信息系统运维安全管理规定第一章总则第一条为保障信息系统持续、稳定、安全运行,加强网络与信息系统运行维护和监控管理,明确各工作角色及工作职责,特制定本规定。第二条本规定适用于XXX工作人员、系统维护人员以及信息系统中各承建商及服务商等系统管理或运维的相关人员。第二章网络安全管理第一节基本安全管理第三条网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改。第四条网络管理员应定期对网络进行漏洞扫描,并与系统管理员、安全管理员一起进行扫描结果的分析。如发现重大安全隐患,应立即上报。第五条网络管理员进行漏洞扫描前需提出申请,详细描述扫描的技术、范围、时间及可能得影响性,在获得部门领导审批后,方可执行。第六条对重要网段要进行重点保护,要使用防火墙等安全设备以及VLAN或其他访问控制方式与技术将重要网段与其它网段隔离开。第七条网络结构要按照分层网络设计的原则来进行规划,合理清晰的层次划分和设计,可以保证网络系统骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。第八条网络管理员定期对网络的性能分析,以充分了解系统资源的运行情况及通信效率情况,提出网络优化方案。第九条网络设备的安装、配置、变更、撤销等操作必须严格走流程。第十条按照最小服务原则为每台基础网络设备进行安全配置。第十一条网络连接管理过程中,需明确网络的外联种类,包括互联网、合作伙伴企业网、上级部门网络和管理部门网络等,根据外联种类确定授权与批准程序,保证所有与外部系统的连接均得到授权和批准,并具备连接策略及对应的控制措施。第十二条未经网络管理员授权,员工内严禁拨号上网。经授权的拨号上网,必须首先与内部网络断开。第十三条网络互连原则:(一)与互联网的连接中,在互连点上的防火墙上应该进行IP地址转换,保护内部接口机或代理服务器真实的IP地址。(二)任何单位不得自行建立新的信息平台,如确有需求,需经由相关部门认证批准后实施。(三)互联网接入必须有防火墙等安全防范设备。未经许可,任何单位或个人不得私自在网络内新增与互联网的连接。第十四条不同业务的网络之间互连原则:(一)互连点上必须实施安全措施,如网络访问控制列表、安装防火墙等。(二)网络之间互连点采取集中原则,并考虑安全冗余。(三)网络互连点及安全设备必须纳入到网管体系的监控。第二节配置文件管理第十五条网络设备及安全设备的当前配置文件必须在主机上有备份文件。第十六条网络设备及安全设备中的运行配置文件和启动配置文件应该随时保持一致。第十七条所有的网络配置文件有文档记录,网络设备及安全设备的配置文件需要定期备份。第十八条通过安全的传输方式可以将网络设备及安全设备的配置文件下载到本地主机上作备份文件以防不测,在设备配置文件损坏时可再通过安全的传输方式从本地主机上载到设备中恢复备份的配置文件。第十九条网络设备及安全设备的拓扑结构、IP地址等信息文档属于机密信息,应该在一定范围内予以保密。第二十条配置信息的修改要获得安全管理员的批准方可进行。第二十一条定期对网络设备及安全设备的配置信息是否符合当前网络状况进行检查和分析,并做详细记录。第三节日志管理第二十二条网络设备及安全设备需存储日志信息。第二十三条在日志文件中要求记录登录过该设备的用户名、时间和所作的命令操作等详细信息,为发现潜在攻击者的不良行为提供有力依据。第二十四条定期查看所管设备的日志文件,发现异常情况要及时处理和报告上级主管,尽早消除网络安全隐患。第二十五条定期对日志文件进行备份。日志文件保存时间应在3个月以上。第二十六条对日志文件的访问要获得对应安全管理员的批准。第三章系统安全管理第一节补丁安全管理第二十七条补丁管理就是通过技术和管理两种手段,对操作系统、网络设备、应用软件等进行安全补丁的管理与维护,从而保证设备和系统的即时安全性。第二十八条对业务系统的操作系统,补丁加载前一定要进行相同环境的测试,加载前要做好系统备份和数据备份,并制定补丁回退机制和流程。第二十九条对办公电脑(包括桌面机和笔记本)要实施统一的补丁管理,实现补丁的统一测试、自动分发和在线检查。第二节系统网络安全管理第三十条系统的网络安全主要是指操作系统本身提供的网络服务的安全性,例如电子邮件服务、Web服务、Ftp服务、命名服务以及网络功能设置的安全如网络协议等。第三十一条对系统网络安全可以通过以下方式实现:(一)关闭无关的网络服务;(二)通过防火墙进行网络访问控制;(三)对网络访问进行充分的认证和有限的安全授权;(四)对应用服务做好用户管理和权限控制;(五)及时加载应用服务的安全补丁。第三节文件系统安全管理第三十二条文件系统的安全是指系统中所有文件的安全,包括所有操作系统管理的设备资源的安全问题。第三十三条文件系统的安全是系统安全的最后防线,主要通过以下方式实现文件系统的安全:(一)可以利用操作系统或者第三方提供的加密机制,对文件进行适当地加密;(二)对文件实施基于用户的访问控制;(三)实施文件完整性检查和恢复机制;(四)做好文件系统的备份和恢复。第三十四条系统管理员定期对配置文件的进行备份。配置文件的访问应获得系统管理员的批准。第三十五条系统管理员定期对配置文件的符合性进行检查,发现不足之处及时修改。第四章防病毒安全管理第一节职责分工第三十六条信息中心负责病毒防护的维护和执行工作,具体职责如下:(一)负责病毒防护系统的整体规划,并对病毒防护工作进行整体部署、监管和指导;(二)负责病毒的预警工作,有专人负责跟踪病毒信息,及时发布病毒信息;(三)负责监控网络病毒的整体情况,在爆发重大病毒时,各系统无力处理病毒的情况下,组织和协调相关部门进行紧急响应;(四)制定病毒防护相关管理规定,并根据其内容定期检查病毒防治工作;(五)组织病毒防治的讲座和培训,提高员工的病毒防护安全意识。第三十七条安全管理员应按照业务系统的信息安全操作和工作流程对系统的防病毒系统进行日常维护。一旦发生病毒安全事件,应根据XXX的安全事件处理流程和应急响应流程进行处理,在本系统人员和技术能力无法对病毒事件在规定时间内紧急恢复或有效控制时,应及时上报信息安全工作组请求技术支援和紧急响应。第三十八条应有专人管理办公终端的病毒防护工作。并有足够力量保证办公终端在遭受大规模病毒攻击时可以按时进行响应。第二节安全及责任要求第三十九条所有计算设备用户应保证使用的计算设备按照XXX要求安装了相应的病毒防护软件或采用了相应的病毒防护手段,并且应保证这些措施的可用性。如果自己无法对病毒防护措施的有效性进行判断,应及时通知信息安全工作组进行解决。第四十条各系统防病毒系统应在遵循XXX病毒防护系统整体规划的前提下由XXX委托各系统自行建设和管理。第四十一条员工在发现终端感染病毒的情况下,应首先拔掉网线,降低可能对XXX网络造成的影响,然后用户向信息中心提出的病毒处理需求,信息中心协助办公终端用户进行计算机病毒的清除,进行汇报和备案。第四十二条安全管理员及各有关单位安全员须对恶意代码进行防范和定期检查。第四十三条信息安全工作组应对各有关单位的制度执行情况进行有效的监督和管理,实行奖励与惩罚制度。对违反管理办法规定的行为要及时指正,对严重违反者要立即上报。第三节病毒响应第四十四条所有病毒防护的负责部门或人员应严格遵守病毒响应时限的要求。如无法在病毒响应时限内完成对病毒的响应工作,应及时上报信息安全工作组进行协调解决并承担相应责任。第四十五条办公终端感染病毒的(非蠕虫类),应在发现时(防病毒系统记录或技术支持电话记录)起2小时内进行解决。第四十六条办公终端感染蠕虫的,应在发现时(防病毒系统记录或技术支持电话记录)起30分钟内进行解决。第四十七条服务器、监控平台等生产设备感染病毒的(非蠕虫类),应在发现时(防病毒系统记录)起1小时内进行解决。第四十八条服务器、监控平台等生产设备感染蠕虫的,应在发现时(防病毒系统记录)起30分钟内进行解决。如果该设备会对其他生产设备产生大于设备离网产生的影响时,应立刻切断该设备与网络的连接。第四节操作流程第四十九条升级病毒库(一)内容:升级杀毒软件的病毒库。(二)标准:病毒库为最新版本。(三)操作:启用杀毒软件的自动升级病毒库功能,并设定自动升级的时间,可设置自动更新病毒库的时间为每天、每周或每月,原则上每三天应该升级一次病毒库;保证防病毒服务器能连接到杀毒软件厂商的升级网站,进行病毒库更新;安装了网络版杀毒软件客户端的接受防病毒服务器的统一管理,及时从防病毒服务器下载最新病毒库进行更新。(四)关键点:在线升级的话选择速度最快的网站进行更新。(五)特情处理:如果软件不能自动升级,到杀毒软件厂商的网站手工下载升级包,手工升级病毒库。第五十条查杀病毒(一)内容:扫描、查杀硬盘中文件。(二)标准:扫描范围包括所有的硬盘空间,查杀扫描出来的所有病毒文件。(三)操作:使用杀毒软件扫描所有的硬盘分区,以发现硬盘中可能存在的病毒或异常情况;对外来的软盘、光盘和其它介质、电子邮件和从互联网下载的文件做病毒检查;定期或不定期地进行磁盘文件备份工作,重要的数据应当定期备份,备份前先要进行查病毒工作;对新购置的计算机软件在使用前也要进行病毒检测。(四)关键点:注意扫描出来的新病毒。第五十一条记录杀毒日志(一)内容:记录杀毒日志。(二)标准:包括时间,染毒文件名,病毒名。(三)操作:将杀毒日志记录人信息处理设施中导出来,并作保存。如不能从计算机中导出杀毒日志记录,则系统管理员手工填写《杀毒日志记录》(见附表一)。(四)关键点:日志记录要写得准确、详细。第五十二条病毒事件响应(一)内容:定期检查馆内所有计算机是否有新病毒出现,并响应出现的病毒或异常事件。(二)标准:及时有效处理病毒或异常事件。(三)操作:系统管理员定期组织对所有计算机进行扫描;工作人员在发现不可清除的病毒和异常情况时,及时报告给系统管理员,系统管理员及时对用户报告的病毒事件进行响应,并记录病毒检测和处理的情况,填写《病毒事件响应记录》(见附表二),该文档可作为XXX的病毒防治知识库,为以后问题的处理提供帮助。(四)病毒异常情况包括:1)系统运行速度比平时明显变慢。2)有打印、显示异常现象。3)文件夹下有不明的文件自动生成。4)磁盘空间自动产生坏簇或磁盘空间无故减少。5)系统文件无故丢失。6)系统异常死机的次数增加。(五)关键点:注意调查新病毒的来源,记录要写得准确、详细。第五十三条汇报(一)内容:防恶意代码防范状态(近期网络病毒状况、终端感染状况、杀毒软件状态)。(二)标准:以公告通知的形式通报全院防病毒情况。(三)汇报人:网络安全管理员(四)操作:系统管理员定期收集、整理、分析病毒信息,描述病毒的名称、特征、危害和修补措施并向中心发出防范该病毒的通告。(五)关键点:及时地通知到各个单位、部门。第五章密码安全管理第五十四条如需选用密码产品时,应进行密码产品选型分析,并提交密码产品选型申请,获批后,方可购买并投入使用。第五十五条密码产品选型过程中,必须遵循国家标准,选择符合国家密码管理规定的产品。第五十六条密码产品的选型由信息中心负责审核及批准。第五十七条要定期(至少一个季度一次)更换网络设备、操作系统、应用系统的登录密码,并设置密码复杂度,不允许使用单纯数字密码或个人生日,密码要设置一定的长度。第六章附则第五十八条本规定由信息中心负责解释、修订。第五十九条本规定自发布之日起执行。第七章附录附表一杀毒日志记录日期计算机(用户)病毒名称病毒类型感染文件名(类型)文件的原始位置操作及结果附表二病毒事件响应记录病毒名称病毒类型报告阶段事件简要描述:报告人报告时间部门电话响应阶段病毒检测和处理情况:操作人操作时间部门电话备注: