《XX平台安全保障制度》由会员分享,可在线阅读,更多相关《XX平台安全保障制度(16页珍藏版)》请在金锄头文库上搜索。
1、XX 平台安全保障制度目录安全保障制度 11总则 12安全组织架构及工作职责 22.1安全管理小组组长职责 22.2安全工作组职责 22.3安全工作组岗位 32.3.1安全管理员 32.3.2安全审计员 43安全保障工作内容 43.1网络结构安全维护管理制度 43.2网络设备安全维护管理制度 43.3服务器安全维护管理制度 53.4数据库安全维护管理制度 63.5应用系统安全维护管理制度 73.6网络恶意代码病毒防范制度 83.7数据备份恢复制度 83.8网络非法入侵防范制度 84相关附件 104.1系统设备档案表 104.2系统软件档案表 124.3系统维护系列表 134.4系统工作状态、应
2、用服务检测表 144.5病毒防护系统检测记录表 15安全保障制度1 总则为规范XX平台(以下简称“XX平台”信息安全工作,确保全体员工理解信 息安全工作与职责,并落实到日常工作中,推动信息安全保障工作的顺利进行, 结合XX平台的实际情况,特制定本制度。本管理制度所称信息系统安全,包括计算机网络和应用系统(以下简称信息 系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全 运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则,公司的所有部门和员工都 应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目标是:实施信息系统安全等级保护,建立健全先 进
3、实用、完整可靠的信息系统安全体系,保证系统和信息的完整性、真实性、可 用性、保密性和可控性,保障信息化建设和应用,支撑公司业务持续、稳定、健 康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防 范、集成共享”的原则。本制度适用于公司所有部门和个人。2 安全组织架构及工作职责2.1 安全管理小组组长职责主要负责批准 XX 平台安全策略、分配安全责任并协调安全策略能够实 施,确保安全管理工作有一个明确的方向,从管理和决策层角度对信息安 全管理提供支持。信息小组组长的主要责任如下:1确定网络与信息安全工作的总体方向、目标、总体原则和安全工作 方法;2审查信息安全策略和安全责任
4、;3分配和指导安全管理总体职责与工作;4在网络与信息面临重大安全风险时,监督控制可能发生的重大变 化;5对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、 信 息系统更改等)进行决策;6指挥、协调、督促并审查重大安全事件的处理,并协调改进措施;7审核网络安全建设和管理的重要活动,如重要安全项目建设、重要 的安全管理措施出台等;8定期组织相关部门和相关人员对安全管理制度体系的合理性和适 用性进行审定。2.2 安全工作组职责信息安全工作组是信息安全工作的日常执行机构,内设专职的安全管 理组织和岗位,负责日常具体安全工作的落实、组织和协调。信息安全工 作组的主要职责如下:1贯彻执行和解释信
5、息安全小组组长的决议;2贯彻执行和解释国家主管机构下发的信息安全策略;3负责组织和协调各类信息安全规划、方案、实施、测试和验收评审 会议;4负责落实和执行各类信息安全具体工作,并对具体落实情况进行总 结和汇报;5负责内外部组织和机构的沟通、协调和合作工作;6负责制定所有信息安全相关的管理制度和规范;7负责针对信息安全相关的管理制度和规范具体落实工作进行监督、 检查、考核、指导及审批,例如现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。2.3 安全工作组岗位为了有效落实信息安全各项工作,XX平台设立以下专职的安全岗位, 负责安全工作的落实和执行2.3.1 安全管
6、理员1负责网络与信息安全的日常整体协调、管理工作;2负责组织人员制定信息安全管理制度,并对管理制度进行推广、培 训和指导;3负责重大安全事件的具体协调和沟通工作。4负责执行网络与信息安全工作的日常协调、管理工作;5负责日常的安全监控管理,并对上报和发现的各类安全事件进行响 应;6负责系统、网络和应用安全管理的协调和技术指导;7负责安全管理平台安全策略制定,访问控制策略审核;8负责组织安全管理制度的推广和培训工作;9负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和 数据备份等情况。2.3.2 安全审计员1负责安全管理制度落实情况的检查、监督和指导; 2负责安全策略执行情况的审核。3 安
7、全保障工作内容3.1 网络结构安全维护管理制度1网络管理员应对网络边界上部署的网络隔离设备中根据应用需求 设置合理的访问控制规则,合理开放对外服务。2网络管理员应对系统内部服务器区域进行划分及隔离,在终端计算 机与服务器之间进行访问控制,建立安全的访问路径。3网络管理员对在公共网络传输的重要信息,在传输线路中配置加密 设备,保证信息传输的保密性。4禁止内部网络用户未授权与外部网络连接;如提供远程拨号或移动 用户连接,应在系统入口处配置鉴别与认证服务器。5禁止非授权设备接入内部网络,尤其是服务器区域。3.2 网络设备安全维护管理制度1网络管理员应根据系统安全策略和维护需求设置合理的设备自身 安全
8、配置。2网络管理员应及时更新网络设备软件版本,修补高风险的漏洞。3禁止与应用无关的网络服务,关闭与应用无关的网络接口。4对登录的用户进行身份标识和鉴别,身份标识唯一,不反馈鉴别信息。5修改网络设备默认用户的口令或禁止默认用户访问,用户口令应满 足长度和复杂性要求,并对配置口令进行加密保护。6当登录连接超时,应自动断开连接,并要求重新鉴别。7对能够网络设备的网络地址进行限制,关闭与应用无关的远程访问 接口。8对网络设备配置进行备份,且对备份文件的读取实施访问控制。9开启路由器/交换机日志功能,安全审计员对修改访问控制列表、 调整设备配置的操作行为进行审计记录。3.3 服务器安全维护管理制度1系统
9、主机由系统管理员负责维护,未经允许任何人不得对系统主机 进行操作。2定期更新操作系统版本,修补漏洞。3建立系统设备档案、包括系统主机详细的技术参数,如:品牌、型 号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、 系统配置信息等。4对登录用户进行身份标识和鉴别;用户的身份标识唯一;身份鉴别 如采用用户名/口令方式,应设置口令长度、复杂性和更新周期;修改默 认用户的口令或禁止默认用户访问,禁止匿名访问或限制访问的范围;设 置登录失败处理功能,当登录失败次数达到限制值时,应结束会话、锁定 用户。5实行特权用户的权限分离,按照最小授权原则,分别授予不同用户 各自为完成自身承担任务所需的
10、最小权限,并在他们之间形成相互制约的 关系。6对系统内的重要文件(如启动脚本文件、口令文件、服务配置文件)、服务、环境变量、进程等实施访问控制。7每周对系统主机进行运行性能分析,并做详细记录,根据分析情况 对系统主机进行优化,包括磁盘碎片整理、系统日志文件清理,系统升级 等。8每周对系统日志、系统策略、系统数据进行备份,做详细记录。9每天检查系统主机各应用服务系统是否运行正常,并做详细记录。10每天检查系统主机各硬件设备是否正常运行,并做详细记录。11每天记录系统主机运行维护日记,对系统主机运行情况进行总结。12系统发生故障时,及时通知用户,并最快时间解决问题,对故障 问题进行记录。13安全审
11、计员对安全事件进行审计,审计事件至少包括:用户管理、 审计功能启停及审计策略调整、权限变更、系统资源的异常使用、重要的 系统操作、重要用户的各项操作进行审计。审计记录应包括日期和时间、 触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等; 审计记录应受到保护避免受到未预期的删除、修改或覆盖。3.4 数据库安全维护管理制度1数据库系统由数据管理员维护,未经允许任何人不得操作数据库系 统。2定期更新数据库版本,修补漏洞。3修改默认用户的口令或禁止默认用户访问。4设置合理的口令长度、复杂性和更新周期。5取消不必要的权限开放,严格限制 Public 角色权限。6禁用或删除数据库不需要的内置
12、存储过程及函数。7严格限制系统管理员及应用系统用户的权限分配,按照最小授权原 则,分别授予不同用户各自为完成自身承担任务所需的最小权限。8严格限制数据库链接的设置。9数据库系统每周作一次完全备份,每月末一次完全备份,每天进行 增量备份。制定数据库备份计划,灾难出现时对数据库信息进行恢复,维 护适当介质上的存档或者备份数据。10安全审计员对数据库的安全事件进行审计,应审计:用户管理、 审计功能启动关闭、审计策略调整、权限变更、数据字典访问、管理员用 户各项操作、对存储重要信息的数据表的各项操作。3.5 应用系统安全维护管理制度1.技术保障部应用系统管理人员对Web服务、应用层服务、邮件服务 等通
13、用应用平台应该根据系统总体安全策略进行选择和安全配置,并及时 升级补丁包。安全配置的内容包括:身份鉴别、用户权限分配、口令质量 等。2对应用软件的身份鉴别、用户管理、访问控制、运行审计等基本安 全功能进行限制,并定期进行版本维护及更新。3安全审计员对用户执行的系统操作和重要业务操作进行审计。审计 记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功 或失败、事件的结果等;审计记录应受到保护避免受到未预期的删除、修 改或覆盖4根据业务需求在应用信息的生成、处理、传输和存储等环节采取相 应的保护措施。信息生成环节:信息源标识和鉴别、远程录入加密、输入 数据合法性性检验(如:引发溢出、注
14、入等漏洞)等。信息处理环节:限 制单一用户多重并发会话(防止暴力破解 )、制定并执行访问控制策略、 安全功能不可旁路及容错性。信息传输环节:通过加密、签名,实现保密性、完整性及抗抵赖性(HTTPS、证书)。信息存储环节:保密性、完整性。3.6网络恶意代码病毒防范制度1网络恶意代码防范,由安全审计员负责。2根据网络系统安全设计要求安装、配置网络病毒防护系统,包括服 务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监 控。3对存储介质访问、系统访问、网络访问等进行实时监控,在病毒入 侵时及时报警,并进行清除、删除或隔离。4定期更新病毒特征库,及时对防病毒产品进行版本升级。5定期进行文件
15、系统全面病毒查杀。6对病毒相关审计记录进行详细统计与分析,及时调整病毒防范策 略。3.7数据备份恢复制度1系统应对系统软件代码、系统软硬件平台配置数据、数据库数据、 系统用户关键信息、日志信息等,依照各自备份策略要求进行备份。2系统管理员应对设置的数据自动备份任务进行定期监控,确认备份 任务得到了有效的执行。3系统管理员应对备份进行数据恢复的有效性验证,以确保备份数据 的正确性。4对以加密方式保存重要数据备份的,应同时保存数据恢复密钥的备 份。3.8网络非法入侵防范制度1网络非法入侵防范,由安全审计员负责。2入侵监控产品的安全规则应符合系统安全策略的要求,能检测到违 反规则的行为,入侵监控功能不被旁路。3定期更新入侵监控产品的特征数据库,定期分析入侵监控记录,并 根据系统已经存在或潜在的安全漏洞及时调整监控策略。4当检测到入侵行为后应通过电子邮件、声音、短信等方式,及时上 报。5每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细
