信息安全管理制度汇编信息安全管理制度汇编某单位 信息安全管理制度汇编 制定部门 某单位 审 核 批 准 生效日期 制度修订、修改记录 更改日期 原章节或内容 修订内容 修订部门 批准人 备注 目录 某单位信息安全总体方针与安全策略-3-某单位信息安全工作管理规定-12-某单位信息安全管理策略-16-某单位机房设备管理规定-25-某单位信息设备管理办法 29 某单位网络安全管理办法 34 某单位病毒防范安全管理办法 42 某单位备份与恢复管理规定 45 某单位网站运行维护管理办法 49某单位信息系统变更管理办法 51 某单位信息安全惩戒管理规定 56 某单位第三方访问管理程序 57 某单位信息项目管理规定 60 某单位消防管理制度 63某单位软件管理办法 65 某单位帐户权限与口令管理规定 67 某单位项目测试验收管理办法 73 某单位信息系统应急响应管理规定(条款序号)76 某单位信息系统建设管理办法 82 某单位信息系统运行管理办法 87 某单位网络接入管理办法 93 某单位信息资产管理办法 96 某单位信息系统安全管理岗位及其职责 99 某单位员工安全管理规定 101 某单位运行维护管理规定 108某单位安全岗位人员管理规定 110 某单位培训及教育管理规定 116 某单位外来人员安全管理规定 121 某单位介质管理规定 125 某单位环境设施和物理设备管理规定 129 某单位网络连接管理规定 136 某单位计算机用户安全手册138 某单位系统安全管理说明 142 某单位安全事件报告与处置管理规定 164某单位信息安全总体方针与安全策略 总则 第一条 为建立、实施、运行、监督、评审、保持和改进某单位的信息安全管理体系,确定信息安全方针和目标。
第二条 对信息安全风险进行有效管理,确保全体人员理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本文件信息安全总体方针 第三条 信息安全方针为:安全第一、综合防范、预防为主、持续改进一)安全第一:信息安全为信息系统业务连续性提供基础保障,把信息安全作为信息系统建设与系统运行的首要任务二)综合防范:管理措施和技术措施并重,建立有效的识别和预防信息安全风险机制,合理选择安全控制方式,使信息安全风险的发生概率降低到可接受水平三)预防为主:依据国家相关规定和信息安全管理实践,根据信息资产的重要性等级,定期对重要信息资产进行安全测评,采取有效措施消除可能的隐患,最大程度降低信息安全事件发生的概率四)持续改进:建立全面覆盖信息安全各层面的安全管理机制,建立持续改进的体系框架,不断自我完善,为业务的稳定运行提供可靠的安全保障第四条 总体目标(一)保护信息系统及数据的完整性、可用性、机密性,不遭受破坏、更改及泄漏二)确保信息系统连续、可靠、正常运行,提供及时、持续和高质量的服务并不断改进三)信息安全管理体系建设和运行能满足信息系统日常安全管理的需要,并覆盖各个安全管理层面安全策略 第五条 信息资产管理策略(一)各类信息资产由信息技术科负责统筹管理,责任到人。
二)对信息资产进行梳理,建立信息资产清单,明确各信息资产的使用人员、运维人员、管理人员等相关责任人,制定各自的职责;信息资产清单应定期维护与更新;定期对信息资产进行盘点,确保信息资产的账实相符合完好无损三)为确保信息资产能受到适当的保护,信息应当分类以显示其所需保护的要求、优先、程度信息分类应按照业务对信息访问的需求,及这些需求带来的影响进行划分,分为非常重要、重要、一般三个等级四)信息资产分类应该具有一定的灵活性可以将信息资产分为数据、软件、硬件、文档、设备、人员等共 6 种类型,内容如下:1)数据:储存在电子媒介的各种数据资料,包括源代码、数据库数据、各种数据资料、系统文档、运行管理规定、用户手册等2)软件:应用软件、系统软件、开发工具和资源库等3)硬件:服务器、路由器、交换机、硬件防火墙、交换机、备份存储设备等4)文档:纸质的各种文件、项目过程文件、日常管理记录文件、发展规划等5)设备:UPS 电源设备、空调、门禁、消防设施等6)人员:系统管理人员、维护人员、外包服务人员等五)建立信息系统资产清单,明确每个信息系统的负责人和管理员,并落实其岗位职责按照国家信息系统安全等级保护基本要求(GB/T 22239-2008)的要求,对信息系统分级,并按级别采取相应的安全保护措施。
六)信息系统分级后所采取的对应安全保护措施,必须由相应的负责人定期检查七)各类信息资产必须进行标识管理,标识内容包括资产名称、资产信息、所属系统、资产类别、重要级别、责任人等第六条 人员安全管理策略(一)访问敏感信息外包服务人员应在访问信息处理设施前签署相关协议二)所有管理人员离职时,确保其归还所有设备及删除其所有访问权限人员离任前要履行交接手续,确保密码、设备、技术资料及相关敏感信息等的移交三)安全教育是指单位安全教育、部门教育和岗位教育安全教育制度应纳入本单位的所有员工教育体系安全教育要结合实际情况,编制具体的安全教育计划,计划要有明确的针对性,并适时修正、变更或补充内容安全教育要由办公室负责,每次安全教育必须有考核机制第七条 物理和环境安全管理策略(一)设立物理安全保护区域,该区域包括放置重要存储设备和网络设备等重要信息科技设备的区域物理安全保护区域的出入口设置安全屏障(如门禁)二)确保只有经过授权的人员才可以访问物理安全保护区域,整个访问过程应被监控和记录三)采用双回路市电、UPS 等措施,保证设备电力供应连续四)建立严格的设备维护流程保证设备的可靠性和信息完整性,一般情况下不允许信息处理设备带出机房,如需将设备带出机房需进行审批。
五)教育局所属的便携式设备、台式机、笔记本、掌上电脑和其他便携式电子设备由个人负责保护,不允许将这些设备放于无人看守的或是没有安全防范措施的环境中六)办公电脑需根据安全要求统一安装防病毒软件,并设置密码和屏幕保护,人员离开后需启动屏保或关机七)人员离开后,门禁卡、重要文件等不允许摆放在桌面,需妥善保管第八条 网络安全管理策略(一)对网络系统的运营与安全防范实行统一管理,对政务外网、局域网应分别指定专人负责维护操作并建立维护记录二)管理人员需对网络交换机、路由器等网络关键设备进行定期检查、保养,对发现的问题进行记录、分析和跟踪解决三)建立网络管理系统,监控网络资源及运行状态,保障网络安全运行,跟踪网络配置变化等四)严格控制网络访问权限,定期对网络线路进行例行检查,防止非法接入五)根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域),实施有效的安全控制,对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等六)网络交换机、路由器等网络关键设备要有备份,骨干网、重要通讯线路和网点通讯线路必须有备份或冗余回路第九条 运行安全管理策略(一)建立管理和操作信息处理设备的责任和流程,包括制定适当的操作手册和回退流程,在关键环节实行相互监督制度以减少疏忽或滥用系统的风险。
任何对信息处理设备的操作都要有文档化的说明作为操作记录,文档中应具有每个操作的详细执行说明操作说明的文档必须经过一套正式的管理流程进行授权,并对操作行为进行评估和审计二)定期备份重要业务信息和软件要有足够的备份设备进行所有重要的业务信息和软件的备份,使得在灾难发生或存储设备失败时能够恢复其他系统也要定期备份,以符合业务连续性策略的要求三)存储介质必须受到控制和物理保护存放敏感信息的存储介质必须按照一套合适的管理标准进行管理,不再需要的介质中的内容必须安全清除所有个人的存储介质不允许存放和传输业务和技术敏感信息,所有个人可移动介质不允许在重要业务处理服务器或敏感个人电脑上使用重要业务介质需保存在档案室或保密文件柜内四)制定相关制度和标准,管理所有信息系统的日志,以支持有效的审核、安全取证分析和预防欺诈应保证系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采日志备份制度,并确保其完整性;在意外情况发生后应及时复查系统日志五)部署防病毒系统,建立全面的计算机病毒查杀机制所有连入内部域的电脑及其他设备,都应安装杀毒软件,并在接入之前进行病毒扫描;制定病毒库升级策略和扫描策略,定期进病毒库更新和病毒扫描。
第十条 访问控制管理策略(一)建立和完善身份认证、授权与访问控制、应用层通信加密等应用层安全系统的管理规定,改善业务应用系统的整体安全性并部署和管理身份认证系统、授权和访问控制系统二)严格控制访问权限审批,制定符合业务操作流程的访问控制审批单,形成访问控制审批过程记录访问控制管理部门应拒绝不合理的访问控制请求三)信息系统与信息处理设备必须具有对用户标识、用户口令以及特权访问的控制措施,重要信息系统与信息处理设备需有两种不同的身份鉴别方式原则上要求每个人在不同系统的用户标识是唯一的用户密码应具有一定的复杂度,需要字母、字符、数字等组成,密码长度不能小于 8 位,并每六个月定期进行更换四)信息技术科需要定期或不定期的检查用户 ID 建立、使用、权限划分及密码的变更是否符合控制策略规定五)不允许在没有通过身份验证的情况下,访问信息系统设备和其它信息处理系统连续的登陆尝试应受限制六)信息系统的用户应遵守良好的口令设置习惯,所有信息系统用户应养成良好的计算机使用习惯,对公共设备的使用,根据实际情况,在会话结束后执行合适的锁定机制每个用户的身份只能鉴定一个用户,不允许共享身份或组身份,除非由安全管理员批准。
用户要为以该用户身份执行的所有操作负责七)用户对网络访问的权限实行最小化原则,用户对网络的访问应设定强制式的路径八)服务器或网络设备上的用户标识应是唯一的,登陆服务器或网络设备的用户只能使用自己的用户标识,用户标识可以用来确认用户的操作行为,并作为追究责任的依据九)通过安全设备或安全技术进行应用系统访问控制,只容许合法用户逻辑访问应用系统中的信息对敏感系统配备专用的隔离区域,并设置只能与可信任的应用系统共享资源十)建立监控信息处理设备使用情况的程序或设备,以保证用户只进行明确授权的活动所需的监控级别应在评估风险后确定第十一条 移动设备安全管理策略(一)使用移动设备远程访问业务信息时,只有在成功认证并通过访问控制机制后才准许连接原则上不允许在公用场合使用移动设备或远程访问业务系统二)移动存储介质的管理,遵循“谁使用、谁负责”的原则,使用移动存储介质的人员负责移动存储介质的安全,对移动存储介质使用过程中各种安全威胁及可能造成的数据泄露负责三)外来人员所有的移动存储介质,在接入本教育局计算机系统前,应征得计算机使用者的同意,计算机使用者对因接入外来不明移动存储介质导致的安全问题负全部责任四)涉密移动存储介质只能在本教育局涉密计算机和涉密信息系统内使用,严禁涉密移动存储介质在与互联网连接的计算机和个人计算机上使用。
五)使用涉密移动存储介质保存涉密信息,必须对信息内容进行加密处理第十二条 数据安全管理策略(一)根据数据的重要程度和敏感程度进行分级管理和保护重要程度划分标准如下:1)重要程度高:一旦数据安全受损,会中断关键业务运行;会造成重大财务损失;会导致严重社会影响;会造成严重法律后果等2)重要程度中:一旦数据安全受损,会对关键业务运行有直接影响;造成一定程度财务损失;造成一定程度声誉损失;造成一定程度的法律后果等3)重要程度低:一旦数据安全受损,对关键业务运行无直接影响;仅造成较小的财务损失;仅造成较小的声誉损失;不造成法律后果等敏感程度划分标准如下:1)高敏感程度(保密):对单位根本利益有着决定性影响,如果泄露会造成灾难性的影响2)中敏感程度(内部使用):仅在单位内部或在内设部门内部公开,向外扩散有可能对组织的利益造成损害3)低敏感程度(公开):可以对社会公开,或者公开后不对单位利益造成损害二)保障网络配置、操作系统和数据库配置等数据的安全性,操作维护人员只有经过授权才能进入系统;对后台数据库中的业务数据进行维护时,操作人员在他人的监督下进行;在办公自动化系统中,教育局人员通过认证和授权系统登录后,只能浏览权限范围内的内容和电子邮件,所有文档和电子邮件的内容在后台以特殊格式存放,只有拥有相关权限的人员登录系统后。
三)采用加密、数字证书等技术手段防范数据在传输、处理、存储过程中出现泄露或被篡改的风险不允许以明文方式存储和传送用户密码等涉密敏感信息第十三条 信息安全事件管理策略(一)本策略所称信息安全事件是指由于自然或者人为以及软硬件或故障等原因,对信息系统造成危害,或对社会造成负面影响的事件二)加强信息安全事件管理,及时掌握和分析重大信息安全事件有关情况,降低信息安全事件带来的损失,保障网络与信息系统的安全运行三)制定信息安全事件管理规定,包括信息安全事件分类、分级、响应流程、评估/处理、总结/改进及相关的人员与组织定位并向所有相关部门和人员公布,使得相关部门和人员熟知信息安全事件响应流程,并能够相互协作、有条理的执行相关流程确保有关部门在事件处理中能够集中精力做出适当的、有效的决策,从而减少可能产生的危害四)信息安全事件按照事件产生的影响分为 A 类(会对社会秩序和公共利益造成特别严重损害),B 类(会对社会秩序和公共利益造成严重损害),C 类(会对单位内部利益造成特别严重损害)D 类(会对单位内部利益造成严重损害)五)信息安全事件响应流程可分为信息安全事件上报、识别,信息安全事件通报,信息安全事件遏制以及信息安全事件解决和恢复四个流程。
应与系统运维服务单位、设备提供商等保持联系,保证信息安全事件发生后,及时采取行动并取得有关意见六)信息安全事件事后处理包括信息安全事件调查、信息安全事件总结和信息安全事件报告三个方面七)根据前述信息安全事件的策略,明确相关部门和人员在各阶段中的职责,并进行培训,在事件发生后能立即、准确响应第十四条 业务连续性管理策略(一)利用安全测评和风险评估的结果,应制定计划来维护或在重要业务进程停顿或失效后在限定时间内恢复业务操作一旦制定了计划二)业务连续性计划要定期演练以确保有效性,这种测试应确保所有恢复的组员和相关人员都知道此项计划业务连续性计划要定期进行更新某单位信息安全工作管理规定 总则 第一条 策略目标:为了加强某单位(以下简称“本单位”)信息安全保障能力,建立健全本单位安全管理体系,提高整体网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在本单位安全体系框架下,本策略明确本单位安全工作的展开办法,指导各部门展开各自安全工作第二条 适用范围:本策略适用于本单位及各科室部门所有信息安全工作,是信息安全工作的纲领性策略信息安全工作的基本原则 第三条“等级划分”原则:按照国家信息安全等级保护要求,根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,合理规划。
第四条“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害第五条“三分技术、七分管理”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平第六条“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制第七条“整体规划,分步实施”原则:需要对本单位信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系第八条“风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平第九条“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点第十条“统一管理”原则:安全的建设应和业务系统相结合,做到全程全网统一监控和审计,统一管理安全组织的工作管理 第十一条 本单位网络与信息安全组织机构包括:1.本单位信息安全领导小组:是本单位网络与信息安全工作的领导和决策机构;2.本单位信息安全工作组:是本单位信息安全工作的执行机构;3.本单位信息安全实施组:是本单位信息安全工作组的日常执行机构。
该机构日常相关工作由本单位信息技术科完成 第十二条 加强内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份,定期进行人员的安全审查关于人员岗位安全详见安全岗位人员管理规定中的规定第十三条 所有员工都应签署保密协议,并接受信息安全教育培训,提高安全意识,及时报告网络与信息安全事件关于员工安全详见员工安全管理规定和培训及教育管理规定中的规定第十四条 必须加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方本单位和外包服务本单位签署安全责任协议,明确其安全责任关于第三方人员安全详见外来人员安全管理规定中的规定安全体系的运作管理 第十五条 建设完整安全体系,实现从设计、实施、修改和维护生命周期的安全体系自身保障第十六条 安全策略本身应规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障第十七条 本单位信息安全体系的建设和维护,要通过及时获知和评价信息安全的现状,通过对于安全现状的评估,实施信息安全建设工作,减少和降低信息安全风险,提高信息安全保障水平安全风险管理 第十八条 必须加强信息资产管理,建立和维护信息资产清单,维护最新的网络拓扑图,建立信息资产责任制,对信息资产进行分类管理和贴标签。
第十九条 对安全威胁提前预警,及时将国内外安全信息通知本单位各级信息安全管理人员及员工,确保能够及时采取应对措施,以此降低本单位的信息安全风险第二十条 应部署网络层面和系统层面的访问控制、安全审计以及安全监控技术措施,保障业务系统的安全运行项目建设安全管理 第二十一条 加强项目建设的安全管理,配套安全系统必须与业务系统“同步规划、同步建设、同步运行”,加强安全规划、安全评估和论证的管理关于项目安全管理详见某单位信息项目管理规定中的规定运行维护安全管理 第二十二条 加强机房和办公区域的安全管理,为设备的正常运行提供物理和环境安全保障第二十三条 建立日常维护操作规程和变更控制规程,规范日常运行维护操作,严格控制和审批任何变更行为关于日常维护和变更管理详见运行维护管理办法和某单位信息系统变更管理办法中的规定第二十四条 加强本单位病毒防治工作,提升本单位病毒整体防护能力,降低并防范病毒对于本单位业务造成的影响关于病毒防护管理详见某单位病毒防范安全管理办法中的规定第二十五条 加强用户帐号和权限管理,按照最小特权原则为用户分配权限,避免出现共用帐号的情况关于帐号和权限管理详见运行维护管理规定中的规定。
第二十六条 制定各业务系统的应急方案,及时发现、报告、处理和记录关于应急响应的安全管理详见某单位应急响应管理规定中的规定系统级安全管理要求 第二十七条 各系统应建立安全维护作业计划,严格执行维护作业计划,加强对设备、操作系统、数据库、应用系统的安全运行监控,编写日常安全运行维护报告第二十八条 各系统要求建立本系统应急计划,计划内容基于本单位相关安全策略某单位信息安全管理策略 策略目标 为了加强某单位(以下简称“本单位”)信息安全保障能力,建立健全本单位安全管理体系,提高整体信息安全水平,保证业务系统的正常运营,提高网络服务质量,在本单位安全体系框架下,本策略为规范本单位安全策略的制定、发布、修改、废止、检查和监督落实,建立科学和严谨的管理办法适用范围 本策略适用于本单位信息技术科及各部门安全专员安全策略的制定权限 第一条 本单位信息技术科负责制定本单位层的安全策略,主要包括:本单位信息安全体系、本单位安全策略框架、本单位信息安全方针、本单位信息安全体系等级化标准、本单位安全技术标准和技术规范、本单位安全管理制度和规定、本单位安全组织机构和人员职责以及本单位用户协议第二条 下属人员组织遵照本单位下发的安全策略,结合系统实际情况,制定和细化成适用于部门的具体管理办法、实施细则和操作规程等,不得与单位的规章制度相抵触,并须报单位信息技术科备案。
安全策略的制定要求 第一条 本单位安全策略中不得出现本单位的涉密信息第二条 对本单位安全策略进行汇编时,必须保留各安全策略的版本控制信息和密级标识本单位安全策略修改与废止 第一条 必须定期对安全策略进行评审,对其中不适用的或欠缺的条款,及时进行修改和补充对已不适用的信息安全制度或规定应及时废止第二条 当现行安全策略有下列情形之一时,必须及时修改:1.当发生重大安全事件,暴露出安全策略存在漏洞和缺陷时;2.组织机构或业务系统进行重大调整和变更后;3.同一个事项在两个规章制度中规定不一致;4.与上级业务主管部门的安全策略相抵触;5.其它需要修改安全策略的情形第三条 当现行安全策略有下列情形之一时,必须及时予以废止:1.因有关信息安全制度或规定废止,使该信息安全制度或规定失去依据,或与本单位现行上层策略相抵触;2.因已规定的事项已经执行完毕,没有存在必要;3.已被新的规章制度所替代第四条 本单位层安全策略的修改与废止须经本单位信息安全领导审批确认,本单位信息技术科备案本单位安全策略监督和检查 第一条 安全策略发布实施后,各部门应就安全策略制度或规定的贯彻执行,执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查和监督,并将意见和建议及时反馈给信息技术科。
第二条 为保障各项信息安全管理制度的贯彻落实,本单位信息技术科必须定期检查安全策略的落实情况,信息安全管理制度的落实情况检查是信息安全检查工作的重要内容第三条 信息安全检查工作结束后,在起草检查报告时,必须通报安全策略的落实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况第四条 安全策略的贯彻落实情况,必须作为重要的考核项目,纳入部门的综合考评体系第五条 为安全策略落实做出显著成绩的部门或个人,应给予表彰和奖励;对违反规章制度造成严重后果的部门或个人,应追究当事人、相关单位及主管领导的责任具体参照本单位考核制度办理用户权限管理 用户权限 全网中不同设备的权限配置和功能实现虽然有所差别,但都应在确保安全的基础上尽可能提供用户分级管理的功能用户权限的设置应遵循以下原则:(一)操作系统管理员:进行操作系统日常维护(二)数据库管理员:进行数据库系统日常维护(三)安全管理员:对任何人员的系统操作进行行为监督,并定期分析和记录,对系统的安全配置进行配置(不包括日常业务所需配置)所有用户权限划分均必须依据制约原则,操作系统管理员具有操作系统管理权限,不得于数据库管理员兼任,其中安全管理员为专职人员。
四)特权分散原则:维护管理的重要操作权力分散给若干个程序、节点或用户,必须由规定的若干个具有特权的程序、节点或用户到齐后才能实现该操作五)最小授权原则:仅将那些用户进行操作时必需的权限分配给用户,而不要为其分配无关的或更大的权限用户登录管理 用户通过统一的过程进行系统登录登录过程应具有以下功能:(一)原则上使用唯一的用户识别符,以区分每一个用户的权限只在特殊需要的情况下使用组识别符二)对用户进行身份验证,检查用户是否是被系统授权的合法用户三)提示用户的访问级别及权限四)确保身份验证结束前,用户无法访问系统五)为所有用户维护一份统一的记录六)当用户注销后,应立即删除此用户的所有权限七)定期检查、整理用户帐户,对于过期的帐号要及时封闭,对于长期不用的帐号要定期检查,必要时封闭用户口令管理 用户的口令是用户登录系统的关键,为保证口令的安全性,对用户口令的管理应该遵循以下安全原则:(一)在进行网络安全管理时,对所管设备中的各级管理口令和密码,由系统管理员统一进行管理,注意保密;(二)口令和密码的设置符合保密要求,针对不同设备不同的管理权限设置不同的分级口令;(三)选择长的口令,一般不少于 8 个字符;口令包括大小写英文字母与数字的组合;不使用姓名的汉语拼音和常见的英文单词;(四)定期改变口令,3 个月更换一次;对重要设备和系统可采用一次一密的动态密钥卡等方式;(五)用户口令不能以明文显示在显示器上;(六)用户口令与系统应用数据分开保存;(七)采用有效措施,保证用户口令的传输和存储时安全,例如口令的加密传输和保存。
运行安全 网络攻击防范 网络攻击防范用于防止对网络的恶意攻击,保证网络的正常运行对网络的攻击可能来自单位内部、兄弟单位及其他人员等网络攻击防范的重点保护对象是核心路由器、核心交换机、防火墙以及网络系统、业务系统等重要服务器等须防范的网络攻击包括但不局限于:网络系统和资源数据的非法管理和分配、破坏路由、网络和系统的拒绝服务攻击 DoS、病毒、木马、缓冲区溢出、垃圾邮件等本单位应制定网络攻击防范的措施和对策,内容至少包括网络安全防护、安全漏洞检测和安全事件响应等三个方面各部门制定的具体安全策略应上报本单位信息技术科审批和备案网络攻击防范应注意以下几个方面:(一)使用国家主管部门认可的网络攻击防范产品二)在网络边界以及重要网段处,架设防火墙,防止非授权信息的通过三)在网络边界以及重要网段处,进行网络实时入侵检测如果检测到入侵行为,应立即通知相关主管人员进行应急处理四)在核心节点和网络管理中心安装网络漏洞扫描器,对整个网络进行安全扫描,以便发现和预防可能的破坏活动,发现漏洞应及时通知相关主管人员进行处理五)对网络中的路由器、关键主机等定期进行系统漏洞扫描,发现漏洞应及时通知相关主管人员进行处理。
六)保证网络中的网络设备和服务器之间通信数据的可靠传输,防止传输信息的泄露、篡改和删除等非法操作七)网络中的网络设备和应用系统在正常运行阶段,应关闭与业务无关的端口,防止非法访问八)不允许设备、软件供应商成为超级用户九)每季度对服务器进行漏洞扫描,并出具漏扫报告病毒防范(一)病毒防范工作应遵循以下原则:(二)本单位应分别制定所管网络的病毒防范规划,安装配置病毒防范系统三)相关设备上禁止安装、运行与业务无关的软件,防止经过无关软件和操作感染病毒四)对相关设备定期进行病毒检测,发现病毒立即汇报有关部门,进行应急处理五)管理人员应采取安全可靠的方式及时进行病毒检测软件或病毒特征代码库的升级,并定期进行防病毒工作的登记记录六)全体员工应增强病毒防范意识,配合管理人员做好病毒防范工作访问控制 访问控制的主要目的是防止未授权人员对网络设备、服务器系统等资源的使用、修改或破坏,以保证网络的安全1.在内外部网络之间设置防火墙,实现内部网络的访问控制;(一)采用防火墙技术或虚拟 LAN 技术,实现内部网不同安全域的隔离及访问控制;(二)建议相关设备具有分级用户管理功能及严格的身份识别机制;(三)所有网络设备、服务器系统提供的服务必须具有访问控制功能,保证认证通过前,不能提供服务;(四)对网络设备进行远端配置和管理时,必须进行身份认证;(五)采用有效手段保证网络设备配置和管理数据的传输安全;(六)网络中使用的应用软件应防止异常中断后非法进入系统;(七)相关设备提供超时键盘锁定功能;(八)对集成、调试、支持过程分配给合作伙伴的系统用户身份,必须由系统主管部门登记、建立和授权,必须明确指定或变更所定义用户的权限内容、权限有效时间。
工作人员调离岗位时,必须立即取消该工作人员系统用户的授权必须详细记录用户的定义、授权、变更行为审计 安全管理员需对系统相关设备的操作进行记录,防止对相关设备的非法使用一)对路由器、主机、服务器、数据库等的运行、维护、管理必须有审计方案和记录二)应定期对审计记录进行审查和分析三)相关设备、系统软件或应用软件都应具有并打开审计功能四)对以下事件必须有审计记录:l 网络设备或服务启动或关闭l 网络设备或服务配置修改l 网络连接方式改变l 登录到网络设备或服务器系统l 其它异常情况五)审计记录应包含以下信息:l 用户操作时的用户识别符l 事件发生的日期和时间l 事件内容或操作结果1.网络设备和服务器的审计记录应符合相应备份原则2.审计记录不能被未授权用户修改或删除3.每季度进行审计记录的分析,发现异常情况立即汇报相关主管人员异常流量监控(一)优化网络运行管理 通过检测分析带宽使用状况,合理分配带宽资源;(二)强化网络行为管理 根据各种应用业务的流量,制定相关策略限制非主流业务,在峰值时段进行限速、阻断;(三)保障关键网络应用 保障关键应用(人力资源系统、网站系统等),限制非主流业务占用过多的带宽,监测、阻断异常流量;(四)实时监控网络运行 识别阻断网络攻击,根据并发连接个数可以确定并阻断 DOS 攻击等异常行为,保护网络设备安全。
流量监控系统将提供流量可视化和异常流量的监测机制,安全管理员可以随时掌握流量情况,能够通过流量报表统计并分析出整个网内各机器流量的排名,为调整安全策略和 QoS 策略提供依据同时通过观察协议的流量分布,从而透视企业内部网络的运作情况,对网络流量做到一目了然操作安全 系统相关安全操作需安全管理员进行配置:(一)重要操作应由相关主管人员授权二)必须严格按照设备和系统的操作规程进行日常操作三)各级操作人员应仅在自己的权限范围内进行操作,不得非法拷贝、增加、修改或删除数据四)各级操作人员不得进行任何越权操作的尝试五)各级操作人员必须严格保管自己的身份识别数据(如用户卡、口令等),不得将其泄漏给他人六)各级操作人员必须如实记录操作日志IP 地址管理制度 IP 地址是组织内的有限资源,同时也是用户认证的一种常用手段,任何人不得随意增加、更改 IP 地址管理者需要规划与建立明确的用户IP 地址数据库,并对其实施保密性处理核心业务系统安全控制 1、网络访问控制 业务及数据库服务器只开放给中间件服务器及系统管理员和相关数据维护人员,其他均网络上断开2、数据库维护人员控制 数据库维护人员单独开用户,每个用户单独开放数据修改权限,数据库管理员拥有数据库系统用户的全部权限,主要负责数据库系统的日常维护。
其他数据查询人员单独开户,只赋予只读权限后期考虑专用电脑进行查询3、系统维护人员控制 所有系统维护人员单独开用户,为每个用户分配不同管理权限,系统管理员拥有系统的管理权限,主要负责操作系统的日常维护4、数据恢复 如果因各种原因导致系统数据错误,需进行历史数据恢复的,通过系统备份进行恢复5、数据库登陆日志 建立数据库登陆日志,记录每次登陆的 IP,时间,用户名等,便于日后进行事故跟踪追查 6、数据库操作日志 建立数据库操作日志,记录每次进行操作的用户 ip,时间,用户名,数据类型,数据对象等,便于日志进行跟踪追查7、定期更换密码 每季度需更换一次密码,且密码长度不小于 8 位,为数据、字母、字符的组合某单位机房设备管理规定 总则 第一条 为保障某单位(以下简称“教育局”)业务的正常进行,结合教育局实际机房设备情况,特制定本管理办法第二条 本办法适用于托管于鄞州区信息中心机房内 IT 基础设施(以下简称“机房设备”)的管理第三条 教育局计算机信息安全领导小组负责鄞州教育局信息设备的安全管理鄞州教育局各部门和外单位来访人员须遵守本办法管理职责 第四条 机房及信息设备由某单位计算机信息安全领导小组指定的机房管理人员负责管理和维护。
其主要职责是:(一)负责信息设备的日常运行监控、定期维护和检修;(二)负责机房出入申请、陪同,配合安全审计人员审计机房门禁权限和人员进出记录;(三)协调某单位其他部门和外单位人员共同做好机房日常的出入登记和安防工作;(四)配合区信息中心保持和维护机房的卫生和环境美观机房人员出入管理 第五条 所有进入机房的人员应遵守机房管理办法第六条 工作时间内如无应急或者巡检需要,不应进入机房设备运行区域应尽量避免在机房内部值班第七条 非工作人员一般不得进入机房,特殊情况需经相关部门负责人批准,且由教育局计算机信息安全员全程陪同在非工作时间进入机房任何人员进入机房前需在鄞州教育局机房进出登记表进行机房出入登记第八条 机房内严禁吸烟、喝水、进食、嬉戏或进行剧烈运动应保持机房安静第九条 进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行可能构成威胁的物品机房设备出入管理 第十条 非教育局计算机安全管理组织架构人员未经许可严禁擅自进入机房进行上机操作或对运行设备及各种配置进行更改第十一条 外单位技术协作人员禁止携带笔记本电脑及相关存储设备、未经检查的软件介质等进入机房,应使用教育局计算机信息安全领导小组提供的指定设备进行操作。
第十二条 机房内设备进出需进行严格登记,永久性设备应计入资产管理临时性设备如果需要在机房内使用,进入之前必须确定其通过 FCC 和 CCC 认证,以保证其电磁安全性第十三条 任何人员进出机房须随手关门,注意安全,严禁将设备包装等易燃材料放置或遗留在机房内机房设备运行操作维护管理 第十四条 机房内部重要操作必须实行双人复核作业第十五条 凡与机房中教育局设备有关的任何施工、检修工程,须报教育局计算机信息安全主管负责人批准后进行,在施工、检修过程中必须有教育局计算机信息安全员相关人员现场陪同,防止在施工、检修过程中对信息设备造成损坏禁止在工作时间进行施工第十六条 机房内的教育局设备应每年进行机房安全检查演练和设备的维护保养第十七条 教育局计算机信息安主管负责人应定期或不定期对办法的执行情况进行检查,督促各项制度的落实,并作为人员考核之依据机房设备卫生管理 第十八条 信息设备由于托管于区政府信息中心机房,本单位维护人员需每季度对单位内的设备信息进行打扫,保持设备卫生清洁附则 第十九条 本办法由教育局计算机信息安全领导小组制定并负责解释和修订 附件一 人员出入申请表%申请人(由申请人填写)本鄞州教育局人员 外单位人员单位名称 日期(yyyy-mm-dd):估计进出时间(hh-mm):至 进出事由:涉及设备/系统:%操作过程(由申请人填写)操作目的 涉及设备/系统 操作类型(检查,修改)技术操作说明 携带设备 类型 数量 接入(主机、网络、UPS、空调、无)用途%审批与接收(由负责人填写)部门负责人意见:%操作结果(由申请人填写)无操作 成功 失败,包含:部分完成:进出时间(hh-mm)至 签字 附件二 机房进出登记表 编号 日期 部门名称 人员签名(陪同人员需签字)事由 进入时间 审批确认 某单位信息设备管理办法 第一条 为加强硬件设备的管理,使设备管理工作科学化、规范化,保证设备的正常运行,结合本单位的实际,特制定本办法。
第二条 本办法明确了对信息处理设备的验收、安装、调试、出入库、使用、维修、报废等内容的管理要求第三条 本办法适用于对各类信息处理设备的管理第四条 教育局信息技术科负责管理各类信息处理设备的验收、安装、调试、出入库、维修和报废第五条 系统管理员负责相关事宜的审批第六条 设备验收 新设备到货后有系统管理员按照合同中的设备清单如数检查,清点及相关配置第七条 设备安装、调试(一)由系统管理员配合设备厂商或系统集成商进行设备安装调试二)安装完成后检查无误,方准通电开机三)设备安装完成后,根据业务及安全需求对设备策略、参数、安全漏洞进行配置和检查,保障系统的安全性后方可投入运行第八条 设备出入库管理(一)新设备验收完成后,系统管理员根据系统验收记录及合同内容将硬件设备的相关资料进行登记,更新设备清单二)领用新设备出库需进行硬件设备申领登记第九条 设备的使用(一)非维护人员不准擅自上机操作或维护人员在设备上进行与设备维护无关的活动二)严禁在通电的情况下拆卸、移动设备,设备的开停机需严格按照操作手册的步骤进行第十条 设备的管理(一)设备上应贴有说明标签,说明设备的设备名称、用途、负责人等关键信息二)需建立设备清单,设备清单中需详细记录设备的品牌、型号、IP 地址、用途、责任人、重要性级别等信息。
三)设备技术资料需及时进行归档管理四)应及时做好设备策略备份工作第十一条 设备的维修(一)设备维修前需设备负责人向分管领导说明维修原因二)对于厂商或系统集成商维保期内上门维修的设备,设备负责人全程陪同上门维修工程师,做好数据备份和保密措施三)对于无法现场维修需涉外维修的设备,需拆除硬盘等数据存储介质,不能修复的设备提前报废四)硬盘等存储介质损坏不进行维修,直接替换新介质损坏的介质由相关管理人员统一保管,根据介质安全管理要求定期销毁第十二条 设备报废管理(一)报废申请 1)因折旧年限已到,且其主要功能丧失、退化、零部件损耗的设备2)因超强度使用、自然损耗等原因造成其性能减化、事故频发而无法正常使用的设备3)因长期闲置不用,在可预见未来不会再使用的设备4)软件系统更新、技术进步等原因不可使用的设备 5)国家规定必须报废的设备二)报废处理 1)由设备负责人需向信息技术科进行设备报废处理登记,并由信息技术科相关负责人审批签字2)由专人负责将硬件设备内容的数据进行销毁处理,并确认签字3)信息部门报废流程完后根据单位相关规定报财务等部门审批附件一 设备出入登记表 设备进出发起人员填写 发起人 负责人员 进出事由协助单位 协助人员 设备进出区域 主机房 其他:_申请日期 设备进出状态 进入机房 迁出机房 计划实施 日期 进出紧急程度 紧急 普通 是否需要其他小组配合 是 否 设备信息登记 设备类型 主机 网络设备 软件介质 其他()设备归属 鄞州教育局资产 外部单位资产 临时设备(借用、备件、应急)设备型号 数量 项目归属 合同编号 供电功率 电源数量 设备重量 占用机柜空间 网络接入介质 光纤 数量:接入网络区域 政务外网 局域网 网线 数量:审核人员签字及意见 部门负责人 鄞州教育局分管领导 附件二 报废申报表 共页 第 页 序号 品 名 设备编号 型号 规格 领用时间 已使用时间(年)原值(元)报废原因 设备使用人 设备存放点(或单位编码)备注 合 计 台(件)数:金 额 数(元):申请人姓名:联系:申请某单位网络安全管理办法 第一条 本办法规定了网络的管理和控制,保证网络控制和网络服务的安全,保障应用系统信息在网络传输过程中的安全。
第二条 本办法适用于网络架构内设备安全管理与运行维护操作安全管理 第三条 由信息技术科负责对信息网络安全的管理工作第四条 网络建设规划管理(一)网络建设规划和方案设计,应以网络的可靠性、可扩展性、可管理性为前提二)网络建设规划须对安全需求进行分析和评估,充分考虑网络设备物理安全、设备自身安全漏洞、网络边界安全、入侵防护、访问控制、数据分级保护、敏感数据保密等方面的安全性要求,规划部署必要的网络安全防护产品三)根据重要性和安全性进行网络区域划分,实现网络的分级分类控制四)采取必要的技术手段对重要业务数据通讯提供优先服务和支持保障五)建立统一的 IP 地址规划与分配策略第五条 网络联接管理(一)网络安全区域按照模块化的方式分为内部网络、外联网络、Interne 网、无线网络,应严格控制网络联通和隔离,针对不同需求实施相应的安全控制策略二)从外联网络、Internet 网、无线网络等访问内部网络应符合最小授权的原则,应有接入控制和用户认证机制三)外联网络接入点应从严控制,须经信息技术科授权许可,并应明确外联网络边界的范围,并识别与外部网络连接的信息,在允许访问前实施适当的控制四)原则上不允许外来人员的机器直接接入内部网络。
如果确有需要,应经过信息技术科授权,或者开辟外部人员专用的网络区域供其使用五)应严格控制各类网络数据分析设备的使用,确有需求须经过审批六)应对重要(敏感)网段进行监控,整个骨干网络区域进行性能、安全和可用性监控,及时发现并防止网络病毒、网络攻击、各类黑客程序的传播七)存储敏感信息的电脑严禁接入 Internet 网第六条 网络配置管理(一)应根据不同的设备类型制订相应的安全配置和管理策略,网络端口和服务依据业务最小化原则进行优化二)应定期对网络设备和配置的安全进行评估,并形成事后跟踪机制三)应根据业务情况及时维护网络设备配置信息四)应制订明确的配置备份策略,配置更改后及时备份网络设备配置信息五)重要网络设备需开启日志功能,并统一通过日志审计系统进行收集和分析第七条 网络用户管理(一)网络用户和权限控制须统一管理,用户名和密码策略根据总体方针与安全策略中访问控制策略要求进行设置二)对网络用户须采用切实可行的监控、管理、审计机制三)网络用户权限的分配、变更应根据业务要求以权限最小化原则进行第八条 访问控制管理(一)应建立访问控制策略,确保用户只能访问经过明确授权使用的业务二)应对网络路由进行明确、清晰的控制,确保用户只能经授权访问。
三)对网络登录、监控、操作均须经严格的用户认证、操作授权、事件审计四)应控制对远程登录管理,明确用户在创建、使用过程中的安全控制要求五)须通过策略设置限制不同的远程登录用户的访问范围及访问权限六)安全管理人员须定期对远程登录用户的使用情况进行检查和审计第九条 网络应用管理(一)网络应用在需求分析阶段须充分考虑本单位网络条件的限制(如带宽、数据加密、网络规范等)选择合适的网络协议和网络通讯方式二)应用系统启用(含升级)前,应提供明确的网络访问控制需求,明确地址(包括 IP 地址和 MAC 地址)、网络协议、端口、网络安全保护等具体要求三)网络管理人员应建立应用系统网络访问资源登记簿,记录应用系统使用的网络资源(如客户端地址、服务端地址、服务端端口号等)四)对于新网络应用在进入网络前应进行适当的安全评估,确保其安全性五)新网络应用启用后,应对其安全状况进行后安全测评,并根据测评结果完善和优化安全策略第十条 网络维护管理(一)应建立规范的网络维护流程、网络配置标准和操作规程二)网络变更操作应根据变更管理的制度形成变更记录,并形成文档归档保管三)制订各类网络故障和安全事件的处理方法及流程,形成统一的联动处理机制。
四)网络变更、网络故障处理等应有详细的文档应严格控制网络变更的执行时间、地点、人员五)网络安全设备应定期升级更新,升级前备份设备策略六)定期对网络系统进行扫描 第十一条 网络监控管理(一)定期对网络报警日志、未授权访问、配置变更、用户登录等信息进行监视和审计二)部署网络监控和管理软件,对主要网络设备和主要通讯线路进行实时监控三)应对关键网络设备的运行情况和重要网络线路的状况进行 24 小时监控四)通过日志审计系统保存完整的网络日志信息,确保日志信息的完整性和安全性五)应定期检查和分析网络设备的日志信息,并将检查分析结果记录形成文档六)应对网络设备配置、日志、变更、故障维护等资料进行及时备份和维护第十二条 网络设备管理(一)应建立骨干网络设备登记簿,记录设备上线时间、维保时间、故障维修记录、主要用途等事项二)重要网络设备只能部署在中心机房内三)网络设备应落实专人管理,制订关键网络设备的备份措施四)因业务需要临时开通的网络设备,在到期后,须及时回收相关网络资源网络系统的安全运行包括三个方面的内容:一是网络系统数据资源的安全保护,二是网络病毒的防治管理,三是上网信息安全及电子邮件,四是网络、服务器设备升级和漏洞扫描,五是网络、服务器设备防护。
数据资源的安全保护网络系统中存贮的各种数据信息,是开展业务工作所必须的重要数据,数据资源的破坏将严重影响工作的正常运行数据资源安全保护的主要手段是数据备份,规定如下:1、网络应用重要部门的数据必须做到每季度一备份2、网络系统的重要数据及时备份3、一般用机部门作到每周一备份4、系统软件和各种应用软件采用磁盘或光盘及时备份5、数据备份时必须登记以备检查,数据备份必须正确、可靠6、严格网络用户权限及入网用户名及口令管理7、备份数据应保留 3 个月以上网络病毒的防治 1、各服务器必须安装防病毒软件,上网网络保证每台有防病毒软件2、定期对网络系统进行病毒检查及清理3、所有磁盘须检查确认无病毒后,方能上机使用4、严格控制磁盘交换和外来软磁盘的使用,各部门使用外来磁盘须经检验认可,私自使用造成病毒侵害要追究当事人责任5、加强上网人员的职业道德教育,严禁使用游戏盘,在网络上玩游戏者一经发现将严肃处理上网信息安全及电子邮件 1、网络管理员必须定期对网上论坛及上网信息检查,发现有关泄漏政府机密及反动言论与不健康信息要及时删除,并记录,随时上报信息技术科2、所有上网人员如收到反动邮件有责任及时上报信息技术科,如不上报,一经发现,单位将视情节轻重,做相应处罚,情节严重者,单位可提请刑事处罚。
网络、服务器设备升级和漏洞扫描 1、每季度网络、服务器设备升级和补丁应根据厂家提供的软件进行升级和打打补丁,在升级和打补丁之前,要求对重要网络、服务器设备进行备份2、定期对网络、服务器设备进行漏洞扫描,3 个月一次,并对扫到的漏洞及时修补网络、服务器设备防护 1、网络、服务器设备的登录需用户名+口令,口令需有字母、数字、特殊符号,长度为 8 位以上,口令 3 个月修改一次网络、服务器设备(包括路由器、交换机、认证服务器等)的各种密码,根据网络、服务器设备的管理职责范围负责管理和维护,不得向任何人泄漏网络、服务器设备的各类密码长度在系统允许的最大长度内不得少于 8 位网络、服务器设备的各类密码必须定期更换,更换周期不得超过 60 天,核心网络、服务器设备密码更换周期不得超过 180 天每季度对现有网络设备、服务器设备、应用系统日志进行汇总分析,并记录结果,生成日志分析记录所有设备日志至少保留 1 年由于网络、服务器设备管理人员工作调整,不再具有对原网络、服务器设备操作的职能时,该部门负责人必须及时收回该人员的权限和密码,另行安排他人并重新进行密码设定要严格执行国家相关法律法规,防止发生窃密、泄密事件。
外来人员未经单位主管领导批准同意,任何人不得私自让外来人员使用本单位的网络系统作任何用途各部门要加强对各网络安全的管理、检查、监督,一旦发现问题及时上报相关负责人信息安全负责人分析并指导有关部门作好善后处理,对造成事故的责任人要依据情节给予必要的经济及行政处理附则:网络安全策略 网络安全策略是指为保证对网络提供一定级别的安全保护所必须遵守的规则,是网络安全工作的核心网络安全策略不仅包括技术的策略,安全管理的策略越来越重要安全策略具有一定的时效性,需要在实施中不断优化和调整安全技术措施和安全产品的应用无需盲目引进,而是围绕安全策略的具体需求有序地组织在一起,架构一个动态的安全防范体系网络安全策略必须基于对网络风险充分分析的基础上对网络接入条件的要求 l 应用系统正式运行前,为了实施安全策略,要求应用系统提供其源地址(包括 IP 地址和 MAC 地址)、目标地址(包括 IP 地址和MAC 地址)、应用的协议、使用的端口、网络资源要求和安全保护要求等信息l 内部人员的办公电脑,应符合前端管理规定l 外来人员的电脑原则上不允许接入内部网络;如果确因工作需要,应有授权;应符合前端应用有关规定,同时对其采取登录认证技术进行检验和记录。
l 带离式设备的网络接入,必须充分保障设备、线路和网络的安全漏洞扫描 定期一季度对重要服务器进行漏洞扫描,并对扫描的结果进行分析,形成扫描报告,对不必要的服务、开放的端口要进行关闭或限制,对存在的漏洞要打补丁系统补丁 1)补丁选择策略:l 选择半年前发布并为厂商推荐的稳定的补丁;l 对于厂家推出的新补。