系統(tǒng)安全防護能力
一.文件訪問控制
1. 所有辦公終端的命名應符合公司計算機命名規(guī)范。
2. 所有的辦公終端應加入公司的域管理模式,正確是使用公司的各項資源。
3. 所有的辦公終端應正確安裝防病毒系統(tǒng),確保及時更新病毒碼。
4. 所有的辦公終端應及時安裝系統(tǒng)補丁,應與公司發(fā)布的補丁保持一致。
5. 公司所有辦公終端的密碼不能為空,根據(jù)《云南地方IT系統(tǒng)使用手冊》中的密碼規(guī)定嚴格執(zhí)行。
6. 所有辦公終端不得私自裝配并使用可讀寫光驅、磁帶機、磁光盤機和USB硬盤等外置存儲設備。
7. 所有辦公終端不得私自轉借給他人使用,防止信息的泄密和數(shù)據(jù)破壞。
8. 所有移動辦公終端在外出辦公時,不要使其處于無人看管狀態(tài)。
9. 辦公終端不得私自安裝盜版軟件和與工作無關的軟件,不得私自安裝掃描軟件或黑客攻擊工具。
10. 未經(jīng)公司IT服務部門批準,員工不得在公司使用modem進行撥號上網(wǎng)。
11. 員工不允許向外面發(fā)送涉及公司秘密、機密和絕密的信息。
二。用戶權限級別
1. 各系統(tǒng)應根據(jù)“最小授權”的原則設定賬戶訪問權限,控制用戶僅能夠訪問到工作需要的信息。
2. 從賬號管理的角度,應進行基于角色的訪問控制權限的設定,即對系統(tǒng)的訪問控制權限是以角色或組為單位進行授予。
3. 細分角色根據(jù)系統(tǒng)的特性和功能長期存在,基本不隨人員和管理崗位的變更而變更。
4. 一個用戶根據(jù)實際情況可以分配多個角色。
5. 各系統(tǒng)應該設置審計用戶的權限,審計用戶應當具備比較完整的讀權限,審計用戶應當能夠讀取系統(tǒng)關鍵文件,檢查系統(tǒng)設置、系統(tǒng)日志等信息。
三.防病毒軟件/硬件
1. 所有業(yè)務系統(tǒng)服務器、生產(chǎn)終端和辦公電腦都應當按照公司要求安裝了相應的病毒防護軟件或采用了相應的病毒防護手段。
2. 應當確保防止病毒軟件每天進行病毒庫更新,設置防病毒軟件定期(每周或沒月)對全部硬盤進行病毒掃描。
3. 如果自己無法對病毒防護措施的有效性進行判斷,應及時通知公司IT服務部門進行解決。
4. 各系統(tǒng)防病毒系統(tǒng)應遵循公司病毒防護系統(tǒng)整體規(guī)劃。
5. 如果發(fā)現(xiàn)個人辦公終端感染病毒,應首先拔掉網(wǎng)線,降低可能對公司網(wǎng)絡造成的影響,然后進行殺毒處理。
6. 各系統(tǒng)管理員在生產(chǎn)和業(yè)務網(wǎng)絡發(fā)現(xiàn)病毒,應立即進行處理。
操作日志記錄
一、對各項操作均應進行日志記錄,內容包括操作人、操作時間和操作內容等詳細信息。各級維護部門維護人員每日對操作日志、安全日志進行審查,對異常事件及時跟進解決,并每周形成日志審查匯總意見報上級維護主管部門審核。安全日志包括但不局限于以下內容:
1、對于應用系統(tǒng),包括系統(tǒng)管理員的所有系統(tǒng)操作記錄、所有的登錄訪問記錄、對敏感數(shù)據(jù)或關鍵數(shù)據(jù)有重大影響的系統(tǒng)操作記錄以及其他重要系統(tǒng)操作記錄的日志;
2、對于操作系統(tǒng),包括系統(tǒng)管理員的所有操作記錄、所有的登錄日志;
3、對于數(shù)據(jù)庫系統(tǒng),包括數(shù)據(jù)庫登錄、庫表結構的變更記錄。
二、系統(tǒng)的日常運行維護由專人負責,定期進行保養(yǎng),并檢查系統(tǒng)運行日志。
1.對于應用程序級別的備份有運維部制定工程師做每周的備份,重大變更前要整體做備份。
2.對于操作系統(tǒng)的日志備份通過定制計劃任務定期執(zhí)行,并有制定人員檢查運行情況,并登記在案。
3.對于數(shù)據(jù)庫系統(tǒng)的日志備份有DBA制定計劃任務定期執(zhí)行,并有DBA人員檢查運行情況,并登記在案。
三、各級維護部門針對所維護系統(tǒng),依據(jù)數(shù)據(jù)變動的頻繁程度以及業(yè)務數(shù)據(jù)重要性制定備份計劃,經(jīng)過上級維護主管部門批準后組織實施。
四。備份數(shù)據(jù)包括系統(tǒng)軟件和數(shù)據(jù)、業(yè)務數(shù)據(jù)、操作日志。
五、重要系統(tǒng)的運行日志定期異地備份。
說明:除在本地備份,每天晚上同步到異地機房。
六、對系統(tǒng)的操作、使用進行詳細記錄。
七、 各級維護部門按照備份計劃,對所維護系統(tǒng)進行定期備份,原則上對于在線系統(tǒng)應實施每天一次的增量備份、每月一次的數(shù)據(jù)庫級備份以及每季度一次的系統(tǒng)級備份。對于需實施變更的系統(tǒng),在變更實施前后均進行數(shù)據(jù)備份,必要時進行系統(tǒng)級備份。
八、各級維護部門定期對備份日志進行檢查,發(fā)現(xiàn)問題及時整改補救。
備份操作人員須檢查每次備份是否成功,并填寫《備份工作匯總記錄》,對備份結果以及失敗的備份操作處理需進行記錄、匯報及跟進。
九、備份介質由專人管理,與生產(chǎn)系統(tǒng)異地存放,并保證一定的環(huán)境條件。除介質保管人員外,其他人員未經(jīng)授權,不得進入介質存放地點。介質保管應建立檔案,對于介質出入庫進行詳細記錄。對于承載備份數(shù)據(jù)的備份介質,確保在其安全使用期限內使用。對于需長期保存數(shù)據(jù),考慮通過光盤等方式進行保存。對于有安全使用期限限制的存儲介質,在安全使用期限內更換,確保數(shù)據(jù)存儲安全。
十、對網(wǎng)站的運行情況做到每日一統(tǒng)計,每周一報告。
十一、各級維護部門按照本級維護工作相關要求,根據(jù)業(yè)務數(shù)據(jù)的性質,確定備份數(shù)據(jù)保存期限,根據(jù)備份介質使用壽命至少每年進行一次恢復性測試,并記錄測試結果。
十二、信息技術部負責人制定相應的備份日志審查計劃,包括由于業(yè)務需求發(fā)起的備份日志審查以及日志文件的格式時間的內容審查。計劃中遵循數(shù)據(jù)重要性等級分類,保證按照優(yōu)先級對備份日志審查。
十三、需要備份日志審查數(shù)據(jù)時,需求部門應填寫《備份日志審查表》,內容包括數(shù)據(jù)內容、備份時間、數(shù)據(jù)來源、操作系統(tǒng)時間等,由需求部門以及信息技術部門相關負責人審批。
十四、備份管理員按照備份恢復計劃制定詳細的備份恢復操作手冊,手冊包含備份恢復的操作步驟、恢復前的準備工作、恢復失敗的處理方法和跟進步驟、驗收標準等。
備份功能
1. 各系統(tǒng)管理員對本系統(tǒng)的設備、系統(tǒng)等IT資產(chǎn)的配置進行記錄,并備份配置記錄信息。
2. 各系統(tǒng)在發(fā)生變更操作時,根據(jù)《地方信息安全管理流程-安全配置變更管理流程》進行審批、測試。
3. 各系統(tǒng)執(zhí)行變更操作前,要對變更操作進行測試;確定無不利影響后,提交系統(tǒng)測試結果、系統(tǒng)配置變更實施方案和回退方案,由本部門三級經(jīng)理和公司相關主管部門提出配置變更申請。
4. 申請審批通過后,才可以進行配置變更操作;進行配置變更操作前,需要對變更設備進行配置備份。
5. 各系統(tǒng)管理員對變更操作的具體步驟進行記錄并保存。
6. 各系統(tǒng)管理員進行配置變更操作后,將變更后的配置信息進行記錄。
7. 各系統(tǒng)發(fā)生配置變更后,在公司信息安全小組進行備案。
專人定時負責軟件升級和補丁
已配備專人負責進行軟件升級,查看最新的系統(tǒng)安全公告,隨時為系統(tǒng)打補?。ㄏ到y(tǒng)補丁公布之后,會在 1 周之內完成升級工作)等工作。
弱口令管理
1. 系統(tǒng)管理員對系統(tǒng)帳號使用情況進行統(tǒng)一管理,并對每個帳號的使用者信息、帳號權限、使用期限進行記錄。
2. 禁止隨意使用系統(tǒng)默認賬號,系統(tǒng)管理員為每一個系統(tǒng)用戶設置一個帳號, 堅決杜絕系統(tǒng)內部存在共享帳號。
3. 各系統(tǒng)管理員對系統(tǒng)中存在的賬號進行定期檢查,確保系統(tǒng)中不存在無用或匿名賬號。
4. 部門信息安全組定期檢查各系統(tǒng)帳號管理情況,內容應包含如下幾個方面:
(1)員工離職或帳號已經(jīng)過期,相應的帳號在系統(tǒng)中仍然存在上;
(2)用戶是否被授予了與其工作職責不相符的系統(tǒng)訪問權限;
(3)帳號使用情況是否和系統(tǒng)管理員備案的用戶賬號權限情況一致;
(4)是否存在非法賬號或者長期未使用賬號;
(5)是否存在弱口令賬號。
5. 各系統(tǒng)具有系統(tǒng)安全日志功能,能夠記錄系統(tǒng)帳號的登錄和訪問時間、操作內容、IP地址等信息。
6. 系統(tǒng)在創(chuàng)建賬號、變更賬號以及撤銷賬號的過程中,應到得到部門經(jīng)理的審批后才可實施。
漏洞掃描
至少兩周進行一次系統(tǒng)漏洞掃描,包括操作系統(tǒng)漏洞和系統(tǒng)下軟件漏洞,發(fā)現(xiàn)最新系統(tǒng)漏洞應及時打上修復補丁。配備專人負責查看最新的病毒公告。出現(xiàn)破壞力強的病毒會及時向公司相關部門通告。