网络安全工作总体方针
第一章 总则
第一条 为规范和加强学院信息系统的安全工作,提高学院信息系统整体安全防护水平,实现网络安全的可控、能控、在控,依据国家有关法律、法规的要求,特制定本管理制度。
第二条 本管理制度的目的是为信息系统安全管理提供一个总体的策略性架构文件,指导建立学院信息系统的安全管理体系。以实现信息系统统一的安全策略管理,提高整体的网络安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。
第三条 本管理制度适用于信息系统资产和信息技术人员的安全管理和指导,适用于指导信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于四海全讯5123安全管理体系中安全管理措施的选择。
第四条 信息系统指在用、在建的所有网络、应用等信息系统。
第五条 标准及参考文件
本文档的编制参照了以下标准和文件:
(一)《中华人民共和国计算机信息系统安全保护条例》
(二)《关于网络安全等级保护建设的实施指导意见》(信息运安〔2009〕27 号)
(三)《网络安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
(四)《网络安全技术 信息系统安全管理要求》(GB/T20269—2006)
第二章 方针、目标和原则
第六条 学院信息系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。
第七条 信息系统安全总体目标是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止对外服务中断和由此造成的系统运行事故。
第八条 网络安全工作的总体原则
(1)基于安全需求原则
应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求。
(2)主要领导负责原则
主要领导应确立统一的网络安全保障的宗旨和政策,负责提高师生的安全意识,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实。
(3)全员参与原则
信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。
(4)系统方法原则
按照系统工程的要求,识别和理解网络安全保障相互关联的层面和过程,采用管理和技术相结合的方法,提高实现安全保障目标的有效性和效率。
(5)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进网络安全管理体系的有效性。
(6)依法管理原则
网络安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。
(7)分权和授权原则
对特定职能或责任领域的管理功能实施分离,避免权力过分集中所带来的隐患,减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(8)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,以减少或避免可能出现的失误。
(9)管理与技术并重原则
坚持积极防御和综合防范,全面提高信息系统安全防护能力,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。
(10)自我保护和国家监管结合原则
对信息系统安全实行自主保护和国家保护相结合。学院要对自己的信息系统安全保护负责,相关部门有责任对信息系统的安全进行指导、监督和检查。形成自管、自查、自评和职能部门监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障网络安全。
第九条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第三章 总体安全策略
第十条 安全管理制度策略
安全管理制度包括网络安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。安全管理制度重点关注管理制度、制定和发布、评审和修订三方面。目的是根据系统的安全等级,依照国家相关法律法规及政策标准,建立网络安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,奠定网络安全的基础。
第十一条 安全管理机构策略
学院成立了网络安全与信息化领导小组,是网络安全的最高决策机构,负责研究重大事件,落实方针政策,制定实施策略和原则,开展安全教育等。
第十二条 人员安全管理策略
通过建立安全岗位责任制,最大限度降低人为失误所造成的风险。人员安全管理的原则是:职责分离、有限授权、相互制约。人员安全管理的要素包括:安全管理人员配备、信息系统关键岗位、人员录用、人员离岗、人员考核与审查、第三方人员管理等。网络安全人员的配备和变更情况,应及时备案。网络安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及学院业务核心技术的网络安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第十三条 系统建设管理策略
信息系统的安全管理贯穿系统的整个生命周期,系统建设管理主要关注的是生命周期中的前三个阶段(初始、采购、实施)中各项安全管理活动。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、和安全服务商选择九个控制点。
第十四条 系统运维管理策略
目的是保障信息系统日常运行的安全稳定,对运行环境、技术支持、操作使用、病毒防范、备份措施、文档建立等全方位管理。包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安全管理控制平台等方面的管理要素。对运行过程的任何变化,数据、软件、物理设置等,都应实施技术监控和管理手段以确保其完整性,防止信息非法复制、篡改,任何查询和变更操作需经过授权和合法性验证。
第十五条 网络安全策略
(1)网络中必须部署相关网络设备、补丁分发等系统
(2)网络设备除接入交换机链接工作终端的线路外,其他线路必须进行双线冗余;
(3)整体网络不能出现流量瓶颈,保证带宽充足;
(4)各部门必须划分不同网段的IP地址;
(5)划分网络带宽,突出优先级;
(6)网络边界处必须部署防火墙、IPS等安全设备;
(7)网络设备必须开启日志审计功能。
第十六条 主机安全策略
(1)登录操作系统和数据库系统的用户必须进行身份标识和鉴别;
(2)操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度并要求定期更换;
(3)操作系统和数据库系统必须启用登录失败处理功能;
(4)对服务器进行远程管理时,必须采取必要措施,防止信息在网络传输过程中被泄露;
(5)为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,不能出重名情况;
(6)操作系统和数据库必须及时停用长期未用的账户;
(7)主机必须开启日志审计功能;
(8)主机必须安装防恶意代码产品,并进行统一管理。
第十七条 应用安全策略
(1)应用系统必须在登录时要求输入用户名和口令;
(2)登录应用系统必须进行两种或两种以上的复合身份验证(如用户名口令+Ukey或用户名口令+IP与MAC地址绑定方式);
(3)应用系统中设置的用户都必须是唯一用户,不能名称相同,且不能出现多人使用同一账户的情况;
(4)应用系统必须开启登录失败处理功能;
(5)应用系统必须开启登录连接超时自动退出等措施;
(6)应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数;
(7)应用系统必须开启日志审计功能;
(8)应用系统存储用户信息的设备在修理或转其它用途时,必须清除内部存储的用户信息。
第十八条 数据安全策略
(1)业务应用数据和设备配置文档都必须进行备份,以便发生问题时进行恢复;
(2)数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性;
(3)数据本机备份时应检测其完整性;
(4)数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,都必须是加密传输和存储;
(5)数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。
第四章 附则
第十九条 本办法自印发之日起执行。
