国有集团公司信息安全规范模版.docx

集团公司信息安全规范 1 主要内容和适用范围 1.1 为确保集团公司（简称集团公司）信息网络与信息系统的安全、可靠、稳定运行，健全、规范集团公司信息安全制度，特制定本规范。 1.2 本规范适用于集团公司及各分（子）公司、所属单位。 2 总则 2.1 本规范包括总体安全、网络边界安全防护、物理层安全、网络层安全、平台安全、安全管理、审计评估。 2.2 集团公司的网络与信息系统的安全由集团公司办公厅负责管理。 2.3 在保证集团公司网络信息安全的前提下，逐步建立全面的安全防护和安全管理。针对集团公司网络状况和实际应用情况，信息安全体系在“统一规划”的前提下，进行“分步实施，逐步完善”。 3 总体安全 3.1 针对集团公司信息安全要求，集团公司及各分（子）公司、所属单位必须从以下方面加以规范： 物理层、网络层、平台安全、安全管理和审计评估。 集团公司总体网络安全示意图： 3.2 安全策略的管理： 3.2.1 对本单位所管辖的信息网络与信息系统必须在建设过程中进行安全风险评估，并根据评估结果制定安全策略； 3.2.2 对已投入运行且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞; 3.2.3 对安全体系的各种日志（如入侵检测日志等）审计结果进行认真的研究，及时发现系统的安全漏洞; 3.2.4 定期分析本系统的安全风险及漏洞，分析当前黑客入侵的特点，及时调整安全策略。 4 网络边界安全防护 4.1 防火墙的拓扑位置：在集团公司信息网络与信息系统中，在网络边界和对外出口处，必须配置防火墙，严禁有任何旁路防火墙的链接。 4.2 防火墙的使用规范： 定期更新管理密钥； 记录防火墙日志，保留90天内的所有日志数据； 控制并关闭与业务无关的数据通信端口； 对普通系统用户，禁止ICMP协议通过防火墙； 禁止NETBIOS协议通过防火墙； 禁止所有未定义的数据通信通过防火墙； 规范、控制开放远程管理的范围，在远程管理时，限定用于管理的主机地址； 明确定义允许进、出的流量。 4.3 计算机设备在连接局域网和集团公司广域网的同时，禁止以其他任何方式（如拨号上网、ISDN、ADSL等）与Internet相连。 4.4 接入信息安全区中的安全产品，必须使用经过国家有关安全部门认证的国产产品，其中电力专用安全产品还必须经过电力安全主管部门检测认证，并经由本单位的安全管理员以及本单位信息部门负责人的审查批准后，方可实施接入。 4.5 通用安全产品以及专用安全产品都必须通过电力系统强电磁环境中的电磁干扰和电磁兼容测试。 4.6 未实施安全管理措施的计算机设备禁止与Internet相连。 5 物理层安全 5.1 物理层安全包括:环境安全和设备、设施安全，应采取适当的规范措施: 机房建设、机房环境的要求必须符合国家、行业的相关规范，及《集团公司广域网络系统管理办法（试行）》中的附件一《集团公司广域网机房管理制度（试行）》； 重要设备及主干链路，应建立冗余及备份措施。 6 网络层安全 6.1 广域网的安全 对各分（子）公司、所属单位广域网的安全，应严格按照《集团公司广域网络系统管理办法（试行）》执行。 6.2 局域网安全 须建立本单位局域网的管理制度。 局域网络必须分段管理，以防止通过局域网“包广播”方式恶意收集网络的信息。 7 平台安全 平台安全包括系统层安全和应用层安全，应采取适当的规范措施: 7.1 病毒防范 各分（子）公司、所属单位的网络系统维护部门必须严格执行病毒防范措施: 在本单位所管辖的信息网络与信息系统部署正版的防病毒软件； 禁止下载因特网上任何未经确认其安全性的软件； 实时进行防病毒监控，做好防病毒软件和病毒代码的智能升级； 发现病毒时，及时对感染病毒的设备进行隔离，情况严重时报相关部门并及时妥善处理； 在各分（子）公司、所属单位安全区WEB服务器上设立专门的栏目，及时发布病毒及黑客攻击的报告、最新的病毒库、升级防病毒软件以及各个公用系统软件（操作系统、数据库系统、工具软件等）的漏洞报告及相应的软件补丁； 其中机房的病毒防范按照《集团公司广域网络系统管理办法（试行）》中的附件一《集团公司广域网机房管理制度（试行）》执行。 7.2 访问控制 对重要服务器，系统管理员必须对不同用户建立文件的不同的访问许可权限; 对应用系统，根据使用要求必须对不同用户，建立不同的访问权限。 7.3 应用及服务的接入管理 7.3.1 本单位在已经建立安全防护体系的信息网络与信息系统中，接入任何新的应用及服务，须经由本单位的安全管理员以及本单位安全主管的审查批准后，方可实施接入。 7.3.2 信息安全区中的工作站、服务器原则上不得开通拨号功能；若确需开通拨号服务，必须配置强认证机制，否则必须与安全区彻底隔离。 7.4 应用系统及数据的安全 7.4.1 可靠性要求。 对于关键性的应用系统，须做到能够有效回避任何单点故障，这些故障范围包括应用程序错误、数据库系统故障、网络端口故障、网线接触故障、磁盘系统介质故障、系统瘫痪等。 7.4.2 备份要求。 备份管理采用集中定期备份管理方式，备份内容应包括： 7.4.2.1 应用数据库备份。 7.4.2.2 应用程序备份。 7.4.2.3 操作系统备份。 7.4.3 备份系统的设计应不对应用系统产生任何不良影响。 7.4.4 备份系统的设计须考虑系统扩展要求，提供系统平滑升级的能力。 8 安全管理 各分（子）公司、所属单位须按照“谁主管，谁负责”的原则，制订严格的操作规程，各负其责，结合各自人员安排和工作特点，制订相应的安全制度，同时必须遵循如下规范： 8.1 建立完善的安全分级责任制 本着“谁主管，谁负责”和“谁经营，谁负责”的原则，落实信息网络与信息系统的各级单位的安全责任; 各分（子）公司、所属单位负责所属范围内信息网络与信息系统的安全管理; 各分（子）公司、所属单位应设置监控和调度数据网络的安全防护小组或专职人员。 8.2 各级人员的安全职责 8.2.1 各分（子）公司、所属单位的主要负责人为该单位所管辖的信息网络与信息系统的安全防护第一责任人。 8.2.2 各分（子）公司、所属单位的信息部门负责人负责所管辖的信息网络与信息系统的安全管理，其安全职责如下： 8.2.2.1 负责组织有关人员建立本单位所管辖的信息网络与信息系统的安全防护体系； 8.2.2.2 负责定期检查本单位信息安全防护措施的执行情况、审计结果、定期组织有关人员对系统进行安全评估，并及时向上级主管部门报告； 8.2.2.3 负责组织有关人员对本单位发生的安全事故进行认真分析并及时报告。 8.2.3 各分（子）公司、所属单位应指定专门的安全管理员承担本单位所管辖的信息网络与信息系统日常安全管理工作，其职责为： 8.2.3.1 参与本单位所管辖网络与信息系统安全防护体系的建立; 8.2.3.2 负责本单位所管辖相关信息安全设备的日常运维工作; 8.2.3.3 负责对所部署各安全设备的安全策略进行设置和调整，定期对安全产品的日志进行审计并撰写安全分析报告； 8.2.3.4 负责定期对所管理的网络与信息系统进行安全检测和评估，并做安全分析报告报上级主管; 8.2.3.5 负责及时处理本单位网络与信息系统发生的安全事故; 8.2.3.6 负责本单位基本安全知识的咨询和培训。 8.2.4 用户及权限管理 8.2.4.1 密码管理 人员的登录名及密码设置必须按照规定流程进行相应审批； 人员的登录密码应该具六位以上的长度和一定的复杂度，并做到及时更新； 系统管理员的登录名及密码必须由专人保管和修改，严格限定使用范围； 禁止共享账号和密码，禁止使用密码检查工具； 使用人丢失或遗忘登录名及密码，必须通过规定的流程向系统管理员申请新的登录名及密码； 使用人调离单位后，系统管理员必须立即注销其登录名并取消其相应的权限。 8.2.4.2 密钥及数字证书管理 必须设立专职人员对密钥和数字证书进行管理（注册证书、颁发证书、撤销证书、使用证书）。 数字证书中的有关信息一旦失效，应该将证书及时撤销。 数字证书持有人必须妥善保护证书，不容许转借他人，遗失后必须立即报告；如果由此造成严重后果，必须按有关规定严肃处理，甚至追究法律责任。 建立数字证书丢失之后的可靠注销机制。 建立定期更新数字证书的机制。 8.2.4.3 权限管理 针对不同的网络系统，不同的使用人员按最小化原则赋予相应的访问权限和操作权限。 禁止滥用系统资源； 禁止未经许可查看别人的文件； 系统管理员不得随意在系统中增加账号，随意修改权限，不得未经许可委托他人行使管理员权利; 操作人员登陆进入关键的业务系统（如SCADA系统、电力交易系统）实施双因子安全访问控制，应持有数字证书和口令；对关键的控制操作应该进行身份认证及操作权限控制。 8.3 工程实施的安全管理 8.3.1 新建的网络和信息系统工程设计和实施必须符合国家有关安全防护的标准、法规、法令、规定、导则等，实施方案须上报集团公司办公厅审批，完工后必须经过集团公司办公厅的验收。 8.3.2 网络和信息系统的相关设备及系统的供应商必须承诺：所提供的设备及系统中不包含任何安全隐患，并在设备及系统的生命期（自交付至退役为止）内承担由此引起的连带责任。 8.3.3 新接入集团公司广域网的网络节点、设备和应用系统，需报集团公司办公厅审查、批准，建设完工后必须经过集团公司办公厅验收备案。 8.3.4 各单位所管辖网络与信息系统安全防护方案的实施必须严格遵守国家相关管理制度以及本规范的相关规定。 8.3.5 所有网络与信息系统在投运前必须进行安全评估。 8.4 联合防护制度 8.4.1 集团公司所属各企业应该紧密联合进行安全防护； 8.4.2 各单位及时通报安全防护的形势、经验及教训； 8.4.3 当某单位的网络与信息系统出现安全事故或遭到黑客攻击时，应该及时向上级部门报告，并通报有网络连接的相邻单位，采取联合防护措施（包括阻断措施、隔离措施、跟踪措施、根除措施、恢复措施等），防止事故的扩大，以保证整个系统的正常运行。 8.5 应急方案制度 各单位须结合本单位情况制订信息安全应急预案，使信息安全事故损失减至最小。 9 审计评估 集团公司各级单位须建立由安全管理成员、信息安全专家组成的审计评估小组，定期对集团公司及各分（子）公司、所属单位的网络和信息系统进行信息安全审计评估，并编写网络和信息系统安全审计报告，制订新的信息安全防范措施，审计评估的内容包括： 对各项安全制度执行情况的审查； 对骨干网络关键设备的重要管理日志信息的分析； 利用网络审计工具对网络常见安全点的评估； 对关键应用服务系统的安全情况定期进行漏洞扫描； 对主要网络设备安全配置功能进行检测； 对网络的安全性进行实时入侵检测。