当前位置:文档之家 › 广州市财政局网站安全管理制度

广州市财政局网站安全管理制度

  • 格式:docx
  • 大小:21.13 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

财政网络安全

财政网络安全

财政网络安全
财政部门网络安全防护要点
网络安全作为现代社会不可忽视的重要问题,对于财政部门而言尤为关键。

保护财政信息安全,维护财政系统的正常运行,是我们努力的方向。

以下是财政网络安全防护的几个要点:
1. 建立全面的安全意识:全员参与网络安全工作,提高对网络风险的认识和防范意识,加强对信息安全政策和规范的学习与培训,提高员工的安全防护能力。

2. 加强网络设备的安全防护:部署健全防火墙、入侵检测与防御系统、流量监测与管理系统等网络安全设备,对网络进行实时监控和及时处置,保障网络的正常运行。

3. 强化系统安全管理:加强对财政系统的安全管理,制定和完善安全策略和措施,确保系统的稳定性和安全性,及时更新和升级系统补丁,防止漏洞被黑客利用。

4. 加强密码管理:制定严格的密码安全规范,并对员工进行培训,定期更换密码,不使用简单密码,确保系统和账户的安全。

5. 防范社交工程攻击:加强对钓鱼邮件、诈骗电话等社交工程攻击的防范,及时加强对员工的培训和宣传,提高员工对此类攻击的识别能力。

6. 加强外部威胁应对:及时关注和分析网络安全威胁信息,引
入第三方安全服务机构,进行漏洞扫描和渗透测试,确保网络系统的完整性和可靠性。

7. 建立应急响应机制:制定完善的应急预案和响应流程,建立网络安全事件的风险评估和处理机制,确保在网络安全事件发生时能快速、有效地应对和处置。

8. 加强安全监测和评估:定期进行网络安全评估和渗透测试,对财政系统进行全面的安全检查,及时发现和修复潜在的安全隐患。

总之,财政网络安全的保护需要全体员工的积极参与和共同努力。

通过加强安全意识、完善安全措施和及时应对安全威胁,我们可以更好地保护财政信息资产的安全。

财政分局安全生产管理制度

财政分局安全生产管理制度

一、总则为加强财政分局安全生产工作,保障财政干部和人民群众的生命财产安全,根据《中华人民共和国安全生产法》及相关法律法规,结合我局实际情况,特制定本制度。

二、安全生产责任1. 财政分局局长对本单位安全生产工作全面负责,分管领导对分管范围内的安全生产工作负责。

2. 各部门负责人对本部门安全生产工作直接负责,对本部门职工的安全生产工作进行指导和监督。

3. 职工应当遵守安全生产规章制度,接受安全生产教育和培训,提高安全意识和自我保护能力。

三、安全生产管理1. 安全生产教育与培训:每年至少组织一次安全生产教育培训,确保全体职工掌握安全生产知识和技能。

2. 安全生产检查:每月至少开展一次安全生产检查,对发现的安全隐患及时整改,确保安全生产无事故。

3. 安全生产设施:按照国家标准和行业标准,配备和完善安全生产设施,确保设施完好、有效。

4. 安全生产记录:建立健全安全生产记录,详细记录安全生产检查、事故处理、隐患整改等情况。

5. 应急预案:制定并实施安全生产应急预案,定期组织应急演练,提高应急处置能力。

四、安全生产措施1. 办公区域安全:定期检查办公区域门窗、消防设施、用电线路等,确保设施完好、安全。

2. 用电安全:严格执行用电管理规定,杜绝私拉乱接电线、超负荷用电等现象。

3. 用火安全:禁止在办公区域吸烟,严格控制明火作业,确保火源得到有效控制。

4. 交通安全:严格执行车辆管理规定,驾驶员必须持有有效驾驶证,确保行车安全。

5. 食品安全:严格执行食品安全管理制度,确保职工饮食卫生。

五、事故处理1. 事故报告:发生安全事故时,立即上报上级领导和相关部门,不得隐瞒、谎报。

2. 事故调查:成立事故调查组,查明事故原因,提出整改措施。

3. 事故处理:根据事故原因和责任,依法依规进行处理,确保事故得到妥善处理。

六、附则1. 本制度自发布之日起施行。

2. 本制度由财政分局负责解释。

3. 本制度如有未尽事宜,由财政分局根据实际情况予以补充和完善。

财政局信息安全管理制度

财政局信息安全管理制度

财政局信息安全管理制度xxx财政局信息安全管理制度为了认真贯彻执行国务院《中华人民共和国计算机信息系统安全保护条例》、《财政部办公厅关于加强财政信息系统安全和保密管理工作的通知》等文件精神,切实保障财政“一体化信息系统”的信息安全,结合我局计算机安全管理实际,特制定本制度。

第一章总则第一条安全工作的指导方针是:“预防为主,安全第一,严格管理,杜绝隐患”。

第二条维护财政专网运行,保证财政“一体化信息系统”安全。

第三条安全管理基本准则:(一)计算机安全工作制度体系的重点是规范使用财政专网内部人员行为和健全内部制约机制,根据不断变化的情况,及时对计算机安全制度进行补充和完善,逐步形成完整的、科学的计算机安全工作制度体系。

(二)设置计算机系统管理员一名,其岗位职责是对财政局办公范围内的计算机系统安全负责,参与对计算机系统安全策略、计划和事件处理程序的制定,协助计算机安全建设和运维方案的制定,负责系统运行安全细则的制定及组织实施,严格一体化系统内用户权限管理,记录系统安全事项。

特网,包括双网卡、移动上网卡和无线上网设备等。

第十条笔记本电脑、移动硬盘及U盘、光盘等储存介质,因工作原因经常带出,不得存储涉密数据及信息。

如确需存储涉密信息,原则上需经领导同意并记录。

第十一条重要网络设备包括数据库服务器、应用服务器、存储、主路由器、主交换机、防火墙等应放在财政局信息中心机房内,未经许可,其他人员不得对网络设备进行任何操作。

第十二条财政局信息中心机房内服务器的启动和关闭要严格按规定顺序进行。

对服务器、交换机、路由器等关键设备或对操作系统、数据库等核心数据进行操作时,须书面记录操作原因、过程和结果。

第十三条制定网络设备故障维修规程并严格执行,重大故障应记录日志,进行应急处理并立即报告领导。

第十四条除系统管理员或局领导指定同意的硬件维护的人员外,其他同志不得随意拆卸所使用的微机或相关的电脑设备。

第十五条财政局工作人员所属电脑及配套设备的使用和保养责任,在平时工作中应做好清洁、保养和安全工作,确保设备始终处于整洁和良好的状态。

财政局网络安全工作计划

财政局网络安全工作计划

财政局网络安全工作计划第一章:工作背景和目标1.1 背景概述随着信息技术的迅猛发展,网络安全问题日益突出。

财政局作为具有重要金融数据的机构,必须高度重视网络安全工作,保护用户信息和财务数据的安全性、完整性和可用性。

本计划旨在规划财政局的网络安全工作,建立健全网络安全体系,预防和应对各类网络安全威胁,提高信息系统的安全性和可靠性。

1.2 目标设定- 建立完善的网络安全管理体系,确保财政局信息系统的安全性。

- 提升财政局员工的网络安全意识和技能,减少人为因素导致的网络安全事故。

- 加强对网络安全事件的监测和应急响应,及时发现并处理安全事件,最大程度减少损失。

- 加强与其他相关部门、行业的合作,建立信息共享机制,共同应对网络安全威胁。

第二章:网络安全体系建设2.1 组织机构设置设立专职的网络安全处室,负责财政局的网络安全管理和监督,包括网络安全策略的制定、安全审计、风险评估等工作。

2.2 安全策略制定制定财政局的网络安全策略,明确安全目标和安全原则,建立统一的安全准则和标准,确保安全管理的一致性和规范性。

2.3 网络安全管理制度建设制定和完善网络安全相关的管理制度,包括安全策略制定与修订、网络设备和系统的配置与管理、账户管理、访问控制、信息备份与恢复等方面的规定,确保规章制度的完善与实施。

2.4 安全基础设施建设加强网络安全基础设施建设,包括网络防火墙、入侵检测系统、数据备份系统、安全监测系统等的建设和运维,提高对网络安全威胁的预警和防护能力。

第三章:网络安全人员培训和教育3.1 员工安全意识培训开展网络安全教育和培训活动,提高员工对网络安全的认识和了解,加强对常见网络安全威胁的防范意识,减少人为因素导致的安全事故发生。

3.2 安全技能培训组织网络安全技术培训,提升员工的技能水平,包括网络设备的安全配置、网络攻防演练、应急响应等方面的培训,提高员工应对网络安全事件的能力。

3.3 安全意识活动开展定期组织网络安全知识竞赛、安全意识宣传活动等,营造良好的网络安全氛围,增强员工的安全意识和主动性。

财政网络安全管理制度

财政网络安全管理制度

第一章总则第一条为确保财政网络安全,保障财政信息资源的安全性和完整性,根据《中华人民共和国网络安全法》等相关法律法规,结合我局实际情况,特制定本制度。

第二条本制度适用于我局所有工作人员及与财政网络安全相关的业务活动。

第三条财政网络安全工作应遵循“预防为主、防治结合、安全可靠、持续改进”的原则。

第二章组织与职责第四条成立财政网络安全工作领导小组,负责全局网络安全工作的统筹规划、组织协调和监督检查。

第五条财政网络安全工作领导小组下设办公室,负责具体实施网络安全管理措施,包括:(一)制定网络安全管理制度;(二)组织实施网络安全培训;(三)监督网络安全防护措施的落实;(四)组织开展网络安全检查和风险评估;(五)处理网络安全事件。

第六条各部门负责人为本部门网络安全第一责任人,负责本部门网络安全工作的组织实施。

第三章网络安全管理制度第七条网络安全防护措施(一)物理安全:确保机房、设备等物理设施安全,防止非法侵入和破坏。

(二)网络安全:采用防火墙、入侵检测系统等网络安全设备,防止网络攻击和恶意代码入侵。

(三)数据安全:加强数据加密、备份和恢复,确保数据安全。

(四)身份认证:严格执行用户身份认证制度,确保访问权限与职责相匹配。

(五)访问控制:实施严格的访问控制策略,限制对敏感信息的访问。

第八条网络安全培训(一)定期组织网络安全培训,提高工作人员网络安全意识和技能。

(二)对新入职员工进行网络安全培训,确保其了解网络安全知识和技能。

(三)对重要岗位人员进行专项网络安全培训,提高其网络安全防护能力。

第九条网络安全检查与风险评估(一)定期开展网络安全检查,发现问题及时整改。

(二)根据业务需求和网络安全风险,开展网络安全风险评估,制定相应措施。

(三)对网络安全事件进行复盘分析,总结经验教训,完善网络安全防护措施。

第四章网络安全事件处理第十条网络安全事件报告(一)发现网络安全事件时,立即向网络安全工作领导小组报告。

(二)报告内容包括事件发生时间、地点、原因、影响及已采取的措施等。

财政+网络安全管理制度

财政+网络安全管理制度

第一章总则第一条为加强财政网络安全管理,保障财政信息系统的安全稳定运行,防止信息泄露和系统故障,依据国家有关法律法规,结合我单位实际情况,特制定本制度。

第二条本制度适用于我单位所有财政信息系统、网络设备和工作人员。

第三条财政网络安全管理应遵循以下原则:(一)依法管理:严格遵守国家有关网络安全法律法规,确保网络安全。

(二)安全可控:加强网络安全防护,确保信息系统安全稳定运行。

(三)责任明确:明确各级人员网络安全职责,确保责任落实。

(四)持续改进:不断完善网络安全管理制度,提高网络安全防护水平。

第二章组织与职责第四条成立财政网络安全管理领导小组,负责制定、实施和监督网络安全管理制度,协调解决网络安全问题。

第五条财政网络安全管理领导小组下设网络安全管理办公室,负责具体实施网络安全管理工作。

第六条各部门负责人为本部门网络安全第一责任人,负责本部门网络安全管理工作的组织实施。

第三章网络安全措施第七条加强网络安全基础设施建设,确保网络设备安全可靠。

(一)定期检查网络设备,及时更新换代,提高设备性能。

(二)加强网络安全防护,安装防火墙、入侵检测系统等安全设备。

(三)定期对网络设备进行安全加固,确保设备安全。

第八条严格执行网络安全管理制度,加强网络安全防护。

(一)制定网络安全管理制度,明确网络安全操作规范。

(二)对工作人员进行网络安全培训,提高网络安全意识。

(三)对信息系统进行安全评估,及时消除安全隐患。

第九条加强数据安全保护,确保财政信息安全。

(一)定期对数据进行备份,确保数据安全。

(二)加强数据访问控制,严格控制数据访问权限。

(三)对敏感数据进行加密存储,防止数据泄露。

第十条加强网络安全事件应急处理,确保信息系统安全稳定运行。

(一)制定网络安全事件应急预案,明确应急处理流程。

(二)定期开展网络安全应急演练,提高应急处置能力。

(三)对网络安全事件进行及时报告、调查和处理。

第四章奖励与处罚第十一条对在网络安全管理工作中表现突出的单位和个人,给予表彰和奖励。

财政部网络安全管理制度

第一章总则第一条为加强财政部网络安全管理,保障财政信息系统的安全稳定运行,维护国家财政信息安全,根据《中华人民共和国网络安全法》等相关法律法规,结合财政部工作实际,制定本制度。

第二条本制度适用于财政部及其直属单位、派出机构和各分支机构(以下简称“财政部系统”)的信息系统、网络设备、数据资源和工作人员。

第三条财政部网络安全管理工作遵循以下原则:(一)依法依规,明确责任;(二)预防为主,防治结合;(三)技术和管理并重,强化技术防护;(四)安全与发展并重,促进信息共享。

第二章组织机构与职责第四条财政部设立网络安全和信息化工作领导小组,负责统筹协调财政部网络安全管理工作。

第五条网络安全和信息化工作领导小组的主要职责:(一)制定财政部网络安全管理制度;(二)组织开展网络安全检查和评估;(三)督促落实网络安全整改措施;(四)指导、监督各部门、各单位网络安全管理工作;(五)组织开展网络安全培训和宣传教育。

第六条财政部各部门、各单位应设立网络安全管理部门,负责本部门、本单位的网络安全管理工作。

第三章网络安全防护措施第七条财政部系统应采取以下网络安全防护措施:(一)物理安全:确保网络设备和数据存储设备的安全,防止未授权访问、破坏和盗窃。

(二)网络安全:建立完善的网络安全防护体系,包括防火墙、入侵检测系统、入侵防御系统等,防范网络攻击、病毒和恶意软件。

(三)主机安全:加强操作系统、数据库和应用软件的安全配置,定期进行安全漏洞扫描和修复。

(四)数据安全:采取数据加密、访问控制、备份和恢复等措施,确保数据安全。

(五)安全审计:建立安全审计制度,对网络设备和信息系统进行实时监控和审计,及时发现和处理安全事件。

第四章网络安全事件处置第八条财政部系统发生网络安全事件时,应立即启动应急预案,采取以下措施:(一)立即组织相关人员调查事件原因,采取措施控制事件蔓延;(二)通知相关部门,协同处理事件;(三)向相关部门报告事件情况,依法接受调查;(四)根据事件严重程度,采取相应的补救措施。

财政门户网站管理制度

《财政门户网站管理制度》2023-10-26CATALOGUE目录•总则•管理职责•网站内容管理•网站安全管理•网站用户管理•网站评价与持续改进•罚则与附则01总则规范财政门户网站的建设、管理和维护,提高财政工作的服务质量和效率,保障门户网站的安全、稳定运行。

目的根据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等相关法律法规,结合财政部门的实际情况制定本制度。

依据目的和依据本制度适用于各级财政部门对门户网站的管理、监督和考核工作。

各级财政部门应当依据本制度制定相应的实施细则,确保门户网站管理的规范、有序和高效。

适用范围财政门户网站指由各级财政部门主办、以服务公众为宗旨、按照法律法规和规定公开财政信息、提供在线服务和便民服务、开展政务公开和互动交流的官方网站。

关键岗位指门户网站建设、管理和维护过程中,对门户网站的安全、稳定运行和信息保密负有重要责任的关键岗位,包括技术负责人、安全负责人、编辑负责人等。

定义与术语02管理职责主管单位及职责负责财政门户网站的管理、监督和协调工作。

审核网站内容,确保网站信息的准确性、及时性和完整性。

制定网站建设规划和年度计划,并组织落实。

负责网站安全管理和漏洞修复工作,确保网站安全稳定运行。

技术支持单位及职责制定网站技术方案,并组织实施。

负责网站的技术支持、维护和升级工作。

协助主管单位完成网站建设和管理工作。

负责网站数据库的备份和维护工作,确保数据安全可靠。

内容保障单位及职责负责网站内容的策划、组织和编辑工作。

协助主管单位完成网站建设和管理工作。

制定网站内容保障计划,并组织落实。

负责网站信息的审核、发布和更新工作,确保网站信息的及时性和准确性。

03网站内容管理1 2 3网站内容必须符合国家法律法规和财政部门的规定。

内容合法性网站内容必须准确无误,不得出现错误或虚假信息。

内容准确性网站内容必须及时更新,反映最新政策、法规和财政信息。

内容及时性03审核人员网站内容审核必须由专业人员进行,确保审核的专业性和权威性。

财政安全专网管理制度

一、总则第一条为加强财政安全专网的管理,确保财政数据的安全和稳定运行,根据《中华人民共和国网络安全法》及相关法律法规,结合本部门实际情况,制定本制度。

第二条本制度适用于财政安全专网的所有用户、管理人员和运维人员。

第三条财政安全专网的管理应遵循以下原则:1. 安全第一,预防为主;2. 规范管理,责任到人;3. 科学合理,高效运行;4. 严格保密,确保安全。

二、网络架构与设备管理第四条财政安全专网应采用分层设计,包括核心层、汇聚层和接入层,确保网络结构的稳定性和可扩展性。

第五条网络设备应选用符合国家标准、性能优良、安全可靠的品牌产品,并定期进行检测和维护。

第六条网络设备应配置防火墙、入侵检测系统等安全设备,加强网络安全防护。

第七条网络设备的管理人员应定期检查设备运行状态,发现异常情况及时处理。

三、用户管理与权限控制第八条财政安全专网用户分为内部用户和外部用户,内部用户分为普通用户和高级用户。

第九条内部用户须通过身份认证,取得相应权限后方可使用财政安全专网。

第十条普通用户仅能访问本人工作所需的系统资源,高级用户可访问更广泛的系统资源。

第十一条用户权限根据工作职责和业务需求进行分配,严禁越权访问。

第十二条用户密码应定期更换,不得与他人共享,并采取保密措施。

四、数据安全与备份第十三条财政安全专网存储的数据应进行分类分级管理,确保数据安全。

第十四条财政数据应采取加密存储、传输和访问措施,防止数据泄露、篡改和非法使用。

第十五条定期对财政数据进行备份,确保数据可恢复。

第十六条备份介质应存放在安全地点,防止丢失、损坏或被盗。

五、网络安全事件处理第十七条发生网络安全事件时,应及时启动应急预案,采取措施遏制事态扩大。

第十八条网络安全事件处理流程如下:1. 事件发现与报告;2. 事件评估与响应;3. 事件处理与恢复;4. 事件总结与改进。

六、附则第十九条本制度由财政部门负责解释。

第二十条本制度自发布之日起施行。

财政系统安全管理制度

一、总则为了确保财政系统安全稳定运行,保障财政资金安全,维护国家经济安全和社会稳定,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,特制定本制度。

二、组织机构1. 成立财政系统安全工作领导小组,负责组织、协调、指导、监督财政系统安全管理工作。

2. 财政系统安全工作领导小组下设办公室,负责日常安全管理工作。

3. 各部门、各单位设立安全管理人员,负责本部门、本单位的安全管理工作。

三、安全管理制度1. 网络安全管理制度(1)严格执行国家网络安全法律法规,加强网络安全防护,确保财政系统网络安全。

(2)加强网络设备管理,定期检查、维护、更新网络设备,确保设备正常运行。

(3)加强网络访问控制,严格控制内外部访问权限,防止未授权访问。

(4)加强网络安全事件应急处置,建立健全网络安全事件应急预案,确保及时、有效处置网络安全事件。

2. 数据安全管理制度(1)加强数据安全管理,确保财政数据真实、准确、完整。

(2)对财政数据进行分类分级管理,按照数据重要性、敏感性、关联性等原则,采取不同的安全保护措施。

(3)加强数据备份与恢复,确保数据安全。

(4)加强数据安全审计,定期对数据安全进行审计,及时发现和整改安全隐患。

3. 应用系统安全管理制度(1)加强应用系统安全管理,确保应用系统稳定、可靠、安全。

(2)定期对应用系统进行安全评估,及时修复安全漏洞。

(3)加强用户权限管理,严格控制用户权限,防止未授权操作。

(4)加强系统日志管理,对系统操作进行记录,便于追踪和追溯。

4. 物理安全管理制度(1)加强物理安全管理,确保财政系统硬件设施安全。

(2)对重要硬件设备进行定期检查、维护,确保设备正常运行。

(3)加强机房安全管理,严格控制机房出入人员,防止未经授权的人员进入。

(4)加强电源、空调、消防等配套设施的管理,确保设施正常运行。

四、安全培训与考核1. 定期开展安全培训,提高全体员工的安全意识和技能。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附件3-2.广州市财政局网站安全管理制度广州财政局2005年10月一、总则为了更好的确保广州市财政局网站的安全稳定运行,合理、可靠、安全、高效地组织和管理广州市财政局网站,提高广州市财政局网站的服务质量,提高维护队伍的整体素质和水平,特制定本管理制度,作为维护和管理广州财政局网站的依据。

二、范围本制度的适用范围包括广州市财政局网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(业务数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。

三、角色和责任本手册适用于广州财政局网站的网络维护人员、系统维护人员、信息安全员及安全审计员等角色阅读。

本手册由信息管理处修改和维护。

四、网络安全维护管理制度1. 网站系统的所有网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备)应由专职网络维护人员负责管理,定期检查设备的物理环境,并按照机房物理安全要求进行维护。

2. 网络维护人员应对所有网络设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。

3. 网络维护人员应至少每天1次,对所有网络设备进行检查,确保各设备都能正常工作。

4. 网络维护人员应制定网络设备用户账号的管理制度,对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。

5. 网络维护人员应制订网络设备用户账号口令的管理策略,对口令的选取、组成、长度、保存、修改周期以及存储做出规定;禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不应使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上;不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方;对于重要的网络设备,要求至少每个月修改一次口令,或者使用一次性口令设备;若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。

6. 严格禁止非网络管理人员直接进入网络设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入网络设备进行操作时,必须由网络管理员登录,并对操作全过程进行记录备案。

禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据安全管理机构的批复进行临时账号的开放、注销、监控,并记录备案。

7. 网络维护人员应尽可能减少网络设备的管理方式,例如Telnet、web、SNMP等;如果的确需要进行远程管理,应使用SSH 代替Telnet,使用HTTPS代替HTTP,并且限定远程登录的超时时间,远程管理的用户数量,远程管理的终端IP地址,同时按照“网络安全配置管理策略”中的规定进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程连接;应尽可能避免使用SNMP协议进行管理,如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等验证功能;进行远程管理时,应设置控制口和远程登录口的超时时间,让控制口和远程登录口在空闲一定时间后自动断开。

8. 网络维护人员应及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得信息管理处领导的批准下,对生产环境实施软件更新或者补丁安装。

9. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。

操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。

10. 软件更新或者补丁安装后网络维护人员应重新对系统进行安全设置,并进行系统的安全检查。

11. 网络维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息管理处领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。

12. 网络维护人员应定期提交安全事件和相关问题的管理报告,以备领导检查。

13. 网络维护人员应制订网络设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。

对于重要网络设备,应建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于对网络设备日志的审查分析。

14. 网络维护人员应保证各设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。

15. 网络维护人员应通过各种手段监控网络的流量状况,当突发异常流量时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。

16. 网络维护人员应至少每年1次对整个网络进行风险评估。

17. 网络维护人员应至少每年1次对整个网络进行灾难影响分析,并进行灾难恢复演习。

五、系统安全维护管理制度1. 所有主机设备应由系统维护人员负责管理,定期检查服务器主机的物理环境,并按照相关物理安全要求进行维护。

2. 系统维护人员应对所有主机设备进行资产登记,登记记录上应该标明硬件型号,厂家,操作系统版本,已安装的补丁程序号,安装和升级的时间等内容。

3. 系统维护人员应至少每天1次,对所有主机设备进行检查,确保各设备都能正常工作。

4. 系统维护人员应对各个主机设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确定义,并定期进行审查,在发现有可疑的用户账号时进行核实并采取相应的措施。

5. 在用户权限的设置时应遵循最小授权和权限分割的原则,只给系统用户、数据库系统用户或其它应用系统用户授予业务所需的最小权限,应禁止为所管理主机系统无关的人员提供主机系统用户账号,并且关闭一切不需要的系统账号。

对两个月以上不使用的用户账号进行锁定。

同时对主机设备中所有用户账号进行登记备案。

6. 系统维护人员应制订主机系统的帐户口令管理策略,对口令的选取、组成、长度、保存、修改周期做出规定。

禁止使用名字、姓氏、电话号码、生日等容易猜测的字符作为口令,也不要使用单个单词或命令作为口令,组成口令的字符应包含大小写英文字母、数字、标点、控制字符等,口令长度要求在8位以上。

不应将口令存放在个人计算机文件中,或写到容易被其它人获取的地方。

口令文件(如:系统中的/etc/shadow)及其所有拷贝的访问权限应该严格限制为超级用户可读,并且定期检查。

对于重要的主机系统,要求至少每个月修改一次口令,或者使用一次性口令设备;对于管理用的工作站和个人计算机,要求至少每两个月修改一次口令。

若掌握口令的管理人员调离本职工作时,必须立即更改所有相关口令;用户账号口令应以加密方式存储,如MD5方式。

7. 系统维护人员应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时采取强制性的补救修改措施。

8. 严格禁止非本维护管理人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由系统管理员登录,并对操作全过程进行记录备案。

禁止将系统用户账号及口令直接交给外部人员,在紧急情况下需要为外部人员开放临时账号时,必须向信息管理处相关领导申请,在申请中写明开放临时账号的原因、时间、期限、对外部人员操作的监控方法、负责开放和注销临时账号的人员等内容,并严格根据主管领导的批复进行临时账号的开放、注销、监控,并记录备案。

9. 系统软件安装之后,系统维护人员应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作。

10. 严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响,并需要获得主管领导的批准。

11. 系统维护人员应制定软件使用制度,禁止在服务器系统上禁止安装与该服务器所提供服务和应用无关的其它软件。

12. 系统维护人员应制定重要主机系统的安全使用制度,禁止在重要的主机系统上浏览外部网站网页、接收电子邮件、编辑文档以及进行与主机系统维护无关的其它操作。

如果需要安装补丁程序,补丁程序必须通过日常维护管理用的工作站或PC机进行下载,然后再移到相应的主机系统安装。

13. 禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享。

14. 系统维护人员应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务,例如:SNMP、RPC、Telnet、Finger、Echo、Chargen、Remote Registry、Time、NIS、NFS、R系列服务等。

15. 系统维护人员应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。

16. 系统维护人员应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得主管领导的批准下,再实施软件更新或者补丁安装。

17. 软件更新或者补丁安装应尽量安排在非业务繁忙时段进行。

操作必须由两人以上完成,由一人监督,另一人进行实际操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案。

18. 软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。

19. 系统维护人员应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向主管领导报告细节;并不得试图干扰、防止、阻碍或劝阻其他员工报告此类事件;同时禁止以任何形式报复报告或调查此类事件的个人。

20. 系统维护人员应制订主机设备日志的管理制定,对于日志功能的启用,日志记录的内容,日志的管理形式,日志的审查分析做明确的规定。

对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。

21. 系统维护人员应保证各主机设备的系统日志处于运行状态,并每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。

22. 系统维护人员应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每2周一次,重大安全漏洞发布后,应在3个工作日内进行;并且为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报主管领导,并采取相应措施。