网络数据和信息安全管理标准规范.doc

XXXX WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人： XXX 审核人： XXX 同意人： XXX 20XX年X月X日公布 20XX年X月X日实施 1.0目标 计算机网络为企业局域网提供网络基础平台服务和互联网接入服务。为确保企业计算机信息及网络能够安全可靠运行，充足发挥信息服务方面关键作用，愈加好为企业运行提供服务，依据国家相关法律、法规要求，结合企业实际情况制订本要求。 2.0术语 本规范中名词术语（比如“计算机信息安全”等）符合国家和行业相关要求。 2.1计算机信息安全是指预防信息财产被有意或偶然非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息完整性、保密性、可用性和可控性。包含操作系统安全、数据库安全、病毒防护、访问权限控制、加密和判别等七个方面。 2.2狭义上计算机信息安全，是指预防有害信息在计算机网络上传输和扩散，预防计算机网络上处理、传输、存放数据资料失窃和毁坏，预防内部人员利用计算机网络制作、传输有害信息和进行其它违法犯罪活动。 2.3网络安全，是指保护计算机网络正常运行，预防网络被入侵、攻击等，确保正当用户对网络资源正常访问和对网络服务正常使用。 2.4计算机及网络安全员，是指从事保障计算机信息及网络安全工作人员。 2.5一般用户，是指除了计算机及网络安全员之外全部在物理或逻辑上能够访问到互联网、企业计算机网及各应用系统企业内部职员。 2.6主机系统，指包含服务器、工作站、个人计算机在内全部计算机系统。本要求所称关键主机系统指生产、办公用Web服务器、Email服务器、DNS服务器、OA服务器、企业运行管理支撑系统服务器、文件服务器、各主机系统等。 2.7网络服务，包含经过开放端口提供网络服务，如WWW、Email、FTP、Telnet、DNS等。 2.8有害信息，参见国家现在法律法规定义。 2.9重大计算机信息安全事件，是指企业对外网站（电子公告板等）上出现有害信息；有害信息经过Email及其它路径大面积传输或已造成较大社会影响；计算机病毒蔓延；关键文件、数据、资料被删除、篡改、窃取；由安全问题引发系统瓦解、网络部分或全部瘫痪、网络服务部分或全部中止；系统被入侵；页面被非法替换或修改；主机房及设备被人为破坏；关键计算机设备被偷窃等事件。 3.0组织架构及职责分工 3.1企业设置计算机信息及网络安全领导小组，作为企业计算机信息安全工作领导机构，统一归口负责外部部门（政府和其它部门）相关计算机信息安全工作和特定事件处理。 3.3计算机信息及网络安全领导小组负责领导、检验、督促、制订信息安全策略、规章制度和方法，加强计算机信息安全工作管理和指导，落实国家相关计算机信息安全法律、法规和上级相关要求，保障企业计算机信息安全。 3.4计算机信息及网络安全工作实施“谁主管，谁负责”标准，各部门责任人对本部门计算机信息及网络安全负直接责任。 3.5各部门必需配置由计算机技术人员担任本部门计算机及网络安全员，并报企业计算机信息及网络安全领导小组立案。各部门计算机及网络安全员负责本部门计算机信息及网络安全技术计划和安全方法具体实施和落实。 3.6相关岗位信息安全职责： 3.6.1计算机及网络安全员： 1）负责本部门计算机信息及网络安全工作具体实施，立即掌握和处理相关信息安全问题。 2）定时或不定时检测本部门计算机信息及网络安全情况，发觉安全漏洞和隐患立即汇报，并提出整改意见、提议和技术方法。 3）指导和监督、检验本部门职员在计算机信息安全防护、数据保护及账号、口令设置使用情况。 4）发觉计算机信息安全问题，立即处理，保护现场，追查原因，并报部门计算机信息安全领导小组。 5）定时分析计算机安全系统日志，并作对应处理。 6）验证本部门关键数据保护对象安全控制方法和方法有效性，对于不符合安全控制要求提出技术整改方法，对本部门数据备份策略进行验证并实施。 7）负责所管理计算机主机系统及网络设备安全管理和安全设置工作。 8）负责所管理计算机主机系统和网络设备用户账号及授权管理。 9）定时分析操作系统日志,定时或不定时检验系统进程，在发觉异常系统进程或系统进程数量异常改变要立即进行处理。 10）负责指导并督促用户设置高安全性账号口令和安全日志。 11）进行计算机信息安全事件排除和修复，包含操作系统、应用系统、文件恢复和安全漏洞修补。 12）在正常系统升级后，对系统重新进行安全设置，并对系统进行技术安全检验。 13）依据上级和本级计算机信息安全领导要求，根据要求步骤进行系统升级或安全补丁程序安装。 14）管理本部门计算机网络服务和对应端口，并进行登记立案和实施技术安全管理。 15）依据数据备份策略，完成所管理系统数据备份、备份介质保管、数据恢复工作。 3.6.2一般用户职责： 1）自觉遵守计算机信息及网络安全法律、法规和要求。 2）负责所使用个人计算机设备及数据和业务系统账号安全。 3）发觉本部门计算机网存在安全隐患及安全事件，立即汇报部门计算机管理部门。 4）不得私自安装、维护企业全部网络设备（包含路由器、交换机、集线器、光纤、网线），不得私自接入网络。 3.7各部门应保持计算机及网络安全员相对稳定，并加强对计算机及网络安全员教育和技术培训。在计算机及网络安全员调动、离职或其它原因离开原岗位时，应将其包含用户账号和权限立即进行变更或注销。 4.0 系统安全要求 4.1企业计算机机房由计算机管理部门负责管理，并建立出入登记和审批制度。携带计算机设备及磁盘等存放介质进、出主机房，应经主管部门同意，并由机房管理人员进行核查登记。 4.2各部门计算机管理部门应指定专员负责本部门计算机设备管理，做好计算机设备增添、维修、调拨等审核和管理。计算机设备维修尤其是需离场维修或承包给企业外部人员维护、维修时，应核实该设备中是否存放有包含企业秘密、不宜公开内部资料和账号、密码等，如有应采取拆卸硬盘、有效删除相关资料等有效方法，预防泄密。 4.3使用、操作计算机设备时，应遵照以下安全要求： 1）保管好自己使用或所负责保管计算机设备账号、口令，并不定时更换口令，不得转借、转让账号。 2）不安装和使用来历不明、没有版权软件，对于外来软件、数据文件等，必需先经病毒检测，确定无感染、携带病毒后方可使用。 3）不在个人使用计算机上安装和工作无关软件。 4）不私自更改设备IP地址及网络拓扑结构及软、硬件配置。 5）在存放相关键数据计算机上，应设置开机密码、屏幕保护密码。 6）在个人计算机上安装防病毒软件，并开启实时病毒监测功效，立即升级病毒库和软件。 7）非经计算机管理部门有效许可，不得对网络进行安全（漏洞）扫描和对账号、口令及数据包进行侦听；不得利用网络服务实施网络攻击、散布病毒和公布有害信息。在网络设备及主机系统进行操作还应该遵照相关网络安全要求。 5.0 账号管理安全 5.1账号设置必需遵照“唯一性、必需性、最小授权”标准。 唯一性标准是指每个账号对应一个用户，不允很多人共同拥有同一账号。 必需性标准是指账号建立和分配应依据工作必需性进行分配，不能依据个人需要、职位进行分配，严禁和所管理主机系统无关人员在系统上拥有用户账号，要依据工作变动立即关闭不需要系统账号。 最小授权标准是指对账号权限应进行严格限制，其权限不能大于其工作、业务需要。超出正常权限范围，要经主管领导审批。 5.2系统中全部用户（包含超级权限用户和一般用户）必需登记立案，并定时审阅。 5.3严禁用户将自己所拥有用户账号转借她人使用。 5.4职员发生工作变动，必需重新审核其账号必需性和权限，立即取消非必需账号和调整账号权限；如职员离开本部门，须立即取消其账号。 5.5在本部门每个应用系统、网络工程验收后，应立即删除系统中全部测试账号和临时账号，对需要保留账号口令重新进行设置。 5.6系统管理员必需定时对系统上账号及使用情况进行审核，发觉可疑用户账号时立即核实并作对应处理，对长久不用用户账号进行锁定。 5.7 通常情况下不许可外部人员直接进入主机系统进行操作。在特殊情况下（如系统维修、升级等）外部人员需要进入系统操作，必需由系统管理员进行登录，并对操作过程进行统计立案。严禁将系统用户及口令直接交给外部人员。 6.0 口令安全管理 6.1口令选择、组成、长度、修改周期应符合安全要求。严禁使用名字、姓氏、电话号码、生日等轻易猜测字符串作为口令，也不要使用单个单词作为口令，在口令组成上必需包含大小写字母、数字、标点等不一样字符组合，口令长度要求在8位以上。 6.2关键主机系统，要求最少每个月修改口令，对于管理用工作站和个人计算机，要求最少每两个月修改口令。 6.3关键主机系统应逐步采取一次性口令及其它可靠身份认证技术。 6.4当地保留用户口令应加密存放，预防用户口令泄密。 6.5软件安全管理： 6.1不安装和使用来历不明、没有版权软件。 6.2不得在关键主机系统上安装测试版软件。 6.3开发、修改应用系统时，要充足考虑系统安全和数据安全，从数据采集、传输、处理、存贮，访问控制等方面进行论证，测试、验收时也必需进行对应安全性能测试、验收。 6.4操作系统和应用软件应依据其本身存在安全漏洞立即进行必需安全设置、升级和打安全补丁。 6.5个人计算机上不得安装和工作无关软件。在服务器系统上严禁安装和服务器所提供服务和应用无关其它软件。 6.6系统设备和应用软件登录提醒应对可能攻击尝试、非授权访问提出警告。 6.7主机系统服务器、工作站所使用操作系统必需进行登记。登记统计上应该标明厂家、操作系统版本、已安装补丁程序号、安装和升级时间等内容，并进行存档保留。 6.8关键主机系统在系统启用、重新安装或升级时应建立系统镜像，在发生网络安全问题时利用系统镜像对系统进行完整性检验。 7.0服务器、网络设备、计算机安全系统（如防火墙、入侵检测系统等）等应含有日志功效并必需启用。网络信息安全管理员要定时分析网络安全系统和操作系统日志，在发觉系统遭受攻击或攻击尝试时采取安全方法进行保护，对网络攻击或攻击尝试进行定位、跟踪并发出警告，并向网络信息安全领导小组汇报。系统日志必需保留三个月以上。 8.0新建计算机网络、应用系统必需同时进行网络信息安全设计。 9.0 互联网信息安全 9.1企业对外网站、需定时做安全检验，并设置好相关信息公布、管理权限，预防有害信息传输。 9.2各部门搭建电子邮件系统，严禁开启匿名转发功效，并应按相关要求从技术、管理上采取有效方法过滤垃圾电子邮件及有害信息。 10.0数据安全 10.1需要保护关键数据最少包含： 1）关键文件、资料、图纸（电子版）。 2）财会系统数据库。 3）关键主机系统系统数据。 4）其它关键数据。 10.2各部门计算机管理部门应制订数据备份策略及关键数据灾难恢复计划，立即做好数据备份及恢复。 10.3对数据备份必需有明确统计，在统计中标明备份内容、备份时间，备份操作人员等信息。对于关键数据备份必需异地存放，并做好相关异地备份统计。 10.4各部门必需每十二个月最少进行一次数据备份策略有效性验证，对数据恢复过程进行试验，确保在发生安全问题时能够从数据备份中进行恢复。 10.5各部门计算机管理部门应对所管理系统上存放数据进行登记立案，登记内容关键包含：需要保护数据、存放位置、存放形式、安全控制方法和方法、负责安全管理和日常备份人员、能够访问数据用户、访问方法和权限。 10.6包含企业秘密及含有高保密性要求（如口令文件）数据在传输、存贮时应加密。 10.7严禁在没有采取安全保护机制计算机上存放关键数据，在存放关键数据计算机最少应该有开机口令、登录口令、数据库口令、屏幕保护等防护方法。严禁在个人计算机上存放关键数据。 10.8不得以软盘或笔记本电脑等形式将关键数据带出系统。如确实必需，须将数据用安全可靠加密手段加密存放，并将存放软盘或笔记本电脑比照密级文件管理。 11.0安全管理 11.1各部门必需对本部门计算机信息及网络安全进行常常性检验、检测： 1）系统安全检验应每个月检验、检测一次； 2）计算机病毒防治应每个月最少全方面检验一次； 3）数据备份应每个月检验一次。 11.2检验发觉计算机信息及网络安全隐患，应组织安全隐患整改，不能立即整改，应采取有效方法预防网络信息安全事件和案件发生。 11.3发生计算机信息及网络安全事件，应立即组织人员妥善处理，预防扩散影响。触犯刑律，应保留证据，汇报公安机关，并配合查处。 11.4发生重大计算机信息及网络安全事件须在二十四小时内上报。 11.5各部门应对用户及本部门职员进行网络信息安全宣传，宣传相关国家法律、法规和网络信息安全知识，加强用户法律意识和安全意识，不得从事任何危害网络信息安全行为。 12.0 用户网络信息安全 12.1 维护人员不得将用户系统密码泄露给她人。 12.2 维护人员因工作原因进入用户系统是，不得复制、删除、修改用户信息。 12.3 进入用户系统应使用专用计算机，该计算机应每七天进行杀毒，以防将病毒传入用户系统。 12.4 维护人员用户端应立即升级或更新，确保其和用户系统版本保持一致。