2022年网络信息安全管理规范的示例 .pdf

《2022年网络信息安全管理规范的示例 .pdf》由会员分享，可在线阅读，更多相关《2022年网络信息安全管理规范的示例 .pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、戴威尔网络安全培训http:/ 网络信息安全管理规范的示例1.1 总则1)信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。2)信息安全管理将不同层次（网络、操作系统、数据库管理系统、应用系统）上进行。3)信息安全管理由专门的信息安全管理部门来负责。4)信息安全管理规范包括：(1)机房出入管理(2)人员管理(3)系统维护管理(4)数据备份管理(5)事件处理管理(6)数据恢复管理(7)安全审计管理(8)用户模型管理1.2 机房出入管理1)必须对出入机房的人员进行身份鉴别（如佩带机房出入证或安装自动识别系统）。2)必须登记出入机房的情况，机房出入记录包括：身份标识（如名称或卡号）

2、、进入时间、离开时间、进入事由、违规记录。1.3 人员管理在以下活动中，需要定义专门的岗位：1)访问控制使用证件的发放与回收。2)信息处理系统使用的媒介发放与回收。3)处理保密信息。4)硬件和软件的维护。5)系统软件的设计、实现和修改。6)重要程序和数据的删除和销毁等。在人员定岗时可以采用以下原则：名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 8 页 -戴威尔网络安全培训http:/ 系统维护管理系统维护是对系统配置进行修改或升级的过程。系统配置包括：1)网络的拓朴、构件、布线和参数。2)主机、服务器、终端及各类外设的构件和参数。3)操作系统、编译系统、数据库管理系统、系统工具

3、的选件与参数。4)业务应用系统的选件与参数。对系统进行维护时，应遵守以下原则：名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 8 页 -戴威尔网络安全培训http:/ 中给出：维护原因、维护的内容、维护前系统情况、维护后系统情况、维护起止时间、维护者、批准者。1.5 数据备份管理数据中心定期定时备份业务现场：1)对数据备份及其存储介质的保管设立专门的岗位。2)数据备份方式为：场地内增量式冷备份。3)数据备份周期取决于：业务数据的流量和业务数据的重要性，因此将随系统运行情况灵活调整数据备份周期。4)数据备份周期为：每月执行一次完全备份，每周执行一次差分备份，每天执行一次增量备份。5

4、)对保存数据备份的存储介质（磁盘/磁带/光盘/硬盘），应统一编码，并存放在专门的保密箱/柜中。6)在数据备份记录 中给出：备份方式、备份内容、原数据的存储路径、备份数据存储介质的标识、备份起止时间、备份者。1.6 事件处理管理事件处理指：当业务系统的运行平台发生故障或遭受攻击时，为保障业务系统能够处于正常状态，数据中心与业务部门按照约定方式采取相应措施。为了能及时处理事件，应遵循以下原则：1)数据中心和业务部门均设立专门岗位来负责事件处理。双方应保证能够随时（24 小时*7 日）建立联络，以确保对事件的快速响应能力。2)数据中心和业务部门双方共同建立和维护事件处理岗位定义表，其中定义以下内容：

5、人员所在方、人员名称、岗位责任、到岗时间、离岗时间、电话、手机、呼机、传真、电子邮箱。双方应将本方变更情况及时通知给对方。所有变更情况都应被保存。3)数据中心应能及时感知并记录事件的现场情况，在事件状态记录上给出以下内容：发现时间、发现地点、发现者、系统异常状态、记录时间、记录者。4)在发现业务中断或业务流程不畅时，业务部门应及时向数据中心发出事件状态记录，描述现场情况。5)数据中心应及时判断事件原因，并采取措施以使业务处理尽快恢复正常名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 8 页 -戴威尔网络安全培训http:/ 数据恢复管理数据中心在恢复业务现场时，应遵循以下原则：1

6、)对数据恢复设立专门的岗位，亦可与数据备份岗位合并。2)数据恢复时要首先经主管部门批准，并有安全管理人员在场。3)数据恢复前应通知相应业务部门的事件处理人员。4)若需要业务部门参与（如模拟重演某个时段的业务处理），则数据中心应为相应的业务部门提供详细的操作流程，双方协同完成数据恢复。5)在数据恢复记录 中给出：恢复原因、恢复内容、原数据的存储路径、备份数据存储介质的标识、恢复起止时间、恢复者、批准者。1.8 安全审计管理安全审计的内容包括：1)网络运行日志2)操作系统运行日志3)数据库访问日志4)业务应用系统运行日志对安全审计进行如下管理：1)针对不同内容（网络、操作系统、数据库、业务应用）的

7、安全审计工作分别设立不同的岗位。2)按需要选择将被记录和被远程收集的访问行为或执行行为。3)按需要授予或取消对所选行为进行审计跟踪日志记录的能力。4)给出安全审计记录，详细给出访问行为或执行行为的：起止时间、对象（IP 地址、执行单位或数据单位）、实体（用户或进程）、实体所在 IP 地址、操作、结果。5)当日志超过设定的统计阀值（依据时间或容量）时，统计出安全审计名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 8 页 -戴威尔网络安全培训http:/ 用户模型管理“用户模型”是指：关于某类（或某个）资源的权限管理机制（角色、资源、权限的关联）、身份鉴别机制（用户识别、鉴别标识的关

8、联）和访问控制机制（用户、角色、资源、权限的关联）。在网络应用系统中，可以建立各级不同网络资源（网络设备、节点设备、操作系统、系统工具、数据库管理系统、业务系统）的用户模型。用户模型是概念上的、逻辑上的信息集合，其中的各种内容可以表现为：文档、数据表、数据、或隐含于系统部件中的规则和约束。为了明确表达一个资源的用户模型，可以使用以下表格：1)角色定义表，定义：角色标识、角色名、角色等级、角色描述。2)资源定义表，定义：资源标识、资源名、资源描述。3)权限定义表，定义：权限标识、权限名、权限描述。4)角色资源权限矩阵，定义：角色标识、资源标识、权限标识。5)用户定义表，定义：用户标识，用户名、用

9、户描述。6)用户识别定义表，定义：用户标识、鉴别标识。7)用户角色矩阵，定义：用户标识、角色标识。8)用户资源权限矩阵，定义：用户标识、资源标识、权限标识。需要说明的是，用户模型中的大部分内容应由特定的人员来制定和维护、并按特定的保密等级来保存和管理。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 8 页 -戴威尔网络安全培训http:/ 信息安全的法规与标准2.1 信息安全的国家法规1)中华人民共和国宪法2)中华人民共和国刑法3)中华人民共和国保守国家秘密法4)中华人民共和国国家安全法5)中华人民共和国人民警察法6)中华人民共和国治安管理处罚条例7)中华人民共和国专利法8)中华

10、人民共和国反不正当竞争法9)中华人民共和国商标法10)中华人民共和国海关法11)中华人民共和国标准化法12)科学技术保密规定13)电子出版物管理规定14)中国计算机信息网络国际联网管理暂行规定15)中国计算机信息网络国际联网管理暂行规定实施办法16)计算机信息系统国际联网保密暂行规定17)计算机信息系统安全专用产品检测和许可证管理办法18)计算机信息网络国际联网安全保护管理办法19)计算机软件保护条例20)商用密码管理条例21)中华人民共和国计算机信息系统安全保护条例22)关于对中华人民共和国计算机信息系统安全保护条例中涉及的“有害数据”问题的批复23)计算机信息网络国际联网出入口信道管理办法

11、24)中国公用计算机互联网国际联网管理办法25)中国公众多媒体通信管理办法26)中国互联网络域名注册暂行管理办法27)从事放开经营电信业务审批管理暂行办法28)公安部关于对国际联网的计算机信息系统进行备案工作的通知2.2 信息安全的地方法规1)深圳经济特区计算机信息系统公共安全管理规定2)黑龙江省计算机信息系统安全管理规定名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 8 页 -戴威尔网络安全培训http:/ 信息安全的技术标准1)信息处理系统-开放系统互连-基本参考模型-第 2 部分：安全体系结构2)电子计算机机房设计规范（GB50173-93）3)电子计算机机房施工及验收规范

12、4)计算机机房用活动地板技术条件5)计算站场地安全要求（GB9361-88）6)计算站场地技术条件（GB2887-89）7)计算机信息系统安全专用产品分类原则8)信息技术设备的无线电干扰极限值和测量方法9)测量、控制和试验室用电气设备的安全要求10)DOS 操作系统环境中计算机病毒防治产品测试方法11)基于 DOS 的信息安全产品评级准则12)信息处理 64bit 分组密码算法的工作方式13)信息技术安全技术带消息恢复的数字签名方案14)军用通信设备及系统安全要求15)军队通用计算机系统使用安全要求16)指挥自动化计算机网络安全要求17)军用计算机安全评估准则18)军用计算机安全术语名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 8 页 -戴威尔网络安全培训http:/ 相关网站1)公安部安全产品信息中心，http:/ 8 页，共 8 页 -