网络安全管理计划标准规范.doc
《网络安全管理计划标准规范.doc》由会员分享,可在线阅读,更多相关《网络安全管理计划标准规范.doc(23页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、#+目 录目 录2第一章 总则41.1 范畴41.2 目标41.3 原则41.4 制定与实施5第二章 安全组织结构62.1安全组织结构建立原则62.2 安全组织设置62.3 安全组织职责62.4 人员安全管理9第三章 基本安全管理制度103.1 入网安全管理制度103.2 操作安全管理制度103.3 机房与设施安全管理制度103.4 设备安全使用管理制度113.5 应用系统安全管理113.6 媒体/技术文档安全管理制度11第四章 用户权限管理134.1 用户权限134.2 用户登录管理134.3 用户口令管理14第五章 运行安全155.1 网络攻击防范155.2 病毒防范165.3 访问控制1
2、65.4 行为审计175.5异常流量监控175.6 操作安全185.7 IP地址管理制度185.8 防火墙管理制度19第六章 安全事件的处理206.1 安全事件的定义206.2 安全事件的分类206.3 安全事件的处理和流程216.4 安全事件通报制度23第一章 总则1.1 范畴安全管理办法的范畴是运行维护过程中所涉及到的各种安全管理问题,主要包括人员、组织、技术、服务等方面的安全管理要求和规定。本文所指的管理范围包括国药集团总公司和各分支机构的承载网络,同时包括其上承载的BI系统、BOA办公系统、编码系统、Email以及后续还要开发的HR系统和门户网站等各应用系统。1.2 目标安全管理的目标
3、是在合理的安全成本基础上,实现网络运行安全(网络自身安全)和业务安全(为网上承载的业务提供安全保证),确保各类网元设备的正常运行,确保信息在网络上的安全存储传输以及信息内容的合法性。全网安全管理办法的目标主要就是为网络安全运行和业务安全提供管理上的保障,用科学规范的管理来配合先进的技术,以确保各项安全工作落到实处,真正保证网络安全。安全管理办法将用于指导中国医药集团网络安全建设和管理,加强人员的安全管理,防止数据丢失、损坏、篡改、泄漏,提高网络及相关业务系统的安全性。1.3 原则安全管理工作的基本原则:1.网络安全管理应以国家相关政策法规和条例为依据。2.网络安全管理遵循统一规划、集中监控的原
4、则。中国医药集团总公司负责对网络安全管理工作进行统一规划,负责安全策略的制定和监督实施。3.网络安全管理采用三级集中管理的方式。由中国医药集团总公司负责对全网的网络安全进行统一规划管理,协调处理重大事件,由中国医药集团信息中心对骨干承载网的安全运营进行集中管理,由各分支机构负责对各分公司的安全运营进行集中管理。4.网络安全管理工作应建立符合网络和业务发展要求的安全管理组织体系和安全技术支援保障体系。5.网络安全管理应建立并不断积累完善针对实际情况的各类安全管理章程或规定,全面提高的网络安全管理水平。1.4 制定与实施本安全管理办法遵照我国信息安全的有关法律法规,并结合具体的情况,依据中国医药集
5、团公司颁布的各种服务管理规定和安全管理规定而制定。第二章 安全组织结构2.1安全组织结构建立原则本章描述安全组织的建设,包括建立原则,组织设置,组织职责,针对人员的安全管理,和涉及应该指定的安全管理制度。中国医药集团公司网络安全组织体系是中国医药集团公司安全体系的组织保障。应遵循中国医药集团公司相关的规章制度、维护规程,制定的安全管理制度和内部的法规政策,指导、监督、考核安全制度的执行,确保全网安全工作的有序进行。采取中国医药集团总公司安全组织主管与各分支机构兼管相结合的组织建设原则。2.2 安全组织设置2.2.1 中国医药集团安全协调组织1中国医药集团公司安全主管人员2中国医药集团公司安全专
6、家指导人员。2.2.2 中国医药集团安全响应中心1中国医药集团公司安全主管人员2中国医药集团公司安全运营管理人员:由中国医药集团公司信息中心从事安全工作的管理和技术人员组成。2.2.3 各分支机构安全组织1) 各分支机构网络安全主管人员:由相关主管人员组成。2) 各分支机构原则上不设置专职的安全管理机构,但应设立专(兼)职安全管理员,由从事安全工作的管理人员、技术人员或业务监管人员担任。2.3 安全组织职责2.3.1 中国医药集团公司安全协调组织职责1.中国医药集团公司网络安全主管人员:1) 贯彻、落实中国医药集团公司关于计算机安全以及通信网络安全工作的规章、规程;2) 研究决定系统安全工作的
7、重大事项;3) 制定系统安全工作和中国医药集团公司所管设备的规范、制度;4) 组织、领导安全相关的工作。2.中国医药集团公司网络安全专家指导人员:1) 在安全主管人员的领导下,从理论上、技术上,宏观上指导中国医药集团网络安全体系建设。2)发生重大安全事件时,协调各公司资源共同处理。3) 定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法3中国医药集团公司安全协调组织具体职责:1) 制定安全管理制度,统一对网络安全工作进行管理。2) 协助指导并监督各分支机构的安全管理人员进行本网管理范围内的日常安全管理和安全制度的执行。3) 协助指导各分支机构安全管理人员处理网络中发生的重大安全事
8、故,必要时派人到事故点处理。4) 负责和监督对各分支机构安全管理人员的安全技术培训工作。2.3.2 中国医药集团公司安全响应中心职责1. 中国医药集团公司安全主管人员:1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;2) 研究决定骨干网设备安全工作的重大事项;3) 制定骨干网设备安全工作的实施细则;4) 组织、领导各分支机构网络相关的安全工作2. 安全响应中心安全管理人员:1) 具体组织落实中国医药集团公司网络安全工作主管人员的工作计划;2) 指导、监督、协调、规范骨干网系统安全工作的开展;3) 对骨干网的网络运行和设备的安全实施监控管理;4) 管理和维护、处理骨干网的具体安全工
9、作;3安全响应中心具体职责:1) 对骨干网的网络运行和设备的安全实施监控管理,实施日常安全管理和监督安全管理制度的执行;2) 负责骨干网网络设备和系统的安全评估和定期系统安全性增强。3) 配合安全管理人员对骨干网相关安全事件处理;4) 贯彻和执行网络安全管理办法及原则,并对骨干网的安全运营提出相应工作细则和操作规章制度,并组织实施;2.3.3 各分支机构安全组织职责1. 各分支机构网络安全主管人员:1) 贯彻、落实中国医药集团公司关于网络安全工作的策略、制度;2) 研究决定分支机构网络设备安全工作的重大事项;3) 制定分支机构网络设备安全工作的实施细则;4) 组织、领导分支机构网络相关的安全工
10、作。2. 各分支机构安全管理人员:1) 具体执行集团总公司网络安全主管人员的工作计划;2) 指导、监督、协调、规范分支机构网络安全工作的开展;3) 管理、维护和处理分支机构网络的安全工作。3分支机构安全组织具体职责1) 对分支机构网络设备的安全实施监控管理,实施日常安全管理和监督安全管理制度的执行;2) 负责本网网络设备和系统的安全评估和定期系统安全性增强;3) 定期分析研究全网的安全管理问题,并提出相应的改进措施、意见和办法;4) 配合集团总公司安全管理人员对骨干网相关安全事件处理;5) 处理本网络中发生的重大安全事故,向中国医药集团公司安全工作小组上报安全事故情况;6) 贯彻和执行集团总公
11、司网络安全管理办法及原则,提出分支机构内的相应工作细则和操作规章制度,并组织实施;7) 负责和组织相关人员的安全技术培训工作。2.4 人员安全管理人员安全管理的主要内容包括:1. 关键岗位人选:对关键岗位人员进行审查,保证具备较强业务技术能力,确保可信可靠,胜任本职工作。2. 人员考核:应定期组织对在中从事关键业务的人员进行全面考核;对违规人员视情节轻重进行批评、教育、调离工作岗位。3. 人员调离:关键岗位人员调离,应严格办理调离手续。自人员调离决定通知之日起,应及时更换系统口令和机要锁。4. 人员培训:应定期对相关安全工作人员进行安全知识和安全意识培训。第三章 基本安全管理制度3.1 入网安
12、全管理制度入网安全管理制度内容包括:1. 无关主机不得随意入网,所有需要入网的主机必须经过审批同意后方能入网;2. 所有入网的主机必须经过安全配置,打补丁、改密码、病毒查杀等,确认满足安全运行要求后方能上线;3. 所有入网的主机必须实时进行攻击检测和定期的脆弱性检查,如发现有安全威胁的主机一律强制下网;4. 主机入网后,需上报上级安全主管人员,以便实时监控和检查;3.2 操作安全管理制度1. 明确安全职责:按照分工协作,互相制约的原则制定各类系统操作人员职责。职责不允许交叉覆盖;2. 履行安全职责:各类人员必须按规定行事,不得从事超越自己职责以外的任何作业;3. 岗位监督:进行系统维护、复原、
13、强行更改数据时,至少有两名操作人员相互监督操作,并进行详细的登记及签名;4. 稽核:安全管理人员有权对一线操作、管理人员进行监督与核查;3.3 机房与设施安全管理制度按照国家计算机场地安全要求、计算站场地技术条件等标准,对场地与设施进行安全等级划分,制定安全管理规定的技术措施和管理办法。主要内容包括:1) 场地与设施的物理安全管理: 选择安全的机房场地: 配备防火、防水、防静电、防雷击、防鼠害等机房安全设施; 机房装修、供配电系统。空调系统、电磁波辐射控制等应满足相应的技术标准。2) 机房出入控制:对内部人员和外部人员进出工作现场都做相应的限制和规定,并进行登记。3) 电磁波的辐射控制与防护:
14、防止计算机系统受工作环境中电磁波干扰,避免计算机电磁波辐射造成的信息泄露。4) 媒体管理:对各种信息存储媒休,按照所存储信息的重要度分成不同的安全等级,严格保管,确保存储信息的保密性、完整性和可用性。3.4 设备安全使用管理制度设备安全使用管理制度包括:1) 设备使用管理包括指定专人负责设备的使用、建立详细的运行日志、设备的维护和定期保养、设备故障处理等。2) 设备维修管理包括指定专人负责设备的维修,建立满足正常运行的最低要求的易损件备件库,记录设备维修对象、故障原因、排除方法、主要维修过程及其它的有关情况。3) 设备仓储管理指未被使用或修复后性能正常的各种设备的集中统一管理。3.5 应用系统
15、安全管理1)指定应用系统管理人员2)管理人员应有操作日志(如日志、改变记录、升级安装过程等)3)有相应的应急恢复管理制度3.6 媒体/技术文档安全管理制度各级安全管理机构应制定技术文档资料的管理制度,明确管理方法与管理人员职责。媒体是指以光盘、软盘、磁带等形式存放数据的载体。技术文档是指相关数据以纸张形式存放的实体。1. 媒体安全包括:包括媒体数据的安全及媒体本身的安全。1) 安全存放管理:技术资料存放的环境必须具有安全防护与保密设施,对重要的技术资料,应进行备份和异地存放。2) 媒体的管理: 媒体进行分类、编目、登记、归档; 需要利用媒体的人员必须经过申请、审批和登记,并对所有使的资料承担保
16、管与保密义务;3) 妥善处理失效的媒体:对报废的媒体要有严格的销毁和监销措施。2. 技术文档安全包括:1) 安全存放管理:技术资料存放的环境必须具有安全防护与保密设施,对重要的技术资料,应进行备份和异地存放。2) 技术资料的管理: 建立技术资料档案室; 技术资料必须进行分类、编目、登记、归档; 需要利用技术资料的人员必须经过申请、审批和登记,并对所有使用的资料承担保管与保密义务。3) 妥善处理失效的技术文档资料:对报废的技术资料要有严格的销毁和监销措施。第四章 用户权限管理用户权限管理是网络安全管理的一项重要内容。本章对全网的用户权限进行了划分,并明确了用户登陆管理和用户口令管理的一些办法。4
17、.1 用户权限全网中不同设备的权限配置和功能实现虽然有所差别,但都应在确保安全的基础上尽可能提供用户分级管理的功能。原则上用户权限可分为系统管理级、操作配置级和监控查看级等三个级别。1) 系统管理级:拥有所有权限。2) 操作配置级:具备修改配置权限,但不具备用户管理权限。3) 监控查看级:具备查看系统配置文件和设备运行状态的权限。用户权限的设置应遵循以下原则:1) 特权分散原则:维护管理的重要操作权力分散给若干个程序、节点或用户,必须由规定的若干个具有特权的程序、节点或用户到齐后才能实现该操作。2) 最小授权原则:仅将那些用户进行操作时必需的权限分配给用户,而不要为其分配无关的或更大的权限。4
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 安全管理 计划 规划 标准规范
限制150内