信息安全管理制度信息框架及管理规定.docxVIP

PAGE 3 信息安全框架及管理规定 资源界定 业务系统信息安全包括托管在联通机房的所有服务器、网络线路、网络设备、 安装在服务器上的操作系统、业务系统、应用系统、软件、网络设备上的OS、配置等软硬件设施 任何人未经允许不得对业务系统所包含的软硬件进行包括访问，探测，利用，更改等操作 网络管理 网络结构安全管理 网络物理结构和逻辑结构定期更新，拓扑结构图上应包含IP地址，网络设备名称，专线供应商名称及联系方式，专线带宽等，并妥善保存，未经许可不得对网络结构进行修改 网络结构必须严格保密，禁止泄漏网络结构相关信息 网络结构的改变，必须提交更改预案，并经过信息总监的批准方可进行 网络访问控制 网络访问控制列表包括ASA5510和联想网御的ACL 妥善保管现有的网络访问控制列表，其中应包含网络设备及型号，网络设备的管理IP，当前的ACL列表，更新列表的时间，更新的内容等 定期检查网络访问控制列表与业务需求是否一致，如不一致，申请更新ACL 未经许可不得进行ACL相关的任何修改 更新ACL时，必须备份原有ACL，以防误操作 ACL配置完成以后，必须测试 禁止泄漏任何ACL配置 网络设备安全 妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单 定期检查设备配置是否与业务需求相符，如有不符，申请更新配置 配置网络设备时，必须备份原有配置，以防误操作 配置完成之后，必须进行全面测试 禁止在网络设备上进行与工作无关的任何测试 未经许可不得进行任何配置修改 禁止泄漏网络设备配置 IP地址管理 妥善保管现有IP地址清单，其中应包含服务器型号，操作系统版本，是否支持远程登录及远程登录方式，IP地址，子网掩码，网关，dns信息 实时更新IP地址清单，并制定检查计划，如有多余的IP，及时清理和更新 禁止泄漏IP地址清单 操作系统管理 操作系统安装运行及更新 操作系统安装过程必须遵循操作系统安装部署规定 不得安装与业务系统无关的其他系统功能和服务 定期检查操作系统的端口开放情况，并维护操作系统端口开放列表，制定定期检查端口计划 系统安装完成后加入域，并登录域检查服务启动情况，并进行必要的授权 安装完成后必须完成补丁的安装 操作系统的重要补丁应及时更新，其他补丁可定期更新 禁止泄漏操作系统版本及相关任何信息 应用软件更新 维护应用软件的安装列表，列表中应包含，IP地址，应用软件名称，版本，更新网址，安装时间，异常记录和更新记录 制定定期扫描应用软件的版本更新的时间计划 在不影响业务系统的情况下，及时更新应用软件版本 对应用软件的更新做好记录 域帐号和系统权限管理 维护域帐号及每台系统的权限清单，其中应包含IP，操作系统版本，系统帐号及权限分配，安全组 制定定期检查域帐号计划，以保证及时做到帐号在系统中的权限是最新的 禁止泄漏域帐号信息 每个用户只能使用自己的帐号，如需权限，填写申请表 每个系统需维护3个系统管理组：moniter、log、backup 系统操作日志和登录日志审计 制定计划定期检查系统日志是否正常工作，日志审核是否开启 检查日志容量大小，是否需要增加容量 定期备份日志，并记录备份时间 维护和更新日志检查和备份清单 禁止泄漏日志信息 业务系统管理 业务系统的运行管理 建立并维护业务系统运行清单，其中应包含操作系统版本，IP地址，业务系统及版本，业务系统供应商及联系方式，异常记录，更新记录，检查记录 制定计划对业务系统的健康检查 及时报告业务系统存在的任何异常情况，并记录 禁止泄漏任何业务系统相关信息 业务系统日志管理 开启业务系统的日志 制定计划定期检查业务系统的日志 制定计划定期备份业务系统的日志 分析业务系统的日志，并及时报告 禁止泄漏日志信息 业务系统帐号及权限管理 维护业务系统帐号及权限列表，其中应包括操作系统版本，IP地址，业务系统版本，帐号，权限及帐号和权限变更记录 制定计划定期检查帐号与业务需求是否匹配 对异常情况及时报告 机密文件及数据管理 文件管理分为3个等级，秘密、机密、绝密 秘密级别的采用权限管理的方式 机密级别的采用加密方式管理 绝密级别的采用加密和离线并行的方式管理，比如使用加密U盘 定期做好备份，每个人的机密数据自己负责备份，部门的机密数据由部门负责人指定人员备份 业务系统版本更新 对业务系统的版本定期进行检查，与供应商定期沟通是否有新版本需要更新 更新版本前做好备份，并测试备份的可用性和可靠性 完成版本备份后应全面测试新版本的安全可靠和稳定，并密切关注新版本的运行情况 服务器管理 服务器性能 监控服务器性能，并分析制约服务器性能的瓶颈 对服务器硬盘、cpu或内存的使用率超过80%并持续半个小时以上，必须向信息总监汇报 对服