网络安全管理规范.docx

1、目录 1第一章总则 31.1范畴 31.2 目标 31.3原则 31.4制定与实施 4第二章安全组织结构 52.1安全组织结构建立原则 52.2 安全组织设置 52.3 安全组织职责 52.4人员安全管理 8第三章基本安全管理制度 93.1入网安全管理制度 93.2操作安全管理制度 93.3机房与设施安全管理制度 93.4设备安全使用管理制度 103.5应用系统安全管理 103.6媒体/技术文档安全管理制度 10第四章用户权限管理 124.1用户权限 124.2用户登录管理 124.3用户口令管理 13第五章运行安全 145.1网络攻击防范 145.2病毒防范 155.3访问控制 155.4

2、行为审计 165.5异常流量监控 165.6操作安全 175.7 IP地址管理制度 175.8防火墙管理制度 18第六章安全事件的处理 196.1安全事件的定义 196.2安全事件的分类 196.3安全事件的处理和流程 206.4安全事件通报制度 22第一章总则1.1范畴安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题，主要包括人员、组织、技术、服务等方面的安全管理要求和规定。本文所指的管理范围包括国药集团总公司和各分支机构的承载网络， 同时包 括其上承载的BI系统、BOA、公系统、编码系统、Email以及后续还要开发的HR 系统和门户网站等各应用系统。1.2目标安全管理的目标是在

3、合理的安全成本基础上，实现网络运行安全（网络自身安全）和业务安全（为网上承载的业务提供安全保证），确保各类网元设备的正 常运行，确保信息在网络上的安全存储传输以及信息内容的合法性。全网安全管理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障，用科学规范的管理来配合先进的技术，以确保各项安全工作落到实处，真正保证网络安全。安全管理办法将用于指导中国医药集团网络安全建设和管理，加强人员的安全管理，防止数据丢失、损坏、篡改、泄漏，提高网络及相关业务系统的安全性。1.3原则安全管理工作的基本原则：1. 网络安全管理应以国家相关政策法规和条例为依据。2. 网络安全管理遵循统一规划、集中监控的原

4、则。中国医药集团总公司负责对网络安全管理工作进行统一规划，负责安全策略的制定和监督实施。3. 网络安全管理采用三级集中管理的方式。由中国医药集团总公司负责对全网的网络安全进行统一规划管理， 协调处理 重大事件，由中国医药集团信息中心对骨十承载网的安全运营进行集中管理， 由 各分支机构负责对各分公司的安全运营进行集中管理。4. 网络安全管理工作应建立符合网络和业务发展要求的安全管理组织体系 和安全技术支援保障体系。5. 网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程 或规定，全面提高的网络安全管理水平。1.4制定与实施本安全管理办法遵照我国信息安全的有关法律法规，并结合具体的情况

5、，依 据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。第二章安全组织结构2.1安全组织结构建立原则本意描述安全组织的建设，包括建立原则，组织设置，组织职责，针对人员 的安全管理，和涉及应该指定的安全管理制度。中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织 保障。应遵循中国医药集团公司相关的规章制度、维护规程，制定的安全管理制 度和内部的法规政策，指导、监督、考核安全制度的执行，确保全网安全工作的 有序进行。采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建 设原则。2.2安全组织设置2.2.1中国医药集团安全协调组织1. 中国医药集团公司安全主管人

6、员2. 中国医药集团公司安全专家指导人员。2.2.2 中国医药集团安全响应中心1. 中国医药集团公司安全主管人员2. 中国医药集团公司安全运营管理人员：由中国医药集团公司信息中心从事安 全工作的管理和技术人员组成。2.2.3各分支机构安全组织1）各分支机构网络安全主管人员：由相关主管人员组成。2）各分支机构原则上不设置专职的安全管理机构，但应设立专（兼）职安全管 理员，由从事安全工作的管理人员、技术人员或业务监管人员担任。2.3安全组织职责2.3.1中国医药集团公司安全协调组织职责1. 中国医药集团公司网络安全主管人员：1）贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、

7、规程；2）研究决定系统安全工作的重大事项；3）制定系统安全工作和中国医药集团公司所管设备的规范、制度；4）组织、领导安全相关的工作。2. 中国医药集团公司网络安全专家指导人员：1）在安全主管人员的领导下，从理论上、技术上，宏观上指导中国医药集团网 络安全体系建设。2）发生重大安全事件时，协调各公司资源共同处理。3）定期分析研究全网的安全管理问题，并提出相应的改进措施、意见和办法3. 中国医药集团公司安全协调组织具体职责：1）制定安全管理制度，统一对网络安全工作进行管理。2）协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全 管理和安全制度的执行。3）协助指导各分支机构安全管理人

8、员处理网络中发生的重大安全事故，必要时 派人到事故点处理。4）负责和监督对各分支机构安全管理人员的安全技术培训工作。2.3.2中国医药集团公司安全响应中心职责1. 中国医药集团公司安全主管人员：1）贯彻、落实中国医药集团公司关于网络安全工作的策略、制度；2）研究决定骨十网设备安全工作的重大事项；3）制定骨十网设备安全工作的实施细则；4）组织、领导各分支机构网络相关的安全工作2. 安全响应中心安全管理人员：1）具体组织落实中国医药集团公司网络安全工作主管人员的工作计划；2）指导、监督、协调、规范骨十网系统安全工作的开展；3）对骨十网的网络运行和设备的安全实施监控管理；4）管理和维护、处理骨十网的

9、具体安全工作；3. 安全响应中心具体职责：1）对骨十网的网络运行和设备的安全实施监控管理，实施日常安全管理和监督安全管理制度的执行；2）负责骨十网网络设备和系统的安全评估和定期系统安全性增强。3）配合安全管理人员对骨十网相关安全事件处理；4）贯彻和执行网络安全管理办法及原则，并对骨十网的安全运营提出相应工作细则和操作规章制度，并组织实施；2.3.3各分支机构安全组织职责1. 各分支机构网络安全主管人员：1）贯彻、落实中国医药集团公司关于网络安全工作的策略、制度；2）研究决定分支机构网络设备安全工作的重大事项；3）制定分支机构网络设备安全工作的实施细则；4）组织、领导分支机构网络相关的安全工作。

10、2. 各分支机构安全管理人员：1）具体执行集团总公司网络安全主管人员的工作计划；2）指导、监督、协调、规范分支机构网络安全工作的开展；3）管理、维护和处理分支机构网络的安全工作。3. 分支机构安全组织具体职责1）对分支机构网络设备的安全实施监控管理，实施日常安全管理和监督安全管理制度的执行；2）负责本网网络设备和系统的安全评估和定期系统安全性增强；3）定期分析研究全网的安全管理问题，并提出相应的改进措施、意见和办法；4）配合集团总公司安全管理人员对骨十网相关安全事件处理；5）处理本网络中发生的重大安全事故，向中国医药集团公司安全工作小组上报 安全事故情况；6）贯彻和执行集团总公司网络安全管理办

11、法及原则，提出分支机构内的相应工 作细则和操作规章制度，并组织实施；7）负责和组织相关人员的安全技术培训工作。2.4人员安全管理人员安全管理的主要内容包括：1. 关键岗位人选：对关键岗位人员进行审查，保证具备较强业务技术能力，确 保可信可靠，胜任本职工作。2. 人员考核：应定期组织对在中从事关键业务的人员进行全面考核；对违规人 员视情节轻重进行批评、教育、调离工作岗位。3. 人员调离：关键岗位人员调离，应严格办理调离手续。自人员调离决定通知 之日起，应及时更换系统口令和机要锁。4. 人员培训：应定期对相关安全工作人员进行安全知识和安全意识培训。第三章基本安全管理制度3.1入网安全管理制度入网安

12、全管理制度内容包括：1. 无关主机不得随意入网，所有需要入网的主机必须经过审批同意后方能入网；2. 所有入网的主机必须经过安全配置，打补丁、改密码、病蠹查杀等，确认满 足安全运行要求后方能上线；3. 所有入网的主机必须实时进行攻击检测和定期的脆弱性检查，如发现有安全 威胁的主机一律强制下网；4. 主机入网后，需上报上级安全主管人员，以便实时监控和检查；3.2操作安全管理制度1. 明确安全职责：按照分工协作，互相制约的原则制定各类系统操作人员职责。 职责不允许交义覆盖;2. 履行安全职责：各类人员必须按规定行事，不得从事超越自己职责以外的任 何作业；3. 岗位监督：进行系统维护、复原、强行更改数

13、据时，至少有两名操作人员相 互监督操作，并进行详细的登记及签名；4. 稽核：安全管理人员有权对一线操作、管理人员进行监督与核查；3.3机房与设施安全管理制度按照国家计算机场地安全要求、计算站场地技术条件等标准，对场地与设施进行安全等级划分，制定安全管理规定的技术措施和管理办法。主要内 容包括：1）场地与设施的物理安全管理：选择安全的机房场地：配备防火、防水、防静电、防雷击、防鼠害等机房安全设施；机房装修、供配电系统。空调系统、电磁波辐射控制等应满足相应的技术标准。2）机房出入控制：对内部人员和外部人员进出工作现场都做相应的限制和规定，并进行登记。3）电磁波的辐射控制与防护：防止计算机系统受工作

14、环境中电磁波十扰，避免计算机电磁波辐射造成的信 息泄露。4）媒体管理：对各种信息存储媒休,按照所存储信息的重要度分成不同的安全等级, 严格 保管，确保存储信息的保密性、完整性和可用性。3.4设备安全使用管理制度设备安全使用管理制度包括：1）设备使用管理包括指定专人负责设备的使用、建立详细的运行日志、设备的 维护和定期保养、设备故障处理等。2）设备维修管理包括指定专人负责设备的维修，建立满足正常运行的最低要求 的易损件备件库，记录设备维修对象、故障原因、排除方法、主要维修过程及其 它的有关情况。3）设备仓储管理指未被使用或修复后性能正常的各种设备的集中统一管理。3.5应用系统安全管理1）指定应用

15、系统管理人员2）管理人员应有操作日志（如日志、改变记录、升级安装过程等）3）有相应的应急恢复管理制度3.6媒体/技术文档安全管理制度各级安全管理机构应制定技术文档资料的管理制度，明确管理方法与管理人 员职责媒体是指以光盘、软盘、磁带等形式存放数据的载体。技术文档是指相关数据以纸张形式存放的实体。1. 媒体安全包括：包括媒体数据的安全及媒体本身的安全。1）安全存放管理：技术资料存放的环境必须具有安全防护与保密设施，对重要 的技术资料，应进行备份和异地存放。2）媒体的管理：媒体进行分类、编目、登记、归档；需要利用媒体的人员必须经过申请、审批和登记，并对所有使的资料承担保管与保密义务；3）妥善处理失效的媒体：对报废的媒体要有严格的销毁和监销措施。2. 技术