资源描述
文献编号:
OP-ITSM-020
文献名称:
信息安全管理规范
版本:1.0
1.0 简介
为明确及贯彻「信息安全管理流程」规定,清晰平常工作中信息安全管理规定及措施,减少因信息安全做成风险和业务损失。
2.0 合用范围
此流程合用IT服务管理手册中定义服务范围。
合用参照「信息安全管理流程」中定义明细管理范围。
3.0 有关流程
信息安全管理流程(OP-ITSM-015)
变更管理流程(OP-ITSM-010)
事件和服务祈求管理流程(OP-ITSM-007)
4.0 定义
4.1 术语表
术语
阐明
保密协议
保密协议是资方和劳方双方行为,是通过协议约定劳方保密义务手段,违反保密协议需要承担违约责任。
员工
信息技术部有雇佣协议同事及临时工。
资产
对集团有价值有形或无形物品, 例如可见各类设备或不可见系统数据。
机房环境
泛指放置运行硬体设备环境。包括为保证环境条件到达所设置 UPS、空调、配电系统、消防设备等设施。
机房区域
机房区域分为设备区域及控制区域, 设备区域指伺服器、网络设备等安装及提供服务物理区域、控制区域是指KVM控制区域。
电脑网络
包括网络主机、网络设备及其有关配套设备、设施(含网络线路)及有关软体等构成架构。
操作系统
是管理电脑硬体与软体资源电脑程式,同步也是电脑系统关键与基石。
初始管理员账号
操作系统或伺服器平台,如:Windows 操作系统 Administrator账号, SQL Server 伺服器 sa 帐号等。但不包括Domino。
数据库一般顾客
指数据库系统中除初始管理员账号和数据库管理员外其他账号。
4.2 角色职责表
角色
职责
部门主管
• 按本规范规定,保管初始管理员账号。
• 按本规范规定,对各管理员角色进行合适授权。
流程经理
• 按「信息安全管理流程」规定,依本规范规定进行对执行状况及效果、记录进行核查或审计。
• 按本规范规定,对有关记录进行审核。
5.0 内容
5.1 规范阐明
因合用范围及管理规定,本规范提成 8个不一样领域明确信息安全规定。
5.2 信息安全规范总则
5.2.1 组织管理
• 部门对应职能小组负责按信息安全流程规定制定工作手则及指导。
• 每个信息安全领域每年至少一次对领域内管理、技术进行工作检讨。
5.2.2 授权管理
• 因平常管理工作规定,部门遵照分层授权体系进行角色、分工管理。
5.2.3 账户管理
5.2.3.1 员工有责任保障自己所拥有帐号安全,不得将自己所拥有帐号转借给他人使用。
5.2.3.2 员工不得以任何方式泄露自己帐号、密码。一旦发生泄密事件,须立即告知上司或有关管理小组并安排更换密码。
5.2.3.3 帐号/密码不可交由非指定授权人员使用,使用完毕应尽快登出。
5.2.3.4 员工在需要在自己不拥有帐号系统进行操作时,应向有关服务负责人进行帐号申请。
5.2.3.5 员工不得以任何方式获取(或企图获取)他人账户。
5.2.3.6 初始管理员账号仅供处理系统设定及授权用途,基于安全理由, 除系统不支持多帐号管理状况外,此帐户将由部门主管统一保留, 并只可于有需要时使用。
5.2.3.7 所有管理员账户应尽量防止共用,可行下均需有独立管理员账户。
5.2.3.8 管理员权限账户管理
• 管理员权限应及时跟进权限分派表并至少每年进行一次检查。
• 不得私自更改或任意开放权限。
• 若拥有管理权人不在﹐需要有一种应急安排。
5.2.3.9 所有申请账户,要明确需要权限,保证不需要权限不要授予。
5.2.4 密码管理
5.2.4.1 员工应做好自己所拥有账户密码保密,并根据有关管理规定,定期或不定期更换修改密码,密码设置上要符合保密性规定。
5.2.4.2 密码设定规定
• 强密码定义为密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号4项中其中3项构成。
• 中等复杂密码:密码长度至少为八个字元。 需由大写英文, 小写英文, 数字及符号4项中其中2项构成。
• 严禁设定使用者帐号、姓名、生日、身份证号码、电话号码或单位代名等与个人或单位有关信息作为密码。
5.2.4.3 密码方略
• 更换密码间隔时间最长不得超过1年。
• 所有管理员权限帐号密码均需使用强密码(包括但不限于初始管理员账号、伺服器管理员账号等)。
• 初始管理员账号及各管理员账户均有独立管理员密码,不可反复。
• 对于临时短期授权使用初始管理员密码,使用完毕后需立即回收并及时调整密码。
• 如需长期使用初始管理员账号,需由部门主管授权批签形成记录后方可使用,有关密码每次调整后必须同步通报部门主管。
5.2.5 监视管理
时钟设备应设定自动时钟同步或至少每年进行一次时钟校验,时钟误差不应当超10分钟。
5.3 人员管理(行政工作)
本段落编写目是为了定义了人员管理规范, 减少由于人员疏忽或固意而做成信息资产毁坏或外泄机会, 减少有关风险导致业务损失。
5.3.1 责任规定
• 员工必须遵照安全管理规范,防止信息安全管理存在问题。
• 员工发既有其他人违反本规范,有义务告知流程经理或部门主管。
• 发现并汇报安全事件﹑软件故障和安全微弱点是员工应尽义务。
• 任何影响到他人正常使用集团系统和网络行为都是不容许。
• 当发现任何安全漏洞后,员工严禁用任何方式来运用它。
• 企业有权规定承担关键性任务员工与企业签订额外保密协议。
• 如有需要,应定期按地区法规发出"电脑软件版权合法使用提醒"通告, 提醒集团顾客合法使用软件版权
• 如发现顾客非法安装盗版软件或核准软件清单以外软件,信息技术部需立即删除,然后向顾客及其部门主管发出"非法安装软件告知书",并规定顾客于7天内直接以书面形式向集团总经理解释安装原因同步将副本抄送信息技术部存档。如顾客未有于指定日期前发出解释书,信息技术部应发出"非法安装软件跟进告知书",跟进告知书除发送至顾客外,副本会抄送至其主管及集团总经理。有关顾客告知书及解释书会寄存于信息技术部中央文献库内。
• 对出现违规员工,企业有权视详细状况对当事人进行处理,处理方式包括警告﹑调离岗位﹑解雇﹑送司法机关等。
5.3.2 安全保密制度
安全保密协议是任何能访问敏感信息员工、能接触关键资料合约供应商人员需要在访问信息处理设施前,均需签订承诺。 顾佣条款或保密协议或协议内条件应澄清和阐明如下详细内容:
• 保密内容和范围;
• 双方义务;
• 员工法律职责和权利,例如有关版权法、资料保护法等;
• 假如员工或合约供应商人员忽视安全规定所产生违约责任及也许需要采用措拖;
• 在顾用期员工应承担责任结束后持续时间参照保密协议。
基本保密义务:
• 应当遵守保密制度,妥善保管其所保留企业秘密资料,不得刺探与本职工作、自身业务无关秘密,不得泄露企业技术秘密。
• 非经企业书面同意,不得运用企业商业秘密进行生产、经营和兼职活动,不得运用企业商业秘密组建新企业。
• 假如发现企业秘密被泄露,应当采用有效措施防止泄密扩大,并及时上报企业。
• 无论是在职还是离职,不得披露、使用或者容许他人使用企业商业秘密,不得运用企业商业秘密从事兼职活动,不得运用企业商业秘密到其他单位任职。
• 员工离职时,应当将所持有秘密资料所有偿还集团,不得保留拷贝。
• 所有管理文献﹑系统帐户及密码﹑网络资源状况﹑系统(含软件)资源状况﹑商务文献(如内外合约)均属受保护范围,接触有关内容员工不得在未经许可状况下,故意或无意对外泄露(含无理解需要部门和人员)。
5.3.3 人员聘任
5.3.3.1一般规定
• 员工必须学习并遵守企业信息安全管理体系所有规定内容。
• 员工应自觉遵守职业道德,有高度责任心并自觉维护企业利益,不能运用电脑私自搜集、泄漏企业机密信息。
5.3.3.2人员筛选
在对应聘人员进行筛选过程中,对求职者背景调查应当符合有关法律法规以及道德准则规定,并根据不一样职位业务需求、所接触信息状况、以及也许由此引起风险做不一样程度调查,包括工作经历、犯罪记录或不良工作记录。审查应包括如下内容:
• 对应聘人员简历完整性和精确性进行查证。
• 对应聘人员申明学术和专业资格进行查证。
5.3.3.3员工入职安全管理
• 员工入职必须签订保密协议。
• 在员工入职培训内容中应当包括信息安全管理规范培训。
5.3.4 工作期间
5.3.4.1管理职责
在正式投入工作、获准访问敏感信息或信息系统之前,直属上司/各系统管理员应再次向其明确和细化其岗位所承担信息安全责任和有关规定,保证所有员工理解并遵从:
• 理解本人在被授权访问敏感信息或信息系统中应承担安全角色和职责。
• 对于他们在企业内角色和职责有关安全问题意识程度到达一定级别。
• 严禁在工作规定以外状况下对于敏感信息作私人查询。
• 遵守顾佣及部门条款和条件,包括信息安全方针规定。
当顾佣或协议变化,保密协议需要重新审阅(如协议到期、员工调职或工作范围发生重大变化)。
5.3.4.2个人电脑安全管理职责
• 执行管理制度规定软体使用规范,不安装和运行在网路上下载不可信应用程式,以防止被安装电脑木马程式、网路窃听程式或者感染电脑病毒。
• 未经同意不应使用未经企业许可软体,尤其是没有正式版权软体。
• 不得私自编制与其工作职责不相符软体。
• 若发既有私自变化预先安装软体、安装与工作无关软体、安装非法使用软体等状况,将按照规定向集团总经理通报。
• 做好使用电脑安全保护工作,防止电脑被网路袭击者攻破而成为进入内部网路跳板。严禁电脑上开放具有“写”许可权共用目录,假如实在有必要,可临时开放,但要设置共用密码,并在使用完之后立即取消共用。
• 长时间离开企业办工区域前有责任确认个人电脑及负责范围内用电设备处在关闭状态。
• 设置萤幕保护,养成离开坐位前锁定萤幕习惯。
• 不得私自启动电脑主机壳,如需拆主机壳,应当向当地系统管理组提出申请。
• 不得私自重装个人电脑系统。
• 使用印表机列印文档时,列印完毕后立即从印表机上取回文档,防止文档信息泄漏。
• 内部重要文献、资料销毁,应所有送入碎纸机,不得任意丢弃。
5.3.4.3电脑病毒防止职责
• 保证电脑防毒软件正常运作, 不得私自缷载、关闭防毒软件。
• 严禁安装使用自行从网上下载软体,对于外来程式和文档,在运行或打开前必须进行电脑病毒检测和清除。
• 对于电子邮件附件所带程式和文档在确认来自可信寄件者之前不得运行或打开,并且在运行或打开前必须进行电脑病毒检测和清除。
• 在收到来自企业内部其他同事发来具有病毒邮件,除进行杀毒外,还应及时告知对方杀毒。
• 发既有防毒软体查杀不彻底病毒时,应立即关闭电源并联络当地系统管理组进行处理。
• 不得进行电脑病毒制作和传播。
5.3.4.4在企业内部活动职责
• 进入部门办公区人员都应佩戴指定证件。一旦发现任何未佩戴证件人员,应立即向行政组汇报。 指定证件包括:职工证或访客临时出入证。
• 访客临时出入证在客人进入企业时由企业保安发放,离开企业时收回。
• 如需在部门办公区域寄存敏感文献,该文献必须加锁保留,一般性文献如协议、投标档等必须归档由行政组保留。
• 在使用各类移动存储介质进行资料转移或传递时须防止资料泄密或丢失。
5.3.4.5 员工安全培训
为保证员工意识到信息安全威胁和隐患,并在他们正常工作时遵守企业信息安全性原则,部门需要提供必要信息安全教育与培训。根据工作岗位对从业者能力需求、从业者自身实际能力以及从业者所面临信息安全风险,确定培训内容。也就是说培训应考虑不一样层次职责、能力、文化程度以及所面临风险。
5.3.4.6 员工惩罚机制
为保证员工严格执行各项安全规定,应对违规者进行惩罚。根据员工违反安全管理规范程度实行如下惩罚措施,惩罚手段可包括:
• 行政警告。
• 调离岗位。
• 根据协议予以解雇。
• 触犯刑律者移交司法机关。
5.3.5 离职或转岗
5.3.5.1终止职责
离职或转岗前,直属上司/各系统管理员应重申其离职后一段时间内仍须遵守安全条款,如在保密协议签订有关内容以及也许由此引起法律责任。
• 对于企业解雇员工,必须在第一时间完毕交接工作,告知其解雇后,所有工作交接内容必须有专人陪伴。
• 应注意防止员工离职或转岗前蓄意破坏及盗取资料等行为发生。
5.3.5.2偿还资产
员工离职或转岗前,应偿还所持有企业信息资产。偿还内容包括:
• 偿还所有物理安全设备,包括笔记本、门禁卡、钥匙和证件等。
• 偿还所有工作资料,包括纸介质和电子介质。
• 若员工已购置了企业设备,或在工作中使用了个人设备,应保证其存储企业有关信息被对返还,同步在设备上永久擦除。
5.3.5.3撤销存取权限
• 员工离职或转岗时,应收回所有密码,并确认密码对性。
• 员工离职或转岗时,应立即删除有关账户或更改所有此人员曾掌握过密码或金钥。
• 员工离职或转岗后,应移除员工对信息系统存取权限,撤销或更改员工使用过密码或金钥,例如停用个人帐号、调整所在组帐号等。
• 员工离职后,应立即删除有关生物识别存取权限。
5.4 机房管理
本段落编写目是为了规范机房环境和活动管理安全规定, 有效控制安全风险, 保障各业务系统访问可用性、 安全性及完整性,减少资产被破坏或盗窃对集团做成损失风险。
5.4.1 一般规定
• 受保护信息处理设备,例如是伺服器、存储等重要设备,必需放入受保护区域或机房。
• 机房钥匙需安排专人管理。
• 严禁容许或默许未登记或未经授权人员进入机房。
• 严禁在未经授权下私自处理故障。
• 严禁在机房进行任何无关工作行为。
• 严禁任何未经授权人仕于机房内拍照或录像。
• 除在供应商承认及指导下、 严禁非电力技术人员接触供电有关设备和线路。
• 严禁在非授权及无机房运维人员监视状况下进入设备区接触任何设备。
• 当发现机房内来访者有不恰当行为,任何人均有权提出质疑并向上级汇报。
• 严禁携带易燃易爆品进入机房。
• 严禁堆放备件、杂物等于非指定位置。
• 每天对机房进行巡检,并记录于《 机房运行巡检登记表》。
5.4.2 环境规定
5.4.2.1温湿度
• 机房范围应尽量保持恒温恒湿, 温度可按季节及外间室温调整为 20°C-23°C +2°C 之间。 相对湿度应维持在45%至65%之间;
5.4.2.2防尘
• 严禁在机房内堆放产生尘埃及废物设备。
5.4.2.3消防
• 机房应常备灭火器并摆放于指定位置,且告知有关同事;灭火器设备必须是乎合国家或国际原则产品。
• 选用灭火器时,必须注意选用二氧化碳或气体灭火器,严禁使用水、干粉或泡沫等轻易产生二次破坏灭火剂。
• 关键机房需设置乎合原则火灾自动报警及FM200自动灭火系统。
• 机房内消防设施每六个月至少检查一次,保持处在正常状态。
• 易燃物品,如使用纸、磁带、废弃物等,应放入有防火盖金属器皿或防火柜内。
5.4.2.4防水
• 若机房有给排水管道,则必须做到不渗、不漏。
• 如发现机房内水管有渗漏状况, 必需安排紧急处理。
• 如机房立于用水设备下层,其顶上必须设置防水层,并设漏水检查装置。
5.4.2.5静电防护
• 机房内地面、工作台面及座椅套材料等应是导静电,且应进行静电接地。
• 所有导体须保证可靠接地,不得有对地绝缘独立导体。
• 静电接地连接线应有足够可靠性,导电性能也应长期稳定。
• 在易生静电地方,可配置静电消除剂和静电消除器。
5.4.2.6防雷击
• 机房必须有有效防雷设计、防雷施工。 防雷内容可包括设备防雷、线路(电力线及信号线)防雷及防雷接地。
• 必需使用经国家或国际承认防雷产品。
5.4.2.7鼠害
• 在易受鼠害场所,机房内电缆和电线上应涂上驱鼠药剂。
• 如有需要,机房内应设置捕鼠或驱鼠装置。
5.4.2.8卫生
• 机房内应保持整洁,不可堆积杂物、易燃物品。
• 机房内严禁抽烟及饮食。
5.4.2.9供配电
• 应有可靠供电线路,其电源设备应稳定可靠。
• 非机房运维设备, 其电力负荷不得由电脑主机电源或 UPS 系统供电。
• UPS 系统应是可联网运作,提供次序自动关闭伺服器功能。
5.4.2.10其他
• 机房内多种线(电源线、信号线、网线等)应分别铺设。
• 机房内网线应有明确标号。
• 机房内有合适亮度照明, 及应急照明。
• 机房内应配接至少一部电话。
• 应视详细状况设置监视设备,及时发现异常状态。根据不一样使用目,应选择配置如下监视设备:
- 自动火灾报警器
- 漏水传感器
- 温湿度传感器
- 监视摄像机
5.4.3 机房进出管理
• 当地系统管理组主管按需要签订及核查《机房运维授权表》,授权指定有需要运维人员机房,并告知部门主管。
• 非预授权员工进出机房时,必须在《人员出入登记表》内登记后才能进出机房。
• 对于未有提供任何保密承诺系统维护厂商,维护人员进入机房前除在《人员出入登记表》内登记外, 需于现场签订《临时保密申明》,经有关机房运维经理确认及核准后才能进出机房。
• 系统维护厂商维护人员进行现场维护时, 过程中需全程由系统管理组人员监视。
5.4.4 物品进出机房管理
• 机房设备需进入机房安装前必须提前至少2个工作日告知,分派好有关资源(IP,网路埠,详细安装位置,电源插座等)并填写《仪器进入机房审批表》,经系统管理组主管审批后方可进入。
• 系统管理组需负责机房内各类记录、介质保管、搜集,资讯载体必须安全寄存、保管,防止丢失或损坏。
• 机房物品包括目前正在运行设备和备件设备、线缆、测试仪器等一切跟机房运行维护有关设备、资料、仪器、工具。 对这些物品进出流向必须做好登记立案。
• 对正在运行设备需要更换拆除并运离机房时,需要填写《物品出入登记表》后,方可关闭设备搬离机房。
5.4.5 空调管理规范
• 空调过滤网需定期清洁并登记有关记录。
• 对设备设定及操作作按照机房环境规定进行。
5.4.6 消防安全
• 机房及周围地区严禁烟火,严禁明火作业以及使用电热器具。
• 在发生零星火灾而火警铃未有响起时候, 可以试使用机房内指定灭火筒进行扑救。
• 火警铃响时在机房内作业所有人员必须在30秒内撤离现场,保证个人人身安全后立即向系统管理组主管汇报状况。
5.4.7 电源使用安全
• 改动电力线路工作必需由电力技术人员进行。
5.4.8 门禁系统故障或断电时处置
• 机房门禁系统若因故障或断电无法使用时,系统管理组应纪录无法使用开始与结束时间,并采用人工手段保护机房安全,必要时应寻求保安部门协助。
5.4.9 共用机房管理
• 对于跟其他部门共用机房, 需要有明确权责分工协议。
• 系统管理组需每季度至少对有关机房作出视察。
5.4.10 记录检查
• 系统管理组应按月向信息安全流程经理提交《机房运行巡检登记表》,《人员出入登记表》,流程经理有权规定系统管理组提供门禁出入日志(如有)为作查对, 于检视完毕后若发既有异常应立即向部门主管通报并作后续处理。
5.5 网络管理
本段落编写目是规范网络设备管理以及网络访问行为,以保证资讯与网络访问与许可权能合适授权、配置及维持,防止未获授权资源访问,并保证使用手提电脑与远端存取时资讯安全。
5.5.1 一般规定
• 应加强网络基础设施和网络设备物理安全,防止自然或人为破坏。
• 顾客对资讯访问,其管理规定于下列各章节进行约定,顾客仅限于访问授权范围内资讯、服务与设备,不得作未经授权访问。
• 对于网络架构(「信息安全管理流程」定义范围)变动, 必需通过「变更管理流程」提出申请。
• 所有网络重要参数与设定,均由系统管理组负责按「 配置管理流程」设定与处理。
5.5.2 网络管理规定
• 网络构建规定以TCP/IP 协议为基础, 「信息安全管理流程」所定义网络范围内可使用固定IP或自动绑定。
• 网络设计应考虑容错与备份。
• 网络线路应提防未经授权接驳或改动。
• 系统管理组每季至少对线路巡视一次,及时发现环境或线路故障隐患。
• 网络设备密码应尽量使用强密码, 如设备存在多层管理机制,各层密码必需独立设置,规定为网络设备配置密码增强式加密与启用密码加密。
• 未经系统管理组许可﹐网络中电脑严禁
- a. 通过Modem、3G上网卡或其他非集团提供方式连接互联网服务﹔
- b. 通过电信服务提供商提供其他宽带﹑ADSL﹑ISDN 等互联网服务﹔
- c. 于当地开放 ftp、web、pop3、smtp 等类服务﹔
5.5.3 网络地图管理规定
• 旭日集团网络地图由系统管理组专人绘制。
• 网络地图须清晰反应:
- a. 重要设备位置分布﹔
- b. 网络节点﹔
- c. 网络IP 分派及地区/部门对照关系﹔
- d. 网络拓朴构造及各设备连接关系﹔
- e. 地图时间及负责人。
• 网络地图需随网络变动及时更新, 并按配置管理规定存档。
• 集团网络地图实行严格保密管理,不得故意或无意对外泄露。
• 系统管理组组员可因应工作需要保留当地区精简版本网络地图。
• 完整网络地地图须征得系统管理组主管及部门主管授权并有系统管理组人员陪伴方可查阅, 网络地图严禁带离。
5.5.4 防火墙管理通用规定
• 应当在内网与外网间使用防火墙设备隔离,使互联网与内部网之间建立起一种安全闸道,保证内部网络隐藏在公共网络之后,防止非法使用者对内部网络袭击和资料非法窃取修改。
• 在相对独立网络区域或与风险区域间,需采用防火墙网络安全模型。
• 任何关键性伺服器,都必须放在防火墙之后。
• 为隐藏内部地址,并克服IP地址也许数量限制,规定采用静态模式,即建立对外公开IP 地址和内部真正IP 地址之间映射。
• 尽量保持规则集简洁和简短,以减少出错机会和提高运转效率。
• 对于按次序方式检查信息包防火墙系统,应将较特殊规则放在前面,较一般规则放在背面,以防止防火墙配置错误。
5.5.5 防火墙设定与使用规定
• 对划分网络"风险区域"﹑"安全区域"和"非军事区域(DMZ)"三类区域应用,控制好各区间访问授权。
• 一般无需重启版本升级容许通过得到当地系统组主管批签服务祈求处理,波及停机版本必需按「变更管理流程」处理。
• 为保证防火墙遵照安全方略,每次方略更改后均需保证所作更改生效。
• 为防止各类网络袭击,在包处理中心,应设置有效防入侵方略。
• 充足运用防火墙管理软件,设置站点和端口过滤(永久性及临时性过滤),未经明确容许协议和埠会被防火墙严禁。
• 为保护内部网络,需建立网络地址转换(NAT)体系,尽量对外网隐藏内部网络资讯。
• 在防火墙上对ip位址进行过滤,仅仅对内部合法存在ip位址可通过防火墙出到外网,严禁内部网以任何形式直接接入Internet。
• 在防火墙设备上,仅容许内部网对Internet开通必要业务。
• 在防火墙上对个别通讯连接埠进行过滤,保证非授权使用者不能通过 telnet\snmp 等进入网络对设备进行管理和资料读写。
• 防火墙方略内顾客及参数调整可按「事件和服务祈求管理流程」使用服务祈求申请调整,只需每月一次进行综合备份。
• 对于方略建立与废除均应按「变更管理流程」处理,完毕后需立即进行配置档备份。
5.5.6 路由器及互换机管理规定
• 现时集团网络以惠州为连线及资料互换关键﹐各分部网络应按实际环境及需求,依如下优先次序选择连线方式﹕
- MPLS VPN
- IPSec VPN
- Internet
• 需对划分各子网网络地址。集团现时选用非公共网络地址172.20.X.X作为内部网络范围﹐各连线网络均会获分派一段IP地址,系统管理组需按此规定设置路由器IP地址分派。路由器子网分派设定资料通过「 配置管理流程」寄存于CMDB。
5.5.7 网络存取控制措施
为有效管理网络访问, 防止被误用与破坏。所有网络访问均应符合下列规定:
• 各项网络服务,仅限于业务需要并经授权顾客使用,并应注意不得有超过授权范围行为。
• 所有从顾客终端(机)至电脑服务(例如资料库伺服器主机、应用网络伺服器主机等)访问途径,均应予以控管。
• 执行诊断程式许可权需加以管理,尤其是自远端执行诊断程式更需加以控管,为防止远端诊断也许引起资讯安全危机,除核准者外,严禁从远端执行诊断程式。
• 网络应有路由管理,非合法IP不准通行,对于连线实际来源及目地址应加以检查,以防止电脑连接与资讯流动违反访问管理规定。
5.5.8 路由存取控制
• 系统管理组应当为互联网出口和广域网络线路接入路由器制定有关访问方略,对进出入IP资料包进行过滤,保证合法IP进入企业网内部。
• 对任何由外网进入企业网内部网络会话连接目地址必须是内部网络位址。
• 对任何由外网进入企业网内部网络会话连接源位址不可以是自身内部网络位址。
• 任何由内部网络经由路由器出去会话连接源位址必须是内部网络位址。
• 任何由内部网络经由路由器出去会话连接目地址必须不是内部网络位址。
• 任何进入或是离开网络资料包来源或是目地位址不可以是虚拟IP位址或是RFC1918所列保留IP地址。
5.5.9 内部网络安全
• 未经许可,任何入网单位和个人不得在所连网络上改动或连接或架设其他设备,包括互换机、路由器、AP、代理伺服器。所有网络设备增减与变动,其技术方案必须得到系统管理组审核。
• 内部网络所有关键线缆上都应有明确标签标识。
• 顾客在使用网络资源时,不得下载、测试、使用多种恶意程式码、病毒或其他也许危害网络安全程式,不得在网络上安装多种骇客工具、密码探测程式、包嗅探程式,使用网络进入未授权电脑、网络,散布电脑病毒,破坏网络服务和网络设备行为,干扰网络中其他顾客正常使用。
• 假如发现顾客针对网络恶意袭击,必须立即取消袭击者对资讯、网络和工作场所存取权限。
• 所有上网顾客有义务汇报所有违反规范行为。
• 顾客对工作用电脑进行网络设置时需遵守公布网络设置有关规定,包括但不限于域、DNS、组、IP设置。
• 网络顾客必须在联网电脑上安装指定品牌和版本防毒软体,按企业规定进行网络加固,安装系统管理组规定补丁服务,防止病毒影响网络。
• 对在内部进行无线联网应有登录认证,传播加密等安全手段。
5.5.10 互联网管理规定
• 网络顾客不得运用互联网从事违法及与工作无关行为如聊天、游戏、音视频下载等。
• 系统管理组须保证互联网顾客上网用电脑基本安全性包括:安全更新并安装防毒软体、更新至最新病毒码。
• 网络顾客访问互联网都须通过防火墙控制管理。
• 未经明确容许顾客或网段被严禁访问互联网。
• 严禁使用各伺服器内浏览器流览网站、下载软体、收发邮件、即时消息软体顾客端等用途。
• 系统管理组有权随时中断与本规定相违互联网访问行为并应对违规行为做深入调查。
• 系统管理组保留对网络使用者访问互联网内容做审计权利。
• 严禁网络顾客通过无线网络与非我司网络或AP相联。
• 外来设备在企业内通需过无线网络接入企业内网时,必须统一由系统管理组进行设置,通过对认证验证后才能接入, 对于外来顾客接入, 应采用合适手段控制使用范围。
5.5.11 远端存取管理
• 通过公共网络远端连接到企业内部网络须进行顾客识别,并且每个顾客有唯一ID。
• 对远端存取设备访问必需仅基于业务需要,且需经系统管理组主管书面同意。
• 对在外移动员工电脑,如要连入内部网络,在未采用安全措施状况下,严禁移动顾客直接拨号接入内部网,只能通过安全加密VPN帐户在经身份认证后可访问指定内部网主机。
5.5.12 垃圾邮件防护
• 在网域电邮入口应架设垃圾邮件防护系统。
• 垃圾邮件系统应拥有根据国际黑名单网站更新能力。
• 垃圾邮件系统应拥有邮件病毒侦测及阻截能力。
• 除拥有垃圾邮件防护系统入口外, 其他互联网出入口必需将对外 SMTP 端口关闭。
5.6 操作系统管理
本段落编写目是为了就安全与管理层面,规范系统设备管理及访问行为,以保证信息与系统访问与许可权能合适授权、配置及维持,防止未获授权访问,并保证系统和重要信息可用性和完整性。
5.6.1 终端规范
• 帐户在最多15分钟没有操作后﹐需自动进入锁定。
5.6.2 员工电脑规定
- 所有电脑均规定设有BIOS 管理密码﹐密码由仪器归属地系统管理组保管。
- 未经信息技术部及有关部门主管授权员工,帐户权限为 Power User。
- 在共享数据时﹐保证只共享所需目录给已赋权顾客。
5.6.3 顾客密码交付安全原则
• 授予使用者初始密码,应以合适方式交付顾客,并规定顾客获得初始密码后,应立即更改成自订密码。
5.6.4 伺服器权责分派规范
• 因业务需要而产生对各系统或服务访问, 顾客仅限于访问授权范围内信息、系统与数据,不得作未经授权访问。
• 在未有尤其授权状况下, 各角色人员均应于授权责任范围内运作,以减少信息或服务遭受未授权修改或误用。
• 此规范内列明规则需由伺服器统筹人按「变更管理流程」向系统系统管理组申请修改,其他项目以服务祈求申请处理。
5.6.5 伺服器帐号管理原则
• 为保证系统访问与许可权均能合适地授权、分派和管理, 系统帐号要进行分级管理, 所有系统存取权限均应分为伺服器管理员帐号和一般使用者帐号, 伺服器管理员帐号由伺服器统筹人及系统管理组共同审批; 一般使用者账号伺服器统筹人审批, 批核完毕后由系统管理组建立。
• 顾客需要进行伺服器访问时,需向该伺服器统筹人提交具顾客部门主管批签申请始得使用,在申请时必需阐明必要许可权范围,伺服器统筹人应考虑申请者实际业务需要,要保证只授予必要许可权。 当系统管理组收到任何有关顾客任务解除或离职讯息时,须立即办理帐号停用或注消。
• 所有已上线生产环境伺服器, 有关管理员密码由部门主管授权伺服器统筹人及系统管理组保管和管理。 无特殊需要, 在系统正式上线后,负责安装一般项目组组员及系统集成人员权限应立即删除。
• 任何人员对所有伺服器管理员和地区管理员帐号使用,均须经系统管理组管理员授权。若发现未经授权下使用管理员帐号, 定当作纪律处分, 状况严重者定当报请企业规定解雇处理。各授权人员名单需寄存于统一文档并依人事变化而更新。
• 在每台伺服器上根据业务需要,建立权责到人地区管理员帐户,该帐户在平常生产中从属Administrators群组,用于给各地区伺服器管理员对伺服器做设定或平常维护,帐户使用由伺服器统筹人及系统管理组管理员负责授权。
• 地区管理员帐户只授权于各地区伺服器管理员使用,不可交给非指定授权人员使用。
5.6.6 保安原则和措施
为保证系统安全性,设备在安装及配置作业系统时要注意如下问题:
• 伺服器及客户端电脑通用规定
- 除必需状况外﹐电脑中BIOS 启动设置,不可设定为可移动存储介质优先启动。
- 禁用不必要服务,不应安装不需要服务和协议种类。
- 禁用或删除不必要帐户。
- 尽量不要在当地硬盘上共享文献或目录。若一定需要,必需设定访问密码,使用完毕后应尽快删除该共用。
- 对所有必要档共用设置合适 ACL。
- 安装防毒软体并保证及时更新。
- 伺服器 按 5.6.8 节规定处理补丁, 顾客则应设定为自动更新。
- 设置帐户锁定方略,设备在操作人员离开或忘掉应通过键盘锁定期自动登出或上锁,在不使用时需用密码或其他控制加以保护。
- 严禁在企业范围内通过非企业网络连接互联网。
- 为防止软件后门,严禁下载安装未经系统管理组安全认证软件和插件,严禁使用未经授权软件(参看<核准软件清单>)。
- 系统管理组负责搜集及审批顾客需求软件,适时更新<核准软件清单>。
- 顾客都必需要使用输入使用者帐号和密码方式登入,通过系统验证之后,使用者才能进入系统。严禁使用空密码。
• 伺服器端操作系统管理规定(重要为生产环境)
- 新增顾客时为顾客设定密码, 应控制顾客初次登录必需更改密码。
- 各管理员权限账号必需设置强密码。
- 操作系统、应用系统和顾客数据应分别储存在不一样磁盘上。
- 未经拥有人或管理人授权严禁设定一般顾客在伺服器上拥有除读/执行以外权限(FTP/文献伺服器除外)。
- 严禁为顾客直接赋权, 必需通过顾客组分派权限。
• 微软操作系统伺服器管理规定
- 所有磁碟分割都应采用 NTFS 格式。
- 如非必要,应保证来宾帐户为禁用。
- 防止注册表被匿名访问。
- 应用合适注册表 ACL。
- 针对微软作业系统,规定安装完关键补丁后,立即联网配置WSUS,接受其补丁分发管理,继续完毕补丁安装,保证系统不会由于漏洞而被感染病毒或者被骇客袭击。
• Linux操作系统伺服器管理指导
- 在完毕 Linux 系统安装和配置后,对整个系统进行备份,以用于系统完整性验证和发现系统文献与否被纂改; 也防止当系统出现问题时,使其恢复到正常状态。
- 删除操作系统中不必要预置帐号(每次升级或安装软件后都要检查一下)。
- 谨慎配置“etc/inetd.conf”文献,严禁,最佳是卸载不需要服务。
- 通过hosts.deny 文献, 严禁所有远程主机对当地服务访问。而对那些容许远程访问,由host.allow 文献逐一加入指明;
- 严禁不必要SUID程序。
- 修改系统中某些关键性文献属性并防止意外修改和被一般顾客查看。
- 若非绝对必要,不要用root 帐号登录,更不要在别电脑上用“root”登录自己伺服器。
5.6.7 系统防病毒管理原则
• 系统管理组需建立集中式防病毒机制,进行防病毒系统管理,配置专门防病毒伺服器,所有作业系统必须先安装防毒软体顾客端,方可连入局域网。
• 防病毒平常管理工作内容如下:
- 每周检查防病毒伺服器上病毒定义码下载状况与否正常。
- 每周检查防病毒伺服器上病毒定义码下发状况与否正常,如有未正常下发顾客端,告知管理人查找原因。
- 每周检查防病毒伺服器中记录病毒发作状况,分析与否有异常;
- 对于出现防病毒系统无法处理新病毒,管理人需及时提取病毒样本,上传到防病毒厂家,并跟进处理。如得到防病毒厂家专杀工具,及时进行下发,防止更大损失。
• 每月使用扫瞄软件,找出各网段中因多种原因损坏或未安装防毒软件设备,并于一周内补装
5.6.8 补丁管理
系统管理组需建立统一补丁管理机制,进行补丁管理。
详细工作内容如下:
5.6.8.1 通用规定
• 波及外网能袭击仪器,补丁需优先完毕更新。
• 对于大型服务包, 应采用分批升级,防止所有设备同步出现问题。
• 重大补丁分发要制定分发计画。计画中关键要根据企业环境分批安装,原则是业务重要、资产价值大、威胁等级高系统优先安装,确定次序后,组织有关人员进行补丁安装。
5.6.8.2 网络设备规定(防火墙、路由器及互换机等)
• 一般无需重启防火墙平常补丁容许于防火墙自动进行。
• 防火墙、路由器及互换机等网络设备,补丁波及版本升级但无需重启容许通过服务祈求处理,波及停机版本必需按「变更管理流程」处理。
• 大型补丁、服务包、其他类型补丁及波及重要版本变动
展开阅读全文