XX平臺(tái)安全保障制度

XX平臺(tái)安全保障制度安全組織架構(gòu)及工作職責(zé)2.1安全管理小組組長(zhǎng)職責(zé)主要負(fù)責(zé)批準(zhǔn)XX平臺(tái)安全策略、分配安全責(zé)任并協(xié)調(diào)安全策略能夠?qū)嵤?，確保安全管理工作有一個(gè)明確的方向，從管理和決策層角度對(duì)信息安全管理提供支持。信息小組組長(zhǎng)的主要責(zé)任如下：確定網(wǎng)絡(luò)與信息安全工作的總體方向、目標(biāo)、總體原則和安全工作方法；審查信息安全策略和安全責(zé)任；分配和指導(dǎo)安全管理總體職責(zé)與工作；在網(wǎng)絡(luò)與信息面臨重大安全風(fēng)險(xiǎn)時(shí)，監(jiān)督控制可能發(fā)生的重大變化；對(duì)安全管理的重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等）進(jìn)行決策；指揮、協(xié)調(diào)、督促并審查重大安全事件的處理，并協(xié)調(diào)改進(jìn)措施；審核網(wǎng)絡(luò)安全建設(shè)和管理的重要活動(dòng)，如重要安全項(xiàng)目建設(shè)、重要的安全管理措施出臺(tái)等；定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定。2.2安全工作組職責(zé)信息安全工作組是信息安全工作的日常執(zhí)行機(jī)構(gòu)，內(nèi)設(shè)專職的安全管理組織和崗位，負(fù)責(zé)日常具體安全工作的落實(shí)、組織和協(xié)調(diào)。信息安全工作組的主要職責(zé)如下：貫徹執(zhí)行和解釋信息安全小組組長(zhǎng)的決議；貫徹執(zhí)行和解釋國(guó)家主管機(jī)構(gòu)下發(fā)的信息安全策略；負(fù)責(zé)組織和協(xié)調(diào)各類信息安全規(guī)劃、方案、實(shí)施、測(cè)試和驗(yàn)收評(píng)審會(huì)議；負(fù)責(zé)落實(shí)和執(zhí)行各類信息安全具體工作，并對(duì)具體落實(shí)情況進(jìn)行總結(jié)和匯報(bào)；負(fù)責(zé)內(nèi)外部組織和機(jī)構(gòu)的溝通、協(xié)調(diào)和合作工作；負(fù)責(zé)制定所有信息安全相關(guān)的管理制度和規(guī)范；負(fù)責(zé)針對(duì)信息安全相關(guān)的管理制度和規(guī)范具體落實(shí)工作進(jìn)行監(jiān)督、檢查、考核、指導(dǎo)及審批，例如現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。2.3安全工作組崗位為了有效落實(shí)信息安全各項(xiàng)工作，XX平臺(tái)設(shè)立以下專職的安全崗位，負(fù)責(zé)安全工作的落實(shí)和執(zhí)行2.3.1安全管理員負(fù)責(zé)網(wǎng)絡(luò)與信息安全的日常整體協(xié)調(diào)、管理工作；負(fù)責(zé)組織人員制定信息安全管理制度，并對(duì)管理制度進(jìn)行推廣、培訓(xùn)和指導(dǎo)；負(fù)責(zé)重大安全事件的具體協(xié)調(diào)和溝通工作。負(fù)責(zé)執(zhí)行網(wǎng)絡(luò)與信息安全工作的日常協(xié)調(diào)、管理工作；負(fù)責(zé)日常的安全監(jiān)控管理，并對(duì)上報(bào)和發(fā)現(xiàn)的各類安全事件進(jìn)行響應(yīng)；負(fù)責(zé)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全管理的協(xié)調(diào)和技術(shù)指導(dǎo)；負(fù)責(zé)安全管理平臺(tái)安全策略制定，訪問(wèn)控制策略審核；負(fù)責(zé)組織安全管理制度的推廣和培訓(xùn)工作；負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。2.3.2安全審計(jì)員負(fù)責(zé)安全管理制度落實(shí)情況的檢查、監(jiān)督和指導(dǎo)；負(fù)責(zé)安全策略執(zhí)行情況的審核。3安全保障工作內(nèi)容3.1網(wǎng)絡(luò)結(jié)構(gòu)安全維護(hù)管理制度網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)邊界上部署的網(wǎng)絡(luò)隔離設(shè)備中根據(jù)應(yīng)用需求設(shè)置合理的訪問(wèn)控制規(guī)則，合理開放對(duì)外服務(wù)。網(wǎng)絡(luò)管理員應(yīng)對(duì)系統(tǒng)內(nèi)部服務(wù)器區(qū)域進(jìn)行劃分及隔離，在終端計(jì)算機(jī)與服務(wù)器之間進(jìn)行訪問(wèn)控制，建立安全的訪問(wèn)路徑。網(wǎng)絡(luò)管理員對(duì)在公共網(wǎng)絡(luò)傳輸?shù)闹匾畔?，在傳輸線路中配置加密設(shè)備，保證信息傳輸?shù)谋Ｃ苄?。禁止?nèi)部網(wǎng)絡(luò)用戶未授權(quán)與外部網(wǎng)絡(luò)連接；如提供遠(yuǎn)程撥號(hào)或移動(dòng)用戶連接，應(yīng)在系統(tǒng)入口處配置鑒別與認(rèn)證服務(wù)器。禁止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)，尤其是服務(wù)器區(qū)域。3.2網(wǎng)絡(luò)設(shè)備安全維護(hù)管理制度網(wǎng)絡(luò)管理員應(yīng)根據(jù)系統(tǒng)安全策略和維護(hù)需求設(shè)置合理的設(shè)備自身安全配置。網(wǎng)絡(luò)管理員應(yīng)及時(shí)更新網(wǎng)絡(luò)設(shè)備軟件版本，修補(bǔ)高風(fēng)險(xiǎn)的漏洞。禁止與應(yīng)用無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)，關(guān)閉與應(yīng)用無(wú)關(guān)的網(wǎng)絡(luò)接口。對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)唯一，不反饋鑒別信息。修改網(wǎng)絡(luò)設(shè)備默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問(wèn)，用戶口令應(yīng)滿足長(zhǎng)度和復(fù)雜性要求，并對(duì)配置口令進(jìn)行加密保護(hù)。當(dāng)?shù)卿涍B接超時(shí)，應(yīng)自動(dòng)斷開連接，并要求重新鑒別。對(duì)能夠網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址進(jìn)行限制，關(guān)閉與應(yīng)用無(wú)關(guān)的遠(yuǎn)程訪問(wèn)接口。對(duì)網(wǎng)絡(luò)設(shè)備配置進(jìn)行備份，且對(duì)備份文件的讀取實(shí)施訪問(wèn)控制。開啟路由器/交換機(jī)日志功能，安全審計(jì)員對(duì)修改訪問(wèn)控制列表、調(diào)整設(shè)備配置的操作行為進(jìn)行審計(jì)記錄。3.3服務(wù)器安全維護(hù)管理制度系統(tǒng)主機(jī)由系統(tǒng)管理員負(fù)責(zé)維護(hù)，未經(jīng)允許任何人不得對(duì)系統(tǒng)主機(jī)進(jìn)行操作。定期更新操作系統(tǒng)版本，修補(bǔ)漏洞。建立系統(tǒng)設(shè)備檔案、包括系統(tǒng)主機(jī)詳細(xì)的技術(shù)參數(shù)，如：品牌、型號(hào)、購(gòu)買日期、序列號(hào)、硬件配置信息、軟件配置信息、網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息等。對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；用戶的身份標(biāo)識(shí)唯一；身份鑒別如采用用戶名/口令方式，應(yīng)設(shè)置口令長(zhǎng)度、復(fù)雜性和更新周期；修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問(wèn)，禁止匿名訪問(wèn)或限制訪問(wèn)的范圍；設(shè)置登錄失敗處理功能，當(dāng)?shù)卿浭〈螖?shù)達(dá)到限制值時(shí)，應(yīng)結(jié)束會(huì)話、鎖定用戶。實(shí)行特權(quán)用戶的權(quán)限分離，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系。對(duì)系統(tǒng)內(nèi)的重要文件（如啟動(dòng)腳本文件、口令文件、服務(wù)配置文件）、服務(wù)、環(huán)境變量、進(jìn)程等實(shí)施訪問(wèn)控制。每周對(duì)系統(tǒng)主機(jī)進(jìn)行運(yùn)行性能分析，并做詳細(xì)記錄，根據(jù)分析情況對(duì)系統(tǒng)主機(jī)進(jìn)行優(yōu)化，包括磁盤碎片整理、系統(tǒng)日志文件清理，系統(tǒng)升級(jí)等。每周對(duì)系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進(jìn)行備份，做詳細(xì)記錄。每天檢查系統(tǒng)主機(jī)各應(yīng)用服務(wù)系統(tǒng)是否運(yùn)行正常，并做詳細(xì)記錄。每天檢查系統(tǒng)主機(jī)各硬件設(shè)備是否正常運(yùn)行，并做詳細(xì)記錄。每天記錄系統(tǒng)主機(jī)運(yùn)行維護(hù)日記，對(duì)系統(tǒng)主機(jī)運(yùn)行情況進(jìn)行總結(jié)。系統(tǒng)發(fā)生故障時(shí)，及時(shí)通知用戶，并最快時(shí)間解決問(wèn)題，對(duì)故障問(wèn)題進(jìn)行記錄。安全審計(jì)員對(duì)安全事件進(jìn)行審計(jì)，審計(jì)事件至少包括：用戶管理、審計(jì)功能啟停及審計(jì)策略調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作、重要用戶的各項(xiàng)操作進(jìn)行審計(jì)。審計(jì)記錄應(yīng)包括日期和時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等；審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋。3.4數(shù)據(jù)庫(kù)安全維護(hù)管理制度數(shù)據(jù)庫(kù)系統(tǒng)由數(shù)據(jù)管理員維護(hù)，未經(jīng)允許任何人不得操作數(shù)據(jù)庫(kù)系統(tǒng)。定期更新數(shù)據(jù)庫(kù)版本，修補(bǔ)漏洞。修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問(wèn)。設(shè)置合理的口令長(zhǎng)度、復(fù)雜性和更新周期。取消不必要的權(quán)限開放，嚴(yán)格限制Public角色權(quán)限。禁用或刪除數(shù)據(jù)庫(kù)不需要的內(nèi)置存儲(chǔ)過(guò)程及函數(shù)。嚴(yán)格限制系統(tǒng)管理員及應(yīng)用系統(tǒng)用戶的權(quán)限分配，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限。嚴(yán)格限制數(shù)據(jù)庫(kù)鏈接的設(shè)置。數(shù)據(jù)庫(kù)系統(tǒng)每周作一次完全備份，每月末一次完全備份，每天進(jìn)行增量備份。制定數(shù)據(jù)庫(kù)備份計(jì)劃，災(zāi)難出現(xiàn)時(shí)對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行恢復(fù)，維護(hù)適當(dāng)介質(zhì)上的存檔或者備份數(shù)據(jù)。安全審計(jì)員對(duì)數(shù)據(jù)庫(kù)的安全事件進(jìn)行審計(jì)，應(yīng)審計(jì)：用戶管理、審計(jì)功能啟動(dòng)關(guān)閉、審計(jì)策略調(diào)整、權(quán)限變更、數(shù)據(jù)字典訪問(wèn)、管理員用戶各項(xiàng)操作、對(duì)存儲(chǔ)重要信息的數(shù)據(jù)表的各項(xiàng)操作。3.5應(yīng)用系統(tǒng)安全維護(hù)管理制度技術(shù)保障部應(yīng)用系統(tǒng)管理人員對(duì)Web服務(wù)、應(yīng)用層服務(wù)、郵件服務(wù)等通用應(yīng)用平臺(tái)應(yīng)該根據(jù)系統(tǒng)總體安全策略進(jìn)行選擇和安全配置，并及時(shí)升級(jí)補(bǔ)丁包。安全配置的內(nèi)容包括：身份鑒別、用戶權(quán)限分配、口令質(zhì)量等。對(duì)應(yīng)用軟件的身份鑒別、用戶管理、訪問(wèn)控制、運(yùn)行審計(jì)等基本安全功能進(jìn)行限制，并定期進(jìn)行版本維護(hù)及更新。安全審計(jì)員對(duì)用戶執(zhí)行的系統(tǒng)操作和重要業(yè)務(wù)操作進(jìn)行審計(jì)。審計(jì)記錄應(yīng)包括日期和時(shí)間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等；審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋根據(jù)業(yè)務(wù)需求在應(yīng)用信息的生成、處理、傳輸和存儲(chǔ)等環(huán)節(jié)采取相應(yīng)的保護(hù)措施。信息生成環(huán)節(jié)：信息源標(biāo)識(shí)和鑒別、遠(yuǎn)程錄入加密、輸入數(shù)據(jù)合法性性檢驗(yàn)（如：引發(fā)溢出、注入等漏洞）等。信息處理環(huán)節(jié)：限制單一用戶多重并發(fā)會(huì)話（防止暴力破解)、制定并執(zhí)行訪問(wèn)控制策略、安全功能不可旁路及容錯(cuò)性。信息傳輸環(huán)節(jié)：通過(guò)加密、簽名，實(shí)現(xiàn)保密性、完整性及抗抵賴性(HTTPS、證書)。信息存儲(chǔ)環(huán)節(jié)：保密性、完整性。3.6網(wǎng)絡(luò)惡意代碼病毒防范制度網(wǎng)絡(luò)惡意代碼防范，由安全審計(jì)員負(fù)責(zé)。根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)要求安裝、配置網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)，包括服務(wù)器端系統(tǒng)配置和客戶機(jī)端系統(tǒng)配置，開啟客戶端防病毒系統(tǒng)的實(shí)時(shí)監(jiān)控。對(duì)存儲(chǔ)介質(zhì)訪問(wèn)、系統(tǒng)訪問(wèn)、網(wǎng)絡(luò)訪問(wèn)等進(jìn)行實(shí)時(shí)監(jiān)控，在病毒入侵時(shí)及時(shí)報(bào)警，并進(jìn)行清除、刪除或隔離。定期更新病毒特征庫(kù)，及時(shí)對(duì)防病毒產(chǎn)品進(jìn)行版本升級(jí)。定期進(jìn)行文件系統(tǒng)全面病毒查殺。對(duì)病毒相關(guān)審計(jì)記錄進(jìn)行詳細(xì)統(tǒng)計(jì)與分析，及時(shí)調(diào)整病毒防范策略。3.7數(shù)據(jù)備份恢復(fù)制度系統(tǒng)應(yīng)對(duì)系統(tǒng)軟件代碼、系統(tǒng)軟硬件平臺(tái)配置數(shù)據(jù)、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)用戶關(guān)鍵信息、日志信息等，依照各自備份策略要求進(jìn)行備份。系統(tǒng)管理員應(yīng)對(duì)設(shè)置的數(shù)據(jù)自動(dòng)備份任務(wù)進(jìn)行定期監(jiān)控，確認(rèn)備份任務(wù)得到了有效的執(zhí)行。系統(tǒng)管理員應(yīng)對(duì)備份進(jìn)行數(shù)據(jù)恢復(fù)的有效性驗(yàn)證，以確保備份數(shù)據(jù)的正確性。對(duì)以加密方式保存重要數(shù)據(jù)備份的，應(yīng)同時(shí)保存數(shù)據(jù)恢復(fù)密鑰的備份。3.8網(wǎng)絡(luò)非法入侵防范制度網(wǎng)絡(luò)非法入侵防范，由安全審計(jì)員負(fù)責(zé)。入侵監(jiān)控產(chǎn)品的安全規(guī)則應(yīng)符合系統(tǒng)安全策略的要求，能檢測(cè)到違反規(guī)則的行為，入侵監(jiān)控功能不被旁路。定期更新入侵監(jiān)控產(chǎn)品的特征數(shù)據(jù)庫(kù)，定期分析入侵監(jiān)控記錄，并根據(jù)系統(tǒng)已經(jīng)存在或潛在的安全漏洞及時(shí)調(diào)整監(jiān)控策略。當(dāng)檢測(cè)到入侵行為后應(yīng)通過(guò)電子郵件、聲音、短信等方式，及時(shí)上報(bào)。每周備份入侵檢測(cè)系統(tǒng)和漏洞掃描系統(tǒng)的審計(jì)信息，并作詳細(xì)記錄。4相關(guān)附件4.1系統(tǒng)設(shè)備檔案表設(shè)備檔案表一、基本信息設(shè)備編號(hào)設(shè)備名稱設(shè)備品牌設(shè)備型號(hào)設(shè)備序列號(hào)安裝日期隨機(jī)材料名稱單位/數(shù)量隨機(jī)材料名稱單位/數(shù)量二、主機(jī)配置硬件配置變更記錄配置說(shuō)明數(shù)量?jī)?nèi)容簽署/日期CPU硬盤內(nèi)存光驅(qū)網(wǎng)卡其它軟件配置變更記錄簽署：日期：簽署：日期：簽署：日期：系統(tǒng)配置變更記錄簽署：日期：簽署：日期：簽署：日期：網(wǎng)絡(luò)配置變更記錄簽署：日期：簽署：日期：簽署：日期：首次建檔日期登記員4.2系統(tǒng)軟件檔案表系統(tǒng)軟件檔案一、基本信息軟件編號(hào)軟件名稱軟件品牌軟件版本軟件序列號(hào)安裝日期隨機(jī)附件名稱單位/數(shù)量隨機(jī)附件名稱單位/數(shù)量二、軟件使用說(shuō)明軟件安裝環(huán)境變更記錄簽署：日期：簽署：日期：簽署：日期：軟件網(wǎng)絡(luò)設(shè)置變更記錄簽署：日期：簽署：日期：簽署：日期：首次建檔日期登記員4.3系統(tǒng)維護(hù)系列表 系統(tǒng)維護(hù)系列表一、系統(tǒng)性能分析設(shè)備編號(hào)主機(jī)名稱分析日期分析人員分析軟件統(tǒng)計(jì)CPU使用率（百分比）磁盤碎片整理盤符建議碎片整理內(nèi)存使用率總?cè)萘浚篗C○是○否已用：MD○是○否可用：ME○是○否系統(tǒng)日志文件清理○是○否F○是○否G○是○否分析建議二、系統(tǒng)數(shù)據(jù)備份備份日期備份人員備份設(shè)備備份介質(zhì)備份形式標(biāo)識(shí)：○全部備份○增量備份備份內(nèi)容系統(tǒng)日志系統(tǒng)數(shù)據(jù)系統(tǒng)策略三、系統(tǒng)補(bǔ)丁升級(jí)記錄升級(jí)日期升級(jí)人員4.4系統(tǒng)工作狀態(tài)、應(yīng)用服務(wù)檢測(cè)表系統(tǒng)工作狀態(tài)、應(yīng)用服務(wù)檢測(cè)表部門：檢測(cè)日期設(shè)備編號(hào)檢測(cè)項(xiàng)目檢測(cè)結(jié)果應(yīng)用服務(wù)名稱是否正常檢測(cè)人員XX年XX月XX日○CPU○內(nèi)存