中国医药集团网络安全管理规范国药集团.docx

1、中国医药集团网络安全管理规范国药集团中国医药集团网络安全管理规范（V1.2）中国医药集团总公司2007年11月目 录目 录 2第一章 总则 41.1 范畴 41.2 目标 41.3 原则 41.4 制定与实施 5第二章 安全组织结构 62.1安全组织结构建立原则 62.2 安全组织设置 62.3 安全组织职责 62.4 人员安全管理 9第三章 基本安全管理制度 103.1 入网安全管理制度 103.2 操作安全管理制度 103.3 机房与设施安全管理制度 103.4 设备安全使用管理制度 113.5 应用系统安全管理 113.6 媒体/技术文档安全管理制度 11第四章 用户权限管理 134.1

2、 用户权限 134.2 用户登录管理 134.3 用户口令管理 14第五章 运行安全 155.1 网络攻击防范 155.2 病毒防范 165.3 访问控制 165.4 行为审计 175.5异常流量监控 175.6 操作安全 185.7 IP地址管理制度 185.8 防火墙管理制度 19第六章 安全事件的处理 206.1 安全事件的定义 206.2 安全事件的分类 206.3 安全事件的处理和流程 216.4 安全事件通报制度 23第一章 总则1.1 范畴安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题，主要包括人员、组织、技术、服务等方面的安全管理要求和规定。本文所指的管理范围包括

3、国药集团总公司和各分支机构的承载网络，同时包括其上承载的BI系统、BOA办公系统、编码系统、Email以及后续还要开发的HR系统和门户网站等各应用系统。1.2 目标安全管理的目标是在合理的安全成本基础上，实现网络运行安全（网络自身安全）和业务安全（为网上承载的业务提供安全保证），确保各类网元设备的正常运行，确保信息在网络上的安全存储传输以及信息内容的合法性。全网安全管理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障，用科学规范的管理来配合先进的技术，以确保各项安全工作落到实处，真正保证网络安全。安全管理办法将用于指导中国医药集团网络安全建设和管理，加强人员的安全管理，防止数据丢失、

4、损坏、篡改、泄漏，提高网络及相关业务系统的安全性。1.3 原则安全管理工作的基本原则：1.网络安全管理应以国家相关政策法规和条例为依据。2.网络安全管理遵循统一规划、集中监控的原则。中国医药集团总公司负责对网络安全管理工作进行统一规划，负责安全策略的制定和监督实施。3.网络安全管理采用三级集中管理的方式。由中国医药集团总公司负责对全网的网络安全进行统一规划管理，协调处理重大事件，由中国医药集团信息中心对骨干承载网的安全运营进行集中管理，由各分支机构负责对各分公司的安全运营进行集中管理。4.网络安全管理工作应建立符合网络和业务发展要求的安全管理组织体系和安全技术支援保障体系。5.网络安全管理应建

5、立并不断积累完善针对实际情况的各类安全管理章程或规定，全面提高的网络安全管理水平。1.4 制定与实施本安全管理办法遵照我国信息安全的有关法律法规，并结合具体的情况，依据中国医药集团公司颁布的各种服务管理规定和安全管理规定而制定。第二章 安全组织结构2.1安全组织结构建立原则本章描述安全组织的建设，包括建立原则，组织设置，组织职责，针对人员的安全管理，和涉及应该指定的安全管理制度。中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。应遵循中国医药集团公司相关的规章制度、维护规程，制定的安全管理制度和内部的法规政策，指导、监督、考核安全制度的执行，确保全网安全工作的有序进行。采取

6、中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。2.2 安全组织设置2.2.1 中国医药集团安全协调组织1中国医药集团公司安全主管人员2中国医药集团公司安全专家指导人员。2.2.2 中国医药集团安全响应中心1中国医药集团公司安全主管人员2中国医药集团公司安全运营管理人员：由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。2.2.3 各分支机构安全组织1) 各分支机构网络安全主管人员：由相关主管人员组成。2) 各分支机构原则上不设置专职的安全管理机构，但应设立专（兼）职安全管理员，由从事安全工作的管理人员、技术人员或业务监管人员担任。2.3 安全组织职责2.3.1

7、中国医药集团公司安全协调组织职责1.中国医药集团公司网络安全主管人员：1) 贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、规程；2) 研究决定系统安全工作的重大事项；3) 制定系统安全工作和中国医药集团公司所管设备的规范、制度；4) 组织、领导安全相关的工作。2.中国医药集团公司网络安全专家指导人员：1) 在安全主管人员的领导下，从理论上、技术上，宏观上指导中国医药集团网络安全体系建设。2）发生重大安全事件时，协调各公司资源共同处理。3) 定期分析研究全网的安全管理问题，并提出相应的改进措施、意见和办法3中国医药集团公司安全协调组织具体职责：1) 制定安全管理制度，统一对

8、网络安全工作进行管理。2) 协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全管理和安全制度的执行。3) 协助指导各分支机构安全管理人员处理网络中发生的重大安全事故，必要时派人到事故点处理。4) 负责和监督对各分支机构安全管理人员的安全技术培训工作。2.3.2 中国医药集团公司安全响应中心职责1. 中国医药集团公司安全主管人员：1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度；2) 研究决定骨干网设备安全工作的重大事项；3) 制定骨干网设备安全工作的实施细则；4) 组织、领导各分支机构网络相关的安全工作2. 安全响应中心安全管理人员：1) 具体组织落实中国医药集团公

9、司网络安全工作主管人员的工作计划；2) 指导、监督、协调、规范骨干网系统安全工作的开展；3) 对骨干网的网络运行和设备的安全实施监控管理；4) 管理和维护、处理骨干网的具体安全工作；3安全响应中心具体职责：1) 对骨干网的网络运行和设备的安全实施监控管理，实施日常安全管理和监督安全管理制度的执行；2) 负责骨干网网络设备和系统的安全评估和定期系统安全性增强。3) 配合安全管理人员对骨干网相关安全事件处理；4) 贯彻和执行网络安全管理办法及原则，并对骨干网的安全运营提出相应工作细则和操作规章制度，并组织实施；2.3.3 各分支机构安全组织职责1. 各分支机构网络安全主管人员：1) 贯彻、落实中国

10、医药集团公司关于网络安全工作的策略、制度；2) 研究决定分支机构网络设备安全工作的重大事项；3) 制定分支机构网络设备安全工作的实施细则；4) 组织、领导分支机构网络相关的安全工作。2. 各分支机构安全管理人员：1) 具体执行集团总公司网络安全主管人员的工作计划；2) 指导、监督、协调、规范分支机构网络安全工作的开展；3) 管理、维护和处理分支机构网络的安全工作。3分支机构安全组织具体职责1) 对分支机构网络设备的安全实施监控管理，实施日常安全管理和监督安全管理制度的执行；2) 负责本网网络设备和系统的安全评估和定期系统安全性增强；3) 定期分析研究全网的安全管理问题，并提出相应的改进措施、意

11、见和办法；4) 配合集团总公司安全管理人员对骨干网相关安全事件处理；5) 处理本网络中发生的重大安全事故，向中国医药集团公司安全工作小组上报安全事故情况；6) 贯彻和执行集团总公司网络安全管理办法及原则，提出分支机构内的相应工作细则和操作规章制度，并组织实施；7) 负责和组织相关人员的安全技术培训工作。2.4 人员安全管理人员安全管理的主要内容包括：1. 关键岗位人选：对关键岗位人员进行审查，保证具备较强业务技术能力，确保可信可靠，胜任本职工作。2. 人员考核：应定期组织对在中从事关键业务的人员进行全面考核；对违规人员视情节轻重进行批评、教育、调离工作岗位。3. 人员调离：关键岗位人员调离，应

12、严格办理调离手续。自人员调离决定通知之日起，应及时更换系统口令和机要锁。4. 人员培训：应定期对相关安全工作人员进行安全知识和安全意识培训。第三章 基本安全管理制度3.1 入网安全管理制度入网安全管理制度内容包括：1. 无关主机不得随意入网，所有需要入网的主机必须经过审批同意后方能入网；2. 所有入网的主机必须经过安全配置，打补丁、改密码、病毒查杀等，确认满足安全运行要求后方能上线；3. 所有入网的主机必须实时进行攻击检测和定期的脆弱性检查，如发现有安全威胁的主机一律强制下网；4. 主机入网后，需上报上级安全主管人员，以便实时监控和检查；3.2 操作安全管理制度1. 明确安全职责：按照分工协作

13、,互相制约的原则制定各类系统操作人员职责。职责不允许交叉覆盖；2. 履行安全职责：各类人员必须按规定行事，不得从事超越自己职责以外的任何作业；3. 岗位监督：进行系统维护、复原、强行更改数据时，至少有两名操作人员相互监督操作，并进行详细的登记及签名；4. 稽核：安全管理人员有权对一线操作、管理人员进行监督与核查；3.3 机房与设施安全管理制度按照国家计算机场地安全要求、计算站场地技术条件等标准，对场地与设施进行安全等级划分，制定安全管理规定的技术措施和管理办法。主要内容包括：1) 场地与设施的物理安全管理：􀀹 选择安全的机房场地：􀀹 配备防火、防水、防静电、

14、防雷击、防鼠害等机房安全设施；􀀹 机房装修、供配电系统。空调系统、电磁波辐射控制等应满足相应的技术标准。2) 机房出入控制：对内部人员和外部人员进出工作现场都做相应的限制和规定，并进行登记。3) 电磁波的辐射控制与防护：防止计算机系统受工作环境中电磁波干扰，避免计算机电磁波辐射造成的信息泄露。4) 媒体管理：对各种信息存储媒休，按照所存储信息的重要度分成不同的安全等级，严格保管，确保存储信息的保密性、完整性和可用性。3.4 设备安全使用管理制度设备安全使用管理制度包括：1) 设备使用管理包括指定专人负责设备的使用、建立详细的运行日志、设备的维护和定期保养、设备故障处理等。2)

15、 设备维修管理包括指定专人负责设备的维修，建立满足正常运行的最低要求的易损件备件库，记录设备维修对象、故障原因、排除方法、主要维修过程及其它的有关情况。3) 设备仓储管理指未被使用或修复后性能正常的各种设备的集中统一管理。3.5 应用系统安全管理1）指定应用系统管理人员2）管理人员应有操作日志（如日志、改变记录、升级安装过程等）3）有相应的应急恢复管理制度3.6 媒体/技术文档安全管理制度各级安全管理机构应制定技术文档资料的管理制度，明确管理方法与管理人员职责。媒体是指以光盘、软盘、磁带等形式存放数据的载体。技术文档是指相关数据以纸张形式存放的实体。1. 媒体安全包括：包括媒体数据的安全及媒体

16、本身的安全。1) 安全存放管理：技术资料存放的环境必须具有安全防护与保密设施，对重要的技术资料，应进行备份和异地存放。2) 媒体的管理： 媒体进行分类、编目、登记、归档； 需要利用媒体的人员必须经过申请、审批和登记，并对所有使的资料承担保管与保密义务；3) 妥善处理失效的媒体：对报废的媒体要有严格的销毁和监销措施。2. 技术文档安全包括：1) 安全存放管理：技术资料存放的环境必须具有安全防护与保密设施，对重要的技术资料，应进行备份和异地存放。2) 技术资料的管理：􀁺 建立技术资料档案室；􀁺 技术资料必须进行分类、编目、登记、归档；􀁺 需要利

17、用技术资料的人员必须经过申请、审批和登记，并对所有使用的资料承担保管与保密义务。3) 妥善处理失效的技术文档资料：对报废的技术资料要有严格的销毁和监销措施。第四章 用户权限管理用户权限管理是网络安全管理的一项重要内容。本章对全网的用户权限进行了划分，并明确了用户登陆管理和用户口令管理的一些办法。4.1 用户权限全网中不同设备的权限配置和功能实现虽然有所差别，但都应在确保安全的基础上尽可能提供用户分级管理的功能。原则上用户权限可分为系统管理级、操作配置级和监控查看级等三个级别。1) 系统管理级：拥有所有权限。2) 操作配置级：具备修改配置权限，但不具备用户管理权限。3) 监控查看级：具备查看系统

18、配置文件和设备运行状态的权限。用户权限的设置应遵循以下原则：1） 特权分散原则：维护管理的重要操作权力分散给若干个程序、节点或用户，必须由规定的若干个具有特权的程序、节点或用户到齐后才能实现该操作。2） 最小授权原则：仅将那些用户进行操作时必需的权限分配给用户，而不要为其分配无关的或更大的权限。4.2 用户登录管理用户通过统一的过程进行系统登录。登录过程应具有以下功能：1. 原则上使用唯一的用户识别符，以区分每一个用户的权限。只在特殊需要的情况下使用组识别符。2. 对用户进行身份验证，检查用户是否是被系统授权的合法用户。3. 提示用户的访问级别及权限。4. 确保身份验证结束前，用户无法访问系统

19、。5. 为所有用户维护一份统一的记录。6. 当用户注销后，应立即删除此用户的所有权限。7. 定期检查、整理用户帐户，对于过期的帐号要及时封闭，对于长期不用的帐号要定期检查，必要时封闭。4.3 用户口令管理用户的口令是用户登录系统的关键，为保证口令的安全性，对用户口令的管理应该遵循以下安全原则：1. 在进行网络安全管理时，对所管设备中的各级管理口令和密码，由系统管理员统一进行管理，注意保密；2. 口令和密码的设置符合保密要求，针对不同设备不同的管理权限设置不同的分级口令；3. 选择长的口令，一般不少于6 个字符；口令包括大小写英文字母与数字的组合；不使用姓名的汉语拼音和常见的英文单词；4. 定期

20、改变口令，3 个月更换一次；对重要设备和系统可采用一次一密的动态密钥卡等方式；5. 用户口令不能以明文显示在显示器上；6. 用户口令与系统应用数据分开保存；7. 采用有效措施，保证用户口令的传输和存储时安全，例如口令的加密传输和保存。第五章 运行安全本章描述在运营维护过程中应该采取的安全防范和安全管理的策略与措施。5.1 网络攻击防范网络攻击防范用于防止对网络的恶意攻击，保证网络的正常运行。对网络的攻击可能来自公司内部、合作伙伴及其他人员等。网络攻击防范的重点保护对象是核心路由器、核心交换机、防火墙以及BI系统、BOA办公系统、编码系统、HR人力资源系统、门户网站等重要服务器等。须防范的网络攻

21、击包括但不局限于：网络系统和资源数据的非法管理和分配、破坏路由、网络和系统的拒绝服务攻击DoS、病毒、木马、缓冲区溢出、垃圾邮件等。中国医药集团总公司和各分支机构应制定网络攻击防范的措施和对策，内容至少包括网络安全防护、安全漏洞检测和安全事件响应等三个方面。各分支机构制定的具体安全策略应上报总公司审批和备案。网络攻击防范应注意以下几个方面：1. 使用国家主管部门认可的网络攻击防范产品。2. 在网络边界以及重要网段处，架设防火墙，防止非授权信息的通过。3. 在网络边界以及重要网段处，进行网络实时入侵检测。如果检测到入侵行为，应立即通知相关主管人员进行应急处理。4. 在核心节点和网络管理中心安装网

22、络漏洞扫描器，对整个网络进行安全扫描，以便发现和预防可能的破坏活动，发现漏洞应及时通知相关主管人员进行处理。5. 对网络中的路由器、关键主机等定期进行系统漏洞扫描，发现漏洞应及时通知相关主管人员进行处理。6. 保证网络中的网络设备和服务器之间通信数据的可靠传输，防止传输信息的泄露、篡改和删除等非法操作。7. 网络中的网络设备和应用系统在正常运行阶段，应关闭与业务无关的端口，防止非法访问。8. 不允许设备、软件供应商成为超级用户或埋下超级用户。5.2 病毒防范病毒防范工作应遵循以下原则：1. 中国医药集团总公司和各分支机构应分别制定所管网络的病毒防范规划，安装配置病毒防范系统。2. 相关设备上禁

23、止安装、运行与业务无关的软件，防止经过无关软件和操作感染病毒。3. 对相关设备定期进行病毒检测，发现病毒立即汇报有关部门，进行应急处理。4. 管理人员应采取安全可靠的方式及时进行病毒检测软件或病毒特征代码库的升级。5. 全体员工应增强病毒防范意识，配合管理人员做好病毒防范工作。5.3 访问控制访问控制的主要目的是防止未授权人员对网络设备、服务器系统等资源的使用、修改或破坏，以保证网络的安全。1. 在内外部网络之间设置防火墙，实现内部网络的访问控制；2. 采用防火墙技术或虚拟LAN 技术，实现内部网不同安全域的隔离及访问控制；3. 建议相关设备具有分级用户管理功能及严格的身份识别机制；4. 所有

24、网络设备、服务器系统提供的服务必须具有访问控制功能，保证认证通过前，不能提供服务；5. 对网络设备进行远端配置和管理时，必须进行身份认证；6. 采用有效手段保证网络设备配置和管理数据的传输安全；7. 网络中使用的应用软件应防止异常中断后非法进入系统；8. 相关设备提供超时键盘锁定功能；9. 对集成、调试、支持过程分配给合作伙伴的系统用户身份，必须由系统主管部门登记、建立和授权，必须无二义地明确指定或变更所定义用户的权限内容、权限有效时间。工作人员调离岗位时，必须立即取消该工作人员系统用户的授权。必须详细记录用户的定义、授权、变更。5.4 行为审计行为审计将对相关设备的操作进行记录，防止对相关设

25、备的非法使用。1. 对路由器、主机、服务器、数据库等的运行、维护、管理必须有审计方案和记录。2. 应定期对审计记录进行审查和分析。3. 相关设备、系统软件或应用软件都应具有并打开审计功能。4. 对以下事件必须有审计记录： 网络设备或服务启动或关闭。 网络设备或服务配置修改。 网络连接方式改变。 登录到网络设备或服务器系统。 其它异常情况。5. 审计记录应包含以下信息： 用户操作时的用户识别符。 事件发生的日期和时间。 事件内容或操作结果。6. 网络设备和服务器的审计记录应符合相应备份原则。7. 审计记录不能被未授权用户修改或删除。8. 及时进行审计记录的分析，发现异常情况立即汇报相关主管人员。

26、5.5异常流量监控1. 优化网络运行管理通过检测分析带宽使用状况，合理分配带宽资源；2. 强化网络行为管理根据各种应用业务的流量，制定相关策略限制非主流业务，在峰值时段进行限速、阻断；3. 保障关键网络应用保障关键应用（例如BI、BOA、编码系统、HR人力资源系统、视频会议等），限制非主流业务占用过多的带宽，监测、阻断异常流量；4、实时监控网络运行识别阻断网络攻击，根据并发连接个数可以确定并阻断DOS攻击等异常行为，保护网络设备安全。流量监控系统将提供流量可视化和异常流量的监测机制，安全管理员可以随时掌握流量情况，能够通过流量报表统计并分析出整个网内各机器流量的排名，为调整安全策略和QoS策略

27、提供依据。同时通过观察协议的流量分布，从而透视企业内部网络的运作情况，对网络流量做到一目了然。5.6 操作安全维护管理过程中的相关操作应遵循：1. 重要操作应由相关主管人员授权。2. 必须严格按照设备和系统的操作规程进行日常操作。3. 各级操作人员应仅在自己的权限范围内进行操作，不得非法拷贝、增加、修改或删除数据。4. 各级操作人员不得进行任何越权操作的尝试。5. 各级操作人员必须严格保管自己的身份识别数据（如用户卡、口令等），不得将其泄漏给他人。6. 各级操作人员必须如实记录操作日志。5.7 IP地址管理制度IP地址是组织内的有限资源，同时也是用户认证的一种常用手段，任何人不得随意增加、更改

28、IP地址。管理者需要规划与建立明确的用户IP地址数据库，并对其实施保密性处理。对IP地址的分配管理实行中国医药集团总公司和各分支机构分级、分工的原则。中国医药集团公司信息中心职责：1负责全网IP地址管理政策和管理办法；2负责全网骨干网IP地址的规划、分配及管理工作；3负责审核各分支机构提出的网络规划和需求的IP地址申请；4负责IP地址信息备案管理工作；5.8 防火墙管理制度1合理规划防火墙系统访问的权限；2如果需要改变防火墙的配置情况，需要由操作人员向信息中心提出申请，并经安全主管人员批准后，才可以进行更改操作；同时操作人员需做好配置管理记录表；3定期检查防火墙配置情况；4如果需要开放应用系统

29、端口，则必须由申请单位向主管部门进行申请，并填写防火墙应用系统端口开放申请表。第六章 安全事件的处理本章将描述安全事件的定义，事件分类级别及处理流程。6.1 安全事件的定义安全事件是指的计算机或网络设备系统的硬件、软件、数据因偶然的或恶意的原因而遭到破坏、更改、泄漏或者系统不能连续正常运行。如发生以下情况，可能定义为安全事件：1) 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；2) 信息泄密，数据在传输中因数据被截取、篡改而造成信息的更改；3) 拒绝服务，正常用户不能正常访问服务器提供的相关服务；4) 系统性能严重下降，有不明的进程运行并占用大量的CPU 处理时间；

30、5) 网络性能严重下降，用户反映无法正常使用服务；6) 在系统日志中发现非法登录者；7) 发现系统感染计算机病毒；8) 发现有人在不断强行尝试登录系统9) 系统中出现不明的新用户账号10) 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁11) 文件的访问权限被修改6.2 安全事件的分类安全事件主要分为两大类：物理安全事件的和逻辑安全事件。6.2.1 物理安全事件主要指的计算机设备、设施（含网络）以及其它媒体遭到地震、水灾、火灾、有害气体、雷击和静电的危害。6.2.2 逻辑安全事件主要指在网络系统运行中，发现或发生的，违反系统或网络正常运行所表现出的迹象，严重时可导致网络系统无法正常运行。根据事件危害程度，主要分为：1. 严重安全事件以下事件定义为严重安全事件：1) 网络通信物理或逻辑中断造成事故。2) 系统重要业务运行停止造成事故。3) 系统重要业务数据损坏。4) 系统遭受入侵，机密数据外泄。2. 中度安全事件以下事件定义为中度安全事件：1) 网络通信物理或逻辑中断造成严重故障。2) 系统重要业务运行停止造成严重故障。3) 系统部分重要业务数据损坏。4) 系统遭受入侵，部分机密资料外泄。3. 轻度安全事件以下事件定义为轻度安全事件：1) 网络通信或系统业务运行中出现的一般故障。2) 系统部分业务数据损坏，但不严重影响业务开展。3) 系统遭受入侵或尝试