信息安全工作總體方針

1、信息安全工作總體方針第一章總則第一條為加強(qiáng)和規(guī)范省信息中心及直屬直管各單位（以下簡(jiǎn)稱(chēng)“各單位” ） 信息系統(tǒng)安全工作，提高中心信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、 能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本文檔。第二條本文檔的目的是為中心信息系統(tǒng)安全管理提供一個(gè)總體的策略性架 構(gòu)文件，該文件將指導(dǎo)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建 立是為中心信息系統(tǒng)的安全管理工作提供參照，以實(shí)現(xiàn)中心統(tǒng)一的安全策略管 理，提高整體的網(wǎng)絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位，保障網(wǎng)絡(luò)通 信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。第三條本文檔適用于中心以中心下屬各單位信息系統(tǒng)資產(chǎn)和信息技術(shù)人員

2、 的安全管理和指導(dǎo)，適用于指導(dǎo)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃 和安全建設(shè)的實(shí)施，適用于中心安全管理體系中安全管理措施的選擇。第四條本辦法所稱(chēng)信息系統(tǒng)指中心一體化企業(yè)級(jí)信息系統(tǒng)，主要包括一體化 企業(yè)級(jí)信息集成平臺(tái)（以下簡(jiǎn)稱(chēng)“一體化平臺(tái)”）和八大業(yè)務(wù)應(yīng)用?！耙惑w化平臺(tái)”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門(mén)戶(hù)；“業(yè) 務(wù)應(yīng)用”包含財(cái)務(wù)（資金）管理、營(yíng)銷(xiāo)管理、安全生產(chǎn)管理、協(xié)同辦公、人力資 源管理、物資管理、項(xiàng)目管理、綜合管理業(yè)務(wù)應(yīng)用。第五條引用標(biāo)準(zhǔn)及參考文件本文檔的編制參照了以下國(guó)家、中心的標(biāo)準(zhǔn)和文件：（一）中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（二）關(guān)于信息安全等級(jí)保護(hù)建

3、設(shè)的實(shí)施指導(dǎo)意見(jiàn)（信息運(yùn)安20RF27號(hào)）（三）信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-20RR（四）信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269- 20RR（五）信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求（報(bào)批稿）（六）關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)（公信安20RR1429 號(hào)）第二章方針、目標(biāo)和原則第六條中心信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合防范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、 分域”總體安全防護(hù)策略，執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。管理信息網(wǎng)絡(luò)分為 信息內(nèi)網(wǎng)和信息外網(wǎng)，實(shí)現(xiàn)“雙機(jī)雙網(wǎng)”

4、，信息內(nèi)網(wǎng)定位為承載網(wǎng)絡(luò)和內(nèi)部辦公 網(wǎng)絡(luò)，信息外網(wǎng)定位為對(duì)外業(yè)務(wù)網(wǎng)絡(luò)和訪問(wèn)互聯(lián)網(wǎng)用戶(hù)終端網(wǎng)絡(luò)。信息內(nèi)、夕卜網(wǎng)之間實(shí)施強(qiáng)邏輯隔離的措施。第七條信息系統(tǒng)安全總體目標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不 能正常使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類(lèi)攻 擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中 心對(duì)外服務(wù)中斷和由此造成的系統(tǒng)運(yùn)行事故。第八條信息安全工作的總體原則(1) 基于安全需求原則組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命， 積累的信息資產(chǎn)的重要性，可能受 到的威脅及面臨的風(fēng)險(xiǎn)分

5、析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信 息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度?與效果；(2) 主要領(lǐng)導(dǎo)負(fù)責(zé)原則主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策， 負(fù)責(zé)提高員工的 安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理 工作與各部門(mén)工作的關(guān)系，并確保其落實(shí)、有效；(3) 全員參與原則信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；(4) 系統(tǒng)方法原則按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過(guò)程， 采 用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性

6、和效率；(5) 持續(xù)改進(jìn)原則安全管理是一種動(dòng)態(tài)反饋過(guò)程，貫穿整個(gè)安全管理的生存周期，隨著安全需 求和系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng) 安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行 復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的 有效性；（6）依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合 法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授 權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來(lái)不良的社會(huì)影響；（7）分權(quán)和授權(quán)原則對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)

7、等實(shí)行分權(quán)，避免權(quán) 力過(guò)分集中所帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí) 體（如用戶(hù)、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須 的權(quán)限，不應(yīng)享有任何多余權(quán)限；（8）選用成熟技術(shù)原則成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟的程度，并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；（9）分級(jí)保護(hù)原則按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分級(jí)保護(hù)；對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，并根據(jù)實(shí)際安全需求， 分別確定各子系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行多級(jí)安全保護(hù)；（10）管理與技術(shù)并重原則堅(jiān)持積極防御和綜合防范，全

8、面提高信息系統(tǒng)安全防護(hù)能力， 立足國(guó)情，采 用管理與技術(shù)相結(jié)合，管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法， 保障信息系統(tǒng)的安 全性達(dá)到所要求的目標(biāo)；（11）自保護(hù)和國(guó)家監(jiān)管結(jié)合原則對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。 組織機(jī)構(gòu)要對(duì)自己的信息系 統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門(mén)有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、 監(jiān)督和檢查， 形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式， 提高信息系統(tǒng)的安全保護(hù) 能力和水平，保障國(guó)家信息安全。第九條在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照“三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第三章總體安全策略第十條物理安全策略（1）機(jī)房和辦公室必須

9、選擇在經(jīng)過(guò)防震、防火、防雷擊驗(yàn)收合格的辦公大樓 內(nèi)部，機(jī)房的窗戶(hù)需要有防雨水滲透的能力；（2）機(jī)房的位置不能是大樓的地下室、 一樓房間或是大樓的頂層，機(jī)房的正 上方不能是用水量大的房間；（3）機(jī)房出入口必須有專(zhuān)人值守，對(duì)工作人員進(jìn)行登記；（4）進(jìn)入機(jī)房的工作人員必須由安全管理員或機(jī)房管理員全程陪同；（5）機(jī)房?jī)?nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過(guò)渡區(qū)等區(qū)域，對(duì)不同區(qū) 域分別進(jìn)行管理，區(qū)域與區(qū)域之間進(jìn)行物理隔離；（6）機(jī)房?jī)?nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備， 如電子門(mén)禁系統(tǒng)、監(jiān)控報(bào)警系 統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、 UPS供電系統(tǒng) 和電磁屏蔽設(shè)備。第十一條網(wǎng)絡(luò)安全策略（

10、1） 網(wǎng)絡(luò)中必須部署路由器、交換機(jī)、防火墻、防毒墻、IPS設(shè)備和內(nèi)網(wǎng) 網(wǎng)絡(luò)管理、補(bǔ)丁分發(fā)等系統(tǒng)（2）網(wǎng)絡(luò)設(shè)備除接入交換機(jī)之外，必須進(jìn)行雙機(jī)熱備，除接入交換機(jī)鏈接 工作終端的線路外，其他線路必須進(jìn)行雙線冗余；（3）整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足；（4）各部門(mén)必須劃分不同網(wǎng)段的IP地址；（5）劃分網(wǎng)絡(luò)帶寬，突出優(yōu)先級(jí)；（6）網(wǎng)絡(luò)邊界處必須部署防火墻、IPS等安全設(shè)備；（7）網(wǎng)絡(luò)設(shè)備必須開(kāi)啟日志審計(jì)功能；第十二條主機(jī)安全策略（1）登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)必須進(jìn)行身份標(biāo)識(shí)和鑒別；（2）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)不能出現(xiàn)同名用戶(hù)，口令應(yīng) 有復(fù)雜度要求并定期更換；（3）操作系統(tǒng)和數(shù)

11、據(jù)庫(kù)系統(tǒng)必須啟用登錄失敗處理功能；（4）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò) 傳輸過(guò)程中被竊聽(tīng)；（5）為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名 具有唯一性，不能出重名情況；（6）操作系統(tǒng)和數(shù)據(jù)庫(kù)必須及時(shí)刪除多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù) 的存在；（7）主機(jī)必須開(kāi)啟日志審計(jì)功能；（8）主機(jī)必須安裝防惡意代碼產(chǎn)品，并進(jìn)行統(tǒng)一管理；第十三條應(yīng)用安全策略（1）應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶(hù)名和口令；（2）登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證（如用戶(hù)名口 令+UkeF或用戶(hù)名口令+IP與MAC地址綁定方式）；（3）應(yīng)用系統(tǒng)中設(shè)置的用戶(hù)都必須是唯一用戶(hù)，不能名稱(chēng)相同，且不能出 現(xiàn)多人使用同一賬戶(hù)的情況；（4）應(yīng)用系統(tǒng)必須開(kāi)啟登錄失敗處理功能；（5）應(yīng)用系統(tǒng)必須開(kāi)啟登錄連接超時(shí)自動(dòng)退出等措施；（6）應(yīng)用系統(tǒng)必須開(kāi)啟身份鑒別、用戶(hù)身份標(biāo)識(shí)唯一性檢查、用戶(hù)身份鑒 別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；（7）應(yīng)用系統(tǒng)必須開(kāi)啟日志審計(jì)功能；（8）應(yīng)用系統(tǒng)存儲(chǔ)用戶(hù)信息的設(shè)備在銷(xiāo)毀、修理或轉(zhuǎn)其他用途時(shí)，必須清 楚內(nèi)部存儲(chǔ)的信息；第十四條數(shù)據(jù)安全策略（1）業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份，以便發(fā)生問(wèn)題時(shí)進(jìn)行 恢復(fù)；（2）數(shù)據(jù)備份至其他設(shè)備上時(shí)，必須使用專(zhuān)門(mén)的備份通道，保證數(shù)據(jù)傳