信息安全工作總體方針

1、信息安全工作總體方針第一章總則第一條為加強(qiáng)和規(guī)范省信息中心及直屬直管各單位（以下簡(jiǎn)稱“各單位”）信 息 系統(tǒng)安全工作，提高中心信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能 控、 在控,依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求 , 制定本文檔。第二條本文檔的口的是為中心信息系統(tǒng)安全管理提供一個(gè)總體的策略性架構(gòu) 文 件，該文件將指導(dǎo)中心信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是 為中 心信息系統(tǒng)的安全管理丄作提供參照，以實(shí)現(xiàn)中心統(tǒng)一的安全策略管理 , 提高整 體的網(wǎng) 絡(luò)與信息安全水平，確保安全控制措施落實(shí)到位 , 保障網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系 統(tǒng)的正常 運(yùn)營(yíng)。第三條本文檔適用于中心以中心下屬各單位信息

2、系統(tǒng)資產(chǎn)和信息技術(shù)人員的 安全 管理和指導(dǎo)，適用于指導(dǎo)中心信息系統(tǒng)安全策略的制定、安全方案的規(guī)劃和安 全建設(shè) 的實(shí)施，適用于中心安全管理體系中安全管理措施的選擇。第四條本辦法所稱信息系統(tǒng)指中心一體化企業(yè)級(jí)信息系統(tǒng)，主要包括一體化企 業(yè) 級(jí)信息集成平臺(tái)（以下簡(jiǎn)稱“一體化平臺(tái)”）和八大業(yè)務(wù)應(yīng)用。" 一體化平臺(tái)”包含信息網(wǎng)絡(luò)、數(shù)據(jù)交換、數(shù)據(jù)中心、應(yīng)用集成和企業(yè)門 戶； “業(yè)務(wù)應(yīng)用”包含財(cái)務(wù)（資金）管理、營(yíng)銷管理、安全生產(chǎn)管理、協(xié)同辦公、人 力資 源管理、物資管理、項(xiàng)目管理、綜合管理業(yè)務(wù)應(yīng)用。第五條引用標(biāo)準(zhǔn)及參考文件本文檔的編制參照了以下國(guó)家、中心的標(biāo)準(zhǔn)和文件：- ）中華人民共和國(guó)計(jì)算機(jī)信息

3、系統(tǒng)安全保護(hù)條例27 號(hào)）（三） 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 （GB/T 22239-2008 ）（四） 信息安全技術(shù)信息系統(tǒng)安全管理要求 （GB/T 20269 2006 ）（五） 信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)汁要求（報(bào)批稿）（六） 關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安2009 1429 號(hào)）第二章方針、目標(biāo)和原則第六條中心信息系統(tǒng)安全堅(jiān)持“安全第一、預(yù)防為主，管理和技術(shù)并重，綜合 防 范”的總體方針，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。依照“分區(qū)、分級(jí)、分 域”總 體安全防護(hù)策略 , 執(zhí)行信息系統(tǒng)安全等級(jí)保護(hù)制度。管理信息網(wǎng)絡(luò)分為信息 內(nèi)網(wǎng)和信息 外

4、網(wǎng)，實(shí)現(xiàn) " 雙機(jī)雙網(wǎng)”，信息內(nèi)網(wǎng)定位為承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，信 息外網(wǎng)定位為 對(duì)外業(yè)務(wù)網(wǎng)絡(luò)和訪問(wèn)互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。信息內(nèi)、外網(wǎng)之間實(shí)施強(qiáng) 邏輯隔離的措施。第七條信息系統(tǒng)安全總體口標(biāo)是確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保 信息 內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能 正常使用 和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和 破壞，防止信 息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止中心對(duì)外服 務(wù)中斷和由此造 成的系統(tǒng)運(yùn)行事故。第八條信息安全工作的總體原則1）基于安全需求原則組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)

5、的重要性，可能受到 的 威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系 統(tǒng)安 全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；(2) 主要領(lǐng)導(dǎo)負(fù)責(zé)原則主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安 全 意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源 , 協(xié)調(diào)安全管理工作與 各部 門工作的關(guān)系，并確保其落實(shí)、有效；(3) 全員參與原則信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、 協(xié) 調(diào)，共同保障信息系統(tǒng)安全；(4) 系統(tǒng)方法原則按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過(guò)程，采用 管

6、 理和技術(shù)結(jié)合的方法 , 提高實(shí)現(xiàn)安全保障的 H 標(biāo)的有效性和效率；(5) 持續(xù)改進(jìn)原則安全管理是一種動(dòng)態(tài)反饋過(guò)程，貫穿整個(gè)安全管理的生存周期 , 隨著安全需求 和 系統(tǒng)脆弱性的時(shí)空分布變化，威脅程度的提高 , 系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn) 識(shí)的 深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修 改、調(diào) 整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性；(6) 依法管理原則信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、 管 理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理, 應(yīng)由授權(quán)者適 時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來(lái)不良的

7、社會(huì)影響；(7) 分權(quán)和授權(quán)原則對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審汁等實(shí)行分權(quán)，避免權(quán)力 過(guò) 分集中所帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體 ( 如 用 戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng) ) 僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限；(8) 選用成熟技術(shù)原則成熟的技術(shù)具有較好的可幕性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟的程度， 并 應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；(9) 分級(jí)保護(hù)原則按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分級(jí)保護(hù) ; 對(duì)多個(gè)子系統(tǒng) 構(gòu) 成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，并根據(jù)實(shí)際安全需求

8、, 分別確 定各子系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行多級(jí)安全保護(hù)；(10) 管理與技術(shù)并重原則堅(jiān)持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，立足國(guó)情，采用管 理與技術(shù)相結(jié)合 , 管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法 , 保障信息系統(tǒng)的安全性達(dá)到 所 要求的目標(biāo)；(11) 自保護(hù)和國(guó)家監(jiān)管結(jié)合原則對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系 統(tǒng)安 全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、 監(jiān)督和檢查， 形 成自管、 自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平 , 保障國(guó)家信息安全。第九條在規(guī)劃和建設(shè)信息系統(tǒng)時(shí)，信息系統(tǒng)安全防護(hù)措施應(yīng)按照

9、“三同步”原則 , 與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行。第三章總體安全策略第十條物理安全策略(1) 機(jī)房和辦公室必須選擇在經(jīng)過(guò)防震、防火、防雷擊驗(yàn)收合格的辦公大樓內(nèi) 部，機(jī)房的窗戶需要有防雨水滲透的能力；(2) 機(jī)房的位置不能是大樓的地下室、一樓房間或是大樓的頂層，機(jī)房的正上 方 不能是用水量大的房間；(3) 機(jī)房出入口必須有專人值守，對(duì)工作人員進(jìn)行登記；(4) 進(jìn)入機(jī)房的工作人員必須山安全管理員或機(jī)房管理員全程陪同；(5) 機(jī)房?jī)?nèi)部必須劃分重要設(shè)備區(qū)、一般設(shè)備區(qū)、過(guò)渡區(qū)等區(qū)域，對(duì)不同區(qū)域 分 別進(jìn)行管理，區(qū)域與區(qū)域之間進(jìn)行物理隔離；(6) 機(jī)房?jī)?nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如電

10、子門禁系統(tǒng)、監(jiān)控報(bào)警系統(tǒng)、防雷設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、 UPS 供電系統(tǒng)和 電磁屏 蔽設(shè)備。第十一條網(wǎng)絡(luò)安全策略(1) 網(wǎng)絡(luò)中必須部署路由器、交換機(jī)、防火墻、防毒墻、 IPS 設(shè)備和內(nèi)網(wǎng)網(wǎng)絡(luò) 管 理、補(bǔ)丁分發(fā)等系統(tǒng)(2) 網(wǎng)絡(luò)設(shè)備除接入交換機(jī)之外，必須進(jìn)行雙機(jī)熱備，除接入交換機(jī)鏈接工作終 端的線路外，其他線路必須進(jìn)行雙線冗余；(3) 整體網(wǎng)絡(luò)不能出現(xiàn)流量瓶頸，保證帶寬充足；(4) 各部門必須劃分不同網(wǎng)段的 IP 地址；(5) 劃分網(wǎng)絡(luò)帶寬，突出優(yōu)先級(jí)；(6) 網(wǎng)絡(luò)邊界處必須部署防火墻、 IPS 等安全設(shè)備；(7) 網(wǎng)絡(luò)設(shè)備必須開啟日志審計(jì)功能；第十二條主機(jī)安全策略(1

11、) 登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶必須進(jìn)行身份標(biāo)識(shí)和鑒別；(2) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn)同名用戶，口令應(yīng)有復(fù) 雜 度要求并定期更換；(3) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)必須啟用登錄失敗處理功能；(4) 對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，必須采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò) 程中被竊聽；(5) 為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有 唯 一性，不能出重名情況；(6) 操作系統(tǒng)和數(shù)據(jù)庫(kù)必須及時(shí)刪除多余的、過(guò)期的賬戶，避免共事賬戶的存 在；(7) 主機(jī)必須開啟日志審計(jì) ?功能；(8) 主機(jī)必須安裝防惡意代碼產(chǎn)品，并進(jìn)行統(tǒng)一管理；第十三條應(yīng)用安全策略(1) 應(yīng)用系統(tǒng)必須在登錄時(shí)要求輸入用戶名和口令；(2) 登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗(yàn)證 ( 如用戶名口令 +Ukey 或用戶名口令 +IP 與 MAC 地址綁定方式 ) ；(3) 應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同，且不能出現(xiàn)多人 使用同一賬戶的情況；(4) 應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能；(5) 應(yīng)用系統(tǒng)必須開啟登錄連接超時(shí)自動(dòng)退出等措施；(6) 應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別