弋陽縣數據共享安全保障機制
系統環境安全管理
1.1 物理環境安全管理
1.1.1 應指定市級共享平臺負責機房安全���,并配備機房安全管理人員���,對機房的出入���、服務器的開機或關機等工作進行管理�。
1.1.2 應建立機房安全管理制度����,對機房人員訪問���、物品帶進帶出���、機房環境安全等方面的管理作出明確規定���。
1.1.3 應安排專門的人員對機房環境(機房供配電�����、空調��、溫濕度控制等)����、設備���、設施進行日常維護管理����。
1.1.4 應對機房的出入口配備電子門鎖或門禁系統���。
1.1.5 應加強對機房環境的保密性管理��,加強對機房管理人員的安全培訓��。
1.1.6 應編制并保存系統相關的資產清單����,清單內容包括資產責任部門���、重要程度和所處位置等�。落實系統資產管理的責任部門或責任人員����,并規范資產管理和使用的行為���。根據資產的重要程度對資產進行標識管理�����,根據資產的價值配套相應的管理措施���。
1.1.7 應根據數據備份的需要對某些介質實行異地存儲����,存儲地的環境要求和管理方法應與本地相同����。
2.2 網絡環境安全管理
2.2.1 應建立系統網絡安全管理制度�����。
2.2.2 應合理劃分系統網絡安全區域�,對服務器��、用戶接入層�����、互連互通�、安全服務設置安全域����。
2.2.3 各安全域邊界應設置防火墻����、入侵檢測等邊界防護設備����,并配置嚴格的安全策略限制其互訪���。
2.2.4 服務器安全域與用戶安全域應嚴格剝離����。
2.2.5 用戶接入層安全域應對用戶進行實名制入網接入�����。
2.2.6 應定期對系統網絡進行漏洞掃描�����,并對發現的網絡系統安全漏洞進行及時修補���。
2.2.7 應依據安全規定��,判斷便攜式和移動式設備的網絡接入��。
2.2.8 應對通信線路���、主機���、網絡設備和應用軟件的運行狀況��、網絡流量���、用戶行為等進行監測和報警���,形成記錄并妥善保存����。
3.3 軟件運行安全管理
3.3.1 應指定專人對市級共享平臺系統進行管理�,負責運行日志���、網絡監控�、日常維護和報警信息分析����、處理工作����。
3.3.2 應及時升級系統軟件的新版本���,并在升級前對現有版本進行備份�����。
3.3.3 應保證所有與外部系統的連接均得到授權和批準���。
3.3.4 應根據業務需求和系統安全分析確定系統的訪問控制策略���。
3.3.5 應定期對系統進行漏洞掃描����,對發現的系統安全漏洞及時進行修補����。
3.3.6 應對系統安全策略��、安全配置��、日志管理和日常操作流程等方面作出具體規定����。
3.3.7 應劃分系統管理員角色���,明確各個角色的權限����、責任和風險���,權限設定應當遵循最小授權原則�。
3.3.8 應識別需要定期備份的重要業務信息��、系統數據及軟件程序等���。
3.3.9 應建立備份與恢復管理相關的安全管理制度�,對備份方式���、備份頻率�����、存儲介質和保存期等進行規范����。
3.3.10 應依據操作手冊對系統進行維護���,詳細記錄操作日志����,包括重要的日常操作�����、運行維護記錄���、參數的設置和修改等內容��,嚴禁進行未經授權的操作��。
3.3.11 應具有較高的防病毒意識���,及時更新防病毒軟件版本��,在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前����,應先進行病毒檢查����,對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查���。
3.3.12 應對網絡和主機進行惡意代碼檢測并保存檢測記錄���,對防惡意代碼軟件的授權使用�����、惡意代碼庫升級�����、定期匯報等作出明確規定���。
3.3.13 應建立密碼使用管理制度��,使用符合國家密碼管理規定的密碼技術和產品���。
4.4 人員安全管理
4.4.1 應對系統管理人員入職進行背景調查�。
4.4.2 應系統管理人員簽訂保密協議���,加強安全管理制度和安全意識教育等相關內容�����。
4.4.3 應對系統管理人員進行信息安全意識和技能培訓���,進行安全意識與基本技能考試�����。對關鍵崗位采取定期輪崗����、雙人操作等措施��,做到關鍵崗位人員和安全操作風險可控��。4.4.4 管理人員崗位調動時�����,應及時處理其在系統內的賬號(賬號權限的調整���、變更和注銷等)�����,并對處理情況進行審核����、檢查�。
4.4.5 管理人員離職時����,應依照其簽署的保密協議審核其脫密期���,并明確告知其在離職后的系統信息安全保密責任�,接觸敏感信息的員工必須明確其脫密期���。
5.5 應急預案管理
5.5.1 應制定專門應急處置預案�����,包括啟動應急預案的條件��、應急處理流程���、系統恢復流程���、事后教育和培訓等內容�。
5.5.2 應從人力����、設備���、技術和財務等方面確保應急預案的執行有足夠的資源保障��。
5.5.3 應對系統相關的人員至少每年舉辦一次應急預案培訓�。
5.5.4 應定期對應急預案進行演練����,根據不同的應急演練科目內容��,確定演練周期��。
5.5.5 應對應急預案內容定期審查和根據實際情況適時更新��,并嚴格按照執行���。
6.6 安全事件處置
6.6.1 應報告所發現的安全弱點和可疑事件����,但任何情況下均不應嘗試驗證弱點�����。
6.6.2 應制定安全事件報告和處置管理制度�,明確安全事件的類型�����,規定安全事件的現場處置���、事件報告和后期恢復的管理職責����。
6.6.3 應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響����,對本系統計算機安全事件進行等級劃分�����。
6.6.4 應制定安全事件報告和響應處置程序�����,確定事件的報告流程�,響應和處置的范圍��、程度����,以及處置方法等�����。
6.6.5 應在安全事件報告和響應處置過程中�,分析和鑒定事件產生的原因�����,收集證據��,記錄處置過程����,總結經驗教訓�,制定防止再次發生的補救措施����,過程形成的所有文件和記錄均應妥善保存��。
6.6.6 對造成系統中斷和造成信息泄密的安全事件應采用不同的處置程序和報告程序���。
政務信息資源庫安全管理
2.1 概述
政務信息資源庫安全管理主要包括數據完整性���、數據保密性�����、備份和恢復等安全檢查和措施�����。
2.2 數據完整性
2.2.1 應能夠檢測政務信息資源庫的系統管理數據���、鑒別信息和重要業務數據在傳輸�����、存儲過程中完整性受到破壞����,并在檢測到完整性錯誤時采取必要的恢復措施����。
2.3 數據保密性
2.3.1 應采用加密或其他有效保護措施�����,實現系統管理數據���、鑒別信息和重要業務數據在傳輸�、存儲過程中的保密性���。
2.4 備份和恢復
2.4.1 應提供本地數據備份與恢復功能��,完全數據備份至少每天一次����,備份介質場外存放�����。
2.4.2 應提供異地數據備份功能��,利用通信網絡將關鍵數據定時批量傳送至備用場地����。
2.4.3 應采用冗余技術設計網絡拓撲結構��,避免關鍵節點存在單點故障���。
2.4.4 應提供主要網絡設備��、通信線路和數據處理系統的硬件冗余��,保證系統的高可用性���。
數據前置機安全管理
3.1 概述
政務信息資源數據前置機(以下稱“前置機”)安全管理主要包括結構安全�����、訪問控制���、安全審計���、邊界完整性檢查��、入侵防范����、惡意代碼防范����、網絡設備防護等安全措施�����。
3.2 結構安全
3.2.1 應保證前置機網絡設備的業務處理能力具備冗余空間��,滿足業務高峰期需要�����。
3.2.2 應保證前置機網絡各個部分的帶寬滿足業務高峰期需要�����。
3.2.3 應在前置機與市級共享平臺服務器之間進行路由控制����,建立安全的訪問路徑
3.2.4 應繪制前置機與當前運行情況相符的網絡拓撲結構圖��;
3.2.5 應根據政務部門的工作職能�、重要性和所涉及信息的重要程度等因素���,劃分不同前置機子網或網段�,并按照方便管理和控制的原則為各子網��、網段分配地址段���。
3.2.6 應避免將重要網段部署在網絡邊界處且直接連接外部信息系統�����,重要網段與其他網段之間采取可靠的技術隔離手段���。
3.2.7 應按照對業務服務的重要次序來指定帶寬分配優先級別����,保證在網絡發生擁堵時優先保護重要主機���。
贛公網安備 36112602000003號