珠海市理工职业技术学校网络安全管理制度
珠海市理工职业技术学校
网络安全管理制度汇编
目录
第一章信息机房管理制度
1.1认真执行《珠海市信息网络运行管理暂行办法》和《珠海市信息网络安全保密管理暂行办法》的各项规定。保证信息网络的可靠运行与信息的安全保密。
1.2中心机房的管理由管理人员负责,非机房工作人员未经允许不准进入。未经许可不得擅自连接U盘等便携存储设备,以及不得上机操作和对运行设备及各种配置进行更改。
1.3外来检修人员、外来公务人员等进入中心机房必须由机房管理人员全程陪同,并做好相关日志记录。
1.4机房管理人员应认真履行各项机房监控职责,定期按照规定对机房内各类设备进行检查和维护,及时发现、报告、解决硬件或软件系统出现的故障,保障系统的正常运行。
1.5对可能对网络造成影响的重大网络操作(如系统升级、系统更换、数据转储等)应事先书面提出报告,采取妥善措施系统和数据保护性备份后,经相关领导批准,方可实施操作,并填写操作记录。
1.6保持机房内清洁卫生,禁止将食物、饮料带入机房,禁止在机房内吸烟,进入机房必须穿鞋套或换穿拖鞋,对于意外或工作过程中弄污机房地板和其它物品的,必须及时采取措施清理干净,保持机房无尘洁净环境。
1.7未经主管领导批准,禁止将机房相关的钥匙、密码透露给其它人员:对于遗失物品的情况要即时上报,并积极主动采取措施保证机房安全。
1.8保证机房用电安全,不得乱接电线,定期检查供电、用电设备、设施,如发现用电安全隐患,应立即采取措施解决,不能解决的必须及时向相关负责人员汇报。
1.9机房管理人员应熟悉机房内部消防安全操作和规则,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。定期检查消防设备工作状态,排查消防隐患。
1.10未经许可任何人不得挪用和外借机房内的各类设备、资料及物品。机房器材、配件、软件、工具外借须遵照《资产管理制度》。
1.11相关数据、文档、资料应及时存档、定期备份,重要资料、文档、数据应采取对应的技术手段进行加密、存储和备份。对于加密的数据应保证其可还原性,防止遗失重要数据。
1.12机房管理人员暂时离开应将相关电脑切换至锁屏状态,并关好门窗;下班离开时应检查门、窗、水、电等是否关好,应做好防火、防盗、防潮、防尘等措施。
第二章网络安全管理制度
2.1职责
- 负责制定和管理本文件;
- 负责制定网络访问控制策略;
- 负责受理对网络的访问申请和授权;
- 负责对网络设备状态、网络运行状况的日常检查工作;
- 负责维护网络运行记录。
- 负责对网络安全管理工作进行监督和检查。
2.2网络安全规划
- 教育信息化办公室在网络系统规划、升级、改造建设过程中,应组织相关人员对网络建设方案进行评审,使方案满足网络安全管理要求。
2.3网络接入控制
- 各部门对涉及到网络变更方面的需求(如网络结构变更、终端网络需求变更(如Hub的接入))、非常规性网络访问(如外来人员临时性访问),需向办公室提出书面申请,办公室对变更申请进行评审通过后,方可进行操作;
- 无线网络由办公室进行统一部署和管理,如其他部门(单位)需要接入无线网络或部署无线网络设备时,需向办公室提出申请,经审批后方可接入。
- 办公室负责网络与其他外部单位网络的安全防护,在网络边界处采取安全措施进行有效隔离防护,并对违规行为进行检查和阻断;
- 办公室负责网络的VLAN和安全域划分,不同业务应用系统尽量安排在不通的安全域中,各VLAN和安全域间应采取有效的访问控制措施;
- 办公室对网络设备、网络设备之间的连接线缆进行标识,重要网络端口也须进行详细标识;
2.4网络安全审计
- 办公室采取开启网络设备日志,记录与网络安全相关的操作与活动,并定期对记录进行评审,将评审结果进行记录。
- 日志保存时间应至少保证在一个月以上。
- 办公室在网络关键位置采取网络审计手段,对网络访问操作行为进行记录,定期对记录进行评审,将评审结果进行记录。
2.5网络设备管理
- 办公室制定网络备份策略(如网络配置备份、硬件备份),并做好相应备案;
- 办公室每月对网络配置、网络设备日志进行备份,并做好备份记录;
- 办公室做好网络配置、网络设备日志及网络设备备件的保存与管理,保证备份的安全性;
- 办公室定期对配置备份及设备备件进行测试,保证其可用性,并对测试结果进行记录;
- 根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
- 建立日志服务器,保存日志时间要求超过6个月;
- 定期对设备口令进行更新。
2.6网络安全检查
- 办公室制定详细的网络检查项目,负责进行网络系统运行的日常检查工作,将检查结果进行记录。
- 办公室定期对网络设备配置进行检查和评估,确保网络配置与安全策略保持一致,并对检查结果进行记录。
- 定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
2.7网络访问控制
- 办公室制定网络访问控制策略,并做好相应备案。
- 访问控制策略内容应包括:根据业务、管理等情况,对不同的部门接入进行划分;明确各部门只能访问被允许访问的网络和网络服务;规定各部门访问网络和网络服务使用的手段(如,拨号、VPN等)。
- 办公室基于网络访问控制策略进行网络路由控制;
- 如有用户需要接入网络,需要向办公室提出书面申请,由办公室审核开通,确保网络用户的访问权限符合网络访问控制策略;
- 办公室制定远程设备维护的管理职责与制度,交信息安全管理小组备案,以保证远程维护人员的操作符合信息安全管理策略,防止由于疏忽、密码账户泄漏造成未授权访问连接网络设备与服务器。
- 办公室应确保维护厂商的远程维护连接只允许访问指定的设备和服务,由办公室负责审批、开启和关闭,保持每次远程连接记录备查,并对远程访问帐号定期进行审核。
- 办公室对远程诊断和配置端口采取技术手段与管理措施进行保护,如无必要,禁止使用远程诊断和配置端口。
- 办公室应对远程用户进行身份鉴别(如回拨程序、证书、密钥、口令等),若系统的远程访问无法提供用户鉴别措施时,禁止使用远程访问功能。
2.8附表一
珠海市教育信息网业务登记表
登记编号: 登记日期: 年 月 日
申请项目 | □ 新开户 □ 改地址 □ 暂停 □ 改接入电路方式 □改名 □虚拟主机 □主机托管 □其他 | ||||||||
学校名称 |
| ||||||||
通信地址
| 原址: | 邮编 |
| ||||||
新址: |
| ||||||||
联 系 人 |
| 联系电话 |
| 手机 |
| ||||
学校代码 |
|
|
|
| |||||
内网IP地址段 | 教师 |
| |||||||
学生 |
| ||||||||
业务应用 |
| ||||||||
高考考场监控 |
| ||||||||
接入点对点 |
| ||||||||
网络设备 |
| ||||||||
接入教育网计算机数量 | 台 | ||||||||
接入设备 | 路由器型号 |
| |||||||
网络核心交换机型号 |
| ||||||||
电路类别 | □光纤 速率: □10M □100M □ADSL | ||||||||
托管服务器型号或 虚拟主机空间 |
| ||||||||
单位签名盖章 |
年 月 日 | 区教育局信息中心审批意见 |
年 月 日 | ||||||
市教育局装备信息中心审批意见 |
年 月 日 | ||||||||
备 注 |
| ||||||||
注:此表一式三份
第三章系统安全管理制度
3.1系统维护管理
- 系统操作人员上岗前必须经过上岗前的专业知识培训,包括专门的信息安全培训,能正确地执行本岗位操作工作。
- 定期对系统使用中的信息安全管理情况进行检查。
- 在制定的所有系统外包服务协议中,必须包括网络的安全特性、服务级别以及所有系统服务的管理要求等内容。
- 在系统服务过程中,应根据系统服务协议中规定的安全条款、安全特性、服务级别管理等要求对服务提供商的服务进行定期评审和监督。
- 应对系统中运行的软件版本进行严格控制,对系统软件版本升级、补丁更新、安全加固等活动组织评审和测试,防止因上述变更影响到应用系统的正常运行。
- 定期对系统进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
3.2系统访问控制 基于业务和访问的安全要求,建立各应用系统的访问控制策略,作为系统维护保养手册的一部分。
- 访问控制策略应考虑到下列内容:各个业务应用的安全要求;业务应用中工作角色和用户访问需求;网络环境中的访问权限的管理要求;访问控制角色的分离,例如访问请求、访问授权、访问管理;用户访问请求的正式授权管理要求;用户访问控制的定期检查与评审要求;用户访问权的取消。
- 基于访问控制策略,对操作系统的登录程序加以控制: 不显示系统或应用标识符,直到登录过程已成功完成为止;显示只有已授权的用户才能访问计算机的告警通知;在登录过程中,不提供对未授权用户的帮助消息;限制所允许的不成功登录尝试的次数;记录不成功的尝试和成功的尝试;如果达到登录的最大尝试次数,向系统控制台发送警报消息。
- 系统管理员应限制用户对应用系统远程访问的范围和内容,在远程访问过程结束后应确保断开连接;
- 系统管理员负责记录用户远程访问操作过程,包括访问时间、连接方式、访问用户、操作过程等。
3.3系统用户安全管理
(1)系统用户注册与注销程序在服务器和系统进行安装时,要改变默认的操作系统管理员账号名称和数据库账号名称;
(2)系统管理员应检查所授予的访问级别是否与业务目的相适合,是否与组织的安全方针保持一致,例如,它没有违背责任分割原则;
(3)当用户的工作角色或岗位发生变更,或离职时,员工所在单位(部门)应立刻填写《访问授权异动申请表》,并报相关系统管理员批准;系统管理员根据新的《访问授权异动申请表》取消或封锁该用户的访问权;系统用户标识和鉴别,所有用户拥有唯一指定标识,如员工工号;用户ID是应用系统中用户唯一的、专供其使用的标识符,系统管理员应配置系统,使用户的各个活动能追踪到责任者;当需要采用一组用户或一项特定作业使用一个共享的用户ID时,应遵照组ID管理进行控制,具体参见“用户注册及注销程序”的组ID条款;
3.4系统用户口令管理
(1)在用户初次使用应用系统时,系统管理员应提供给一个安全的临时口令,并强制其立即修改;临时口令应以安全的方式给予用户,不得使用第三方或未保护的(明文)电子邮件消息;
(2)系统管理员应对用户口令设置进行指导和要求,如口令长度和复杂性、定期更换等;
(3)系统管理员应确保口令不以未保护的形式存储在计算机系统内; 各系统管理员应在系统或软件安装后改变提供商的默认口令;
(4)各信息系统管理人员根据已审核批准的《访问授权异动申请表》为用户进行正确的授权,使得用户与其行为相连接;
(5)特殊权限管理应遵守用户注册和注销管理程序的规定,特殊权限包括操作系统、数据库管理系统和每个应用程序,特殊权限应被分配一个不同于正常业务用途所用的用户ID;
3.5用户访问权限复查各系统管理员负责定期(每年)或在有任何变更之后(如人员提升、降级或雇用终止)清查并填写《访问授权一览表》;对于特定的特殊权限的访问权的授权,系统管理员应每6个月进行一次访问权复查,填写《访问授权一览表》;具有特殊权限的帐户的变更应在周期性复查时记入日志。
3.6系统审计
(1)系统日志包含的内容:
1、用户ID;日期、时间和关键事件的细节,例如登录和退出; 终端身份或位置;成功的和被拒绝的对系统尝试访问的记录;成功的和被拒绝的对数据以及其他资源尝试访问的记录; 系统配置的变化;特殊权限的使用;系统实用工具和应用程序的使用;访问的文件和访问类型;网络地址和协议;访问控制系统引发的警报;防恶意代码系统等防护设施的激活和停用。
2、各系统管理员必须将系统所有服务器、应用软件等等系统审核、帐号审核和应用审核的日志系统的功能打开,如有警报其功能也必须打开。
3、日志必须保存一定的期限,任何个人和部门不得以任何理由删除保存期之内的日志。
4、日志必须由系统管理员定期检查,特权使用、非授权访问、系统故障和异常等条目必须进行评审,以查找影响信息安全的风险来源和事实。
5、各系统维护部门负责人应定期评审系统管理员和系统操作员的活动日志。
6、各系统维护部门确保入侵检测系统和安全审计系统处于启动状态,日志需保存一定期限,定期评审异常事件,对所有可疑或经确认的入侵行为或入侵企图需及时汇报并采取相应的响应措施。
7、信息中心负责记录、分析故障日志,并对其采取适当的措施。
8、信息中心负责评审故障日志,以确保已满意地解决故障。
9、信息中心负责评审纠正措施,以确保没有危及控制措施的安全,以及所采取的措施给予了充分授权。监视系统的使用
3.7各系统维护部门建立信息处理设施的监视使用程序,并定期评审监视活动的结果。各个设施的监视级别由风险评估决定。要考虑的监视范围包括:
3.7.(1)授权访问的细节:
(1).用户ID;
(2).关键事件的日期和时间;
(3).事件类型;
(4).访问的文件;
(5).使用的程序/工具。
3.7.(2)所有特殊权限操作:
(1).特殊权限帐户的使用,例如监督员、根用户、管理员;
(2).系统的启动和终止;
(3).I/O设备的装配/拆卸。
3.7.(3)未授权的访问尝试:
(1).失败的或被拒绝的用户活动;
(2).失败的或被拒绝的涉及数据和其他资源的活动;
(3).违反访问策略或网关和防火墙的通知;
(4).私有入侵检测系统的警报。
3.7.(4)系统警报或故障:
(1).控制台警报或消息;
(2).系统日志异常;
(3).网络管理警报;
(4).访问控制系统引发的警报。
改变或企图改变系统的安全设置和控制措施的活动。
第四章安全事件管理制度
4.1信息安全事件分类
网络与信息安全事件一般可以分为攻击类、故障类和灾害类等,可能造成的后果是业务中断、系统宕机、网络瘫痪、信息破坏等。根据学校网络与信息安全事件的发生原因、性质和机理,网络与信息安全事件主要分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障和灾害性事件五类:
有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
灾害性事件是指自然灾害等其他突发事件导致的网络和信息系统故障。
4.2信息安全事件分级
根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受特别严重的系统损失;产生的社会影响会波及到全市的大部分地区,威胁到国家安全,引起社会动荡,对经济建设有极其恶劣的负面影响,或者严重损害公众利益。
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受严重的系统损失;或使重要信息系统遭受特别严重的系统损失;产生的社会影响波及到全区的大部分地区,对经济建设有重大的负面影响,或者损害到公众利益。
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受较大的系统损失;或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;扰乱社会秩序,对经济建设有一定的负面影响,或者影响到公众利益。
一般事件是指能够导致较小影响或破坏的信息安全事件,包括以下情况:会使特别重要信息系统遭受较小的系统损失;或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重的系统损失;对国家安全、社会秩序、经济建设和公众利益基本没有影响,但对个别公民、法人或其他组织的利益会造成损害。
4.3信息安全事件的预防
信息中心必须积极贯彻预防为主、严格管理的原则,评价事件发生的潜在因素和可能的程度;组织制定和监督实施预防措施、操作规程或工作标准;配置必要的资源;开展教育培训、检查、考核和整改活动,控制或消除可能导致事件发生的各种因素。预防措施应下达至直接相关的层次和岗位。
信息中心应根据事件发生可能造成的危害、损失,组织制定不同级别的应急预案,并对应急预案的可靠性进行评价。应急预案应当受控和备案,并发放至直接相关层次和岗位,保存相关记录。应急预案应定期进行演练和培训,必要时组织修订。
4.4信息安全事件的报告
4.4.(1)事件通知
(1)当信息系统发生事件时,信息系统使用或维护部门(单位)应立即在第一时间向上级部分、学校领导口头通知事件情况,说明事件发生的时间、部位、表象、程度和影响;
(2)信息中心接到口头通知后立即组织人员开展抢修工作,根据事件严重程度,直接向学校主管领导报告。
4.4.(2)事件调查报告
(1)发生重大信息安全事件,信息系统维护单位应在3个有效工作日内将书面《信息安全事件报告》报信息中心,由办公室负责人审定后,在1个有效工作日内,将审核意见及报告上报教育局局主管领导审批。
(2)较大信息安全事件,信息系统维护单位应在2个有效工作日内将书面《信息安全事件报告》报信息中心,由办公室负责人审定后在1个有效工作日内,将审核意见及报告上报主管领导审批。
(3)一般信息安全事件,信息系统维护单位应在1个有效工作日内将书面《信息安全事件报告》报信息中心,由办公室负责人审定后在1个有效工作日内,将审核意见及报告上报主管领导。
(4)信息系统故障,信息系统维护单位应在当天将故障情况登记在册,内容包括故障发生、处理经过和简要原因分析。在一个月内同一部位连续发生同一故障3次,按一般信息安全事件处理。
4.5信息安全事件应急响应
(1)当事件发生时,信息中心应当立即启动应急预案或采取有效措施,全力而有序地组织抢救抢修,防止事件扩大,消除各种危险,尽快恢复系统,将各种损失减到最低程度。
(2)信息系统维护单位的相关人员应在事发或接到事发报告1小时内到达事发现场,开展事件处理工作。
(3)发生重大信息安全事件,在迅速进行应急处理或者请求其他力量支援进行应急处理的同时,应当立即报告区信息办,并尽可能保存好原始证据,保护好现场;如涉及违法犯罪的,还应当同时依法报告公安、安全等部门。
(4)在应急处理过程中,应当采取手工记录、截屏、文件备份和影像设备记录等多种手段,对应急处理的步骤和结果进行详细记录。
4.6信息安全事件的调查处理
1、对于信息安全事件,在故障排除或采取必要措施后,由学校召集、成立事件调查组,必要时,可邀请委托维护单位以外有能力的机构做出技术鉴定。
2、事件调查组利用合法手段在事件现场收取证据;向信息系统使用或维护单位了解事件发生经过,收集相关资料,查明事件发生的原因、危害程度及造成的损失等情况,检查预防和控制事件发生的措施以及事件发生后应急预案是否得当并得到落实,确定事件的级别和性质,查明相关责任并提出处理建议,提出防止类似事件再次发生的措施和建议。
3、信息系统使用或维护部门(单位)应协助、配合调查组完成调查工作;保护事件现场、向调查组提供相关资料、接受调查组的询问等,并对其真实性负责。
4.7信息安全事件的整改
学校应在事件调查结束后迅速组织制定和下达事件整改措施,明确措施内容、完成期限、责任单位和检查方式,并监督实施。
信息系统使用和维护单位负责组织事件整改措施的落实,在规定的期限内,完成相应的整改工作,防止同类事件的再次发生。
4.8奖惩与备案
1、(奖励)对获取关键证据和确定事件发生原因做出特殊贡献的人员,给予表彰奖励。
2、(惩戒)发生信息安全事件,有关责任人有瞒报、缓报和漏报等失职情况,给予通报批评;对造成严重不良后果的,将视情节轻重追究责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
3、(惩戒)在重大信息安全事件的调查处理中,对于有销毁、篡改、藏匿证据,或者提供虚假证据,干扰、阻碍调查以及授意他人干扰、阻碍调查行为的人员,给予通报批评,对造成严重不良后果的,将视情节轻重追究责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。
4、(备案)对信息安全事件报告以日期为索引进行分类、编号、归档,长期保存,以供借鉴。
4.9附表1:《信息安全事件报告》
信息安全事件报告(样式)
事件发生部门: | 事件发生时间: |
事件调查处理部门: | 调查人员: |
事件类型: | |
事件级别: □重大 □较大 □一般 | |
事件描述及处理经过
| |
调查负责人: | 日期: |
事件影响及原因分析
| |
调查负责人: | 日期: |
处理意见
| |
批准人: | 日期: |
纠正预防措施
| |
责任部门: | 日期: |
纠正预防措施的验证
| |
验证人: | 日期: |
