5.2 信息资产鉴别和分类信息资产鉴别和分类是整个系统安全建设的根本的根本。因为，只有进行完整的、全面的信息资产鉴别，才能够真正了解系统安全工作的目标，才能够

43、真正知道需要保护的对象。资产鉴别分类的目的是将集团网络各个层次上、各个分布地点、各个环节、各个角落的信息资产都一一鉴别出来，并且进行分类以便进行保护。参照BS7799/ISO17799对信息资产的描述和定义，将集团网络信息资产按照下面方法进行分类：类别简称解释/示例数据Data存在于电子媒介的各种数据和资料，包括源代码、数据库数据、业务数据、客户数据、各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等服务Service业务流程和各种业务生产应用、为客户提供服务的能力、WWW、SMTP、POP3、FTP、DNS、内部文件服务、网络连接、网络隔离保护、网络管理、系统安全保障等；也包括外部

44、对客户提供的服务，如网络接入，电力，IT产品售后服务和IT系统维护服务等软件Software业务应用软件、通用应用软件、网络设备和主机的操作系统软件、开发工具和资源库等软件，包括正在运行中的软件和软件的光盘、Key等硬件Hardware计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等文档Document纸质的各种文件、合同、传真、电报、财务报告、发展计划等设备Facility电源、空调、保险柜、文件柜、门禁、消防设施等人员HR包括人员和组织，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等其它Other企业形象，客户关系等信息资产

45、鉴别和分类对于整个系统安全工作具有至关重要的作用。虽然不进行此项目，很多具体的安全项目同样可以开展，比如防病毒部署、防火墙部署、IDS部署等。但是这些项目的开展都是在对于资产和保护对象的模糊认识上开展的。因此，为了真正有效的、恰当的、经济的保护目标，必须尽快制定资产分类和赋值方法，进行信息资产鉴别和分类。5.3 系统安全风险评估系统安全风险评估是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。风险存在两个属性：后果（Consequence）和可能性（Likelihood）。最终风险对组织的影响，也就是对风险的评估赋值是对上述两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会