搜索
智慧安监系统安全策略第一章总则第一条为了保证秦皇岛市智慧安监综合信息平台系统的正常运行,特制定本安全策略。第二条智慧安监系统应用、服务支撑和管理的相关人员应该遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等相关法律、法规以及秦皇岛市各安监机构有关安全管理规定的要求。第三条智慧安监综合信息平台包括智能办公平台、基础监管业务平台、隐患排查治理平台、风险预警平台、应急救援指挥平台、企业主体责任落实平台以及指挥中心大屏。第二章总体要求第四条信息管理部是智慧安监系统安全的管理部门,负责解决运行管理中的安全问题,并对智慧安监系统应用部门安全管理负有指导、监督和检查责任。第五条智慧安监系统服务支撑部门负责人必须指定专门的智慧安监系统管理人员。智慧安监系统管理人员是系统安全的具体责任人,负责所辖系统机房、智慧安监系统及网络的日常管理和信息安全工作,应经常对智慧安监系统的软件、硬件进行检查和服务支撑,做好安全防范,保证网络能够持续有效地运行,并结合工作需要及时对智慧安监系统上的信息进行更新服务支撑,及时对发布的信息进行复核,公布有效信息,清除垃圾信息并对智慧安监系统安全的关键配置、用户权限变更、重要日志等文档进行保存。第六条智慧安监系统服务支撑部门应结合本部门的具体情况,负责落实信息安全责任制,定期(至少每月一次)进行信息安全检查,杜绝各类信息安全隐患,做好智慧安监系统安全管理工作,保证智慧安监系统的安全,使其正常高效地运行。第七条智慧安监系统服务支撑部门应定期(至少每6个月一次)对所属工作人员进行有关智慧安监系统安全的教育和培训,提高系统管理队伍的整体素质和操作能力。第八条各级人员严格遵守通信纪律,增强保密意识,保守通信机密,不能向无关人员泄漏系统及其数据结构、容量配置、统计数据等相关技术资料。第九条严格遵守保密制度,有关业务系统数据、报表数据、用户资料数据等均属秘密,不得任意抄录、复制及带出,也不得转告与工作无关人员,不用的草稿、报表应及时销毁。第十条智慧安监系统服务器及网络设备必须使用经正式授权的正版软件,不得安装使用任何盗版及与提供服务无关的软件;软件使用部门和个人取得新软件前必须确认其购买与安装是否符合公司的软件使用政策。第十一条智慧安监系统服务支撑单位应建立智慧安监系统安全事件应急流程预案(包括机房环境、DCN网络、智慧安监系统、终端等)并且进行定期(至少每年一次)演练,发生紧急安全事件时应依照预案流程进行,快速恢复智慧安监系统正常运行。第三章系统安全管理第十二条保证各智慧安监服务器上的服务及Web中间件运行正常,确保各业务系统平台登录正常,根据要求每天进行系统巡检。第十三条智慧安监系统服务支撑部门系统管理员为系统中的每一个用户创建唯一的用户帐号。在特定情况下可以使用共享的用户ID,但必须经过授权,并采取额外的控制措施来保证责任到人。用户ID不得体现用户的权限级别。对所有在线的系统无论是本地或远程操作,系统用户都必须通过系统的密码认证。第十四条帐号密码设置需符合以下安全要求:(一)密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容;(二)密码长度至少是六个字符,组成上可以包含大小写字母、数字、标点等不同的字符;(三)同一密码不得被给定账户在一年内重复使用;(四)默认密码必须在提供该密码的软件安装完毕后马上进行修改。(五)用户取得各种应用的初始密码后应立即进行更改。第十五条系统管理员的密码更新后,应将新密码记录送交指定人员封存,并销毁旧密码。当系统管理员发生变化时,新的系统管理员应立即更改密码。第十六条应制定用户帐号的注册和注销程序,用户申请帐号和权限时,由用户所在部门主管领导和智慧安监系统服务支撑部门主管领导对用户权限和申请原因等内容进行审批,系统管理员根据审批后的申请表,设置用户的帐号和权限。第十七条超级权限用户的分配应遵循以下标准:(一)确定不同系统的超级权限以及需要获得此类特权的人员类型;(二)超级权限应基于“使用需要”,逐个事件进行分配,即以完成其岗位职责的最低要求为依据,如某些超级权限在完成特定任务后应被收回;(三)保留所有超级权限分配授权流程的记录。在授权流程结束之前,不得授予特权;(四)当某用户需要超级权限时,应在其原有的用户ID之外,另行设置一个授予了超级权限的特殊帐户;(五)超级用户密码应进行有效和安全的备份,并交由专人保管。第十八条系统管理员掌握的超级管理员密码正常情况下应每年进行修改一次,由系统管理员修改密码并将修改后的系统管理员帐号密码记录,销毁旧密码。第十九条需定期核查用户的访问权限。具体要求如下:(一)用户访问权限应由用户所在部门的管理人员、系统所有人及系统服务支撑人一起确认;(二)用户帐户的访问权限应至少每6个月检查一次,特殊功能帐户应至少每3个月检查一次,超级帐户应至少每1个月检查一次;(三)任何变化发生后应进行核查;(四)定期搜索、检查多余、闲置或非法的账户,并予以冻结或删除;(五)对核查中发现的问题,应督促相关人员采取必要措施予以纠正。第二十条当系统用户由于岗位变动或离职等原因离开原工作岗位时,由用户原所在部门帐号管理人员填写《用户权限申请表》,送智慧安监系统服务支撑部门领导进行审批,审批通过后,系统管理员进行帐号权限变更。第二十一条员工有责任和义务保管好个人的各类账号和密码,由于密码泄漏造成的不良后果由员工本人承担。员工不得在任何场合随意公开各种应用的用户名和密码。第四章网络安全管理第二十二条需要全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施,以便优化企业运维;明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和补救措施的记录。第二十三条网络管理员负责网络的安全管理,网络管理员必须掌握网络管理和网络安全方面的知识。第二十四条网络管理员必须使用安全工具或技术进行系统间的访问控制,并根据系统的安全等级,相应的在系统的接入点部署防火墙,IDS(入侵检测)等网络安全产品,保证网络安全。第二十五条除网络安全人员进行网络维护或安全检测外,任何人员不得以任何理由在内部网络利用各类工具或其他手段进行攻击尝试(攻击尝试包括扫描、探嗅网络、架设dhcp或代理服务器、暴力猜测主机或网络设备的用户名和密码等攻击行为)。第二十六条核心网络设备应有备份设备,采取热备方式,骨干链路应有备份路由,重要的服务器设备应具备冗余网络链路。网络管理员在新的网络设备接入网络前,修改设备的默认密码。第二十七条内网与互联网等其他网络相连必须采取设立硬件防火墙等隔离措施,进行访问控制,限制外网用户访问内网信息,要求防火墙系统日志必须记录相关访问信息。相关部门需要通过内部网络访问外网资源时,需经智慧安监系统管理部门主管领导审批同意后,由网络管理员进行配置并记录。网络管理员应定期(至少每月一次)监控是否有不合法的用户访问内网资源。第二十八条需更改网络配置或进行网络调整前,智慧安监系统服务支撑部门必须提交申请并经主管领导批准。调整网络前后,应对网络配置信息做好备份。第二十九条将网络管理权限赋予给网络管理人员,明确网络管理员的管理范围(包括所管理的设备清单和管理内容),网络管理员职责如下:(一)至少每月一次监测网络设备资源(CPU、MEM等)的占用情况;(二)至少每月一次对网络设备配置进行检查;(三)管理网络设备系统权限,观测系统的安全状况,发现不良入侵,立即采取措施予以制止;(四)管理网络设备软件版本,以及软件和配置修改工作,进行相应操作时,应做出详细记录,并接受网络管理部门主管定期(至少每月一次)审核;(五)根据网络系统的运行情况,协助部门领导提出系统的优化、更新方案;第三十条IP地址资源由智慧安监系统管理部门统一规划和管理,IP地址、主机名等参数应按照企业所规定的标准进行统一编码和分配。各接入单位应当在规定的范围内,设置计算机及网络设备IP地址。第三十一条网络的IP地址是网络中的重要的资源,严禁盗用他人IP地址、用户名及密码;不得擅自进入未经许可的智慧安监系统或利用网络设备、软件技术更改或者盗用其他单位的网络信息,严禁修改任何网络设备的技术参数。第三十二条禁止私自将系统内的计算机和其他单位的网络互联,如确实需要和其他单位网络互联,应由双方的系统管理人员和网络管理人员相互配合,设计出切实可行的互联方案(该方案中必须考虑双方的网络和系统安全),取得相关部门审批同意后方可实施。与其它网络进行互联时,必须在边界处设置防火墙,防止非法数据包的入侵,阻止未授权或未检测的数据向外泄露。第三十三条严格禁止同一台终端在使用公司内部网络的同时采用拨号、无线、LAN等方式连接其他网络,有业务需要,需要取得信息管理部审批同意后方可实施。第三十四条网络管理员必须定期(每3个月)对网络设备进行安全漏洞检测,升级或安装必要的系统补丁,预防网络安全漏洞,并记录操作内容。第三十五条未经允许,任何单位或个人不得擅自外借、移动、拆除和接入网络设备,不得随意变更网络设备及网络结构,确需变更的,严格履行审批手续后,在确保不影响现有系统运行的情况下,由相关技术人员实施或监督实施。第三十六条采取加密机或加密软件等控制措施,保护通过公共网络传输的数据的机密性和完整性,敏感数据(特别是与财务相关的数据)通过外部网络传输时,必须经过加密处理。第三十七条网络系统管理部门必须对网络系统管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,网络管理员帐号的使用流程。第五章数据安全管理第三十八条数据库管理员由智慧安监系统服务支撑部门领导根据工作需要指定专人担任。数据库管理员必须创建专门的服务支撑帐号进行日常服务支撑。第三十九条数据库管理员的职责:(一)数据库用户注册管理及其相关安全管理;(二)对数据库系统存储空间进行管理,根据实际需要提出扩容计划。对数据库系统性能进行分析、监测,优化数据库的性能。必要时对数据库进行操作包括:数据库日志记录;管理扩展存储过程;实施防TCP/IP端口探测;对网络连接进行IP限制;对数据库进行文件收缩、碎片整理。(三)根据应用系统的需求创建数据库表、索引,修改数据库结构等;(四)制定并实施数据库的备份及恢复计划,根据备份计划进行数据库数据和配置备份,并检查数据库备份是否成功;(五)至少每3个月对数据库版本进行管理,提出版本升级计划,需要时安装数据库系统补丁,并做好记录;(六)监测有关数据库的告警,检查并分析数据库系统日志,及时提出解决方案,并记录服务支撑日志;(七)检查数据库对主机系统CPU、内存的占用情况;(八)每月对数据库日志进行分类、归纳,总结当月安全及生产运行情况。第四十条在系统正式使用前,数据库管理员应修改系统默认密码,并对不需要的帐号进行删除或锁定。数据库管理员为每一个数据库用户根据需要的权限建立专门的帐号,以区分责任,提高系统的安全性,用户必须使用自己的帐号登录数据库。第四十一条数据库系统的关键设备应冗余配置;关键部件在达到标称的使用期限时,不管其是否正常工作,必须予以更换。第四十二条数据库在安装时一般使用默认端口提供服务,为了提高数据库的安全性,防止被恶意攻击,在安装数据库时,应将重要数据库的端口使用情况进行记录。数据库管理员在对重要数据库端口进行修改或执行影响数据库安全和性能的操作前应提交申请,经主管部门领导审批后方可实施,并及时(至少在一周内)更新记录。第四十三条数据库系统管理部门必须设置并定期复核(至少每6个月一次)用户权限的性质和范围。第四十四条数据库系统管理部门必须对数据库管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,数据库管理员帐号的使用流程。第四十五条数据库管理员拥有数据库的最高权限,数据库管理员执行的重要操作都必须进行记录(自动或手动)。第四十六条数据库的用户权限和用户的岗位需求必须保持一致。对用户权限的管理本着最低范围、最低权限、本人专用、出现问题本人负完全责