暴露在互联网上的要及时纠正,并对有关人员进行教育和处理。对网上发布的信息进行监控,及时发现泄密事件,将危害控制在最小的范围内,使保密制度得到有效的执行和落实。
(4)建立健全信息安全制度
针对园区信息安全管理制定相应管理制度和规范;要求基础网络和重要信息系统运营、使用单位根据自身情况,制定包括安全责任制度、定期检查制度、评估改进制度、安全外包制度、事故报告制度等在内的日常信息安全规章制度。
1.2.6 信息安全体系设计预期成果
预期成果完成编写安全方案和管理制度,信息安全体系的建设,符合国家关于电子政务信息系统的标准要求,覆盖的电子政务信息系统安全保障体系,安全建设满足物理安全、操作系统安全、网络安全、传输安全、数据库安全、应用系统安全和管理安全体系,确保智慧园区项目系统的安全保密。
? 安全信息化系统管理制度
(1) 为规范本单位安全信息化系统的管理,保障系统安全、稳定、可靠运行,充分发挥安全信息化系统的作用,特制订本细则。
(2) 各部门办公计算机应明确使用人,设置安全保护密码,未经本人许可或领导批准,任何人不应擅自开启和使用他人的办公计算机。
(3) 维护职责
1)办公室为安全信息化系统运行维护的管理部门,负责安全信息化系统运行维护工作的协调、指导和管理工作。相关人员负责系统数据日常录入、维护和数据统计分析。
2)办公室负责安全信息化系统的日常维护和管理工作。组织协调技术合作单位对安全信息化系统所涉及的软硬件开展故障解决、巡回检查、系统性能调优、系统升级实施、应用接口、系统拓展应用、应用技术培训等工作。
(4) 维护范围及内容
1)安全信息化系统维护工作的范围:安全信息化系统所涉及的全部硬件设备、操作系统、数据库系统、中间件、应用软件、数据接口以及用户访问权限等。
2)安全信息化系统的主要维护内容包括:系统设备运行状态的日常监测、定期保养、故障诊断与排除;操作系统、数据库系统、中间件及应用软件的故障诊断与
6
排除;系统日常的巡回检查;数据交换与传输;配置变更管理;数据问题管理;系统性能调优;系统升级和拓展应用等。
(5) 日常维护与故障管理 1)技术支持与服务途径:
a)技术合作单位派驻现场技术服务组开展日常技术支持服务,提供包括系统、配置、安装、调试以及使用中遇到的各类技术问题和使用问题的咨询,并协助排查和解决各类系统故障。
b)技术合作单位定期整理汇编常见问题和解决办法,并以技术文档的形式按季度提供给办公室。
2)计算机管理员每季度组织对安全信息化系统的运行情况进行巡检。巡检内容包括:检查系统运行情况并排除故障隐患;收集系统最新运行信息;根据系统运行情况和用户业务需求提出合理化建议;查看系统运行信息,分析错误记录。
3)计算机管理员每季度对安全信息化系统数据进行备份;每年至少进行一次对办公计算机内部存储信息的清理工作,删除无用信息;
4)系统管理员及各技术服务合作单位应严格按照本文所列附件中的相关要求,每天检查系统的运行状况并认真做好系统运行日志,定时做好各类维护记录,具体包括:日维护记录、周维护记录、月维护记录。
5)当系统运行出现故障时,应及时向服务单位报修故障情况并协调技术合作单位共同解决。排除故障的方式可分为三种类型:
a)本地解决故障:能够自行解决或在技术服务合作单位的远程指导下可以解决的故障,自行解决故障。
b)远程解决故障:由技术服务合作单位通过远程方式在计算机管理员的配合下进行处理、解决的故障。
c)现场解决故障:由技术服务合作单位派技术人员到现场进行解决的故障。 对需要现场解决的故障,办公室按照故障造成的“影响程度”和“紧急程度”组合决定的严重等级进行分级处理。
5)当故障属于硬件系统本身的问题时,由技术服务合作单位
整理形成问题分析报告和解决方案,经市局办公室审核批准后,技术服务合作单位协调配合保修单位对硬件系统进行更换,更新和优化。
7
(6)系统配置管理
1)系统配置管理内容及范围涵盖安全信息化系统中所涉及的全部软硬件。 2)未经信息系统管理人员同意,不得擅自进行系统格式化或重新安装操作系统,不应擅自变更软硬件配置,严禁安装上网设备、运行代理软件、服务器软件。如因实际情况确需变更配置(包括增加新设备、扩充设备能力、改变设备的部署、停用设备、设备的切换以及改变系统软件等)时,要及时报办公室审核备案。
(7) 权限管理
1)安全信息化系统的用户以及权限分配由办公室集中统一维护和管理,并建立相应用户清单。
2)安全信息化系统中所涉及的操作系统、数据库系统等系统软件的使用权限由信息中心集中统一维护和管理。
(8) 升级、完善与拓展管理
1)系统软件和应用软件的升级、完善由信息中心统一管理。
2)系统运行过程中的缺陷,由技术服务合作单位协助或承担升级完善的技术工作,经信息中心核准后进行对系统进行升级。
3)信息中心应根据系统使用部门情况反馈,结合系统的运行状态和功能范围,适时统一组织对系统功能的升级。
4)信息中心负责对安全信息化系统的运行维护工作进行检查,并把检查结果通报给各技术服务合作单位。
? 安全管理
自主访问控制、轻质访问控制、标记、身份鉴别、审计、数据完整性。 在技术上
(1)通过安装防火墙,实现下列的安全目标:
1)利用防火墙将Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全; 3)利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;
4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在
8
不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作; 6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;
7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
(2)网络内的权限控制
通过目录服务等操作系统存在的服务队对主机内的资源进行权限访问的控制,可将具体的安全控制到文件级。通过对网络作安全的划分控制、如通过设置\等,对整个网络进行权限控制。
(3)入侵检测系统技术
通过使用入侵检测系统,我们可以做到:
1)对网络边界点的数据进行检测,防止黑客的入侵;
2)对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 3)监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作; 4)对用户的非正常活动进行统计分析,发现入侵行为的规律;
5)实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 6)对关键正常事件及异常行为记录日志,进行审计跟踪管理。
通过使用入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
(4)网络防病毒
为了使整个机关网络免受病毒侵害,保证网络系统中信息的可用性,构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,通过派发的形式对整个网络部署杀毒,同时要对Lotus Domino内进行查杀毒。
(5)网络内的信息流动的监控 对网络内流动的信息进行监控,防止非法访问信息的传播和记录控制非法信息的传播、对\涉密信息\进行安全防护。
(6)无线接入安全管理 现在无线网络使用越来越普遍,对无线网络的接入,同样需要进行安全控制,可以根据IP和MAC绑定的方式确保无线接入的安全性,对未经容许的无线设备、笔记本电脑则无法接入无线网络。有效防止外部的病毒或黑客
9
程序被带进内网。
(7)操作系统以及应用系统的安全设置
操作系统以及应用系统都提供有强大的安全设置,为保证系统的安全性,我们要在合理配置好操作系统以及应用系统的安全设置,在这个层面上要在保证安全和使用方便两者之间的关系取得一定的平衡。
比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、数据库是否容许远程管理、用户账号权限控制等等。并且制定对黑客入侵的防范策略。
(8)安全审计、日志审核机制
网络安全,不光是要防范杜绝,还要建立\档案\。合理的配置安全审计,一些重要的安全信息、系统、设备的登入登出,都可以完整记录下来。而日志审核也可以对于故障排查、安全检查有很好的帮助。
(9)内部网络安全机制
根据部门以及功能的需求,在局域网通过vlan的划分,既可以阻止大规模的广播风暴影响整体网络的通畅,保障网络的稳定。并且通过交换机的ACL的控制,根据网络应用以及各部门内部信息保密的需求,对不同的网段之间的访问进行访问的控制。同时一些交换机具备流量控制、源路由限制等功能,根据企业实际情况设置也可加强企业内部网络的安全,降低因病毒、网络攻击造成的网络威胁。
? 在管理上
以上所有的网络安全管理是基于技术方面,为了使网络能够安全高效有序的运转这些系统,更需要配合一套完整的网络安全管理制度。
? 建立网络安全管理制度,明确网络安全管理的职责
? 完善网络安全设置各方面的技术文档,按照技术文档进行设定安全策略以及
安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文档记录
? 确定网络安全管理的具体责任人。
? 加强培训,提高人们的网络安全意识和防范意识。 ? 安全体系设计
根据安全体系规划,整个系统的安全体系建设内容包括物理安全、操作系统安全、网络安全、传输安全、数据安全、应用系统安全、终端安全和管理安全等方面。
10