技術(shù)符合性檢查管理程序

1、QEPTechnical Compliance Management ProcedureDOC NO文件編號(hào)QEP-XXX程序文件 i技術(shù)符合性管理程序REV版本APAGE頁碼1 of 3目的本標(biāo)準(zhǔn)規(guī)定了信息技術(shù)符合性檢查控制范圍公司安全區(qū)域內(nèi)的管理控制。定義（無）權(quán)責(zé)IT部：負(fù)責(zé)對(duì)公司網(wǎng)絡(luò)及信息系統(tǒng)進(jìn)行技術(shù)符合性的檢查控制作業(yè)內(nèi)容5.1計(jì)算機(jī)系統(tǒng)5.1.1計(jì)算機(jī)系統(tǒng)包括服務(wù)器（主機(jī)）、桌面機(jī)的硬件和系統(tǒng)軟件。5.1.2計(jì)算機(jī)系統(tǒng)應(yīng)采用數(shù)據(jù)服務(wù)器、應(yīng)用服務(wù)器、桌面工作站三層架構(gòu)技術(shù)，并將服務(wù)器的分散管理逐 步做到地理集中、物理集中、數(shù)據(jù)集中的集中式管理，最終實(shí)現(xiàn)應(yīng)用的集中。最大限度地提高系統(tǒng)的

2、可靠 性、安全性、可管理性、易維護(hù)性和設(shè)備利用率。5.1.3根據(jù)數(shù)據(jù)和事務(wù)處理能力以及安全可靠性方面的要求，數(shù)據(jù)庫服務(wù)器（主機(jī)）可選用小型機(jī)或高檔微 機(jī)服務(wù)器。對(duì)重要服務(wù)器的選型，均應(yīng)充分考慮在技術(shù)上實(shí)現(xiàn)多機(jī)的集群功能和在管理上降低運(yùn)行維護(hù)的 成本。5.1.4根據(jù)應(yīng)用系統(tǒng)的需要，原則上，應(yīng)用服務(wù)器應(yīng)選用高檔PC服務(wù)器，必要時(shí)也可選用專用工作站。5.1.5桌面工作站一般選用PC機(jī)，操作系統(tǒng)可選Windows系列。對(duì)于特殊應(yīng)用的需要也可選UNIX或Linux 工作站。5.2網(wǎng)絡(luò)系統(tǒng)5.2.1網(wǎng)絡(luò)系統(tǒng)平臺(tái)包括網(wǎng)絡(luò)布線、網(wǎng)絡(luò)交換機(jī)、集線器、路由器等主要設(shè)備的硬件和軟件。5.2.2網(wǎng)絡(luò)布線可選用符合EI

3、A/TIA-568、ISO/IEC 11801標(biāo)準(zhǔn)要求的國內(nèi)外公司的產(chǎn)品。一般選用超五 類非屏蔽雙絞線到桌面和垂直布線，對(duì)于距離限制或重要應(yīng)用場所的垂直布線應(yīng)考慮采用多模光纖布線， 對(duì)戶外雙絞線應(yīng)布設(shè)信息防雷裝置。5.2.3信息網(wǎng)絡(luò)主干層應(yīng)優(yōu)先選用千兆以太網(wǎng)技術(shù)，主干層交換機(jī)優(yōu)先考慮采用支持標(biāo)準(zhǔn)的多層交換技 術(shù)，備具有冗余通道。5.2.4網(wǎng)絡(luò)的工作站接入層優(yōu)先選用快速以太網(wǎng)交換技術(shù)，根據(jù)應(yīng)用業(yè)務(wù)類型、服務(wù)質(zhì)量要求和網(wǎng)絡(luò)預(yù)算， 也可采用以太網(wǎng)的一種技術(shù)或幾種技術(shù)的綜合。5.2.5局域網(wǎng)、內(nèi)部網(wǎng)采用網(wǎng)絡(luò)交換技術(shù)。設(shè)備選型應(yīng)充分考慮網(wǎng)絡(luò)的安全保密性、可靠性、兼容性、可 管理性、可擴(kuò)展性。例如，為了保

4、證網(wǎng)絡(luò)的安全性和多應(yīng)用系統(tǒng)的易管理性，接入層交換機(jī)采用支持多虛QEPTechnical Compliance Management ProcedureDOC NO文件編號(hào)QEP-XXX程序文件 i技術(shù)符合性管理程序REV版本APAGE頁碼2 of 3擬網(wǎng)劃分技術(shù)和IP地址端口綁定技術(shù)。5.3安全系統(tǒng)5.3.1安全問題是企業(yè)應(yīng)用的保證，應(yīng)采取整體和積極的安全防范策略。安全系統(tǒng)平臺(tái)包括整個(gè)信息系統(tǒng) 安全體系所涉及到的硬件和軟件。5.3.2整體的安全體系應(yīng)覆蓋OSI的七個(gè)層次，通過每個(gè)層次的安全措施來保證信息系統(tǒng)的安全。服務(wù)器、 數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的安全平臺(tái)由這些系統(tǒng)本身提供的安全措施構(gòu)成。根據(jù)網(wǎng)

5、上不同子網(wǎng)的網(wǎng)絡(luò)性能和 不同業(yè)務(wù)系統(tǒng)和用戶具體的安全需求，網(wǎng)絡(luò)安全平臺(tái)可采用以下成熟的安全防范技術(shù)和產(chǎn)品。5.3.3數(shù)據(jù)加密傳輸：支持DES、IDEA、RSA等算法。支持SHTTP、SSL、IPsec等網(wǎng)絡(luò)安全協(xié)議。5.3.4認(rèn)證：除身份驗(yàn)證外，對(duì)根據(jù)需要對(duì)關(guān)鍵系統(tǒng)實(shí)現(xiàn)數(shù)字簽名和數(shù)字證明。支持采用X.509的數(shù)字證 書、DSS數(shù)字簽名標(biāo)準(zhǔn)、Koreros身份認(rèn)證協(xié)議等。5.3.5商用密碼管理：系統(tǒng)的數(shù)據(jù)加密只能使用經(jīng)國家密碼管理部門認(rèn)可的商用密碼產(chǎn)品，不得使用自行 研制的或者境外生產(chǎn)的密碼產(chǎn)品。任何人不得非法攻擊商用密碼，不得利用商用密碼危害國家的安全和利 益、危害社會(huì)治安或者進(jìn)行其他違法犯罪

6、活動(dòng)的要求。5.3.6存取控制：包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、類型控制和風(fēng)險(xiǎn)分析。5.3.7防火墻：包過濾實(shí)現(xiàn)對(duì)通過防火墻的IP包地址、TCP/UDP的Port ID(端口標(biāo)識(shí)符)及I CMP進(jìn)行檢 查。能實(shí)現(xiàn) FTP、TELNET、HTTP、SMTP、RLOGIN、SSL、X-WINDOWS 等代理服務(wù)。5.3.8虛擬網(wǎng)劃分(VLAN)：網(wǎng)絡(luò)可以針對(duì)不同的應(yīng)用和應(yīng)用者在應(yīng)用中的不同角色，進(jìn)行基于交換機(jī)端 口、基于協(xié)議、基于IP地址、基于MAC地址以及基于策略的VLAN。5.3.9 虛擬專網(wǎng)(VPN):支持 Point-to-Point Tunneling Protocol(PPTP)、L

7、ay2 TunnelingProtocol(L2TP)、IP Security(IPsec)、Layer2 Forwarding(L2F)等幾種隧道(Tunnel)方式和 PPTP、IPsec、 L2TP、L2F 等 Tunnel 協(xié)議。5.3.10跟蹤審計(jì)：實(shí)現(xiàn)安全事件記錄、攻擊監(jiān)控、檢查安全漏洞。5.3.11病毒防治：全面的病毒防治系統(tǒng)，實(shí)現(xiàn)實(shí)時(shí)檢測、清除病毒。5.3.12備份和恢復(fù)：自動(dòng)備份和恢復(fù)、跨網(wǎng)絡(luò)備份、提供高速備份能力。5.4應(yīng)用系統(tǒng)及數(shù)據(jù)庫系統(tǒng)5.4.1應(yīng)用系統(tǒng)平臺(tái)包括數(shù)據(jù)庫、電子郵件服務(wù)和文件服務(wù)服務(wù)器等涉及到的軟件。5.4.2中小型或非關(guān)鍵事務(wù)處理系統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)可選用

8、Microsoft公司的SQL Server、Access數(shù) 據(jù)庫系統(tǒng)。5.4.3 電子郵件采用 Exchange2010SP3。5.4.4瀏覽器統(tǒng)一采用Microsoft公司的IE、谷歌瀏覽器。QEPTechnical Compliance Management ProcedureDOC NO文件編號(hào)QEP-XXX程序文件 i技術(shù)符合性管理程序REV版本APAGE頁碼3 of 35.4.5以統(tǒng)一的企業(yè)內(nèi)部網(wǎng)絡(luò)為基礎(chǔ)，目前以C/S及B/S技術(shù)為手段，采用多層分布式應(yīng)用體系結(jié)構(gòu)，構(gòu) 造企業(yè)信息系統(tǒng)，是當(dāng)前信息技術(shù)的發(fā)展方向。應(yīng)用服務(wù)器是這種體系結(jié)構(gòu)的重要組成部分。應(yīng)用服務(wù)器 應(yīng)滿足以下技術(shù)條件：a）跨平臺(tái)能力:Unix、Windows NT等。b）跨數(shù)據(jù)庫能力：Oracle、Microsoft SQL Server、Access 等。c）企業(yè)應(yīng)用的安全性要求。應(yīng)該滿足事物處理、安全管理、容錯(cuò)、負(fù)載平衡、可伸縮性、高性能方面的 要求。5.5運(yùn)行管理5.5.1信息運(yùn)行管理采取集中管理和分散管理相結(jié)合的管理策略。所配置的運(yùn)行管理系統(tǒng)包括對(duì)信息系統(tǒng) 各類資源實(shí)現(xiàn)有效單點(diǎn)管理