網(wǎng)絡安全系統(tǒng)管理系統(tǒng)要求規(guī)范

目錄TOC\o"1-2"\h\z\u目錄 1第一章總則 21.1范疇 21.2目的 21.3原則 21.4制訂與實施 3第二章安全組織構(gòu)造 42.1安全組織構(gòu)造建立原則 42.2安全組織設立 42.3安全組織職責 52.4人員安全管理 9第三章基本安全管理制度 113.1入網(wǎng)安全管理制度 113.2操作安全管理制度 113.3機房與設施安全管理制度 123.4設備安全使用管理制度 133.5應用系統(tǒng)安全管理 133.6媒體/技術(shù)文檔安全管理制度 14第四章顧客權(quán)限管理 164.1顧客權(quán)限 164.2顧客登錄管理 174.3顧客口令管理 17第五章運行安全 195.1網(wǎng)絡攻擊防備 195.2病毒防備 205.3訪問控制 215.4行為審計 225.5異常流量監(jiān)控 235.6操作安全 245.7IP地址管理制度 255.8防火墻管理制度 25第六章安全事件的解決 276.1安全事件的定義 276.2安全事件的分類 286.3安全事件的解決和流程 306.4安全事件通報制度 33

第一章總則1.1范疇安全管理方法的范疇是運行維護過程中所涉及到的多種安全管理問題，重要涉及人員、組織、技術(shù)、服務等方面的安全管理規(guī)定和規(guī)定。本文所指的管理范疇涉及國藥集團總公司和各分支機構(gòu)的承載網(wǎng)絡，同時涉及其上承載的BI系統(tǒng)、BOA辦公系統(tǒng)、編碼系統(tǒng)、Email以及后續(xù)還要開發(fā)的HR系統(tǒng)和門戶網(wǎng)站等各應用系統(tǒng)。1.2目的安全管理的目的是在合理的安全成本基礎(chǔ)上，實現(xiàn)網(wǎng)絡運行安全（網(wǎng)絡本身安全）和業(yè)務安全（為網(wǎng)上承載的業(yè)務提供安全確保），確保各類網(wǎng)元設備的正常運行，確保信息在網(wǎng)絡上的安全存儲傳輸以及信息內(nèi)容的正當性。全網(wǎng)安全管理方法的目的重要就是為網(wǎng)絡安全運行和業(yè)務安全提供管理上的保障，用科學規(guī)范的管理來配合先進的技術(shù)，以確保各項安全工作落到實處，真正確保網(wǎng)絡安全。安全管理方法將用于指導中國醫(yī)藥集團網(wǎng)絡安全建設和管理，加強人員的安全管理，避免數(shù)據(jù)丟失、損壞、篡改、泄漏，提高網(wǎng)絡及有關(guān)業(yè)務系統(tǒng)的安全性。1.3原則安全管理工作的基本原則：1.網(wǎng)絡安全管理應以國家有關(guān)政策法規(guī)和條例為根據(jù)。2.網(wǎng)絡安全管理遵照統(tǒng)一規(guī)劃、集中監(jiān)控的原則。中國醫(yī)藥集團總公司負責對網(wǎng)絡安全管理工作進行統(tǒng)一規(guī)劃，負責安全方略的制訂和監(jiān)督實施。3.網(wǎng)絡安全管理采用三級集中管理的方式。由中國醫(yī)藥集團總公司負責對全網(wǎng)的網(wǎng)絡安全進行統(tǒng)一規(guī)劃管理，協(xié)調(diào)解決重大事件，由中國醫(yī)藥集團信息中心對骨干承載網(wǎng)的安全運行進行集中管理，由各分支機構(gòu)負責對各分公司的安全運行進行集中管理。4.網(wǎng)絡安全管理工作應建立符合網(wǎng)絡和業(yè)務發(fā)展規(guī)定的安全管理組織體系和安全技術(shù)增援保障體系。5.網(wǎng)絡安全管理應建立并不停積累完善針對實際狀況的各類安全管理章程或規(guī)定，全方面提高的網(wǎng)絡安全管理水平。1.4制訂與實施本安全管理方法遵照我國信息安全的有關(guān)法律法規(guī)，并結(jié)合具體的狀況，依據(jù)中國醫(yī)藥集團公司頒布的多種服務管理規(guī)定和安全管理規(guī)定而制訂。

第二章安全組織構(gòu)造2.1安全組織構(gòu)造建立原則本章描述安全組織的建設，涉及建立原則，組織設立，組織職責，針對人員的安全管理，和涉及應當指定的安全管理制度。中國醫(yī)藥集團公司網(wǎng)絡安全組織體系是中國醫(yī)藥集團公司安全體系的組織保障。應遵照中國醫(yī)藥集團公司有關(guān)的規(guī)章制度、維護規(guī)程，制訂的安全管理制度和內(nèi)部的法規(guī)政策，指導、監(jiān)督、考核安全制度的執(zhí)行，確保全網(wǎng)安全工作的有序進行。采用中國醫(yī)藥集團總公司安全組織主管與各分支機構(gòu)兼管相結(jié)合的組織建設原則。2.2安全組織設立2.2.1中國醫(yī)藥集團安全協(xié)調(diào)組織1．中國醫(yī)藥集團公司安全主管人員2．中國醫(yī)藥集團公司安全專家指導人員。2.2.2中國醫(yī)藥集團安全響應中心1．中國醫(yī)藥集團公司安全主管人員2．中國醫(yī)藥集團公司安全運行管理人員：由中國醫(yī)藥集團公司信息中心從事安全工作的管理和技術(shù)人員構(gòu)成。2.2.3各分支機構(gòu)安全組織1)各分支機構(gòu)網(wǎng)絡安全主管人員：由有關(guān)主管人員構(gòu)成。2)各分支機構(gòu)原則上不設立專職的安全管理機構(gòu)，但應設立專（兼）職安全管理員，由從事安全工作的管理人員、技術(shù)人員或業(yè)務監(jiān)管人員擔任。2.3安全組織職責2.3.1中國醫(yī)藥集團公司安全協(xié)調(diào)組織職責1.中國醫(yī)藥集團公司網(wǎng)絡安全主管人員：1)貫徹、貫徹中國醫(yī)藥集團公司有關(guān)計算機安全以及通信網(wǎng)絡安全工作的規(guī)章、規(guī)程；2)研究決定系統(tǒng)安全工作的重大事項；3)制訂系統(tǒng)安全工作和中國醫(yī)藥集團公司所管設備的規(guī)范、制度；4)組織、領(lǐng)導安全有關(guān)的工作。2.中國醫(yī)藥集團公司網(wǎng)絡安全專家指導人員：1)在安全主管人員的領(lǐng)導下，從理論上、技術(shù)上，宏觀上指導中國醫(yī)藥集團網(wǎng)絡安全體系建設。2）發(fā)生重大安全事件時，協(xié)調(diào)各公司資源共同解決。3)定時分析研究全網(wǎng)的安全管理問題，并提出對應的改善方法、意見和方法3．中國醫(yī)藥集團公司安全協(xié)調(diào)組織具體職責：1)制訂安全管理制度，統(tǒng)一對網(wǎng)絡安全工作進行管理。2)協(xié)助指導并監(jiān)督各分支機構(gòu)的安全管理人員進行本網(wǎng)管理范疇內(nèi)的日常安全管理和安全制度的執(zhí)行。3)協(xié)助指導各分支機構(gòu)安全管理人員解決網(wǎng)絡中發(fā)生的重大安全事故，必要時派人到事故點解決。4)負責和監(jiān)督對各分支機構(gòu)安全管理人員的安全技術(shù)培訓工作。2.3.2中國醫(yī)藥集團公司安全響應中心職責1.中國醫(yī)藥集團公司安全主管人員：1)貫徹、貫徹中國醫(yī)藥集團公司有關(guān)網(wǎng)絡安全工作的方略、制度；2)研究決定骨干網(wǎng)設備安全工作的重大事項；3)制訂骨干網(wǎng)設備安全工作的實施細則；4)組織、領(lǐng)導各分支機構(gòu)網(wǎng)絡有關(guān)的安全工作2.安全響應中心安全管理人員：1)具體組織貫徹中國醫(yī)藥集團公司網(wǎng)絡安全工作主管人員的工作計劃；2)指導、監(jiān)督、協(xié)調(diào)、規(guī)范骨干網(wǎng)系統(tǒng)安全工作的開展；3)對骨干網(wǎng)的網(wǎng)絡運行和設備的安全實施監(jiān)控管理；4)管理和維護、解決骨干網(wǎng)的具體安全工作；3．安全響應中心具體職責：1)對骨干網(wǎng)的網(wǎng)絡運行和設備的安全實施監(jiān)控管理，實施日常安全管理和監(jiān)督安全管理制度的執(zhí)行；2)負責骨干網(wǎng)網(wǎng)絡設備和系統(tǒng)的安全評定和定時系統(tǒng)安全性增強。3)配合安全管理人員對骨干網(wǎng)有關(guān)安全事件解決；4)貫徹和執(zhí)行網(wǎng)絡安全管理方法及原則，并對骨干網(wǎng)的安全運行提出對應工作細則和操作規(guī)章制度，并組織實施；2.3.3各分支機構(gòu)安全組織職責1.各分支機構(gòu)網(wǎng)絡安全主管人員：1)貫徹、貫徹中國醫(yī)藥集團公司有關(guān)網(wǎng)絡安全工作的方略、制度；2)研究決定分支機構(gòu)網(wǎng)絡設備安全工作的重大事項；3)制訂分支機構(gòu)網(wǎng)絡設備安全工作的實施細則；4)組織、領(lǐng)導分支機構(gòu)網(wǎng)絡有關(guān)的安全工作。2.各分支機構(gòu)安全管理人員：1)具體執(zhí)行集團總公司網(wǎng)絡安全主管人員的工作計劃；2)指導、監(jiān)督、協(xié)調(diào)、規(guī)范分支機構(gòu)網(wǎng)絡安全工作的開展；3)管理、維護和解決分支機構(gòu)網(wǎng)絡的安全工作。3．分支機構(gòu)安全組織具體職責1)對分支機構(gòu)網(wǎng)絡設備的安全實施監(jiān)控管理，實施日常安全管理和監(jiān)督安全管理制度的執(zhí)行；2)負責本網(wǎng)網(wǎng)絡設備和系統(tǒng)的安全評定和定時系統(tǒng)安全性增強；3)定時分析研究全網(wǎng)的安全管理問題，并提出對應的改善方法、意見和方法；4)配合集團總公司安全管理人員對骨干網(wǎng)有關(guān)安全事件解決；5)解決本網(wǎng)絡中發(fā)生的重大安全事故，向中國醫(yī)藥集團公司安全工作小組上報安全事故狀況；6)貫徹和執(zhí)行集團總公司網(wǎng)絡安全管理方法及原則，提出分支機構(gòu)內(nèi)的對應工作細則和操作規(guī)章制度，并組織實施；7)負責和組織有關(guān)人員的安全技術(shù)培訓工作。2.4人員安全管理人員安全管理的重要內(nèi)容涉及：1.核心崗位人選：對核心崗位人員進行審查，確保含有較強業(yè)務技術(shù)能力，確?？尚趴煽?，勝任本職工作。2.人員考核：應定時組織對在中從事核心業(yè)務的人員進行全方面考核；對違規(guī)人員視情節(jié)輕重進行批評、教育、調(diào)離工作崗位。3.人員調(diào)離：核心崗位人員調(diào)離，應嚴格辦理調(diào)離手續(xù)。自人員調(diào)離決定告知之日起，應及時更換系統(tǒng)口令和機要鎖。4.人員培訓：應定時對有關(guān)安全工作人員進行安全知識和安全意識培訓。

第三章基本安全管理制度3.1入網(wǎng)安全管理制度入網(wǎng)安全管理制度內(nèi)容涉及：1.無關(guān)主機不得隨意入網(wǎng)，全部需要入網(wǎng)的主機必須通過審批同意后方能入網(wǎng)；2.全部入網(wǎng)的主機必須通過安全配備，打補丁、改密碼、病毒查殺等，確認滿足安全運行規(guī)定后方能上線；3.全部入網(wǎng)的主機必須實時進行攻擊檢測和定時的脆弱性檢查，如發(fā)現(xiàn)有安全威脅的主機一律強制下網(wǎng)；4.主機入網(wǎng)后，需上報上級安全主管人員，方便實時監(jiān)控和檢查；3.2操作安全管理制度1.明確安全職責：按照分工協(xié)作,互相制約的原則制訂各類系統(tǒng)操作人員職責。職責不允許交叉覆蓋；2.推行安全職責：各類人員必須按規(guī)定行事，不得從事超越自己職責以外的任何作業(yè)；3.崗位監(jiān)督：進行系統(tǒng)維護、復原、強行更改數(shù)據(jù)時，最少有兩名操作人員相互監(jiān)督操作，并進行具體的登記及簽名；4.稽核：安全管理人員有權(quán)對一線操作、管理人員進行監(jiān)督與核查；3.3機房與設施安全管理制度按照國家《計算機場地安全規(guī)定》、《計算站場地技術(shù)條件》等原則，對場地與設施進行安全等級劃分，制訂安全管理規(guī)定的技術(shù)方法和管理方法。重要內(nèi)容涉及：1)場地與設施的物理安全管理：●選擇安全的機房場地：●配備防火、防水、防靜電、防雷擊、防鼠害等機房安全設施；●機房裝修、供配電系統(tǒng)。空調(diào)系統(tǒng)、電磁波輻射控制等應滿足對應的技術(shù)原則。2)機房出入控制：對內(nèi)部人員和外部人員進出工作現(xiàn)場都做對應的限制和規(guī)定，并進行登記。3)電磁波的輻射控制與防護：避免計算機系統(tǒng)受工作環(huán)境中電磁波干擾，避免計算機電磁波輻射造成的信息泄露。4)媒體管理：對多種信息存儲媒休，按照所存儲信息的重要度分成不同的安全等級，嚴格保管，確保存儲信息的保密性、完整性和可用性。3.4設備安全使用管理制度設備安全使用管理制度涉及：1)設備使用管理涉及指定專人負責設備的使用、建立具體的運行日志、設備的維護和定時保養(yǎng)、設備故障解決等。2)設備維修管理涉及指定專人負責設備的維修，建立滿足正常運行的最低規(guī)定的易損件備件庫，統(tǒng)計設備維修對象、故障因素、排除辦法、重要維修過程及其它的有關(guān)狀況。3)設備倉儲管理指未被使用或修復后性能正常的多種設備的集中統(tǒng)一管理。3.5應用系統(tǒng)安全管理1）指定應用系統(tǒng)管理人員2）管理人員應有操作日志（如日志、變化統(tǒng)計、升級安裝過程等）3）有對應的應急恢復管理制度3.6媒體/技術(shù)文檔安全管理制度各級安全管理機構(gòu)應制訂技術(shù)文檔資料的管理制度，明確管理辦法與管理人員職責。媒體是指以光盤、軟盤、磁帶等形式寄存數(shù)據(jù)的載體。技術(shù)文檔是指有關(guān)數(shù)據(jù)以紙張形式寄存的實體。1.媒體安全涉及：涉及媒體數(shù)據(jù)的安全及媒體本身的安全。1)安全寄存管理：技術(shù)資料寄存的環(huán)境必須含有安全防護與保密設施，對重要的技術(shù)資料，應進行備份和異地寄存。2)媒體的管理：●媒體進行分類、編目、登記、歸檔；●需要運用媒體的人員必須通過申請、審批和登記，并對全部使的資料承當保管與保密義務；3)妥善解決失效的媒體：對報廢的媒體要有嚴格的銷毀和監(jiān)銷方法。2.技術(shù)文檔安全涉及：1)安全寄存管理：技術(shù)資料寄存的環(huán)境必須含有安全防護與保密設施，對重要的技術(shù)資料，應進行備份和異地寄存。2)技術(shù)資料的管理：●建立技術(shù)資料檔案室；●技術(shù)資料必須進行分類、編目、登記、歸檔；●需要運用技術(shù)資料的人員必須通過申請、審批和登記，并對全部使用的資料承當保管與保密義務。3)妥善解決失效的技術(shù)文檔資料：對報廢的技術(shù)資料要有嚴格的銷毀和監(jiān)銷方法。

第四章顧客權(quán)限管理顧客權(quán)限管理是網(wǎng)絡安全管理的一項重要內(nèi)容。本章對全網(wǎng)的顧客權(quán)限進行了劃分，并明確了顧客登陸管理和顧客口令管理的某些方法。4.1顧客權(quán)限全網(wǎng)中不同設備的權(quán)限配備和功效實現(xiàn)即使有所差別，但都應在確保安全的基礎(chǔ)上盡量提供顧客分級管理的功效。原則上顧客權(quán)限可分為系統(tǒng)管理級、操作配備級和監(jiān)控查看級等三個級別。1)系統(tǒng)管理級：擁有全部權(quán)限。2)操作配備級：含有修改配備權(quán)限，但不含有顧客管理權(quán)限。3)監(jiān)控查看級：含有查看系統(tǒng)配備文獻和設備運行狀態(tài)的權(quán)限。顧客權(quán)限的設立應遵照下列原則：1）特權(quán)分散原則：維護管理的重要操作權(quán)力分散給若干個程序、節(jié)點或顧客，必須由規(guī)定的若干個含有特權(quán)的程序、節(jié)點或顧客到齊后才干實現(xiàn)該操作。2）最小授權(quán)原則：僅將那些顧客進行操作時必需的權(quán)限分派給顧客，而不要為其分派無關(guān)的或更大的權(quán)限。4.2顧客登錄管理顧客通過統(tǒng)一的過程進行系統(tǒng)登錄。登錄過程應含有下列功效：1.原則上使用唯一的顧客識別符，以辨別每一種顧客的權(quán)限。只在特殊需要的狀況下使用組識別符。2.對顧客進行身份驗證，檢查顧客與否是被系統(tǒng)授權(quán)的正當顧客。3.提示顧客的訪問級別及權(quán)限。4.確保身份驗證結(jié)束前，顧客無法訪問系統(tǒng)。5.為全部顧客維護一份統(tǒng)一的統(tǒng)計。6.當顧客注銷后，應立刻刪除此顧客的全部權(quán)限。7.定時檢查、整頓顧客帳戶，對于過期的帳號要及時封閉，對于長久不用的帳號要定時檢查，必要時封閉。4.3顧客口令管理顧客的口令是顧客登錄系統(tǒng)的核心，為確?？诹畹陌踩裕瑢︻櫩涂诹畹墓芾響斪裾障铝邪踩瓌t：1.在進行網(wǎng)絡安全管理時，對所管設備中的各級管理口令和密碼，由系統(tǒng)管理員統(tǒng)一進行管理，注意保密；2.口令和密碼的設立符合保密規(guī)定，針對不同設備不同的管理權(quán)限設立不同的分級口令；3.選擇長的口令，普通不少于6個字符；口令涉及大小寫英文字母與數(shù)字的組合；不使用姓名的漢語拼音和常見的英文單詞；4.定時變化口令，3個月更換一次；對重要設備和系統(tǒng)可采用一次一密的動態(tài)密鑰卡等方式；5.顧客口令不能以明文顯示在顯示屏上；6.顧客口令與系統(tǒng)應用數(shù)據(jù)分開保存；7.采用有效方法，確保顧客口令的傳輸和存儲時安全，例如口令的加密傳輸和保存。

第五章運行安全本章描述在運行維護過程中應當采用的安全防備和安全管理的方略與方法。5.1網(wǎng)絡攻擊防備網(wǎng)絡攻擊防備用于避免對網(wǎng)絡的惡意攻擊，確保網(wǎng)絡的正常運行。對網(wǎng)絡的攻擊可能來自公司內(nèi)部、合作伙伴及其別人員等。網(wǎng)絡攻擊防備的重點保護對象是核心路由器、核心交換機、防火墻以及BI系統(tǒng)、BOA辦公系統(tǒng)、編碼系統(tǒng)、HR人力資源系統(tǒng)、門戶網(wǎng)站等重要服務器等。須防備的網(wǎng)絡攻擊涉及但不局限于：網(wǎng)絡系統(tǒng)和資源數(shù)據(jù)的非法管理和分派、破壞路由、網(wǎng)絡和系統(tǒng)的回絕服務攻擊DoS、病毒、木馬、緩沖區(qū)溢出、垃圾郵件等。中國醫(yī)藥集團總公司和各分支機構(gòu)應制訂網(wǎng)絡攻擊防備的方法和對策，內(nèi)容最少涉及網(wǎng)絡安全防護、安全漏洞檢測和安全事件響應等三個方面。各分支機構(gòu)制訂的具體安全方略應上報總公司審批和備案。網(wǎng)絡攻擊防備應注意下列幾個方面：1.使用國家主管部門承認的網(wǎng)絡攻擊防備產(chǎn)品。2.在網(wǎng)絡邊界以及重要網(wǎng)段處，架設防火墻，避免非授權(quán)信息的通過。3.在網(wǎng)絡邊界以及重要網(wǎng)段處，進行網(wǎng)絡實時入侵檢測。如果檢測到入侵行為，應立刻告知有關(guān)主管人員進行應急解決。4.在核心節(jié)點和網(wǎng)絡管理中心安裝網(wǎng)絡漏洞掃描器，對整個網(wǎng)絡進行安全掃描，方便發(fā)現(xiàn)和防止可能的破壞活動，發(fā)現(xiàn)漏洞應及時告知有關(guān)主管人員進行解決。5.對網(wǎng)絡中的路由器、核心主機等定時進行系統(tǒng)漏洞掃描，發(fā)現(xiàn)漏洞應及時告知有關(guān)主管人員進行解決。6.確保網(wǎng)絡中的網(wǎng)絡設備和服務器之間通信數(shù)據(jù)的可靠傳輸，避免傳輸信息的泄露、篡改和刪除等非法操作。7.網(wǎng)絡中的網(wǎng)絡設備和應用系統(tǒng)在正常運行階段，應關(guān)閉與業(yè)務無關(guān)的端口，避免非法訪問。8.不允許設備、軟件供應商成為超級顧客或埋下超級顧客。5.2病毒防備病毒防備工作應遵照下列原則：1.中國醫(yī)藥集團總公司和各分支機構(gòu)應分別制訂所管網(wǎng)絡的病毒防備規(guī)劃，安裝配備病毒防備系統(tǒng)。2.有關(guān)設備上嚴禁安裝、運行與業(yè)務無關(guān)的軟件，避免通過無關(guān)軟件和操作感染病毒。3.對有關(guān)設備定時進行病毒檢測，發(fā)現(xiàn)病毒立刻報告有關(guān)部門，進行應急解決。4.管理人員應采用安全可靠的方式及時進行病毒檢測軟件或病毒特性代碼庫的升級。5.全體員工應增強病毒防備意識，配合管理人員做好病毒防備工作。5.3訪問控制訪問控制的重要目的是避免未授權(quán)人員對網(wǎng)絡設備、服務器系統(tǒng)等資源的使用、修改或破壞，以確保網(wǎng)絡的安全。1.在內(nèi)外部網(wǎng)絡之間設立防火墻，實現(xiàn)內(nèi)部網(wǎng)絡的訪問控制；2.采用防火墻技術(shù)或虛擬LAN技術(shù)，實現(xiàn)內(nèi)部網(wǎng)不同安全域的隔離及訪問控制；3.建議有關(guān)設備含有分級顧客管理功效及嚴格的身份識別機制；4.全部網(wǎng)絡設備、服務器系統(tǒng)提供的服務必須含有訪問控制功效，確保認證通過前，不能提供服務；5.對網(wǎng)絡設備進行遠端配備和管理時，必須進行身份認證；6.采用有效手段確保網(wǎng)絡設備配備和管理數(shù)據(jù)的傳輸安全；7.網(wǎng)絡中使用的應用軟件應避免異常中斷后非法進入系統(tǒng)；8.有關(guān)設備提供超時鍵盤鎖定功效；9.對集成、調(diào)試、支持過程分派給合作伙伴的系統(tǒng)顧客身份，必須由系統(tǒng)主管部門登記、建立和授權(quán)，必須無二義地明確指定或變更所定義顧客的權(quán)限內(nèi)容、權(quán)限有效時間。工作人員調(diào)離崗位時，必須立刻取消該工作人員系統(tǒng)顧客的授權(quán)。必須具體統(tǒng)計顧客的定義、授權(quán)、變更。5.4行為審計行為審計將對有關(guān)設備的操作進行統(tǒng)計，避免對有關(guān)設備的非法使用。1.對路由器、主機、服務器、數(shù)據(jù)庫等的運行、維護、管理必須有審計方案和統(tǒng)計。2.應定時對審計統(tǒng)計進行審查和分析。3.有關(guān)設備、系統(tǒng)軟件或應用軟件都應含有并打開審計功效。4.對下列事件必須有審計統(tǒng)計：?網(wǎng)絡設備或服務啟動或關(guān)閉。?網(wǎng)絡設備或服務配備修改。?網(wǎng)絡連接方式變化。?登錄到網(wǎng)絡設備或服務器系統(tǒng)。?其它異常狀況。5.審計統(tǒng)計應包含下列信息：?顧客操作時的顧客識別符。?事件發(fā)生的日期和時間。?事件內(nèi)容或操作成果。6.網(wǎng)絡設備和服務器的審計統(tǒng)計應符合對應備份原則。7.審計統(tǒng)計不能被未授權(quán)顧客修改或刪除。8.及時進行審計統(tǒng)計的分析，發(fā)現(xiàn)異常狀況立刻報告有關(guān)主管人員。5.5異常流量監(jiān)控1.優(yōu)化網(wǎng)絡運行管理通過檢測分析帶寬使用狀況，合理分派帶寬資源；2.強化網(wǎng)絡行為管理根據(jù)多種應用業(yè)務的流量，制訂有關(guān)方略限制非主流業(yè)務，在峰值時段進行限速、阻斷；3.保障核心網(wǎng)絡應用保障核心應用（例如BI、BOA、編碼系統(tǒng)、HR人力資源系統(tǒng)、視頻會議等），限制非主流業(yè)務占用過多的帶寬，監(jiān)測、阻斷異常流量；4、實時監(jiān)控網(wǎng)絡運行識別阻斷網(wǎng)絡攻擊，根據(jù)并發(fā)連接個數(shù)能夠擬定并阻斷DOS攻擊等異常行為，保護網(wǎng)絡設備安全。流量監(jiān)控系統(tǒng)將提供流量可視化和異常流量的監(jiān)測機制，安全管理員能夠隨時掌握流量狀況，能夠通過流量報表統(tǒng)計并分析出整個網(wǎng)內(nèi)各機器流量的排名，為調(diào)節(jié)安全方略和QoS方略提供根據(jù)。同時通過觀察合同的流量分布，從而透視公司內(nèi)部網(wǎng)絡的運作狀況，對網(wǎng)絡流量做到一目了然。5.6操作安全維護管理過程中的有關(guān)操作應遵照：1.重要操作應由有關(guān)主管人員授權(quán)。2.必須嚴格按照設備和系統(tǒng)的操作規(guī)程進行日常操作。3.各級操作人員應僅在自己的權(quán)限范疇內(nèi)進行操作，不得非法拷貝、增加、修改或刪除數(shù)據(jù)。4.各級操作人員不得進行任何越權(quán)操作的嘗試。5.各級操作人員必須嚴格保管自己的身份識別數(shù)據(jù)（如顧客卡、口令等），不得將其泄漏給別人。6.各級操作人員必須如實統(tǒng)計操作日志。5.7IP地址管理制度IP地址是組織內(nèi)的有限資源，同時也是顧客認證的一種慣用手段，任何人不得隨意增加、更改IP地址。管理者需要規(guī)劃與建立明確的顧客IP地址數(shù)據(jù)庫，并對其實施保密性解決。對IP地址的分派管理實施中國醫(yī)藥集團總公司和各分支機構(gòu)分級、分工的原則。中國醫(yī)藥集團公司信息中心職責：1．負責全網(wǎng)IP地址管理政策和管理方法；2．負責全網(wǎng)骨干網(wǎng)IP地址的規(guī)劃、分派及管理工作；3．負責審核各分支機構(gòu)提出的網(wǎng)絡規(guī)劃和需求的IP地址申請；4．負責IP地址信息備案管理工作；5.8防火墻管理制度1．合理規(guī)劃防火墻系統(tǒng)訪問的權(quán)限；2．如果需要變化防火墻的配備狀況，需要由操作人員向信息中心提出申請，并經(jīng)安全主管人員同意后，才能夠進行更改操作；同時操作人員需做好配備管理統(tǒng)計表；3．定時檢查防火墻配備狀況；4．如果需要開放應用系統(tǒng)端口，則必須由申請單位向主管部門進行申請，并填寫防火墻應用系統(tǒng)端口開放申請表。

第六章安全事件的解決本章將描述安全事件的定義，事件分類級別及解決流程。6.1安全事件的定義安全事件是指的計算機或網(wǎng)絡設備系統(tǒng)的硬件、軟件、數(shù)據(jù)因偶然的或惡意的因素而遭到破壞、更改、泄漏或者系統(tǒng)不能持續(xù)正常運行。如發(fā)生下列狀況，可能定義為安全事件：1)非授權(quán)訪問，通過入侵的方式進入到未被授權(quán)訪問的網(wǎng)絡中，而造成數(shù)據(jù)信息泄漏；2)信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改而造成信息的更改；3)回絕服務，正常顧客不能正常訪問服務器提供的有關(guān)服務；4)系統(tǒng)性能嚴重下降，有不明的進程運行并占用大量的CPU解決時間；5)網(wǎng)絡性能嚴重下降，顧客反映無法正常使用服務；6)在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者；7)發(fā)現(xiàn)系統(tǒng)感染計算機病毒；8)發(fā)現(xiàn)有人在不停強行嘗試登錄系統(tǒng)9)系統(tǒng)中出現(xiàn)不明的新顧客賬號10)管理員收到來自其它站點系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅11)文獻的訪問權(quán)限被修改6.2安全事件的分類安全事件重要分為兩大類：物理安全事件的和邏輯安全事件。6.2.1物理安全事件重要指的計算機設備、設施（含網(wǎng)絡）以及其它媒體遭到地震、水災、火災、有害氣體、雷擊和靜電的危害。6.2.2邏輯安全事件重要指在網(wǎng)絡系統(tǒng)運行中，發(fā)現(xiàn)或發(fā)生的，違反系統(tǒng)或網(wǎng)絡正常運行所體現(xiàn)出的跡象，嚴重時可造成網(wǎng)絡系統(tǒng)無法正常運行。根據(jù)事件危害程度，重要分為：1.嚴重安全事件下列事件定義為嚴重安全事件：1)網(wǎng)絡通信物理或邏輯中斷造成事故。2)系統(tǒng)重要業(yè)務運行停止造成事故。3)系統(tǒng)重要業(yè)務數(shù)據(jù)損壞。4)系統(tǒng)遭受入侵，機密數(shù)據(jù)外泄。2.中度安全事件下列事件定義為中度安全事件：1)網(wǎng)絡通信物理或邏輯中斷造成嚴重故障。2)系統(tǒng)重要業(yè)務運行停止造成嚴重故障。3)系統(tǒng)部分重要業(yè)務數(shù)據(jù)損壞。4)系統(tǒng)遭受入侵，部分機密資料外泄。3.輕度安全事件下列事件定義為輕度安全事件：1)網(wǎng)絡通信或系統(tǒng)業(yè)務運行中出現(xiàn)的普通故障。2)系統(tǒng)部分業(yè)務數(shù)據(jù)損壞，但不嚴重影響業(yè)務開展。3)系統(tǒng)遭受入侵或嘗試性入侵，但未產(chǎn)生不良后果。4)核心數(shù)據(jù)丟失。6.3安全事件的解決和流程6.3.1安全事件的解決中國醫(yī)藥集團總公司和各分支機構(gòu)有關(guān)安全人員應24小時處在待命狀態(tài)，一旦網(wǎng)絡系統(tǒng)遭受入侵，引發(fā)嚴重安全事件，將在第一時間內(nèi)盡量地、實時地阻斷、反擊入侵行為，恢復網(wǎng)絡系統(tǒng)的完整性和可用性，徹底去除入侵行為對系統(tǒng)造成的影響，同時修補存在的安全漏洞。安全審計系統(tǒng)對入侵活動的全過程進行調(diào)查取證，獲取入侵行為的有關(guān)證據(jù)，為公安機關(guān)的介入提供技術(shù)根據(jù)。1)嚴重安全事件解決方案：●啟動備份物理線路，確保通信恢復正常；●執(zhí)行業(yè)務系統(tǒng)恢復程序，啟動備份重要業(yè)務數(shù)據(jù)，確保業(yè)務系統(tǒng)恢復正常；●對業(yè)務重要系統(tǒng)實施警戒狀態(tài)的訪問控制授權(quán)機制；●追查事件因素，并盡量挽救系統(tǒng)損失；2)中度安全事件解決方案：●啟動備份核心設備，確保通信線路正常運行；●執(zhí)行業(yè)務系統(tǒng)恢復程序，啟動備份業(yè)務數(shù)據(jù)，確保業(yè)務系統(tǒng)恢復正常；●對業(yè)務重要系統(tǒng)實施強化訪問控制授權(quán)機