河南水利与环境职业学院信息系统安全管理办法
第一章 总 则
第一条 为加强单位计算机信息系统(以下简称“信息系统”)的安全管理、最大限度地防范和化解技术风险、保障单位的合法权益,根据《中华人民共和国信息系统安全保护条例》、《信息安全技术信息安全系统安全等级保护基本要求》,结合单位实际情况,制定本办法。
第二条 本办法所称信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第二章 安全管理组织及职责
第三条 单位信息系统管理实行统一规划,统一管理体制,校党委书记主管信息系统信息安全工作,为单位信息系统信息安全最终责任人,分管领导负责协助工作。
第四条 信息化管理办公室负责以下工作
(一)负责单位信息系统总体规划,制定相关技术标准、规范及管理制度;
(二)负责信息系统相关设施升级工作的立项审批,信息系统的日常运行管理等工作;
(三)负责单位的信息系统信息安全管理工作。
第三章 安全管理策略
第五条 单位信息系统的安全管理策略
(一)存在的威胁
1.未授权访问:未授权访问是指未经授权的实体获得了访问网络资产,并有可能篡改资产的访问。这种访问是通过在不安全通道上截取正在传输的信息或者利用技术及产品中固有的弱点来实现的;
2.假冒:假冒是指通过出示伪造的凭证来冒充别的事物或别人的能力;
3.拒绝服务:是指服务的中断,中断原因可能是系统被毁坏或暂时不可用。
(二)要保护的资源
1.硬件:个人计算机、打印机、路由器、交换机、服务器、小型机、存储设备、防火墙及其他信息系统相关的设备等;
2.软件:源程序、对象程序、应用软件、诊断程序、操作系统和通讯程序等;
3.数据:系统业务数据、备份数据、日志数据、在通信介质上传输的数据、设备配置备份数据等;
4.人员:外部用户、业务使用人员及管理人员;
5.文档:软、硬件的技术资料和管理文档。
(三)定期对单位信息系统安全策略进行评估和修改
1.跟踪并检查信息系统所有安全配置策略及制度落实情况;
2.利用先进的安全工具对信息系统进行安全扫描;
3.对信息系统安全配置定期进行讨论评定,发现不合理的配置给予修改或重新制定。
第四章 设备安全防护
第六条 服务器是单位信息系统核心设备,由专业人员进行维护管理。
第七条 维护人员需按规定进行服务器工作情况巡查维护,及时部署安装系统安全补丁,查杀病毒,并做好操作记录。
第八条 维护人员定期对服务器系统数据进行备份。
第九条 维护人员定期进行系统设备保养维护。
第十条 接到或发现服务器工作异常时,应立即上报,经核准后及时排查故障、研究制定应急措施,并做好检查操作记录。
第十一条 未经上级主管核准,不得修改、删除系统数据,不得擅自更改系统配置参数,不得擅自安装、拆卸、更换设备硬件。
第十二条 严禁在服务器上安装与维护业务无关的软件,外接移动存储设备。
第十三条 严格保管服务器系统操作口令,登录及开关机密码更改时需上报核备。
第十四条 服务器应具有充分的可靠性和充足的容量,关键应用服务器应具有良好的容错特性。
第五章 逻辑安全控制
第十五条 关键设备系统使用强口令策略
(一)及时修改设备系统的默认账号和口令,删除无用的默认用户,严禁使用通用超级用户,并且保证用户的唯一性,设备系统不得建立无关用户;
(二)如果系统认证机制有自动的高级别口令强制功能,应启用;
(三)不使用短于8位的口令;
(四)不使用登录名作为口令;
(五)不使用在英文(或其他外文)字典、拼写列表、或其他单词列表中包含的单词;
(六)不使用其他任何容易得到的信息,如出生年月、电话号码等;
(七)使用包括字母、数字、符号混合的口令;
(八)不能擅自将口令以任何形式告诉任何人。
第十六条 认证保障
(一)设备、系统、账号都应加以口令验证保障。重要的设备、系统、账号加以强口令策略,并规定用户定期改变密码如:90天一个周期;限制登录口令输入错误次数如:非法次数3次;限制用户的登录时间、限制用户的登录位置;
(二)严格限制口令以明文方式在网络上传输,重要的密钥、口令传输宜采用高强度的加密措施,其加密算法应通过国家有关安全部门的认证;
(三)如果信息系统没有必要的认证加密措施,应关闭远程认证登录服务,用设备的CONSOLE口来进行本地控制,紧急情况下需要远程控制调试时,可临时打开远程控制模式,调试完毕后应立即关闭;
(四)对于开放公共WEB、FTP等服务,应限制只能用匿名用户访问,并且分配只读权限。
(五)系统超过一定时间没有响应,应锁定操作控制界面或断开连接重新认证。
第六章 数据完整性和机密性
第十七条 信息系统数据流控制
(一)单位应配备防火墙和专用中间件网关等设备,对自身网络以外的信息数据流进行控制;
(二)内部信息流控制可以根据其重要程度和网络环境的复杂程度,来配置不同的安全监控工具和策略;
(三)在防火墙、路由器、交换机、服务器等设备上严格配置访问控制列表,防止一切非授权的节点进行非授权访问;
(四)在设备网卡协议绑定中去除网络中无用的网络协议,在多网卡网关服务器中,每张网卡上尽量只绑定一种通讯协议;
(五)在设备系统上去除无用的应用服务,在防火墙及中间件网关等设备上屏蔽内部网络无用的服务及端口;
(六)在关键设备系统或服务中,去除系统中的有关单位敏感信息的揭示;
(七)在单位对外的服务器地址应尽量启用网络地址转换(NAT),来隐藏单位内部网络拓扑结构;
(八)对单位关键业务数据的传输,应保证传输加密密钥安全的前提下,启用相应强度的加密措施,加密算法应通过国家有关安全部门的认证;
(九)对传输中临时的重要数据文件,传输完毕后,应永久删除且不能恢复。
第十八条 日志记录
(一)日志记录格式由信息化管理办公室制定、管理和下发;
(二)单位应对信息系统配置的更改、网络用户权限的分配和更改及原因作详细记录,对信息系统运行情况,系统运行故障现象、发生时间、故障原因、处理方式和结果等进行详细记录,每条记录应具有相关责任人的签字;
(三)系统运行日志必须妥善保存,不得缺页,定期存档。
第十九条 用户、组及其授权
(一)单位必须根据单位业务的不同建立具有不同权限的用户组或相应的组织单元来进行用户权限管理,这里的权限是指系统管理权限、系统和数据备份权限、账号管理权限、各种数据库访问权限、不同的文件访问权限、各种应用程序使用权限、网络打印权限、远程访问权限、internet访问权限等;
(二)单位新增/删除系统用户、分配权限必须由信息化管理办公室审核后,方可执行;
(三)单位系统管理员新增或删除用户或对用户权限进行分配应有文字记录;
(四)单位信息系统技术人员在应用系统中的权限应只限于系统设备的维护管理。
第二十条 数据备份
(一)系统设备运行日志、审计日志和业务数据文件应当定期备份,并异地保存;
(二)定期检查备份文件的正确性和完整性;
(三)定期转储设备系统运行日志;
(四)业务运行日志、数据备份应保留10年以上,系统设备运行日志应当保留一年以上。
第二十一条 应严格遵守单位相关保密制度,防止机房人员泄漏有关信息系统的机密。
第七章 系统软件防护
第二十二条 新装系统软件应及时修改系统软件默认配置
(一)修改默认安装目录名称;
(二)系统文件、应用程序文件和数据文件安装在不同的分区或卷上,并且只安装必要的应用程序、服务和网络协议;
(三)删除、禁用、修改无用的和默认的用户;
(四)重新配置修改操作系统默认的目录访问权限;
(五)重点保护操作系统的口令数据库文件;
(六)删除停止不必要的默认服务进程、模块、守候进程;
(七)修改注册表(适用于windows)和一些不安全的设置来加固整个系统安全;
(八)修改默认的审计策略,以审计重要文件修改和全部不成功的认证记录。
第二十三条 信息化管理办公室指定专人测试系统软件的升级文件和补丁程序,测试通过后,统一发放,使用部门未经许可不得擅自修改、升级系统软件及其配置。系统升级无误后,重新生成系统备份或系统紧急修复盘,系统备份和系统紧急修复盘应妥善保管。
第八章 病毒防护
第二十四条 信息化管理办公室统一规划防病毒软件的部署、安装、实施和升级,安装的防病毒软件必须通过国家有关安全部门的检测、认证。
第二十五条 各部门指定专人负责本部门计算机病毒防范工作。
第二十六条 机房禁止安装和运行未经审核批准的软件。
第二十七条 信息化管理办公室对外来的软件和信息数据必须先进行查毒,确认没有病毒后方可使用,对网络传输的数据文件,也应先查毒后传输。
第二十八条 发现计算机病毒应及时向信息化管理办公室报告,如服务器文件染毒,进行杀毒时,先将原重要数据文件进行备份。
第九章 安全培训
第二十九条 信息化管理办公室制定信息系统维护人员的信息安全培训计划和培训内容,内容主要包括:
(一)单位的信息系统安全制度和办法;
(二)信息系统运营维护相关安全技术和机制;
(三)设备系统安全配置策略。
第三十条 加强单位员工的安全意识培训,防止恶意攻击者利用社会工程、病毒来获得机密信息和对系统的控制。
第十章 附 则
第三十一条 本管理办法由河南水利与环境职业学院信息化管理办公室负责解释和修改。
第三十二条 本管理办法自公布之日起施行。
