下载文档原格式
信息安全管理办法信息安全管理办法第一章总则第一条目的和基本原则为了规范本单位信息安全管理活动,确保信息系统安全、可靠、稳定地运行,维护个人信息和重要信息的安全,特制定本办法。
本办法所涉及的信息包括但不限于本单位管理的各类电子数据和所有其他信息载体中的信息内容。
本办法的基本原则是:安全优先、防范为主、合法合规、持续改进。
第二条合用范围合用于本单位及其下属机构内所有信息系统和网络设备的管理和使用,包括硬件、软件、网络等所有方面。
第三条责任制1. 信息安全管理是公司全员责任,公司信息技术部门主管负责本办法实施的具体工作,各部门负责人应配合信息技术部门做好本部门信息安全管理相关工作。
2. 全员参预、分工负责。
具体员工应当按照工作岗位职责,认真履行信息安全管理职责,确保在其工作范围内实现信息安全目标。
第二章信息安全管理制度第四条信息安全政策1. 公司应定期审查并完善本单位的信息安全政策,整合国家相关法规、标准和规范等要求,制定符合公司情况的具体信息安全管理政策。
2. 具体信息安全政策包括:信息安全目标、信息安全组织机构、信息安全机构、信息安全活动、信息安全投入费用等各方面内容。
第五条信息系统安全等级保护制度1. 为了保证本单位信息资产安全,公司应实行信息系统安全等级保护制度。
制定信息系统安全等级保护制度的过程,应当遵循国家相关法规、标准和规范要求,同时结合本单位实际情况,综合考虑信息系统对重要信息资源的价值、影响和安全风险等因素加以评估,划定各信息系统的等级。
2. 制定信息系统安全等级保护制度后需经公司领导审批,实施与维护由信息技术部门执行。
第六条信息资源分类及保护制度1. 公司应制定信息资源分类及保护制度,将本单位管理的所有信息以保密程度、敏感程度、业务重要性等多个维度进行分类,制定相应的保护措施,确保关键信息、核心业务等在存储、传输、使用等方面的安全合规。
2. 信息资源分类及保护制度具体指导、程序及工具应予以明确并加以具体实施,保障其合理有效。
(公通字[2022 ] 43 号)第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成伤害,但不伤害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重伤害,或者对社会秩序和公共利益造成伤害,但不伤害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重伤害,或者对国家安全造成伤害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特殊严重伤害,或者对国家安全造成严重伤害。
信息安全等级保护管理办法
是为了规范和保护信息系统安全,确保信息的保密性、完整性和可用性而制定的管理措施。
以下是一些常见的信息安全等级保护管理办法:
1. 安全等级划分:根据信息系统对国家安全和社会公共利益的重要程度以及信息系统联动关系确定安全等级,并对各个安全等级的保护要求进行划分。
2. 保护责任分工:明确各个相关机构、部门和个人在信息安全保护中的责任和义务,并建立健全相关的责任追究机制。
3. 安全保护措施:制定相应的安全保护措施,包括物理安全措施、边界安全措施、访问控制措施、数据加密措施、备份和恢复措施等,确保信息系统的安全性。
4. 安全评估和测试:对信息系统进行定期的安全评估和测试,发现安全风险和漏洞,并及时采取措施进行修复和升级。
5. 事件响应和处理:建立完善的事件响应和处理机制,对信息安全事件进行及时的响应和处理,减少损失和影响。
6. 安全培训和教育:开展安全培训和教育,提高相关人员的安全意识和技能,增强信息安全保护意识。
7. 监督和检查:加强对信息安全等级保护工作的监督和检查,确保各项管理办法的执行效果。
以上是一些常见的信息安全等级保护管理办法,实际情况可能还会根据特定的行业和需求进行具体的规定和措施。
第 1 页共 1 页。
信息安全管理办法第一条为加强公司信息安全管理工作,完善信息安全体系,保护信息资产,特制定本办法。
第二条信息安全管理包含数据安全管理、程序安全管理、密码权限管理、设备管理、网络安全管理及代码监督。
第三条数据安全管理的要求及规定1、所有系统的数据由数据安全员设置数据库系统统一存储,各部门不得在本地存储或公司设计的系统之外存储。
2、数据库由数据安全员分级设置权限密码,原则上不允许一个人掌握所有权限密码(密码权限员、董事长除外)。
3、数据库系统实行分库存储机制,原则上一个数据库表不得存储所有的信息。
4、数据库分为生产库、测试库及开发库,开发库由该库所属项目经理根据项目开发规范进行管理,测试库只能由程序测试员进行操作和管理,生产库只能由数据安全员操作和管理。
5、开发人员原则上根据项目模块分配表的操作权限实行分权限开发模式。
例如:用户模块开发人员,只能拥有用户相关表的操作权限。
6、数据库系统必须建立备份机制。
定期备份:每天进行一次完整备份;临时备份:在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对数据进行备份;按需备份:应用系统需要调整部分数据时,仅备份应用系统需要的部分数据。
7、公司提供的信息终端设备在外借或报废时,由设备管理员对系统和数据做相应处理,防止泄密。
存储设备报废前需进行重要数据的备份,备份后对报废设备中存储的信息进行彻底清除处理。
8、开发及过程文档使用git服务器统一存储及管理,新文档必须及时上传到服务器。
9、禁止将数据库结构、代码及相关文档私自拷贝或通过网络对外传输。
第四条代码安全管理的要求及规定1、禁止使用已公布的、有漏洞的第三方程序依赖包。
2、禁止在程序中植入木马病毒。
3、每月要进行一次依赖包漏洞检测,在特殊情况(如感染病毒)下,必须立即对依赖包进行漏洞检测。
已公布的高危漏洞,必须在依赖包提供更新版本后3天内升级到新版本。
4、代码使用git服务器统一存储及管理,开发人员要每日提交代码。
信息安全等级保护管理办法信息安全等级保护管理办法第一章总则为切实保护国家重要信息基础设施、重要信息系统和重要信息的安全,加强对信息安全等级保护的管理,优化信息安全等级保护体系,促进信息安全发展,根据《中华人民共和国网络安全法》等法律、法规,制定本办法。
第二章信息安全等级及保护对象第一条信息安全等级分为一级、二级、三级和四级,分别对应于国家重要信息基础设施、重要信息系统、一般信息系统以及不需要进行等级保护的信息系统。
第二条本办法所称重要信息基础设施,是指具有国家安全、人民群众生命财产安全、重要国计民生等方面的重要意义,其安全事故或者破坏会导致严重的社会影响和安全后果的信息基础设施。
第三条本办法所称重要信息系统,是指对国家安全、国民经济、人民生命财产安全等方面起到重要作用,其安全事故或者破坏会导致严重的社会影响和安全后果的信息系统。
第四条本办法所称一般信息系统,是指除重要信息系统和不需要进行等级保护的信息系统以外的信息系统。
第五条本办法所称等级保护对象,是指应当依照本办法的规定进行等级保护的信息基础设施、信息系统和重要信息。
第三章等级保护分类和标准第六条重要信息基础设施根据其可能受到的威胁、具体特点和重要程度,分为一级、二级和三级。
第七条重要信息系统根据其威胁程度、重要程度,分为一级、二级、三级和四级。
第八条重要信息根据其保密程度、重要程度,分为一级、二级和三级。
第九条各等级保护对象的基本标准如下:(一)一级:采取最高的信息安全保护措施,经过国家有关部门的安全审查和评估,具有高度的安全可靠性和保密性;(二)二级:采取较高的信息安全保护措施,经过国家有关部门的安全审查和评估,具有较高的安全可靠性和保密性;(三)三级:采取一定的信息安全保护措施,确保信息的安全和保密性,经过国家有关部门的安全认证和鉴定;(四)四级:不需要进行等级保护的信息系统。
第十条各等级保护对象的保护标准如下:(一)一级保护对象的保护标准:应当采取多重、层次化的安全保护措施,包括物理保护、技术保护、管理保护和突发事件应急处理等,经过安全审查和评估后,进行验收。
第1篇第一条为了加强信息安全管理工作,保障网络与信息安全,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我国实际情况,制定本办法。
第二条本办法所称信息安全,是指保护网络系统、网络设施、网络数据和信息系统免受非法侵入、攻击、破坏、泄露、篡改等危害,确保网络与信息系统安全稳定运行。
第三条信息安全管理工作应当遵循以下原则:(一)依法管理:严格遵守国家法律法规,确保信息安全管理的合法性和合规性。
(二)安全发展:坚持安全与发展并重,推动网络安全技术进步和产业创新。
(三)全民参与:提高全民信息安全意识,营造良好的网络安全环境。
(四)分类分级:根据信息安全风险等级,实施分类分级保护。
(五)动态监控:建立健全信息安全监测预警体系,实时监控网络安全状况。
第四条国家建立健全信息安全管理制度,明确信息安全责任,加强信息安全保障能力建设。
第二章信息安全管理制度第五条国家网络安全管理部门负责全国信息安全工作的统筹规划、组织协调和监督管理。
第六条信息系统运营、使用单位应当建立健全信息安全管理制度,明确信息安全责任,加强信息安全保障能力建设。
第七条信息安全管理制度应当包括以下内容:(一)信息安全组织架构:明确信息安全管理部门、责任人和职责。
(二)信息安全风险评估:定期对信息系统进行风险评估,制定风险应对措施。
(三)信息安全技术措施:采取必要的技术措施,保障信息系统安全。
(四)信息安全教育培训:加强信息安全教育培训,提高员工信息安全意识。
(五)信息安全事件处理:建立健全信息安全事件处理机制,及时应对和处理信息安全事件。
第八条信息系统运营、使用单位应当对信息系统进行定期安全检查,发现问题及时整改。
第三章信息安全风险评估第九条信息安全风险评估应当遵循以下原则:(一)全面性:对信息系统进行全面风险评估,不留死角。
(二)客观性:以客观事实为依据,确保风险评估的准确性。
《信息安全等级保护管理办法》全文信息安全等级保护管理办法第一章总则第一条为了加强我国信息安全等级保护工作,保障国家安全和社会稳定,维护正常经济秩序和公共利益,依据《网络安全法》(国家法律),制定本规定。
第二条本规定适用于从事或依据法律、行政法规设立的信息系统、网络和互联网信息服务的单位、个人(以下简称信息系统的所有者和经营者),以及从事信息安全等级评定和认证服务的机构(以下简称信息安全评定机构)。
第三条信息系统的所有者和经营者应当根据本规定的要求,采取有效措施加强其信息系统的安全管理,提升信息安全等级保护水平。
第四条信息安全等级保护应当坚持“风险评估、等级确定、分类保护、动态管理”的原则,根据信息系统的重要性和脆弱程度、所涉领域的影响范围和风险程度等因素,确定信息安全等级,采取相应保护措施,并实施动态管理。
第二章信息安全等级评估第五条为了确定信息系统的信息安全等级,信息系统的所有者和经营者可以选择权威的信息安全评定机构,进行信息安全等级评估。
第六条信息安全等级评估应当遵循公正、客观、科学、独立的原则,评估结果应当真实、准确、完整。
第七条信息安全等级评估应当考虑信息系统的架构、技术、设备、运营和管理等方面,分析其信息资产价值和重要性,确定其信息安全等级。
第八条信息安全等级评估结果应当包括评估报告、评估结论和实施方案等,评估报告应当详细说明评估对象信息系统的安全状态和安全风险,评估结论应当明确标明信息系统的安全等级,实施方案应当包含相应的保护措施和管理措施。
第九条信息系统的所有者和经营者应当根据评估结果,采取相应的保护措施和管理措施,加强信息系统的安全管理,提升信息安全等级保护水平。
第三章信息安全等级保护管理第十条信息系统的所有者和经营者应当制定信息安全等级保护管理制度,并将其落实到实际管理中。
第十一条信息安全等级保护管理制度应当明确信息系统的安全等级、保护措施和管理措施的具体内容,以及相应的责任人、操作流程、风险评估和应急预案等。
公司网络信息安全管理办法第一章总则第一条为加强公司网络信息安全管理,保障公司网络系统的正常运行,保护公司及客户的信息资产安全,根据国家相关法律法规和行业规范,结合公司实际情况,制定本办法。
第二条本办法适用于公司及所属各单位的网络信息安全管理工作。
第三条网络信息安全管理工作应遵循“预防为主、综合治理、责任明确、保障安全”的原则。
第二章管理职责第四条公司成立网络信息安全领导小组,负责统筹规划、协调指导公司网络信息安全工作。
领导小组组长由公司主要负责人担任,成员包括各部门负责人。
第五条信息技术部门是公司网络信息安全管理的主管部门,负责制定和实施网络信息安全策略、技术标准和管理制度,组织开展网络信息安全防护、监测、应急处置等工作。
第六条各部门应明确本部门网络信息安全责任人,负责落实本部门网络信息安全管理工作,配合信息技术部门开展相关工作。
第三章人员安全管理第七条公司所有员工应遵守国家法律法规和公司网络信息安全管理制度,不得利用公司网络从事违法违规活动。
第八条新员工入职时应接受网络信息安全培训,了解公司网络信息安全政策和相关规定。
第九条员工离职时,应及时清理其在公司网络系统中的账号和权限,并办理相关交接手续。
第四章设备与环境安全管理第十条公司应建立健全网络设备和信息系统的采购、使用、维护和报废管理制度,确保设备和系统的安全可靠。
第十一条网络设备和服务器应放置在符合安全要求的机房环境中,机房应具备防火、防盗、防潮、防尘、防雷等设施,并定期进行检查和维护。
第十二条对重要的网络设备和信息系统应采取冗余备份和容错措施,确保业务的连续性。
第五章网络访问控制第十三条公司应建立网络访问控制策略,根据员工的工作职责和业务需求,合理分配网络访问权限。
第十四条严禁未经授权访问公司内部网络和信息系统,严禁私自接入外部网络。
第十五条员工应妥善保管个人的网络账号和密码,定期修改密码,不得将账号和密码泄露给他人。
第六章数据安全管理第十六条公司应建立数据分类分级管理制度,对重要数据进行重点保护。
网络信息安全管理办法网络信息安全管理办法第一章总则第一条为了加强网络信息安全管理,维护网络环境的安全和稳定,保护网络信息的完整性、可用性和保密性,依据相关法律法规制定本办法。
第二章网络安全责任第二条网络信息系统的责任主体应对其使用的网络信息系统承担安全保障责任。
第三条网络信息系统管理者应建立网络安全管理制度,明确安全责任和安全目标,制定安全应对措施。
第四条网络信息系统的使用者应按照管理者要求使用系统,采取安全措施,维护系统安全。
第五条网络信息系统服务提供者应依法提供网络信息服务,确保服务的安全可靠。
第三章网络安全风险评估第六条网络信息系统管理者应定期开展网络安全风险评估,发现安全隐患并采取相应措施。
第七条网络信息系统管理者应建立漏洞管理制度,对系统中发现的漏洞进行记录、评估和修复。
第八条网络信息系统管理者应建立网络攻击事件应急处置机制,及时响应和处理网络安全事件。
第四章网络安全技术措施第九条网络信息系统管理者应加强网络安全防护,使用安全技术措施,防止网络攻击和恶意程序入侵。
第十条网络信息系统管理者应对网络通信进行加密和安全传输,确保信息传输的安全性。
第十一条网络信息系统管理者应备份和保护重要数据,避免数据丢失或泄露。
第十二条网络信息系统管理者应采取用户名和密码等身份认证措施,控制用户的访问权限。
第五章法律责任第十三条违反本办法规定,未履行网络信息安全管理义务的,依法承担相应的法律责任。
第十四条如网络信息安全事件涉及犯罪行为的,依法追究刑事责任。
第十五条有关机构和个人应积极配合执法机关的网络信息安全调查和取证工作。
附件:附件1:网络安全管理制度样本附件3:网络安全事件应急处置手册法律名词及注释:1、网络信息系统:指以计算机为核心,依靠通信设备及网络技术,用于收集、存储、传输、处理和应用信息的一种系统。
2、网络信息系统管理者:指网络信息系统的所有者、运营者或者管理者,具有安全责任和管理权限。
3、网络信息系统使用者:指具有使用网络信息系统权限的个人或者单位,承担一定的安全保障责任。
第一章总则第一条为加强我单位信息安全工作,保障信息系统安全稳定运行,保护国家秘密、商业秘密和个人隐私,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我单位实际情况,制定本办法。
第二条本办法适用于我单位所有信息系统、网络设施、数据资源以及涉及信息安全的相关活动。
第三条我单位信息安全工作遵循以下原则:1. 预防为主、防治结合;2. 安全责任到人;3. 技术和管理并重;4. 法律法规为准绳。
第二章组织与管理第四条成立信息安全工作领导小组,负责统一领导和协调信息安全工作。
第五条信息安全工作领导小组下设信息安全办公室,负责信息安全工作的日常管理、监督和检查。
第六条各部门、各岗位应根据职责分工,落实信息安全责任,确保信息安全制度的有效实施。
第七条信息安全工作领导小组定期召开会议,研究解决信息安全工作中的重大问题。
第三章信息安全管理制度第八条信息安全管理制度包括但不限于以下内容:1. 信息系统安全管理制度:明确信息系统建设、运行、维护、报废等各环节的安全要求,确保信息系统安全可靠。
2. 网络安全管理制度:规范网络接入、网络设备管理、网络安全监测等,保障网络安全。
3. 数据安全管理制度:明确数据分类、分级、存储、传输、处理、销毁等环节的安全要求,确保数据安全。
4. 密码管理制度:规范密码的使用、管理、更换等,确保密码安全。
5. 访问控制制度:明确用户权限、访问控制策略等,确保信息系统资源的安全访问。
6. 安全事件管理制度:规范安全事件的报告、调查、处理、总结等,提高应对安全事件的能力。
7. 安全培训制度:定期开展信息安全培训,提高员工信息安全意识。
第九条信息安全管理制度应定期修订,以适应信息安全形势的变化。
第四章信息安全保障措施第十条加强信息安全基础设施建设,包括防火墙、入侵检测系统、漏洞扫描系统等。
第十一条定期进行安全漏洞扫描和风险评估,及时修复安全漏洞。
第十二条建立信息安全应急响应机制,确保在发生信息安全事件时能够迅速响应。
信息安全管理办法
1.概述
1.1目的
为指导安全等级保护相关工作,做好的信息安全保障工作。
1.2范围
为信息安全职能部门进行监督、检查和指导的依据。
随着内容的补充和丰富,为等级保护工作的开展提供指导。
1.3术语
1.敏感数据
敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于:
1.用户敏感数据,如用户口令、密钥;
2.系统敏感数据,如系统的密钥、关键的系统管理数据;
3.其它需要保密的敏感业务数据;
4.关键性的操作指令;
5.系统主要配置文件;
6.其他需要保密的数据。
2.风险
某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.安全策略
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
4.安全需求
为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。
5.完整性
包括数据完整性和系统完整性。
数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改
或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
6.可用性
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
7.弱口令
指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。
2.信息安全保障框架
2.1 信息安全保障总体框架
2.2 信息安全管理体系框架
2.3 安全管理内容
3.信息安全管理规范
3.1 物理安全
3.1.1.物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
3.1.2 物理访问控制
需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;机房划分为生产区、辅助区。
3.1.3 防盗窃和防破坏
应将主要设备放置在机房内;
应将设备或主要部件进行固定,并设置明显的不易除去的标记;
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
应对介质分类标识,存储在介质库或档案室中;
主机房应安装必要的防盗报警设施。
3.1.4 防雷击
机房建筑应设置避雷装置;
机房应设置交流电源地线。
3.1.5 防火
机房应设置灭火设备和火灾自动报警系统。
3.1.6 防水和防潮
水管安装,不得穿过机房屋顶和活动地板下;
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
3.1.7 防静电
关键设备应采用必要的接地防静电措施。
3.1.8 温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
3.1.9 电力供应
应在机房供电线路上配置稳压器和过电压防护设备;
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求;
机房重要区域、重要设备应提供UPS单独供电。
3.1.10 电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰。
3.2 网络安全
3.2.1 结构安全
应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
应保证接入网络和核心网络的带宽满足业务高峰期需要;
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
应在网络边界部署访问控制设备,启用访问控制功能;
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
应限制具有拨号访问权限的用户数量。
3.2.3 安全审计
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
3.2.4 边界完整性检查
应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
3.2.5 入侵防范
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
3.2.6 网络设备防护
应对登录网络设备的用户进行身份鉴别;
应对网络设备的管理员登录地址进行限制;
网络设备用户的标识应唯一;
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
3.3 主机安全
3.3.1 身份鉴别
应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
应启用访问控制功能,依据安全策略控制用户对资源的访问;
应实现操作系统和数据库系统特权用户的权限分离;
应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
应及时删除多余的、过期的帐户,避免共享帐户的存在。
3.3.3 安全审计
审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
3.3.4 入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
3.3.5 恶意代码防范
应安装防恶意代码软件,对于依附于病毒库进行恶意代码查杀的软件应及时更新防恶意代码软件版本和恶意代码库,对于非依赖于病毒库进行恶意代码防御的软件,如主动防御类软件,应保证软件所采用的特征库有效性与实时性;
应支持防恶意代码软件的统一管理。
3.3.6 资源控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录;
应根据安全策略设置登录终端的操作超时锁定;
应限制单个用户对系统资源的最大或最小使用限度。
3.4 应用安全
3.4.1 身份鉴别
应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
3.4.3 安全审计
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
应保证无法删除、修改或覆盖审计记录;
审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
3.4.4 通信完整性
应采用校验码技术保证通信过程中数据的完整性。
3.4.5 通信保密性
在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
应对通信过程中的敏感信息字段进行加密。
3.4.6 软件容错
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
3.4.7 资源控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;应能够对应用系统的最大并发会话连接数进行限制;
应能够对单个帐户的多重并发会话进行限制。
3.5 数据安全及备份恢复
3.5.1 数据完整性
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
3.5.2 数据保密性
应采用加密或其他保护措施实现鉴别信息的存储保密性。
3.5.3 备份和恢复
应能够对重要信息进行备份和恢复;
应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
精品文档,你值得期待
精品文档,你值得期待。
