最新下级的安全性系统出错优秀word范文 14页.docx
《最新下级的安全性系统出错优秀word范文 14页.docx》由会员分享,可在线阅读,更多相关《最新下级的安全性系统出错优秀word范文 14页.docx(12页珍藏版)》请在冰豆网上搜索。
最新下级的安全性系统出错优秀word范文14页
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!
==本文为word格式,下载后可方便编辑和修改!
==
下级的安全性系统出错
篇一:
国家电网公司信息系统安全管理办法
国家电网公司信息系统安全管理办法
第一章总则
第一条为加强和规范国家电网公司(以下简称公司)信息系统安全工作,提高公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条本办法所称信息系统指公司一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。
“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。
电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。
第三条信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
第四条公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。
管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。
信息内、外网之间实施强逻辑隔离的措施。
电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。
第五条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第六条本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)的信息系统安全管理工作。
第二章信息系统安全管理职责
第七条公司信息系统安全管理实行统一领导、分级管理。
各单位主要负责人是本单位信息系统安全第一责任人,各单位信息化领导小组负责本单位信息系统安全重大事项决策和协调工作。
第八条信息系统安全纳入公司安全管理体系,实行专业管理、归口监督。
公司信息化工作部是信息系统安全的管理部门,负责管理信息大区(信息内网和信息外网)的安全保障,国家电力调度通信中心负责电力二次系统特别是生产控制大区系统的安全保障,安全监察部负责公司信息系统安全监督工作。
第九条公司信息化工作部主要职责:
(一)落实国家有关信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实信息系统安全管理相关工作;
(二)组织制定公司信息系统安全管理规章制度和标准规范;
(三)指导、协调和检查各单位信息系统安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作;
(四)负责信息系统二级以下事故的调查和处理(公司信息系统安全事件描述见《国家电网公司信息系统事故调查与统计规定》);协助信息系统一级、二级事故的调查和处理;
(五)在公司应急体系框架内,负责公司信息系统应急管理相关工作;
(六)开展涉密计算机网络和系统立项、设计和建设,做好信息系统安全与保密检查;
(七)负责规范公司信息系统安全产品的测评和选型工作。
第十条公司安全监察部主要职责:
(一)负责公司信息系统安全全过程监督检查;
(二)负责信息系统一级、二级事故的调查和处理;
(三)负责监督公司信息系统应急管理工作落实;
(四)负责归口统计信息系统安全事故。
第十一条国家电力调度通信中心主要职责:
(一)负责制定电力二次系统管理制度,负责制定公司电力二次系统安全防护方案及应急处理预案;
(二)负责审核下级电力二次系统安全防护实施方案和应急处理预案,负责电力二次系统信息系统安全事故的调查和处理;
(三)配合完成国家有关部门对公司电力二次系统开展的信息系统安全检查、等级保护制度落实等各项工作。
第十二条业务应用部门主要职责:
(一)配合开展业务应用系统安全等级定级工作;
(二)配合开展业务应用系统安全测评、安全检查和风险评估等工作;
(三)负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作;
(四)协助开展业务应用人员办公计算机安全管理。
第十三条各单位主要职责:
(一)负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范,贯彻落实公司信息系统安全相关规章制度和技术标准,建立健全本单位信息系统安全标准制度和规范体系;
(二)负责落实本单位范围内信息系统安全工作责任制;
(三)在公司信息职能管理部门指导下,落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作;
(四)按公司信息系统应急体系要求建立本单位信息系统应急体系,组织本单位信息系统安全突发事件的应急处理;
(五)负责明确本单位信息系统安全运行维护部门或机构,落实信息系统安全运行维护日常工作,具体落实信息系统安全等级保护和安全策略;
(六)组织本单位信息系统安全的宣传和培训。
第三章管理措施
第十四条不断建立健全信息系统安全管理制度体系,通过操作规程实现安全管理和操作人员的标准化作业;定期对信息系统安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度及时进行修订。
第十五条明确安全管理机构,设立系统管理员、网络管理员、安全管理员等岗位,并明确各岗位职责。
应加强信息系统安全管理人员之间、信息职能部门和业务部门之间的合作与沟通,定期或不定期召开协调会议,共同协作处理信息系统安全问题。
第十六条严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与互联网和其他公共信息网络连接,严禁在非涉密计算机和互联网上存储、处理国家秘密。
严禁在信息外网计算机上存储和处理涉及企业秘密的信息。
严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。
第十七条严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,关键岗位应签署保密协议;及时终止离岗员工的所有访问权限;严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。
第十八条严格按照国家有关部门要求,开展公司网络与信息系统定级、审批、备案工作。
针对确定的网络与信息系统安全等级,要根据等级保护有关要求,落实必要的管理和技术措施,严格执行等级保护制度。
第十九条新建信息系统涉及安全防护措施建设,应明确安全需求,确定安全等级,结合公司安全防护总体策略,进行安全防护方案设计;根据国家有关规定和坚持鼓励使用国产化产品原则,开展安全产品采购,必要时开展产品预先选型测试;加强软件开发管理,确保开发环境与实际运行环境安全隔离;委托有资质的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;对测试不符合要求的,在整改后要重新测试。
系统试运行前,要开展相关安全培训。
第二十条加强信息系统运行维护全过程管理:
(一)严格执行信息机房管理有关规范,确保机房运行环境符合要求,严格机房出入管理。
要编制信息系统资产清单,建立资产管理制度,根据资产重要程度对资产进行标识。
(二)对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。
强化存储介质存放、使用、维护和销毁等各项措施。
(三)按照最小服务配置和最小授权原则,对安全策略、安全配置、日志和操作等方面做出具体规定,明确各个角色的权限、责任和风险;详细记录日常操作、运行维护记录、参数设置和修改等内容,严禁任何XX的操作;定期开展运行日志和审计数据分析工作,及时发现异常行为。
及时根据需要进行软件升级更新,并在更新前做好备份;定期进行漏洞扫描,及时发现安全漏洞并进行修补;及时安装补丁程序,在安装补丁前做好测试和备份工作。
(四)及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。
(五)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。
保证所有与外部系统的连接均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估。
(六)建立和执行密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
(七)对信息网络与系统运行状况等进行监测和报警;定期对监测和报警记录进行分析,根据需要采取必要的应对措施;应建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。
(八)严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。
严格执行有关公司网络与信息系统安全运行情况通报制度,做好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。
第二十一条严格执行公司有关信息系统安全风险评估管理规定,切实将信息系统安全风险评估工作常态化和制度化,及时落实整改,及时消除信息系统安全隐患。
根据国家和公司要求,定期开展信息系统安全检查工作,做好特殊时期安全检查和安全保障工作。
第二十二条不断完善应急预案,加强培训和演练,确保人力、设备等应急保障资源可用。
第二十三条建立备份与恢复管理相关安全管理制度,严格控制数据备份和恢复过程,妥善保存备份记录,定期执行恢复程序。
要切实根据需要开展业务应用容灾系统建设。
第二十四条切实加强网络信任体系建设规划工作,不断完善公司安全认证系统相关技术标准和功能规范。
强化信任体系应用工作,做好信息系统统一身份认证,以及重要信息的加密和签名工作。
第二十五条切实加强员工信息系统安全培训,提高全员信息系统安全意识;强化信息系统安全人员专业技能培训,做到培训工作有计划、有总结,培训效果有评价。
要对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。
对违反国家法律、法规和公司有关规定,造成一定不良影响和后果的,要追究其责任。
第四章技术措施
第二十六条根据国家和公司有关规定,对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统;采取防雨水措施,防止雨水、水蒸气结露和地下积水;设置温、湿度自动调节设施,控制机房温、湿度在设备运行所允许范围之内,保证双路供电,电源线和通信电缆应隔离,避免互相干扰;采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
第二十七条加强网络安全技术工作:
(一)网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽;建立业务终端与业务服务器之间的访问控制;根据需要划分不同子网;对重要网段采取网络层地址与数据链路层地址绑定措施。
(二)采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制;对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数。
严格拨号访问控制措施。
(三)加强内部用户私自访问外部网络行为的检测工作,要能够及时发现,准确定位,有效阻断;对重要网段,应采用入侵检测系统进行监控,对入侵事件及时提供报警。
第二十八条加强系统安全技术工作:
(一)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非法登录次数,设置连接超时功能;用户访问不得采用空账号和空口令,口令要足够强健,长度不得少于8位。
(二)严格限制匿名用户的访问权限;实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制力度应达到主体为用户级,客体为文件、数据库表级。
(三)控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
第二十九条严格网络、系统安全审计工作,安全审计系统应定期生成审计报表,自动进行备份,审计记录应受到保护,避免删除、修改或破坏。
第三十条重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备份;对门户网站页面,要具有防篡改机制和措施。
篇二:
信息系统安全整体解决方案
《安全系统整体解决方案设计》
第一章企业网络的现状描述.............................................................................................................3
1.1企业网络的现状描述.............................................................................................................3
第二章企业网络的漏洞分析................................................................................................................4
2.1物理安全......................................................................................................................................4
2.2主机安全......................................................................................................................................4
2.3外部安全.......................................................................................................................................4
2.4内部安全.......................................................................................................................................5
2.5内部网络之间、内外网络之间的连接安全...............................................................................5
第三章企业网络安全整体解决方案设计............................................................................................5
3.1企业网络的设计目标..................................................................................................................5
3.2企业网络的设计原则..................................................................................................................6
3.3物理安全解决方案......................................................................................................................6
3.4主机安全解决方案......................................................................................................................7
3.5网络安全解决方案......................................................................................................................7
第四章方案的验证及调试....................................................................................................................8
第五章总结............................................................................................................................................9参考资料................................................................................................................错误!
未定义书签。
企业网络整体解决方案设计
第一章企业网络的现状描述
1.1企业网络的现状描述
网络拓扑图
以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。
以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。
这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。
人力资源浪费很大,而且往往是在系统破坏造
成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。
安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、XX的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。
因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。
第二章企业网络的漏洞分析
2.1物理安全
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。
以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。
它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。
2.2主机安全
对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
我们可以这样讲:
没有完全安全的操作系统。
但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,不但要选用尽可能可靠的操作系统和硬件平台。
而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
与日常生活当中一样,企业主机也存在着各种各样的安全问题。
使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。
同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。
在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。
2.3外部安全
拒绝服务攻击。
值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。
对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。
对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。
外部入侵。
这里是通常所说的黑客威胁。
从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。
这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
病毒。
病毒时时刻刻威胁着整个互联网。
前段时间美国国防部和全年北京某部内部网遭受的大规模病毒爆发都使得整个内部办公和业务瘫痪数个小时,而MSBlaster及Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。
对病毒的彻底防御重要性毋庸置疑。
2.4内部安全
最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。
对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。
不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。
对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。
但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
2.5内部网络之间、内外网络之间的连接安全
内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。
包括来自internet上的风险和下级单位的风险。
内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。
据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。
因此内部网的安全风险更严重。
内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。
怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
各地机构与总部之间的网络连接安全直接影响企业的高效运作
第三章企业网络安全整体解决方案设计
3.1
升级会员 