完善网络安全管理制度.docx
《完善网络安全管理制度.docx》由会员分享,可在线阅读,更多相关《完善网络安全管理制度.docx(19页珍藏版)》请在冰豆网上搜索。
完善网络安全管理制度
完善网络安全管理制度
**县人民政府网络安全管理制度2018年8月修订前言本文档制定了信息系统的总体方针和策略,是网络信息安全工作的最高层的安全文件,是所有网络安全行为的指导方针,规范信息系统生命周期相关活动的安全管理制度则以安全方针政策为指导。
该文档阐明了机构信息安全工作的使命和意愿、定义信息安全的总体目标、规定信息安全责任机构和职责、建立信息安全工作运行模式等,以保证信息安全工作的正确执行,也是建立完整的安全体系最根本的基础。
本文档的编制参照了以下国家、中心的标准和文件:
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《关于信息安全等级保护建设的实施指导意见》(信息运安〔2009〕27 号) (三)《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008) (四)《信息安全技术信息系统安全管理要求》(GB/T 20269—2006) (五)《信息系统等级保护 安全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号) 目录系统安全管理制度··································1附件一:
计算机信息系统安全管理员工作职责··········6网络安全管理制度··································8附表二:
系统(设备)变更登记表······················12机房管理制度·························13附表三:
出入机房申请/登记表·······················18账户及口令管理制度·······························19附件四:
信息中心系统用户责任与义务···············26附件五:
系统管理员责任与义务·····················27网络安全故障应急预案·····························28网络安全相关工作流程图···························35系统安全管理制度一、总则为保障计算机系统、网络系统安全、稳定、有效运行,提高计算机系统、网络系统安全运行管理的科学化、规范化水平,特制定本办法。
1、本办法所涉及的范围包括:
办公网内的所有计算机(包括服务器、网络设备、办公电脑、笔记本电脑)及所涉及到的所有网络。
2、**县人民政府信息中心(以下简称“信息中心”)负责本单位的信息系统、网络系统的安全管理工作。
任何部门和个人,未经有关领导或信息中心同意,不得擅自安装、拆卸或改变信息中心信息设备及网络结构。
3、外来设备(计算机、存储等)严禁接入业务网,如有需要接入,应由信息中心提供接入设备(计算机、存储等)。
4、信息中心员工必须严格遵守本办法。
二、基本要求1、**县人民政府网络只供政府机关内部使用,任何内部使用的数据传输,未经过信息中心批准,不得进入信息中心的网络。
2、任何人不得以各种手段破坏、阻碍、修改或窃取信息中心网络正常传输的数据,不得对信息中心的各种网络设备和系统软件进行攻击和非法侵入。
3、任何人不得利用本信息中心网络从事违反国家法律法规和信息中心有关规章制度的活动,严禁在互联网上散布反动、煽动、误导等言论,不得登陆非法、反动等政府禁止的网站。
4、依据“谁主管,谁负责”、“谁使用,谁负责”的原则明确安全责任。
三、网络及服务器管理1、信息中心网络的拓扑结构和设备接入由信息中心负责,任何部门、个人未经信息中心批准,不得随意增加、减少和更改网络及设备的接入点和接入方式,管理员职责见附表一。
2、信息中心网络IP地址的分配由信息中心统一规划并登记,任何人不得随意更改。
3、所有服务器、网络设备等要设置登陆密码,删除不需要的用户,在满足运行需要的前提下,采用最小化用户权限分配原则,禁用不必要的系统服务。
4、严禁在工作时间内修改服务器或网络设备的配置,或是进行系统升级、线路切换等可能影响工作的操作。
5、严禁在服务器上运行无关的软件程序。
四、计算机及存储设备管理1、信息中心遵循权限最小原则为个人计算机设置用户权限。
超级用户权限由信息中心统一使用。
2、外来计算机原则上不允许接入办公网。
对于需要接入办公网络的计算机,经信息中心批准后,信息中心首先进行严格的安全检查,确认不存在安全隐患后,由专人负责接入。
3、由信息中心人员每周不定时抽查部分部门的计算机安全情况,并形成记录。
4、外来计算机要在信息中心人员的安排下,在指定的地点使用,使用的时候要由专人陪同。
5、外来计算机必须装有有效的杀毒软件和防火墙。
6、外来存储设备使用前必须进行严格的病毒检测,确认不存在安全隐患方可使用。
7、新购进或送出维修后的计算机及其设备,须经信息中心检测后,方可安装运行,防止病毒的侵害。
8、禁止在信息中心办公网计算机上使用来历不明、可能导致病毒传染的软件。
使用类似软件需经信息中心安全管理员认可,在使用前应对其进行病毒扫描。
9、办公网用户应谨慎接收电子邮件,从网络上接受电子邮件时要进行病毒查杀。
10、对员工使用的办公或个人电脑应该符合下列要求:
(1)禁止同一计算机既接入生产网又接入互联网。
(2)接入生产网的设备需设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗。
(3)安装正版杀毒防护软件,并及时进行升级,及时更新操作系统补丁程序。
(4)未经信息中心或信息中心允许,不得修改个人上网IP地址、网关、DNS服务器等设置。
(5)禁止将办公计算机带到与工作无关的场所;
确因工作需要携带有重要信息的电脑外出的,必须确保重要信息的安全。
11、办公网内的个人计算机设备上360安全卫士,进行插件管理、木马查杀,以及进行其它Windows平台下软件更新与漏洞修复工作。
12、办公网内的个人计算机设备统一从信息中心的杀毒服务器上安装受控杀毒软件客户端,由病毒服务器统一配置策略,设置为自动扫描、自动更新病毒库,并定于每周自动进行全盘扫描。
13、若需安装其它杀毒软件,需经过信息中心负责人同意并由信息中心人员进行安装,同时应保证病毒库的及时更新。
14、办公网内的个人计算机设备需开启Windows软件自动更新功能,以完成微软安全补丁程序的安装。
不能自动更新时需人工安装,可通过360安全卫士的修复漏洞功能完成。
15、办公计算机及相关设备报废时,应由信息中心拆除存储部件,由信息中心按有关要求统一销毁,同时作好备案登记。
严禁各部门自行处理报废计算机。
16、接入业务网的柜员机要避免使用移动存储设备进行数据拷贝。
因工作需要必须使用的,要严格遵守设备专用的原则。
用于拷贝数据的存储设备在写入、读取前必须进行病毒查杀,确保设备无安全隐患。
五、违约责任与处罚1、违反本办法的规定,根据情节及后果的严重情况,对违规人员给予相应的处理。
2、故意输入计算机病毒,造成信息中心网络故障的,信息中心将提交至相关管理部门。
3、信息中心任何部门或个人违反本管理办法,给信息中心造成损失及不良影响的,均应承担责任,进行处理。
附表一:
计算机信息系统安全管理员工作职责附表一:
计算机信息系统安全管理员工作职责一、为了加强对计算机信息系统的安全保护,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行条例》、《计算机信息网络国际联网安全保护管理办法》和其他法律行政法规的规定,特制定本制度。
二、严格遵守信息安全保密制度,不得泄露操作系统、数据库的系统管理员帐号、密码,切实保障系统安全。
合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
关闭与应用系统无关的所有网络端口,制定严格的网络安全策略机制,防止非法用户的侵入。
及时安装正式发布的系统补丁,修补系统存在的安全漏洞,防止系统遭受各种恶意攻击。
启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
三、加强口令密码、密钥安全管理。
严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。
严格按照安全保密机制对所用密钥生命周期的全过程(产生、存储、分配、使用、废除、归档、销毁)进行管理。
密钥应作为绝密数据保管,必须通过机要渠道传递或采用加密通信方式网内分配。
密钥必须定期更换,对已泄露或怀疑泄露的密钥应及时废除,旧密钥必须安全归档。
密钥备份是针对主要密码设备和保密工作人员的意外事件而采取的必要措施,密钥副本的保存必须是物理安全的。
要有在紧急情况下销毁密钥的手段和措施,以防密钥丢失。
四、加强信息系统的安全监测。
安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况,切实提高信息系统的安全效能。
要协助业务操作人员审查业务处理结果,发现问题应及时查明原因。
对不能确认的异常现象,必须向计算机安全管理部门报告。
要对计算机信息系统安全运行的监测记录及其分析结果严格管理,未经相关领导许可不得对外发布或引用。
五、重大安全事件和应急处理。
确认计算机信息系统出现重大安全事件,必须果断采取控制措施,立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。
重大安全事件发生后,协助有关人员保护事件现场,积极协助安全事件的调查,做好善后处理工作。
重大安全事件的处理情况,安全管理员必须形成书面材料,报告上级计算机安全主管部门。
六、定期对信息安全工作进行巡检,并在其他业务管理员的协助下建立完整的安全巡检报告。
要根据信息系统安全需求及网络系统建设的发展,提出网络系统安全整改意见和实施方案。
网络安全管理制度一、总则为了确保信息中心计算机信息网络的安全、保密运行,根据《中华人民共和国信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》及保密工作的有关规定,结合我院计算机信息网络使用情况,特制定如下管理办法。
二、适用范围适用于信息中心计算机网络方面的管理。
三、计算机设备管理制度1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准。
设备用户变更时,须填写系统(设备)变更登记表(附表二)。
3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
四、操作员安全管理制度1、操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。
操作代码分为系统管理代码和一般操作代码。
代码的设置根据不同应用系统的要求及岗位职责而设置;
2、系统管理操作代码的设置与管理
(1)系统管理操作代码必须经过经营管理者授权取得;
(2)系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
(3)系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
(4)系统管理员不得使用他人操作代码进行业务操作;
(5)系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
3、一般操作代码的设置与管理
(1)一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户代码设置。
(2)操作员不得使用他人代码进行业务操作。
(3)操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
4、密码与权限管理制度
(1)密码设置应具有安全性、保密性,不能使用简单的代码和标记。
密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。
密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。
密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
(2)密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
(3)服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。
如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
(4)系统维护用户的密码应至少由两人共同设置、保管和使用。
(5)有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
5、数据安全管理制度
(1)存放备份数据的介质必须具有明确的标识。
备份数据必须异地存放,并明确落实异地备份数据的管理职责;
(2)注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
(3)任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
(4)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。
数据恢复过程中要严格按照数据恢复手册执行,出现问题时由信息中心门进行现场技术支持。
数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
(5)数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。
历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。
数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
(6)需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。
转存的数据必须有详细的文档记录。
(7)非本单位技术人员对本信息中心的设备、系统等进行维修、维护时,必须由本信息中心相关技术人员现场全程监督。
计算机设备送外维修,须经设备管理机构负责人批准。
送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。
对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
(8)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
(9)运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
(10)营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
附表二:
系统(设备)变更登记表附表二:
..............系统(设备)变更登记表申请时间:
经办人:
计划变更时间:
变更事由申请变更内容变更项目原设备(系统)现设备(系统)部门领导审核意见年月日主管领导审核意见年月日机房管理制度一、总则1、本暂行规定所指机房是安装小型机和服务器、网络通信设备、UPS电源、机房监控设备等关键电子设备的区域。
2、机房工作人员一般为系统管理员、数据库管理员、网络管理员、机房管理人员。
二、机房出入制度1、除机房工作人员外,其他人员未经批准不得进入机房。
2、进入机房人员须进行机房出入登记(附表三),外来人员进入机房需填写机房出入申请表,经相关领导审批通过后方可由机房管理人员陪同进入,机房管理员需全程陪同并监控其访问范围。
3、未经批准不得引领无关人员参观机房。
三、机房工作制度1、机房工作人员要严格遵守操作规程,不在主机上进行与业务无关的操作。
机房管理人员应注意机房的温度和湿度,使温度在20±5℃,相对湿度45%~65%。
2、机房内要防尘和清洁,进入机房需更换拖鞋或穿戴鞋套。
机房内要保持安静、严禁大声喧哗。
3、机房内要保持整洁,物品摆放有序,未经机房管理人员允许不得随意移动位置。
4、禁止将与工作无关的物品带入机房。
5、机房内严禁吸烟、进食、喝水。
6、机房内严禁玩电子游戏和擅自安装非法软件。
配备UPS及应急电池,并保证无人看守的电力供应;
严禁在机房内私自配接电器;
UPS应妥善保养,每3个月放电一次。
四、机房硬件设备使用与管理1、请外单位人员调试、维修机房设备和维护系统软件,需经主管领导批准并对操作内容进行详细记录。
2、机房内所有设备须进行登记,设备进出机房须经主管领导批准并办理有关手续。
3、开启、关闭设备应严格按照操作规程进行,遇异常情况要及时报告系统管理人员,其它人员不得轻率处理。
系统管理员负责服务器的开关机操作,操作完成后填写《服务器开关机记录表》,除安装调试或者例行维护外,服务器不得频繁开关机。
服务器维护应安排在非工作时间段进行。
4、严禁带电插拔信号线、连接线,严禁擅自拆装设备。
5、接插计算机设备的电源时,要确保三项插头对正电源插座后再插入。
应先将电源线插入电源插座后再接插计算机设备。
6、机房设备应贴有明显的不易去除的标签。
定期对机房内的计算机设备、软件、存储介质、资料和工具进行检查、核对,并列明清单,以便于审计。
保持设备清洁,定期进行设备维护。
7、定期检修信息设备及附属设施。
检修的项目涉及服务器、交换机、集线器、中继器、路由器、防火墙、配线架、网线、UPS电源、电池等公用网络实体。
在出现异常征兆或故障情况下可进行临时检修。
临时检修包括检查、分析、确定故障设备或故障部位,并进行应急维修。
五、机房安全应急措施1、停电处理 。
(1)工作时间内市电停电,机房的UPS电源可以自动给机房设备提供不间断电源。
如果UPS电源未正常启动,应及时报修并监视UPS电源的放电状态,在达到放电临界点前,要通知所有用户断开与机房主机等设备的联接,然后按操作规程规定的顺序关闭小型机、服务器、网络通信设备等机房内的一切用电设备,最后关闭UPS电源。
(2)双休日、节假日市电停电,机房的UPS电源可以自动给机房设备提供不间断电源。
除了通讯系统、门禁系统外,按操作规程规定的顺序关闭小型机、服务器、网络设备。
(3)机房值班员要密切监视机房环境状况,当机房温、湿度超过规定的指标时,要通知所有用户断开与机房主机等设备的联接,然后按操作规程规定的顺序关闭小型机、服务器、网络通信设备、UPS电源等机房内的一切用电设备。
2、有异常的烟雾、味道、声响 机房值班人员应立即通知部门负责人和有关人员,查明原因,并采取相应的解决措施。
绝不允许麻痹大意,未查明异常情况的原因就放弃检查,以免留下事故隐患。
3、发生火灾 保持冷静,机房专用气体消防设备会自动启动灭火,值班人员应按规定采取必要的处置措施。
如消防设备未正常自动启动,应手动将消防灭火设备打开或按操作规程使用手工灭火设备。
立即向部门负责人和公司领导报告。
同时拨打119报警电话,说清机房的地理位置,设备性质为高级计算机设备,不宜用水来灭火。
灭火时注意保护计算机设备,注意抢救重要的信息载体。
若火势太大应首先保证工作人员人身安全,安排人员从消防通道撤离现场。
4、被盗。
应立即通知部门及公司领导,情况严重应报告公安部门,注意保护好现场。
六、机房事故报告制度1、出现计算机事故后,机房值班人员要立即向系统管理员、信息技术部领导汇报事故情况。
2、在找到解决问题的办法后,值班人员首先按照系统管理员指令,解决问题,将事故控制住,使其不再发展。
3、根据事故大小、影响情况不同,分别汇报系统管理员、处领导,同时作好各个部门的反馈记录和事故报告。
4、事故报告内容包括:
事故发生的时间、地点;
发生事故的现象、硬件状态、软件应用状态、网络通讯状态、供电状态、环境、温度状态、报警装置状态等,以及事故前后的操作步骤;
现场处理涉及的相关人员、到过现场人员、事故造成的影响和后果等。
5、机房人员填写的事故报告,是作为事故的第一目击,要求记录尽量详实,重点记录观察到的现象及相关情况。
六、附则1、暂行规定由运维部负责解释。
2、本暂行规定自发布之日起实施。
附表三:
出入机房申请/登记表附表三:
出入机房申请/登记表申请部门(出入人员管理单位)出入人员:
联系电话:
事由:
出入机房名称:
进入机房时间:
预计停留时间:
是否携带物品:
□是□否物品名称:
审批人签字:
陪同人员签字:
离开机房:
离开机房时间:
是否携带物品(设备)物品(设备)名称带出理由:
机房设备等是否正常□是□否进入机房人员签字陪同人员签字:
时间年月日账户及口令管理制度一、总则本条例为信息中心各网络系统的用户帐号及口令的使用、维护及处罚的依据。
二、适用范围1、适用于信息中心范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库,营业、帐务等业务应用系统等。
2、本规定适用信息中心系统的用户,包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统使用人员、个人计算机使用者、合作软件开发商、系统集成商等。
同样适用于信息中心范围内所有使用个人计算机及网络的员工。
三、名词解释1、授权用户:
(1)信息中心内部人员:
指与信息中心签定“员工聘用协议书”,属于信息中心的正式员工;
(2)使用信息中心网络资源的非信息中心人员:
指临时到信息中心工作不与信息中心签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、信息中心外包业务人员等,这类人员不是正式员工,不进入信息中心的人力资源管理系统。
2、帐号
(1)帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式;
(2)管理员帐号:
指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员;
(3)超级管理员帐号:
指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户;
(4)公用帐号:
指供一组人使用的帐号,其合法使用人限于一个组内;
(5)匿名帐号:
只供不确定人员使用的帐号,多用于通过INTERNET的访问。
3、口令
(1)口令:
指系统为了鉴别帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,NOTES系统的帐号文件及帐号口令;
(2)健壮口令:
具有足够的长度和复杂度,难于被猜测的口令;
(3)弱口令:
仅由字母、单词、数字或其简单的组合,易于猜测的口令。
四、帐号设立1、系统要求
(1)信息中心所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能;
(2)所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。
2、帐号申请原则
(1)只有授权用户才可以申请系统帐号;
(2)任何系统的帐号设立必须按照第七章规定的相应流程规定进行;
(3)员工申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;
(4)帐号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限;
(5)对于确因工作需要而必须申请系统帐号的XXX外部人员,则必须经部门主管批准,且有XXX正式员工作为
升级会员 