MHWJW13-网络与信息系统安全设计规范-V1.1-ok
- 格式:docx
- 大小:30.38 KB
- 文档页数:5
信息网络防护规章(标准版)1. 引言本文档旨在制定信息网络防护规章的标准版,以确保网络安全和数据保护。
该规章适用于所有使用信息网络的个人、组织和机构。
2. 定义- 信息网络:指通过计算机、互联网等技术实现的信息传输和共享的网络。
- 信息网络防护:指采取措施保护信息网络的安全性和可用性,防止未经授权的访问、攻击和破坏。
3. 规章要求3.1 密码安全- 所有用户必须设置强密码,并定期更换密码。
- 密码应包含字母、数字和特殊字符,长度不少于8位。
- 禁止使用弱密码,如生日、常见的字典词汇等。
- 禁止共享密码,每个用户应拥有独立的账户和密码。
3.2 网络设备安全- 网络设备应定期进行安全检查,包括防火墙、入侵检测系统等。
- 安全漏洞应及时修补和更新。
- 禁止使用未经授权的网络设备,如路由器、交换机等。
3.3 病毒防护- 所有设备必须安装并定期更新病毒防护软件。
3.4 数据备份与恢复- 数据备份应定期进行,并存储在安全的地方。
- 备份数据应进行加密和验证。
- 定期进行数据恢复测试,确保备份的有效性。
3.5 网络访问控制- 确定合适的网络访问权限,限制非必要的访问。
- 禁止未经授权的访问和操作。
- 定期审查和更新访问控制列表。
4. 其他事项- 所有用户应定期接受网络安全培训,并签署网络安全承诺书。
- 管理员应定期审核和改进信息网络防护规章。
- 违反规章的行为将受到相应的处罚和纪律处理。
5. 结论本文档制定了信息网络防护规章的标准版,旨在保护信息网络的安全和可用性。
所有用户和组织应遵守这些规章要求,并定期进行安全检查和培训,以确保信息网络的安全防护工作得到有效实施。
中国移动统一信息平台技术规范中国移动企业信息化一期工程统一信息平台技术规范(v1.0)中国移动通信集团公司目录1 总则 (1)1.1. 概述 (1)1.2. 适用范围 (1)1.3. 起草单位 (2)1.4. 解释权 (2)2 应用体系架构 (3)2.1. 两级架构 (3)2.2. 统一信息平台的组成 (4)2.3. 总体技术要求 (5)3 展示平台 (6)3.1. 域名规则 (6)3.2. 登录流程 (7)3.3.访问安全控制 (7)3.3.1. ......................................................... 认证83.3.2. ......................................................... 加密93.3.3. ......................................................... 授权93.4.个性化展现管理 (9)3.5.内容应用聚集 (10)3.6.系统性能要求 (11)4 网络和接入平台 (12)4.1.全国互联广域网组织结构 (12)4.1.1. ..................... 全国互联广域网拓扑结构124.1.2. ................. 广域网互联承载网络的选择134.1.3. ......................... 全国互联广域网的路由144.1.4. ................. 全国互联广域网的网络安全144.2.集团公司统一信息平台的网络组织结构14 4.2.1. ............. 集团公司统一信息平台局域网144.2.2. ................. 集团公司统一信息平台接入164.3.省公司统一信息平台的网络组织结构 (17)4.3.1. ................. 省公司统一信息平台局域网174.3.2. ..................... 省公司统一信息平台接入194.4.I P地址规划 (20)4.4.1. .................................... I P地址规划原则204.4.2. .................................... I P地址规划方法224.4.3. .................................... I P地址规划要求235安全管理平台 (24)5.1.网络管理及网络安全 (24)5.1.1. ......................................... 网络系统管理245.1.2. ................................................. 网络安全245.2.系统管理及系统安全 (25)5.2.1...................................................... 系统管理255.2.2. ................................................. 系统安全265.2.3. ..................................... 数据管理和安全285.2.4. ..................................................... 防病毒296系统和环境要求 (30)6.1.系统要求 (30)6.1.1. ................................................. 主机设备306.1.2. ................................................. 操作系统316.1.3. ......................................... 存储备份设备316.1.4. ................................................. 网络设备326.1.5. ..................................................... 数据库346.1.6. ......................................... 展示平台软件366.1.7. ................................................. 开发工具376.1.8. ................................................. 系统文档376.2.机房环境要求 (38)6.2.1. ......................................... 机房环境条件386.2.2. ................................................. 接地要求396.2.3. ............................................. 空调及电源401 总则1.1. 概述目前中国移动通信集团公司已成为世界第一大GSM移动电话运营商,并已经从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。
网络信息防护准则(标准版)目标本文档旨在提供网络信息防护准则的标准版,以帮助组织和个人保护其网络信息安全。
定义网络信息防护是指采取各种措施来保护网络系统和数据免受未经授权的访问、使用、披露、破坏、修改或丢失的威胁。
准则以下几点是网络信息防护的标准准则:1. 强化网络安全意识组织和个人应提高网络安全意识,了解网络威胁和常见攻击方式。
定期进行网络安全培训,向员工和用户传达合适的安全意识教育。
2. 使用强密码和多因素身份验证所有网络账户都应使用强密码,并定期更改密码。
对于重要账户,建议启用多因素身份验证,以提高账户的安全性。
3. 更新和维护软件和系统定期更新操作系统、应用程序和防病毒软件,以获取最新的安全补丁和漏洞修复。
确保所有软件和系统都处于最新的稳定版本,并及时修复已知的漏洞。
4. 控制访问权限对网络资源和敏感数据实施适当的访问控制,并为每个用户分配适当的权限。
定期审查和更新用户权限,确保权限与职责相匹配。
5. 加密重要数据和通信对于重要数据和敏感通信,应使用加密技术来保护其机密性。
采用安全的协议和加密算法,确保数据在传输和存储过程中不被窃取或篡改。
6. 备份和恢复数据定期备份关键数据,并将备份存储在安全的地方。
制定数据恢复计划,以便在数据丢失或损坏时能够及时恢复。
7. 监测和检测安全事件建立安全事件监测和检测机制,定期审查日志和报警信息,及时发现和应对安全事件。
实施入侵检测系统和防火墙等安全设备,保护网络免受恶意攻击。
8. 建立紧急响应计划制定紧急响应计划,明确安全事件发生时的应急措施和责任分工。
定期组织演练,以验证和改进紧急响应计划的有效性。
结论通过遵循网络信息防护准则的标准版,组织和个人能够提高网络安全性,保护其网络系统和数据免受潜在的威胁。
请按照准则中的要求,制定并执行适合自身情况的网络信息防护策略。
文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 11制定人: 审核人: 批准人:版本记录XX单位第三方安全管理规范1总则1.1目的为了加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给XX单位带来的安全风险,特制定本管理办法。
1.2范围本规范适用于XX单位在信息安全管理过程中对外来人员和第三方人员的行为规范管理。
1.3职责XX单位第三方信息安全管理由信息中心负责,并应按照本办法严格落实。
2管理细则2.1解释(1)本办法所指第三方包括第三方公司、第三方系统、第三方人员:(2)第三方公司是指向XX单位提供设备、产品、服务的外部公司。
(3)第三方系统是指为XX单位服务或与XX单位合作运营的系统。
这些系统可能不在XX单位机房内,但能通过接口与XX单位的系统发生数据交互。
(4)第三方人员是指为XX单位提供开发、测试、运维等服务或参与合作运营系统管理的非XX单位人员。
(5)对第三方公司的信息安全管理应遵循如下原则:“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。
2.2总体要求(1)对于与卫计委开展合作运营的第三方公司,信息中心要求其按照XX 单位网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。
(2)信息中心需要求在卫计委开展现场长期服务的第三方公司,在派驻现场设立专职人员,其主要职责包括:负责按照国家及XX单位的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受卫计委的监督和考核等。
(3)第三方公司信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送XX单位信息中心。
(4)信息中心要督促指导第三方公司及人员遵循XX单位的安全管理制度和规范,将安全要求作为考核内容,纳入双方合作协议,定期组织对第三方安全检查。
2.3第三方公司及人员管理(1)第三方公司必须与XX单位签订保密协议,在协议中明确第三方公司的保密责任以及违约罚则;第三方公司应与其员工签订保密协议,在协议中明确第三方公司员工的保密责任以及违约罚则。
校园统一信息门户平台建设方案目录1. 项目概述 (1)1.1. 项目名称 (1)1.2. 项目背景 (1)1.3. 建设依据 (1)2. 总体设计 (2)2.1. 总体目标 (2)2.2. 设计原则 (4)2.3. 总体架构 (6)2.4. 应用架构 (7)2.5. 数据库设计 (8)2.5.1. 历史数据库设计 (8)2.5.2. 历史数据 (10)2.5.3. 统计数据 (11)2.5.4. 暂时表 ................................................. 1.12.5.5. 数据冗余处理............................................ 1.22.5.6. 数据库安全 (13)2.6. 性能设计........................................................ 1.43. 系统设计............................................................ 1.53.1. 信息管理........................................................ 1.53.1.1. 信息发布 (15)3.1.2. 资料下载 (15)3.1.3. 问卷调查 (16)3.2. 服务管理........................................................ 1.63.2.1. 服务管理 (16)3.2.2. 服务基础数据............................................ 1.73.3. 个人主页........................................................ 1.83.3.1. 个人卡片 (18)3.3.2. 热门服务 (18)3.3.3. 消息提醒 (18)3.3.4. 我的服务 (19)3.3.5. 日程中心 (19)3.4. API 管理 ........................................................ 1.93.4.1. 接口注册与发布 (20)3.4.2. 插件管理................................................ 2.03.4.3. 接口申请与审批 (20)3.4.4. 接口访问统计分析 (20)3.5. 系统管理........................................................ 2.13.5.1. 系统设置................................................ 2.13.5.2. 权限管理................................................ 2.13.5.3. 监控日志管理............................................ 2.23.5.4. 基础数据管理............................................ 2.23.6. 数据交换与共享..................................................................................................................... 2.33.7. 标准化体系设计...................................................................................................................2.4项目名称:校园统一信息门户平台统一信息门户平台是数字化校园的信息集中展示的窗口,是各应用系统中各种应用服务集成和部署的平台,它把分立各个业务系统的不同功能有效地组织起来,为各类用户提供统一的信息服务入口,为校园师生提供个性化信息服务。
文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 5制定人: 审核人: 批准人: 传阅阅后执行并存档保密保密等级内部公开版本记录XX单位网络与信息系统安全设计规范1总则1.1目的为规范XX单位信息系统安全设计过程,确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求,特制订本规范。
1.2范围本规范适用于XX单位在信息安全设计阶段的要求和规范管理。
1.3职责信息中心负责信息安全系统设计,并会同上级单位、相关部门和有关专家对设计方案进行评审后报信息安全领导小组批准。
2设计规范2.1物理机房安全设计新机房建设根据物理安全主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等,该部分内容将主要参考GB/T22239‐2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)要求的第三级标准进行建设,建设过程中可以参考的标准主要包括:GB50174-93《电子计算机机房设计规范》GB 50057-1994《建筑物防雷设计规范》GB 2887-88《计算站场地安全要求》GB 2887-89《计算站场地技术条件》应从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。
物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。
具体依据《基本要求》中的“物理安全”内容,同时可以参照《信息系统物理安全技术要求》等。
2.2通信网络与区域边界安全设计网络设计、建设、维护过程中应参考GB/T22239‐2008)《信息系统安全等级保护基本要求》第三级网络部分要求。
对信息系统所涉及的通信网络,包括骨干网络、城域网络和其他通信网络(租用线路)等进行安全设计,设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。
指挥自动化计算机网络安全要求GJB 1281-91一 范围1.1 主题内容和适用范围1.1.1 本标准规定了全军指挥自动化计算机网络在实体、网络和管理等方面的安全要求(未涉及可靠性安全要求)。
可作为论证、招标、研制、验收和应用的基本依据。
其它计算机网络,特别是国家重点要害部门的计算机网络也可参照采用。
1.1.2 本标准适用于指挥自动化广域网和局域网。
二 引用文件GB 2887 计算站场地技术要求GB 4943 数据处理设备的安全GB 9361 计算站场地安全要求GJB 141.1 用于数据传输的一般专用标准电话电路特性GJB 141.2 用于数据传输的优质专用标准电话电路特性GJB 148 数据传输质量维护极限及维护标准GJB 151 军用设备和分系统电磁发射和敏感度要求GJB 663 军用通信系统、设备安全要求三 定义3.1 信息破坏由于偶然事故或人为因素而破坏信息的正确性、完整性和可用性。
3.2 网络实体计算机网络中各类设备(包括节点机设备、通信设备、终端设备、存储设备、电源系统等)以及为此服务的其他硬件设备的总称。
3.3 计算机病毒依附在计算机程序中的一种可以繁衍的程序。
它象生物病毒一样使计算机程序感染,并在计算机网络中再生和扩散,造成其紊乱或瘫痪。
3.4 最小特权在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权。
3.5 主动威胁非法占用网络处理信息、侵入文件、修改程序,造成在错误状态下运行。
3.6 被动威胁当网络正常运行时,由于系统单元暴露或输入输出等管理不严造成信息泄露或被非法截取而产生的威胁。
3.7 实体安全(物理安全)为确保网络在信息的采集、处理、传输、存储过程中,不致受到人为或自然因素的危害,而对网络设备、设施、环境、人员等所采取的安全措施。
3.8 灾难事件因人为或自然灾害造成的涉及全局的一时难以恢复的破坏性事件。
四 一般要求4.1 目标网络安全设计应与论证、招标、研制、验收和应用工作同步进行,并根据需求,分阶段、分层次逐步实施和完善,以达到如下目标:a.保证网络正常运行,避免各种非故意的错误与损失;b.保证信息的正确性、完整性和可用性,防止网络及数据遇到偶然的、被动的和主动的威胁,以及自然灾害的破坏;c.对影响网络的意外事故具有应急措施。
文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 7制定人: 审核人: 批准人: 传阅阅后执行并存档保密保密等级内部公开版本记录XX单位介质安全管理制度1总则1.1目的为规范XX单位内部移动存储介质的使用和管理,防止出现因移动存储的使用造成XX单位网络与信息系统感染病毒、信息外泄等情况,根据XX单位信息安全建设及保密工作需要,特编制本规定。
1.2范围本管理程序适用于XX单位对可移动介质的安全管理。
1.3职责信息中心负责XX单位移动介质的安全管理,具体管理工作由信息中心文档管理员负责。
1.4术语、定义及缩写语下列术语和定义适用于本管理标准。
可移动介质Removable media可移动介质主要是指用于记录、存储、拷贝数据信息的移动硬盘、软盘、磁带、光盘、U盘、存储卡等磁、光及半导体介质载体。
移动存储介质包括:软盘、光盘、磁盘、移动硬盘、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒、xD卡及手机、相机、磁带等。
2管理内容及要求2.1可移动介质的使用和登记管理(1)由信息中心对XX单位计算机设备统一实施USB移动存储端口的开放和禁用管理。
通过域控服务器策略功能,禁用各部门除批准使用以外的客户端USB移动存储端口,以杜绝移动存储设备通过USB端口导致的信息安全及病毒传播等问题的发生。
(2)原则上XX单位内部只能使用由XX单位统一派发的移动存储设备,禁止外来移动存储设备在XX单位内使用,确因工作需要须到指定专用计算机上使用。
(3)文档管理员应对可移动介质进行登记管理。
登记信息应包含介质类型、重要程度、存放地点等内容。
介质重要程度根据存储信息数据类型分为“工作秘密”、“内部公开”、“外部公开”三种类型。
(4)涉及业务信息、系统敏感信息的可移动介质应当存放在带锁的屏蔽文件柜中,对于重要的数据信息还需要做到异地存放。
其他可移动介质应存放在统一的位置。
(5)信息中心对移动存储介质要定期(至少每年一次)进行检查盘点,随时掌握每个移动存储设备的工作状态,监控设备使用过程。
软件项目设计规范项目名称:项目编号:供应商名称:日期:目录第一章项目设计规范 (1)1.1. 网络系统规范 (1)1.2. 安全系统标准 (1)1.3. 信息资源标准 (2)1.4. 数据交换标准 (2)1.5. 电子政务标准 (3)1.6. 项目管理标准 (3)1.7. 质量管理标准 (4)1.8. 软件工程标准 (5)第二章软件开发规范 (5)第三章项目范围管理 (6)3.1. 什么是项目范围管理 (6)3.2. 如何管理好项目范围 (7)3.2.1. 启动过程 (7)3.2.2. 范围计划过程 (7)3.2.3. 范围定义过程 (8)3.2.4. 范围核实过程 (9)3.2.5. 范围变更控制过程 (9)3.3. 范围管理的基本内容 (10)3.3.1. 范围计划 (10)3.3.2. 范围分解 (11)3.3.3. 范围变更 (12)第四章项目沟通管理 (12)4.1. 项目沟通管理的概述 (12)4.2. 项目沟通管理的组成 (12)4.2.1. 计划编制 (13)4.2.2. 信息发布 (14)4.2.3. 绩效报告 (14)4.2.4. 管理收尾 (14)4.3. 如何建立良好的沟通 (15)4.3.1. 项目沟通管理的体系 (15)4.3.2. 语言、文字还是“形象” (17)4.3.3. 项目沟通两条关键原则 (17)4.3.4. 保持畅通的沟通渠道 (18)第五章项目进度管理 (19)5.1. 进度计划 (19)5.2. 进度控制 (19)5.3. 实施进度 (20)5.4. 系统开发 (22)5.5. 系统测试 (22)5.6. 系统部署调试 (22)5.7. 上线试运行 (22)5.8. 项目验收 (22)5.9. 项目质量管理 (23)5.9.1. 质量计划制定 (23)5.9.2. 质量保证流程 (23)5.9.3. 质量控制措施 (23)5.9.4. 质量管理措施 (25)5.9.5. 质量保证方式 (27)5.10. 需求变更管理 (31)5.10.1. 需求变更概述 (31)5.10.2. 变更管理制度 (32)5.10.3. 审查变更申请 (32)5.10.4. 评估变更对项目的影响 (33)5.10.5. 根据变更更新项目计划 (33)5.11. 项目沟通管理 (33)5.11.1. 项目沟通的原则 (34)5.11.2. 项目的沟通方法 (35)5.12. 风险防控管理 (37)5.12.1. 风险管理办法 (37)5.12.2. 风险点分析及控制 (40)第六章项目文档管理 (43)6.1. 风险应对 (43)6.2. 文档命名 (44)6.3. 技术手段 (44)6.4. 文档目录 (44)6.5. 规范制度 (45)6.6. 项目代码管理 (46)6.7. 项目文档管理 (46)6.7.1. 文档命名 (46)6.7.2. 技术手段 (47)6.7.3. 文档目录 (47)6.7.4. 规范制度 (47)6.7.5. 项目代码管理 (49)第一章项目设计规范1.1. 网络系统规范1.2. 安全系统标准1.3. 信息资源标准1.4. 数据交换标准1.5. 电子政务标准1.6. 项目管理标准1.7. 质量管理标准1.8. 软件工程标准第二章软件开发规范第三章项目范围管理3.1. 什么是项目范围管理一个项目从其成立开始,项目各方干系人都会期望项目能够根据既定的计划一步步顺利地导向最后的成功。
文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 9制定人: 审核人: 批准人: 传阅阅后执行并存档保密保密等级内部公开版本记录XX单位安全事件报告和处置1总则1.1目的为了严密规范XX单位信息系统的安全事件处理程序,确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进,保障网络和系统持续安全运行,特制定本流程。
1.2范围本流程适用于XX单位范围内使用的网络、计算机系统的安全事件处理。
1.3职责信息中心安全管理员负责流程的执行和改进,安全管理员应定期审阅安全事件处理状况,监督流程的执行,并针对流程的执行情况提出相应的改进意见。
2管理细则2.1事件分级对信息安全事件的分级可参考下列三个要素:信息系统的重要程度、系统损失和社会影响。
(1)信息系统的重要程度信息系统的重要程度主要考虑信息系统所承载的业务对XX单位信息安全、经济利益的重要性,以及业务对信息系统的依赖程度,划分为特别重要信息系统、重要信息系统和一般信息系统。
(2)系统损失系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给XX单位业务所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。
(3)社会影响社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响。
根据信息安全事件的分级参考要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。
2.1.1特别重大事件(I级)特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。
特别重大事件:(1)会使特别重要信息系统遭受特别重大的系统损失,即造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的。
文档信息制度编号: 生效日期:分发范围:解释部门: 版次:Ver1.1页数:8制定人: 审核人: 批准人:传阅阅后执行并存档保密保密等级内部公开版本记录XX单位网络安全管理制度1总则1.1目的为规范XX单位网络信息系统安全管理,特制订本规范。
1.2范围本规范适用于信息中心网络管理员和安全管理员对网络系统的日常管理和安全维护行为。
1.3职责信息中心日常网络运行维护管理主要由网络管理员和安全管理员负责。
2管理细则2.1网络系统维护基本要求(1)日常维护要求:监测节点设备上的声光告警信号和维护控制台的告警显示信息,发现问题并及时处理,为网络稳定运行提供基本保障。
(2)定期维护要求:定期对机房、设备、网管及配套设施进行巡视巡检、清洁、数据备份等操作。
(3)突发性维护要求:由信息中心负责协调处理,信息安全领导小组协助配合,并对故障现象和处理过程作详细记录。
(4)对基础数据网设备进行硬件操作时须严格按照规范执行。
(5)根据运行维护工作需要,应配备以下品种的部分或全部仪表:1.数据线路综合测试仪。
2.万用表。
3.光功率计。
2.2网络系统维护具体要求2.2.1网络配置管理:1.检查当前运行的网络配置数据与网络现状是否一致,如不一致应及时更新。
2.检查缺省启动的网络配置文件是否为最新版本,如不是应及时更新。
3.网络发生变化时,及时更新网络配置数据,并做相应记录。
4.网络配置数据应及时备份,备份结果至少要保留到下一次修改前。
5.对重要网络数据备份应实现异质备份、异址存放。
6.重要的网络设备策略调整,如安全策略调整、服务开启、服务关闭、网络系统外联、连接外部系统等变更操作必须填写《网络维护审批表》经信息中心主管同意后方可调整。
2.2.2网络运行管理1.网络资源命名按信息中心规范进行,建立完善的网络技术资料档案(包括:网络结构,设备型号,性能指标等)。
2.重要网络设备的口令要定期更改,一般要设置八个字符以上,口令设置应无任何意义,最好能包含非数字和字母在内的字符,同时采用大小写混用的方式;口令要存档保存。
国内信息(网络)安全标准列表国内信息(网络)安全标准列表1.网络设备安全标准1.1 网络设备配置标准1.1.1 网络设备默认密码设置要求1.1.2 网络设备管理口访问控制要求1.1.3 网络设备固件更新策略要求1.2 网络设备漏洞管理标准1.3 网络设备日志管理标准2.服务器安全标准2.1 服务器硬件安全要求2.2 服务器操作系统安全要求2.2.1 操作系统基础安全配置要求2.2.2 操作系统补丁管理标准2.2.3 操作系统日志监控要求2.3 数据备份与恢复管理标准2.4 服务器远程管理标准3.数据安全标准3.1 数据分类与等级标准3.2 数据访问控制标准3.3 数据传输加密标准3.4 数据备份与恢复标准3.5 数据安全审计标准4.应用系统安全标准4.1 应用系统开发安全标准 4.2 应用系统运维安全标准4.3 应用系统审计与监控标准5.网络安全管理标准5.1 网络安全组织架构标准 5.2 网络安全培训与宣传标准 5.3 网络安全事件应对标准5.4 网络安全风险评估标准6.云计算安全标准6.1 云计算基础设施安全标准6.2 云计算数据安全标准6.3 云计算应用安全标准附件:________2.附件二:________服务器硬件安全检查表法律名词及注释:________1.《网络安全法》:________我国网络安全领域的基础性法律,旨在保护国家网络安全,维护网络主权。
2.《信息安全技术-个人信息安全规范》:________规定个人信息收集、存储和使用等方面的安全要求,保护个人信息的合法权益。
3.《国家密码管理条例》:________对国家密码管理工作进行规范,保障国家密码事业发展和信息安全。
文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 13制定人: 审核人: 批准人:版本记录XX单位信息系统人员管理制度1总则1.1目的为防止品质不良、技能欠佳的人员进入XX单位从事信息岗位,降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险,减少人员对于信息安全保密性、完整性、可用性的负面影响,特制定本制度。
1.2范围本规定适用于XX单位信息系统岗位人员的聘用、任职、离职的安全考察、保密控制以及其他信息安全行为的考察与控制。
1.3职责1.人力资源保障科负责XX单位职工聘用与录用。
信息系统岗位人员任职期间及离职时的考核管理由信息中心负责。
2.信息中心须与信息系统关键岗位人员签订保密协议。
3.各信息系统使用部门负责本部门员工的日常管理工作。
2入职管理2.1人员考察安全策略人员的录用考察按照人力资源保障科《招聘录用程序》执行。
但对于从事信息系统管理岗位的人员还需要考察以下策略:a)大学本科以上学历,计算机相关专业,具有一定工作经验。
b)熟悉计算机硬件技术与软件操作系统的原理与配置。
c)熟悉各类计算机操作系统,掌握数据库(SQL、ORACLE、Sybase等)原理以及安装、设计与管理。
d)能够熟悉网络的构架以及网络和操作系统的结合,能够独立完成IIS、DNS、DHCP、ROUTE等系统的设计。
e)有从事本岗位工作的高度责任感,遵纪守法,坚持原则,严格管理。
2.2入职培训安全策略a)入职职工必须在正式上岗前接收XX单位相关管理制度和信息安全管理制度的学习。
b)同时入职职工人数如到达一定数量,信息中心负责组织发起对新入职职工的信息安全意识教育、培训和考核工作。
c)如入职职工为调岗或新入职但人数较少,可由信息中心将其纳入最近一次的信息安全意识教育和培训计划中,作为重点培训对象。
3在职管理3.1考核管理a)员工从一般岗位转到信息安全重要岗位,应当对其进行信用及信息安全技能考察。
文档信息
制度编号: 生效日期: 分发范围:
解释部门: 版次:Ver1.1 页数: 5
制定人: 审核人: 批准人: 传阅阅后执行并存档保密保密等级内部公开
版本记录
XX单位
网络与信息系统安全设计规范
1总则
1.1目的
为规范XX单位信息系统安全设计过程,确保整个信息安全管理体系在信息安全设计阶段即符合国家相关标准和要求,特制订本规范。
1.2范围
本规范适用于XX单位在信息安全设计阶段的要求和规范管理。
1.3职责
信息中心负责信息安全系统设计,并会同上级单位、相关部门和有关专家对设计方案进行评审后报信息安全领导小组批准。
2设计规范
2.1物理机房安全设计
新机房建设根据物理安全主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等,该部分内容将主要参考GB/T22239‐2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)要求的第三级标准进行建设,建设过程中可以参考的标准主要包括:
GB50174-93《电子计算机机房设计规范》
GB 50057-1994《建筑物防雷设计规范》
GB 2887-88《计算站场地安全要求》
GB 2887-89《计算站场地技术条件》
应从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计,设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。
物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。
具体依据《基本要求》中的“物理安全”内容,同时可以参照《信息系统物理安全技术要求》等。
2.2通信网络与区域边界安全设计
网络设计、建设、维护过程中应参考GB/T22239‐2008)《信息系统安全等级保护基本要求》第三级网络部分要求。
对信息系统所涉及的通信网络,包括骨干网络、城域网络和其他通信网络(租用线路)等进行安全设计,设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。
通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。
具体依据《基本要求》中“网络安全”内容,同时可以参照《网络基础安全技术要求》等。
对信息系统所涉及的区域网络边界进行安全设计,内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
应完善并加强不同网络区域的隔离,根据安全区域和业务系统不同安全域细化不同的VLAN和访问控制。
区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计,对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。
具体依据《基本要求》中的“网络安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《网络基础安全技术要求》等。
2.3主机系统安全设计
对信息系统涉及到的服务器和工作站进行主机系统安全设计,内容包括操作系统或数据库管理系统的选择、安装和安全配置,主机入侵防范、恶意代码防范、资源使用情况监控等。
其中,安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。
具体依据《基本要求》中的“主机安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
2.4应用系统安全设计
对信息系统涉及到的应用系统软件(含应用/中间件平台)进行安全设计,设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。
具体依据《基本要求》中的“应用安全”内容,同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。
网络安全的数据库系统主要包括区域卫生共享交换平台、业务监管平台数据库服务器群,这些数据库分别为XX单位各核心业务系统提供数据服务。
通常这些数据库系统自身都提供了完善的安全机制,同时如果需要更精细的安全功能也可以通过一些数据库安全增强选件来实现。
2.5备份和恢复安全设计
针对信息系统的业务数据安全和系统服务连续性进行安全设计,设计内容包括数据备份系统、备用基础设施以及相关技术设施。
针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求;针对信息系统服务连续性的安全设计可考虑连续性保证方式(设备冗余、系统级冗余直至远程集群支持)与实现细节,包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。
具体依据《基本要求》中的“数据安全和备份恢复”内容,同时可以参照《信息系统灾难恢复规范》等。
XX单位网络与信息系统中存储大量重要的数据,网络内分布众多的数据库
服务器,这些数据大量集中,且为众多用户直接共享,在XX单位项目工程中,需要对数据库进行实时的审计监控,以全面保障数据库的安全。
应建立灾备中心,已防止在线系统出现事故、自然灾害时无法恢复,并且建立完毕后,应该每年都进行灾备切换演练,以防止恢复过程出现意外。
2.6建设经费预算和工程实施计划
建设经费预算,根据信息系统的安全建设整改内容提出详细的经费预算,包括产品名称、型号、配置、数量、单价、总价和合计等,同时应包括集成费用、等级测评费用、服务费用和管理费用等。
对于跨年度的安全建设整改或安全改建,提供分年度的经费预算。
工程实施计划
根据信息系统的安全建设整改内容提出详细的工程实施计划,包括建设内容、工程组织、阶段划分、项目分解、时间计划和进度安排等。
对于跨年度的安全建设整改或安全改建,要对安全建设整改方案明确的主要安全建设整改内容进行适当的项目分解,比如分解成机房安全改造项目、网络安全建设整改项目、系统平台和应用平台安全建设整改项目等,分别制定中期和短期的实施计划,短期内主要解决目前急迫和关键的问题。
方案论证和备案
将信息系统安全建设整改技术方案与安全管理体系规划共同形成安全建设整改方案。
组织专家对安全建设整改方案进行评审论证,形成评审意见。
第三级(含)以上信息系统安全建设整改方案应报公安机关备案,并组织实施安全建设整改工程。
3附件
安全设计方案的评审过程可记录入《信息安全例会会议记要》。