网络安全管理规范.docx
《网络安全管理规范.docx》由会员分享,可在线阅读,更多相关《网络安全管理规范.docx(22页珍藏版)》请在冰豆网上搜索。
目录 1
第一章总则 3
1.1范畴 3
1.2目标 3
1.3原则 3
1.4制定与实施 4
第二章安全组织结构 5
2.1安全组织结构建立原则 5
2.2安全组织设置 5
2.3安全组织职责 5
2.4人员安全管理 8
第三章基本安全管理制度 9
3.1入网安全管理制度 9
3.2操作安全管理制度 9
3.3机房与设施安全管理制度 9
3.4设备安全使用管理制度 10
3.5应用系统安全管理 10
3.6媒体/技术文档安全管理制度 10
第四章用户权限管理 12
4.1用户权限 12
4.2用户登录管理 12
4.3用户口令管理 13
第五章运行安全 14
5.1网络攻击防范 14
5.2病毒防范 15
5.3访问控制 15
5.4行为审计 16
5.5异常流量监控 16
5.6操作安全 17
5.7IP地址管理制度 17
5.8防火墙管理制度 18
第六章安全事件的处理 19
6.1安全事件的定义 19
6.2安全事件的分类 19
6.3安全事件的处理和流程 20
6.4安全事件通报制度 22
第一章总则
1.1范畴
安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题, 主要
包括人员、组织、技术、服务等方面的安全管理要求和规定。
本文所指的管理范围包括国药集团总公司和各分支机构的承载网络,同时包括其上承载的BI系统、BOA、公系统、编码系统、Email以及后续还要开发的HR系统和门户网站等各应用系统。
1.2目标
安全管理的目标是在合理的安全成本基础上, 实现网络运行安全(网络自身
安全)和业务安全(为网上承载的业务提供安全保证),确保各类网元设备的正常运行,确保信息在网络上的安全存储传输以及信息内容的合法性。
全网安全管
理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障, 用科学规
范的管理来配合先进的技术,以确保各项安全工作落到实处,真正保证网络安全。
安全管理办法将用于指导中国医药集团网络安全建设和管理, 加强人员的安
全管理,防止数据丢失、损坏、篡改、泄漏,提高网络及相关业务系统的安全性。
1.3原则
安全管理工作的基本原则:
1.网络安全管理应以国家相关政策法规和条例为依据。
2.网络安全管理遵循统一规划、集中监控的原则。
中国医药集团总公司负责对网络安全管理工作进行统一规划, 负责安全策略
的制定和监督实施。
3.网络安全管理采用三级集中管理的方式。
由中国医药集团总公司负责对全网的网络安全进行统一规划管理,协调处理重大事件,由中国医药集团信息中心对骨十承载网的安全运营进行集中管理,由各分支机构负责对各分公司的安全运营进行集中管理。
4.网络安全管理工作应建立符合网络和业务发展要求的安全管理组织体系和安全技术支援保障体系。
5.网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程或规定,全面提高的网络安全管理水平。
1.4制定与实施
本安全管理办法遵照我国信息安全的有关法律法规,并结合具体的情况,依据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。
第二章安全组织结构
2.1安全组织结构建立原则
本意描述安全组织的建设,包括建立原则,组织设置,组织职责,针对人员的安全管理,和涉及应该指定的安全管理制度。
中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。
应遵循中国医药集团公司相关的规章制度、维护规程,制定的安全管理制度和内部的法规政策,指导、监督、考核安全制度的执行,确保全网安全工作的有序进行。
采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。
2.2安全组织设置
2.2.1中国医药集团安全协调组织
1.中国医药集团公司安全主管人员
2.中国医药集团公司安全专家指导人员。
2.2.2中国医药集团安全响应中心
1.中国医药集团公司安全主管人员
2.中国医药集团公司安全运营管理人员:
由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。
2.2.3各分支机构安全组织
1) 各分支机构网络安全主管人员:
由相关主管人员组成。
2) 各分支机构原则上不设置专职的安全管理机构,但应设立专(兼)职安全管理员,由从事安全工作的管理人员、技术人员或业务监管人员担任。
2.3安全组织职责
2.3.1中国医药集团公司安全协调组织职责
1.中国医药集团公司网络安全主管人员:
1) 贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、规程;
2) 研究决定系统安全工作的重大事项;
3) 制定系统安全工作和中国医药集团公司所管设备的规范、制度;
4) 组织、领导安全相关的工作。
2.中国医药集团公司网络安全专家指导人员:
1) 在安全主管人员的领导下,从理论上、技术上,宏观上指导中国医药集团网络安全体系建设。
2) 发生重大安全事件时,协调各公司资源共同处理。
3) 定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法
3.中国医药集团公司安全协调组织具体职责:
1) 制定安全管理制度,统一对网络安全工作进行管理。
2) 协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全管理和安全制度的执行。
3) 协助指导各分支机构安全管理人员处理网络中发生的重大安全事故,必要时派人到事故点处理。
4) 负责和监督对各分支机构安全管理人员的安全技术培训工作。
2.3.2中国医药集团公司安全响应中心职责
1.中国医药集团公司安全主管人员:
1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;
2) 研究决定骨十网设备安全工作的重大事项;
3) 制定骨十网设备安全工作的实施细则;
4) 组织、领导各分支机构网络相关的安全工作
2.安全响应中心安全管理人员:
1) 具体组织落实中国医药集团公司网络安全工作主管人员的工作计划;
2) 指导、监督、协调、规范骨十网系统安全工作的开展;
3) 对骨十网的网络运行和设备的安全实施监控管理;
4) 管理和维护、处理骨十网的具体安全工作;
3.安全响应中心具体职责:
1) 对骨十网的网络运行和设备的安全实施监控管理,实施日常安全管理和监督
安全管理制度的执行;
2) 负责骨十网网络设备和系统的安全评估和定期系统安全性增强。
3) 配合安全管理人员对骨十网相关安全事件处理;
4) 贯彻和执行网络安全管理办法及原则,并对骨十网的安全运营提出相应工作
细则和操作规章制度,并组织实施;
2.3.3各分支机构安全组织职责
1.各分支机构网络安全主管人员:
1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;
2) 研究决定分支机构网络设备安全工作的重大事项;
3) 制定分支机构网络设备安全工作的实施细则;
4) 组织、领导分支机构网络相关的安全工作。
2.各分支机构安全管理人员:
1) 具体执行集团总公司网络安全主管人员的工作计划;
2) 指导、监督、协调、规范分支机构网络安全工作的开展;
3) 管理、维护和处理分支机构网络的安全工作。
3.分支机构安全组织具体职责
1) 对分支机构网络设备的安全实施监控管理,实施日常安全管理和监督安全管
理制度的执行;
2) 负责本网网络设备和系统的安全评估和定期系统安全性增强;
3) 定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法;
4) 配合集团总公司安全管理人员对骨十网相关安全事件处理;
5) 处理本网络中发生的重大安全事故,向中国医药集团公司安全工作小组上报安全事故情况;
6) 贯彻和执行集团总公司网络安全管理办法及原则,提出分支机构内的相应工作细则和操作规章制度,并组织实施;
7) 负责和组织相关人员的安全技术培训工作。
2.4人员安全管理
人员安全管理的主要内容包括:
1.关键岗位人选:
对关键岗位人员进行审查,保证具备较强业务技术能力,确保可信可靠,胜任本职工作。
2.人员考核:
应定期组织对在中从事关键业务的人员进行全面考核;对违规人员视情节轻重进行批评、教育、调离工作岗位。
3.人员调离:
关键岗位人员调离,应严格办理调离手续。
自人员调离决定通知之日起,应及时更换系统口令和机要锁。
4.人员培训:
应定期对相关安全工作人员进行安全知识和安全意识培训。
第三章基本安全管理制度
3.1入网安全管理制度
入网安全管理制度内容包括:
1.无关主机不得随意入网,所有需要入网的主机必须经过审批同意后方能入网;
2.所有入网的主机必须经过安全配置,打补丁、改密码、病蠹查杀等,确认满足安全运行要求后方能上线;
3.所有入网的主机必须实时进行攻击检测和定期的脆弱性检查,如发现有安全威胁的主机一律强制下网;
4.主机入网后,需上报上级安全主管人员,以便实时监控和检查;
3.2操作安全管理制度
1.明确安全职责:
按照分工协作,互相制约的原则制定各类系统操作人员职责。
职责不允许交义覆盖;
2.履行安全职责:
各类人员必须按规定行事,不得从事超越自己职责以外的任何作业;
3.岗位监督:
进行系统维护、复原、强行更改数据时,至少有两名操作人员相互监督操作,并进行详细的登记及签名;
4.稽核:
安全管理人员有权对一线操作、管理人员进行监督与核查;
3.3机房与设施安全管理制度
按照国家《计算机场地安全要求》、 《计算站场地技术条件》等标准,对场
地与设施进行安全等级划分,制定安全管理规定的技术措施和管理办法。
主要内容包括:
1)场地与设施的物理安全管理:
•选择安全的机房场地:
•配备防火、防水、防静电、防雷击、防鼠害等机房安全设施;
•机房装修、供配电系统。
空调系统、电磁波辐射控制等应满足相应的技
术标准。
2) 机房出入控制:
对内部人员和外部人员进出工作现场都做相应的限制和规定,并进行登记。
3) 电磁波的辐射控制与防护:
防止计算机系统受工作环境中电磁波十扰,避免计算机电磁波辐射造成的信息泄露。
4) 媒体管理:
对各种信息存储媒休,按照所存储信息的重要度分成不同的安全等级,严格保管,确保存储信息的保密性、完整性和可用性。
3.4设备安全使用管理制度
设备安全使用管理制度包括:
1) 设备使用管理包括指定专人负责设备的使用、建立详细的运行日志、设备的维护和定期保养、设备故障处理等。
2) 设备维修管理包括指定专人负责设备的维修,建立满足正常运行的最低要求的易损件备件库,记录设备维修对象、故障原因、排除方法、主要维修过程及其它的有关情况。
3) 设备仓储管理指未被使用或修复后性能正常的各种设备的集中统一管理。
3.5应用系统安全管理
1) 指定应用系统管理人员
2) 管理人员应有操作日志(如日志、改变记录、升级安装过程等)
3) 有相应的应急恢复管理制度
3.6媒体/技术文档安全管理制度
各级安全管理机构应制定技术文档资料的管理制度,明确管理方法与管理人员职责
媒体是指以光盘、软盘、磁带等形式存放数据的载体。
技术文档是指相关数据以纸张形式存放的实体。
1.媒体安全包括:
包括媒体数据的安全及媒体本身的安全。
1) 安全存放管理:
技术资料存放的环境必须具有安全防护与保密设施,对重要的技术资料,应进行备份和异地存放。
2) 媒体的管理:
•媒体进行分类、编目、登记、归档;
•需要利用媒体的人员必须经过申请、审批和登记,并对所有使的资料承担
保管与保密义务;
3) 妥善处理失效的媒体:
对报废的媒体要有严格的销毁和监销措施。
2.技术
升级会员 