系統(tǒng)與信息安全管理

系統(tǒng)與信息安全管理資源界定業(yè)務(wù)系統(tǒng)信息安全包括托管在聯(lián)通機(jī)房的所有服務(wù)器、網(wǎng)絡(luò)線路、網(wǎng)絡(luò)設(shè)備、安裝在服務(wù)器上的操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)、軟件、網(wǎng)絡(luò)設(shè)備上的OS、配置等軟硬件設(shè)施。任何人未經(jīng)允許不得對(duì)業(yè)務(wù)系統(tǒng)所包含的軟硬件進(jìn)行包括訪問(wèn)，探測(cè)，利用，更改等操作。網(wǎng)絡(luò)管理網(wǎng)絡(luò)結(jié)構(gòu)安全管理網(wǎng)絡(luò)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)定期更新，拓?fù)浣Y(jié)構(gòu)圖上應(yīng)包含IP地址，網(wǎng)絡(luò)設(shè)備名稱，專(zhuān)線供應(yīng)商名稱及聯(lián)系方式，專(zhuān)線帶寬等，并妥善保存，未經(jīng)許可不得對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行修改。網(wǎng)絡(luò)結(jié)構(gòu)必須嚴(yán)格保密，禁止泄漏網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)信息。網(wǎng)絡(luò)結(jié)構(gòu)的改變，必須提交更改預(yù)案，并經(jīng)過(guò)信息總監(jiān)的批準(zhǔn)方可進(jìn)行。網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第1頁(yè)。絡(luò)訪問(wèn)控制列表包括山石磊科路由和華三S5620的ACL。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第1頁(yè)。妥善保管現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制列表，其中應(yīng)包含網(wǎng)絡(luò)設(shè)備及型號(hào)，網(wǎng)絡(luò)設(shè)備的管理IP，當(dāng)前的ACL列表，更新列表的時(shí)間，更新的內(nèi)容等。定期檢查網(wǎng)絡(luò)訪問(wèn)控制列表與業(yè)務(wù)需求是否一致，如不一致，申請(qǐng)更新ACL。未經(jīng)許可不得進(jìn)行ACL相關(guān)的任何修改。ACL時(shí)，必須備份原有ACL，以防誤操作。ACL配置完成以后，必須測(cè)試。禁止泄漏任何ACL配置。網(wǎng)絡(luò)絡(luò)設(shè)備安全妥善保管現(xiàn)有網(wǎng)絡(luò)設(shè)備清單，包括供應(yīng)商及聯(lián)系人信息，設(shè)備型號(hào)，IP地址，系統(tǒng)版本，設(shè)備當(dāng)前配置清單。定期檢查設(shè)備配置是否與業(yè)務(wù)需求相符，如有不符，申請(qǐng)更新配置。配置網(wǎng)絡(luò)設(shè)備時(shí)，必須備份原有配置，以防誤操作。配置完成之后，必須進(jìn)行全面測(cè)試。禁止在網(wǎng)絡(luò)設(shè)備上進(jìn)行與工作無(wú)關(guān)的任何測(cè)試。 未經(jīng)許可不得進(jìn)行任何配置修。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第2頁(yè)。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第2頁(yè)。IP地址管理A、妥善保管現(xiàn)有IP地址清單，其中應(yīng)包含服務(wù)器型號(hào)，操作系統(tǒng)版本。B、是否支持遠(yuǎn)程登錄及遠(yuǎn)程登錄方式，IP地址，子網(wǎng)掩碼，網(wǎng)關(guān)，dns信息。C、實(shí)時(shí)更新IP地址清單，并制定檢查計(jì)劃，如有多余的IP，及時(shí)清理和更新。D、禁止泄漏IP地址清單。操作系統(tǒng)管理操作系統(tǒng)安裝運(yùn)行及更新操作系統(tǒng)安裝過(guò)程必須遵循操作系統(tǒng)安裝部署規(guī)定不得安裝與業(yè)務(wù)系統(tǒng)無(wú)關(guān)的其他系統(tǒng)功能和服務(wù)定期檢查操作系統(tǒng)的端口開(kāi)放情況，并維護(hù)操作系統(tǒng)端口開(kāi)放列表，制定定期檢查端口計(jì)劃系統(tǒng)安裝完成后加入域，并登錄域檢查服務(wù)啟動(dòng)情況，并進(jìn)行必要的授權(quán)安裝完成后必須完成補(bǔ)丁的安裝操作系統(tǒng)的重要補(bǔ)丁應(yīng)及時(shí)更新，其他補(bǔ)丁可定期更新禁止泄漏操作系統(tǒng)版本及相關(guān)任何信息應(yīng)用軟件更新系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第3頁(yè)。維護(hù)應(yīng)用軟件的系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第3頁(yè)。制定定期掃描應(yīng)用軟件的版本更新的時(shí)間計(jì)劃在不影響業(yè)務(wù)系統(tǒng)的情況下，及時(shí)更新應(yīng)用軟件版本對(duì)應(yīng)用軟件的更新做好記錄域帳號(hào)和系統(tǒng)權(quán)限管理維護(hù)域帳號(hào)及每臺(tái)系統(tǒng)的權(quán)限清單，其中應(yīng)包含IP，操作系統(tǒng)版本，系統(tǒng)帳號(hào)及權(quán)限分配，安全組制定定期檢查域帳號(hào)計(jì)劃，以保證及時(shí)做到帳號(hào)在系統(tǒng)中的權(quán)限是最新的禁止泄漏域帳號(hào)信息每個(gè)用戶只能使用自己的帳號(hào)，如需權(quán)限，填寫(xiě)申請(qǐng)表每個(gè)系統(tǒng)需維護(hù)3個(gè)系統(tǒng)管理組：moniter、log、backup系統(tǒng)操作日志和登錄日志審計(jì)制定計(jì)劃定期檢查系統(tǒng)日志是否正常工作，日志審核是否開(kāi)啟檢查日志容量大小，是否需要增加容量定期備份日志，并記錄備份時(shí)間維護(hù)和更新日志檢查和備份清單禁止泄漏日志信息數(shù)據(jù)備份與恢復(fù)管理系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第4頁(yè)。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第4頁(yè)。備份軟件及相關(guān)license應(yīng)妥善保管對(duì)備份軟件的操作應(yīng)形成文檔對(duì)備份的媒介應(yīng)選擇安全性高的場(chǎng)所保存，比如銀行，保險(xiǎn)箱等備份系統(tǒng)狀態(tài)、日志、數(shù)據(jù)庫(kù)制定備份計(jì)劃，并選擇在業(yè)務(wù)相對(duì)空閑時(shí)進(jìn)行備份對(duì)備份的命名應(yīng)嚴(yán)格按照既定的命名規(guī)則，以防恢復(fù)出錯(cuò)備份完成后及時(shí)檢查備份日志是否健康，備份是否成功對(duì)異常情況進(jìn)行記錄維護(hù)備份列表數(shù)據(jù)恢復(fù)管理備份完成后，測(cè)試數(shù)據(jù)備份的可靠性恢復(fù)數(shù)據(jù)測(cè)試，并及時(shí)查看恢復(fù)日志對(duì)異常情況進(jìn)行記錄遠(yuǎn)程訪問(wèn)管理遠(yuǎn)程訪問(wèn)的方式遠(yuǎn)程訪問(wèn)必須采用加密方式，如ssh和vpn系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第5頁(yè)。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第5頁(yè)。遠(yuǎn)程訪問(wèn)管理通過(guò)Key或者數(shù)字證書(shū)進(jìn)行身份驗(yàn)證定期檢查和核實(shí)登錄權(quán)限的分配是否與業(yè)務(wù)需求和系統(tǒng)管理相符維護(hù)遠(yuǎn)程訪問(wèn)帳號(hào)列表變更管理鑒定和記錄重大變更鑒定變更的重要性，是否影響業(yè)務(wù)，是否需要供應(yīng)商支持，是否有技術(shù)難點(diǎn)，是否有遺留問(wèn)題記錄重大變更，包括變更內(nèi)容，變更背景，操作人，責(zé)任人，影響，恢復(fù)時(shí)間，是否成功，是否有遺留問(wèn)題，是否有供應(yīng)商支持，聯(lián)系方式等變更完成后，形成變更文檔，技術(shù)相關(guān)文檔，以備類(lèi)似的借鑒計(jì)劃和測(cè)試變更計(jì)劃變更的時(shí)間，預(yù)估變更的操作時(shí)間和結(jié)束時(shí)間制定變更預(yù)案，操作步驟對(duì)變更進(jìn)行測(cè)試變更的流程系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第6頁(yè)。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第6頁(yè)。變更失敗的回退流程制定變更失敗的回退流程，從失敗的變更和不可預(yù)見(jiàn)事故中恢復(fù)變更管理 報(bào)告信息安全事故建立報(bào)告流程，應(yīng)包括處理人，所有采取的行動(dòng)，恢復(fù)完成后的反饋，時(shí)間記錄等突發(fā)事故中采取的行為注意到所有的現(xiàn)場(chǎng)相關(guān)細(xì)節(jié)，并記錄不采取自己的任何行動(dòng)，但立即匯報(bào)給信息總監(jiān)收集突發(fā)事故的數(shù)據(jù)，日志，證據(jù)保存所有有關(guān)的日志數(shù)據(jù)等證據(jù)根據(jù)日志進(jìn)行內(nèi)部問(wèn)題分析根據(jù)分析結(jié)果采取必要措施，以改進(jìn)和規(guī)范系統(tǒng)的運(yùn)行，以防止再次發(fā)生恢復(fù)業(yè)務(wù)采取行動(dòng)，恢復(fù)安全漏洞和系統(tǒng)故障，并審查業(yè)務(wù)恢復(fù)情況確認(rèn)和測(cè)試業(yè)務(wù)系統(tǒng)的完整性系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第7頁(yè)。系統(tǒng)與信息安全管理全文共8頁(yè)，當(dāng)前為第7頁(yè)。管理所有密碼，匯總密碼清單，清單中應(yīng)包括業(yè)務(wù)系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)設(shè)備，vpn，ssh等所有用戶和所有密碼密碼應(yīng)保存3次