網絡數據和信息安全管理規范
XXXX有限公司
WHB-08
網絡數據和信息安全管理規范
版本號:
A/0
編制人:
XXX
審核人:
XXX
批準人:
XXX
20XX年X月X日發布
20XX年X月X日實施
目的計算機網絡為公司局域網提供網絡基礎平臺服務和互聯網接入服務。為保證公司計算機信息及網絡能夠安全可靠的運行,充分發揮信息服務方面的重要作用,更好的為公司運營提供服務,依據國家有關法律、法規的規定,結合公司實際情況制定本規定。
術語
本規范中的名詞術語(比如“計算機信息安全”等)符合國家以及行業的相關規定。
計算機信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識,控制。即確保信息的完整性、保密性、可用性和可控性。包括操作系統安全、數據庫安全、病毒防護、訪問權限控制、加密與鑒別等七個方面。
狹義上的計算機信息安全,是指防止有害信息在計算機網絡上的傳播和擴散,防止計算機網絡上處理、傳輸、存儲的數據資料的失竊和毀壞,防止內部人員利用計算機網絡制作、傳播有害信息和進行其他違法犯罪活動。
網絡安全,是指保護計算機網絡的正常運行,防止網絡被入侵、攻擊等,保證合法用戶對網絡資源的正常訪問和對網絡服務的正常使用。
計算機及網絡安全員,是指從事的保障計算機信息及網絡安全工作的人員。
普通用戶,是指除了計算機及網絡安全員之外的所有在物理或者邏輯上能夠訪問到互聯網、企業計算機網及各應用系統的公司內部員工。
主機系統,指包含服務器、工作站、個人計算機在內的所有計算機系統。本規定所稱的重要主機系統指生產、辦公用的Web服務器、Email服務器、DNS服務器、OA服務器、企業運營管理支撐系統服務器、文件服務器、各主機系統等。
網絡服務,包含通過開放端口提供的網絡服務,如WWW、Email、FTP、Telnet、DNS等。
有害信息,參見國家現在法律法規的定義。
重大計算機信息安全事件,是指公司對外網站(電子公告板等)上出現有害信息;有害信息通過Email及其他途徑大面積傳播或已造成較大社會影響;計算機病毒的蔓延;重要文件、數據、資料被刪除、篡改、竊取;由安全問題引起的系統崩潰、網絡部分或全部癱瘓、網絡服務部分或全部中斷;系統被入侵;頁面被非法替換或者修改;主機房及設備被人為破壞;重要計算機設備被盜竊等事件。
組織架構及職責分工
公司設立計算機信息及網絡安全領導小組,作為公司計算機信息安全工作的領導機構,統一歸口負責外部部門(政府和其他部門)有關計算機信息安全工作和特定事件的處理。
計算機信息及網絡安全領導小組負責領導、檢查、督促、制定信息安全策略、規章制度和措施,加強計算機信息安全工作的管理和指導,落實國家有關計算機信息安全的法律、法規和上級有關規定,保障公司的計算機信息的安全。
計算機信息及網絡安全工作實行“誰主管,誰負責”的原則,各部門負責人對本部門計算機信息及網絡安全負直接責任。
各部門必須配備由計算機技術人員擔任本部門的計算機及網絡安全員,并報公司計算機信息及網絡安全領導小組備案。各部門計算機及網絡安全員負責本部門計算機信息及網絡安全的技術規劃和安全措施的具體實施和落實。
相關崗位信息安全職責:
1)負責本部門計算機信息及網絡安全工作的具體實施,及時掌握和處理有關信息安全問題。
2)定期或不定期檢測本部門計算機信息及網絡安全情況,發現安全漏洞和隱患及時報告,并提出整改意見、建議和技術措施。
3)指導和監督、檢查本部門員工在計算機信息安全防護、數據保護及賬號、口令設置使用的情況。
4)發現計算機信息安全問題,及時處理,保護現場,追查原因,并報部門計算機信息安全領導小組。
5)定期分析計算機安全系統日志,并作相應處理。
6)驗證本部門重要數據保護對象的安全控制方法和措施的有效性,對于不符合安全控制要求的提出技術整改措施,對本部門的數據備份策略進行驗證并實施。
7)負責所管理的計算機主機系統及網絡設備的安全管理和安全設置工作。
8)負責所管理計算機主機系統和網絡設備的用戶賬號及授權管理。
9)定期分析操作系統日志,定期或不定期檢查系統進程,在發現異常的系統進程或者系統進程數量的異常變化要及時進行處理。
10)負責指導并督促用戶設置高安全性的賬號口令和安全日志。
11)進行計算機信息安全事件的排除和修復,包括操作系統、應用系統、文件的恢復以及安全漏洞的修補。
12)在正常的系統升級后,對系統重新進行安全設置,并對系統進行技術安全檢查。
13)根據上級和本級計算機信息安全領導的要求,按照規定的流程進行系統升級或安全補丁程序的安裝。
14)管理本部門的計算機網絡服務和相應端口,并進行登記備案和實施技術安全管理。
15)根據數據備份策略,完成所管理系統數據的備份、備份介質保管、數據恢復工作。
1)自覺遵守計算機信息及網絡安全的法律、法規和規定。
2)負責所使用個人計算機設備及數據和業務系統賬號的安全。
3)發現本部門計算機網存在的安全隱患及安全事件,及時報告部門計算機管理部門。
4)不得擅自安裝、維護公司所有網絡設備(包括路由器、交換機、集線器、光纖、網線),不得私自接入網絡。
各部門應保持計算機及網絡安全員的相對穩定,并加強對計算機及網絡安全員的教育和技術培訓。在計算機及網絡安全員調動、離職或者其他原因離開原崗位時,應將其涉及的用戶賬號和權限及時進行變更或注銷。
系統安全規定
公司計算機機房由計算機管理部門負責管理,并建立出入登記和審批制度。攜帶計算機設備及磁盤等存儲介質進、出主機房,應經主管部門同意,并由機房管理人員進行核查登記。
各部門計算機管理部門應指定專人負責本部門計算機設備的管理,做好計算機設備的增添、維修、調撥等的審核與管理。計算機設備維修特別是需離場維修或承包給企業外部人員維護、維修時,應核實該設備中是否存儲有涉及企業秘密、不宜公開的內部資料和賬號、密碼等,如有應采取拆卸硬盤、有效刪除有關資料等有效措施,防止泄密。
使用、操作計算機設備時,應遵循以下安全要求:
1)保管好自己使用或所負責保管計算機設備的賬號、口令,并不定期更換口令,不得轉借、轉讓賬號。
2)不安裝和使用來歷不明、沒有版權的軟件,對于外來的軟件、數據文件等,必須先經病毒檢測,確認無感染、攜帶病毒后方可使用。
3)不在個人使用的計算機上安裝與工作無關的軟件。
4)不擅自更改設備的IP地址及網絡拓撲結構及軟、硬件配置。
5)在存儲有重要數據的計算機上,應設置開機密碼、屏幕保護密碼。
6)在個人計算機上安裝防病毒軟件,并開啟實時病毒監測功能,及時升級病毒庫和軟件。
7)非經計算機管理部門的有效許可,不得對網絡進行安全(漏洞)掃描和對賬號、口令及數據包進行偵聽;不得利用網絡服務實施網絡攻擊、散布病毒和發布有害信息。在網絡設備及主機系統進行操作還應該遵循有關網絡安全規定。
賬號管理安全
賬號的設置必須遵循“唯一性、必要性、最小授權”的原則。
唯一性原則是指每個賬號對應一個用戶,不允許多人共同擁有同一賬號。
必要性原則是指賬號的建立和分配應根據工作的必要性進行分配,不能根據個人需要、職位進行分配,禁止與所管理主機系統無關的人員在系統上擁有用戶賬號,要根據工作變動及時關閉不需要的系統賬號。
最小授權原則是指對賬號的權限應進行嚴格限制,其權限不能大于其工作、業務需要。超出正常權限范圍的,要經主管領導審批。
系統中所有的用戶(包括超級權限用戶和普通用戶)必須登記備案,并定期審閱。
嚴禁用戶將自己所擁有的用戶賬號轉借他人使用。
員工發生工作變動,必須重新審核其賬號的必要性和權限,及時取消非必要的賬號和調整賬號權限;如員工離開本部門,須立即取消其賬號。
在本部門每個應用系統、網絡工程驗收后,應立即刪除系統中所有的測試賬號和臨時賬號,對需要保留的賬號口令重新進行設置。
系統管理員必須定期對系統上的賬號及使用情況進行審核,發現可疑用戶賬號時及時核實并作相應的處理,對長期不用的用戶賬號進行鎖定。
一般情況下不允許外部人員直接進入主機系統進行操作。在特殊情況下(如系統維修、升級等)外部人員需要進入系統操作,必須由系統管理員進行登錄,并對操作過程進行記錄備案。禁止將系統用戶及口令直接交給外部人員。
口令安全管理
口令的選取、組成、長度、修改周期應符合安全規定。禁止使用名字、姓氏、電話號碼、生日等容易猜測的字符串作為口令,也不要使用單個單詞作為口令,在口令組成上必須包含大小寫字母、數字、標點等不同的字符組合,口令長度要求在8位以上。
重要的主機系統,要求至少每個月修改口令,對于管理用的工作站和個人計算機,要求至少每兩個月修改口令。
重要的主機系統應逐步采用一次性口令及其它可靠的身份認證技術。
本地保存的用戶口令應加密存放,防止用戶口令泄密。
軟件安全管理:
不安裝和使用來歷不明、沒有版權的軟件。
不得在重要的主機系統上安裝測試版的軟件。
開發、修改應用系統時,要充分考慮系統安全和數據安全,從數據的采集、傳輸、處理、存貯,訪問控制等方面進行論證,測試、驗收時也必須進行相應的安全性能測試、驗收。
操作系統和應用軟件應根據其本身存在的安全漏洞及時進行必須的安全設置、升級和打安全補丁。
個人計算機上不得安裝與工作無關的軟件。在服務器系統上禁止安裝與服務器所提供服務和應用無關的其它軟件。
系統設備和應用軟件的登錄提示應對可能的攻擊嘗試、非授權訪問提出警告。
主機系統的服務器、工作站所使用的操作系統必須進行登記。登記記錄上應該標明廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容,并進行存檔保存。
重要的主機系統在系統啟用、重新安裝或者升級時應建立系統鏡像,在發生網絡安全問題時利用系統鏡像對系統進行完整性檢查。
服務器、網絡設備、計算機安全系統(如防火墻、入侵檢測系統等)等應具備日志功能并必須啟用。網絡信息安全管理員要定期分析網絡安全系統和操作系統日志,在發現系統遭受攻擊或者攻擊嘗試時采取安全措施進行保護,對網絡攻擊或者攻擊嘗試進行定位、跟蹤并發出警告,并向網絡信息安全領導小組報告。系統日志必須保存三個月以上。
新建計算機網絡、應用系統必須同時進行網絡信息安全的設計。
互聯網信息安全
公司對外網站、需定期做安全檢查,并設置好相關的信息發布、管理權限,防止有害信息傳播。
各部門搭建的電子郵件系統,禁止開啟匿名轉發功能,并應按有關規定從技術、管理上采取有效措施過濾垃圾電子郵件及有害信息。
數據安全
需要保護的重要數據至少包括:
1)重要文件、資料、圖紙(電子版)。
2)財會系統數據庫。
3)重要主機系統的系統數據。
4)其他重要數據。
各部門計算機管理部門應制定數據備份策略及重要數據災難恢復計劃,及時做好數據備份及恢復。
對數據備份必須有明確的記錄,在記錄中標明備份內容、備份時間,備份操作人員等信息。對于重要數據的備份必須異地存放,并做好相關的異地備份記錄。
各部門必須每年至少進行一次數據備份策略的有效性的驗證,對數據恢復過程進行試驗,確保在發生安全問題時能夠從數據備份中進行恢復。
各部門計算機管理部門應對所管理系統上存儲的數據進行登記備案,登記的內容主要包括:需要保護的數據、存儲的位置、存儲的形式、安全控制的方法和措施、負責安全管理和日常備份的人員、可以訪問數據的用戶、訪問的方式以及權限。
涉及企業秘密及具有高保密性要求(如口令文件)的數據在傳輸、存貯時應加密。
禁止在沒有采用安全保護機制的計算機上存儲重要數據,在存儲重要數據的計算機至少應該有開機口令、登錄口令、數據庫口令、屏幕保護等防護措施。禁止在個人計算機上存放重要數據。
不得以軟盤或者筆記本電腦等形式將重要數據帶出系統。如確實必需,須將數據用安全可靠的加密手段加密存儲,并將存儲的軟盤或筆記本電腦比照密級文件管理。
安全管理
各部門必須對本部門的計算機信息及網絡安全進行經常性的檢查、檢測:
1)系統安全檢查應每月檢查、檢測一次;
2)計算機病毒防治應每月至少全面檢查一次;
3)數據備份應每月檢查一次。
檢查發現計算機信息及網絡安全隱患,應組織安全隱患整治,不能馬上整治的,應采取有效措施預防網絡信息安全事件和案件的發生。
發生計算機信息及網絡安全事件,應馬上組織人員妥善處理,防止擴散影響。觸犯刑律的,應保存證據,報告公安機關,并配合查處。
發生重大計算機信息及網絡安全事件須在24小時內上報。
各部門應對用戶及本部門員工進行網絡信息安全宣傳,宣傳有關國家法律、法規和網絡信息安全知識,加強用戶的法律意識和安全意識,不得從事任何危害網絡信息安全的行為。
顧客網絡信息安全
維護人員不得將顧客系統的密碼泄露給他人。
維護人員因工作原因進入顧客系統是,不得復制、刪除、修改顧客信息。
進入顧客系統應使用專用計算機,該計算機應每周進行殺毒,以防將病毒傳入顧客系統。
維護人員的客戶端應及時升級或更新,確保其與顧客系統的版本保持一致。
文檔內容僅供參考
點擊咨詢