ISMS-02-18-V1.0 网络和系统安全管理规定
网络和系统安全管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心网络和系统安全管理活动,保障网络和系统在使用过程中的安全性,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心范围内的网络和系统建设、使用、运维等各个阶段的安全管理。
第二章 组织与职责
第三条 思度安全运营中心风险管理组
负责制定、修订本规定,并负责在思度安全运营中心范围内监督管理本规定的实施情况。
第四条 各部门安全组
负责在本部门范围内监督和检查本规定的实施情况。
第五条 各部门网络管理组
负责根据本规定制定各部门网络安全管理实施细则和规范。负责本部门网络系统的建设、日常运行管理、维护等工作。
第六条 各部门系统管理组
负责根据本规定制定各部门系统安全管理实施细则和规范。负责本部门各平台系统、操作系统、数据库、中间件日常安全管理工作。
第七条 各部门
应用管理组配合网络管理组设计相应访问控制规则。与系统管理组共同设计系统部署架构。
第三章 网络和系统安全管理规定
第八条 网络架构安全
(一) 关键网络区域的核心网络设备需要具备相应的冗余能力,保证关键网络的可用性。 (二) 关键网络链路需要具备相应的冗余能力,以保证关键网络链路的可用性。 (三) 重要网络区域必须通过部署相应的安全设备或实施其它技术手段而具备相应的安全监控、隔离和审计功能。
第九条 网络区域划分与隔离
(一) 各部门的网络应按照安全级别和功能进行区域划分,不同区域根据其安全级别采用合适的安全防范措施。 (二) 各不同的安全区域间应该实施相应隔离措施。 (三) 开发测试网络必须与生产网络隔离。 (四) 逻辑隔离的网络区域间实施缺省拒绝的访问控制策略,合理设置访问控制规则,只允许指定的网络访问。 (五) 各接入用户应在授权的网络区域内工作,跨越权限使用网络的,网络管理员应提出警告。
第十条 远程接入和第三方网络接入
(一) 互联网是安全威胁来源非常多的网络,各部门内部网与互联网连接必须采取隔离保护措施,原则上只允许从内向外的指定网络访问。 (二) 未经批准,严禁生产网络与互联网直接连接。对于确需连接的分行,必须实施足够的安全隔离保护措施,并将方案上报信息安全部门审批后才能实施。 (三) 应对员工移动办公(VPN)接入内部网络实施统一管理,并根据按需审批审批的原则确保只有合适的人员被授予远程接入的权限。 (四) 因为业务需要生产网络或内部网络需要与第三方网络进行连接,必须设置技术隔离措施比如防火墙、DMZ区等以进行充分的安全防护。 (五) 未经授权第三方设备不应联入各部门内部网络或生产网。如确有接入需求,应向各部门网络管理部门进行申请,经审批通过后方可联入各部门建设的第三方人员专用网络或VLAN,该专用网络与内部网络之间必须实施技术隔离措施。
第十一条 无线网络接入
(一) 禁止所有未授权的无线网络接入点(AP)联入各部门内部网络或生产网络。 (二) 生产网严格控制无线网络接入点联入。 (三) 需要联入部门内部网的无线接入点(AP)必须遵守相应的安全配置规范,并经过网络管理部门授权审批后方可接入。
第十二条 网络行为管理
(一) 未经授权不允许进行网络扫描、探测或嗅探等行为,如确有需求,应向各部门网络管理组或信息安全组申请,经审批后方可实施。 (二) 各部门应部署统一的上网行为管理软件,监控网络内的操作行为,并生成相关日志。
第十三条 网络设备安全配置
各部门应该根据以下基本要求与相关规定建立相应的网络设备安全配置规范。 (一) 各部门必须建立良好的访问控制机制,确保网络设备不会被非授权访问。比如各类网络设备的口令设置应遵循用户账号及密码管理相关规定。 (二) 网络设备应开启必要的网络审计功能,能够对相应的安全事件进行追踪和审计。 (三) 各部门应通过合理、安全的设备配置降低网络攻击和其它网络安全事件发生的风险。 (四) 定期对路由和访问控制列表等网络重要配置信息进行回顾。 (五)定期对重要网络设备配置进行备份,重要设备配置更改后也应及时地进行备份。备份后应及时验证该备份的有效性和完整性。
第十四条 网络容量管理
(一) 各部门必须实施相应的容量管理和监控措施,确保网络性能、容量符合思度安全业务发展的需要。 (二) 关于性能监控和容量管理的详细规定参见《日常运行安全管理规定》。
第十五条 网络建设安全评估
(一) 在网络建设的设计和验收阶段,建设部门需要依据上述网络安全要求和相关规范进行安全评估,全行性重大网络建设项目需要思度安全运营中心组织相关部门共同进行安全评估、评审,确保网络建设的规范性和安全性。 (二) 小规模的第三方接入、链路架设等网络改造、建设项目,项目建设部门也需要确保网络设计和实施符合上述网络安全要求和相关规范,并符合审批流程。
第十六条 安全漏洞管理
各部门应该建立网络设备安全漏洞管理的机制,及时跟踪和更新网络设备中的安全漏洞。
第十七条 网络定期巡检
各部门应安排对网络进行定期巡检,对巡检结果及时采取处理措施。
第十八条 网络应急预案
各部门应该根据《业务连续性管理规定》的要求建立相应的网络应急预案并进行演练和维护,详细规定参见《业务连续性管理规定》和《思度安全信息系统应急管理办法》。
第十九条 系统架构安全
(一) 对实时性要求高的关键系统应在系统、设备层面具备相应的冗余能力,确保系统服务能力持续可靠。 (二) 对保密性要求高的同一应用系统的不同服务器之间可采取防火墙隔离措施。 (三) 原则上不同的操作系统间应避免建立信任关系,对于HA等某些必须要建立信任关系才能运转的应用,一定要采取其它补偿控制措施来保护系统的安全。
第二十条 系统帐户管理
各部门应根据《信息系统访问控制管理规定》的要求,建立相应的访问控制实施细则,妥善管理系统帐户。
第二十一条 系统安全配置
(一) 各部门必须根据以下基本要求与相关规定建立系统安全配置规范。 (二) 确保帐户和口令管理符合安全要求,操作系统中无用的系统帐号,应进行删除或其他安全处理,用户账号的口令设置应遵循相关的口令安全策略。 (三) 通过设定登录超时、会话超时和定时锁屏等策略为用户登录及访问系统和应用程序的连接安全有效提供额外安全保障。 (四) 原则上应使用安全登录程序对操作系统进行访问,禁止使用不安全的登录程序。同时,服务端应禁用或卸载不安全登陆程序对应的服务。 (五) 根据最小权限原则,合理关闭操作系统不必要的服务,减少系统安全弱点。 (六) 系统文件实施有效控制,避免被恶意或非授权的访问,保护系统文件安全。
第二十二条 数据库安全配置
(一) 各部门需根据以下基本要求与相关规定建立数据库安全配置规范。 (二) 加强数据库用户的口令管理,采取相应的安全控制措施。 (三) 加强数据库用户的权限管理,依照最小权限原则,应仅分配完成工作所需的权限,也包括应用程序连接数据库的帐户。 (四) 采取恰当措施,删除不必要的数据库默认用户,删除默认示例数据库,删除危及数据库系统安全的默认文件。 (五) 采取恰当措施,删除不必要的存储过程。
第二十三条 系统容量管理
(一) 各部门必须实施相应的容量管理和监控措施,确保系统性能、容量符合思度安全业务发展的需要。 (二) 关于性能监控和容量管理的详细规定参见《日常运行安全管理规定》。
第二十四条 系统上线安全检查
(一) 系统上线时,信息系统责任部门应根据上述系统安全要求和相关安全规范进行安全检查与评估,确保系统符合要求,必要时可使用相关技术工具配合检查系统安全配置。 (二) 全行性的重大信息系统上线前,需要组织思度安全运营中心等相关部门共同进行安全评估、评审,确保系统建设、配置的规范性和安全性。
第二十五条 系统补丁及安全漏洞管理
(一) 系统管理部门应及时跟踪系统补丁和漏洞发布,确保及时获取相应的补丁和漏洞信息。 (二) 应从安全可靠的途径获取补丁,如软件厂商网站等,并采取相应手段验证补丁的真实性。 (三) 在进行补丁安装之前应经过充分测试和论证,在不影响生产、业务的前提下及时进行补丁安装。
第二十六条 变更管理
各部门操作系统、数据库、中间件的更新、配置修改均应按照《变更管理实施细则》进行处理。
第二十七条 系统定期巡检
各部门应安排对系统进行定期巡检,对巡检结果及时采取处理措施。
第二十八条 系统应急预案
各部门应该根据《业务连续性管理规定》的要求建立相应的系统应急预案并进行演练和维护,详细规定参见《业务连续性管理规定》和《思度安全信息系统应急管理办法》。
第四章 附则
各部门可根据本规定制定相应的实施细则。 本规定由思度安全运营中心负责制定、解释和修改。 本规定自印发之日起实行。