教育信息安全檢查實(shí)施方案_第1頁(yè)
教育信息安全檢查實(shí)施方案_第2頁(yè)
教育信息安全檢查實(shí)施方案_第3頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余15頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、附件2國(guó)家信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)自查模板安全管理機(jī)構(gòu)1自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1崗位設(shè)置a)應(yīng)設(shè)立安全主管、安全管 理各個(gè)方面的負(fù)責(zé)人崗位, 并定義各負(fù)責(zé)人的職責(zé);b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò) 管理員、安全管理員等崗位, 并定義各個(gè)工作崗位的職 責(zé);2人員配備a)應(yīng)配備一疋數(shù)量的系統(tǒng)管 理員、網(wǎng)絡(luò)管理員、安全管 理員等;b)安全管理員不能兼任網(wǎng)絡(luò) 管理員、系統(tǒng)管理員、數(shù)據(jù) 庫(kù)管理員等。3授權(quán)和審批a)應(yīng)根據(jù)各個(gè)部門(mén)和崗位的 職責(zé)明確授權(quán)審批部門(mén)及批 準(zhǔn)人,對(duì)系統(tǒng)投入運(yùn)行、網(wǎng) 絡(luò)系統(tǒng)接入和重要資源的訪(fǎng) 問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批;b)應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批 流程,并由批準(zhǔn)人簽

2、字確認(rèn)。4溝通和合作a)應(yīng)加強(qiáng)各類(lèi)管理人員之 間、組織內(nèi)部機(jī)構(gòu)之間以及 信息安全職能部門(mén)內(nèi)部的合 作與溝通;b)應(yīng)加強(qiáng)與兄弟單位、公安 機(jī)關(guān)、電信公司的合作與溝 通。5審核和檢查a)安全管理員應(yīng)負(fù)責(zé)定期進(jìn) 行安全檢查,檢查內(nèi)容包括 系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和 數(shù)據(jù)備份等情況。安全管理制度2自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1管理制度a)應(yīng)制定信息安全工作的總 體方針和安全策略,說(shuō)明機(jī) 構(gòu)安全工作的總體目標(biāo)、范 圍、原則和安全框架等;b)應(yīng)對(duì)安全管理活動(dòng)中重要 的管理內(nèi)容建立安全管理制 度;c)應(yīng)對(duì)安全管理人員或操作 人員執(zhí)行的重要管理操作建 立操作規(guī)程。2制定和發(fā)布a)應(yīng)指定或授

3、權(quán)專(zhuān)門(mén)的部門(mén) 或人員負(fù)責(zé)安全管理制度的 制定;b)應(yīng)組織相關(guān)人員對(duì)制定的 安全管理制度進(jìn)行論證和審疋;c)應(yīng)將安全管理制度以某種 方式發(fā)布到相關(guān)人員手中。3評(píng)審和修訂a)應(yīng)定期對(duì)安全管理制度進(jìn) 行評(píng)審,對(duì)存在不足或需要 改進(jìn)的安全管理制度進(jìn)行修 訂。人員安全管理3自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1人員錄 用a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部 門(mén)或人員負(fù)責(zé)人員錄用;b)應(yīng)規(guī)氾人員錄用過(guò)程,對(duì) 被錄用人員的身份、背景和 專(zhuān)業(yè)資格等進(jìn)行審查,對(duì)其 所具有的技術(shù)技能進(jìn)行考 核;c)應(yīng)與從事關(guān)鍵崗位的人 員簽署保密協(xié)議。2人員離崗a)應(yīng)規(guī)范人員離崗過(guò)程,及 時(shí)終止離崗員工的所有訪(fǎng)問(wèn)權(quán)限;b)應(yīng)取

4、回各種身份證件、 鑰 匙、徽章等以及機(jī)構(gòu)提供的 軟硬件設(shè)備;c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。3人員考核a)應(yīng)定期對(duì)各個(gè)崗位的人 員進(jìn)行安全技能及安全認(rèn) 知的考核。4安全意 識(shí)教育 和培訓(xùn)a)應(yīng)對(duì)各類(lèi)人員進(jìn)行安全 意識(shí)教育、崗位技能培訓(xùn)和 相關(guān)安全技術(shù)培訓(xùn);b)應(yīng)告知人員相關(guān)的安全 責(zé)任和懲戒措施,并對(duì)違反 違背安全策略和規(guī)定的人 員進(jìn)行懲戒;c)應(yīng)制定安全教育和培訓(xùn) 計(jì)劃,對(duì)信息安全基礎(chǔ)知 識(shí)、岡位操作規(guī)程等進(jìn)仃培 訓(xùn)。5外部人 員訪(fǎng)問(wèn) 管理a)應(yīng)確保在外部人員訪(fǎng)問(wèn) 受控區(qū)域前得到授權(quán)或?qū)?批,批準(zhǔn)后由專(zhuān)人全程陪同 或監(jiān)督,并登記備案。數(shù)據(jù)安全及備份恢復(fù)4自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否

5、不適用1數(shù)據(jù)完整性a)應(yīng)能夠檢測(cè)到鑒別信息 和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò) 程中完整性受到破壞。2數(shù)據(jù)保密性a)應(yīng)米用加密或其他保護(hù) 措施實(shí)現(xiàn)鑒別信息的存儲(chǔ) 保密性。a)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行 備份和恢復(fù);3備份和恢復(fù)b)應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通 信線(xiàn)路和數(shù)據(jù)處理系統(tǒng)的 硬件冗余,保證系統(tǒng)的可用 性;網(wǎng)絡(luò)安全5自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否一不適用1結(jié)構(gòu)安全a)應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè) 務(wù)處理能力具備冗余空間, 滿(mǎn)足業(yè)務(wù)高峰期需要;b)應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng) 絡(luò)的帶寬滿(mǎn)足業(yè)務(wù)高峰期需 要;C)應(yīng)繪制與當(dāng)前運(yùn)行情況相 符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;d)應(yīng)根據(jù)各部門(mén)的工作職 能、重要性和所涉及信息的 重要程

6、度等因素,劃分不冋 的子網(wǎng)或網(wǎng)段,并按照方便 管理和控制的原則為各子 網(wǎng)、網(wǎng)段分配地址段;2訪(fǎng)問(wèn)控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪(fǎng)冋控 制設(shè)備,啟用訪(fǎng)問(wèn)控制功能;b)應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為 數(shù)據(jù)流提供明確的允許/拒 絕訪(fǎng)問(wèn)的能力,控制粒度為 網(wǎng)段級(jí);C)應(yīng)按用戶(hù)和系統(tǒng)之間的允 許訪(fǎng)問(wèn)規(guī)則,決定允許或拒 絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源 訪(fǎng)問(wèn),控制粒度為單個(gè)用戶(hù);d)應(yīng)限制具有撥號(hào)訪(fǎng)問(wèn)權(quán)限 的用戶(hù)數(shù)量。3安全審計(jì)a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè) 備運(yùn)行狀況、網(wǎng)絡(luò)流量、用 戶(hù)行為等進(jìn)行日志記錄;b)審計(jì)記錄應(yīng)包括:事件的 日期和時(shí)間、用戶(hù)、事件類(lèi) 型、事件是否成功及其他與 審計(jì)相關(guān)的信息;4邊界完 整性檢 查a)應(yīng)能夠

7、對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn) 的內(nèi)部用戶(hù)未通過(guò)準(zhǔn)許私自 聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢 查。5入侵防 范a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下 攻擊行為:端口掃描、強(qiáng)力 攻擊、木馬后門(mén)攻擊、拒絕 服務(wù)攻擊、緩沖區(qū)溢出攻擊、 IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊 等;6網(wǎng)絡(luò)設(shè) 備防護(hù)a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù) 進(jìn)行身份鑒別;b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登 錄地址進(jìn)行限制;c)網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)應(yīng)唯;d)身份鑒別信息應(yīng)具有不易 被冒用的特點(diǎn),口令應(yīng)有復(fù) 雜度要求并定期更換;e)應(yīng)具有登錄失敗處理功 能,可采取結(jié)束會(huì)話(huà)、限制 非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄 連接超時(shí)自動(dòng)退出等措施;f)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管 理時(shí),應(yīng)采取必要措施防止 鑒別信息在網(wǎng)絡(luò)

8、傳輸過(guò)程中 被竊聽(tīng);物理安全6自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1物理位 置的選 擇a)機(jī)房和辦公場(chǎng)地應(yīng)選擇 在具有防震、防風(fēng)和防雨等 能力的建筑內(nèi)。2物理訪(fǎng) 問(wèn)控制a)機(jī)房出入口應(yīng)安排專(zhuān)人 值守,控制、鑒別和記錄進(jìn) 入的人員;b)需進(jìn)入機(jī)房的來(lái)訪(fǎng)人員 應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程, 并 限制和監(jiān)控其活動(dòng)范圍;3防盜竊 和防破 壞a)應(yīng)將主要設(shè)備放置在機(jī) 房?jī)?nèi);b)應(yīng)將設(shè)備或主要部件進(jìn) 行固定,并設(shè)置明顯的不易 除去的標(biāo)記;c)應(yīng)將通信線(xiàn)纜鋪設(shè)在隱 敝處,可鋪設(shè)在地下或管道 中;d)應(yīng)對(duì)介質(zhì)分類(lèi)標(biāo)識(shí),存儲(chǔ) 在介質(zhì)庫(kù)或檔案至中;e)主機(jī)房應(yīng)安裝必要的防 盜報(bào)警設(shè)施;4防雷擊a)機(jī)房建筑應(yīng)

9、設(shè)置避雷裝 置;b)機(jī)房應(yīng)設(shè)置交流電源地 線(xiàn)。5防火a)機(jī)房應(yīng)設(shè)置火火設(shè)備和 火災(zāi)自動(dòng)報(bào)警系統(tǒng);6防水和防潮a)水管安裝,不得穿過(guò)機(jī)房 屋頂和活動(dòng)地板下;b)應(yīng)采取措施防止雨水通 過(guò)機(jī)房窗戶(hù)、屋頂和墻壁滲 透;c)應(yīng)采取措施防止機(jī)房?jī)?nèi) 水蒸氣結(jié)露和地下積水的 轉(zhuǎn)移與滲透;7防靜電a)關(guān)鍵設(shè)備應(yīng)采用必要的 接地防靜電措施。8溫濕度控制a)機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng) 調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度 的變化在設(shè)備運(yùn)行所允許 的范圍之內(nèi)。9電力供應(yīng)a)應(yīng)在機(jī)房供電線(xiàn)路上配 置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè) 備;b)應(yīng)提供短期的備用電力 供應(yīng),至少滿(mǎn)足關(guān)鍵設(shè)備在 斷電情況下的正常運(yùn)行要 求。10電磁防護(hù)a)電源線(xiàn)和通信線(xiàn)纜

10、應(yīng)隔 離鋪設(shè),避免互相干擾。系統(tǒng)建設(shè)管理7自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1系統(tǒng)定級(jí)a)應(yīng)明確信息系統(tǒng)的邊界和 安全保護(hù)等級(jí);b)應(yīng)以書(shū)面的形式說(shuō)明信息 系統(tǒng)確定為某個(gè)安全保護(hù)等 級(jí)的方法和理由;c)應(yīng)確保信息系統(tǒng)的定級(jí)結(jié) 果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。2安全方案設(shè)計(jì)a)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等 級(jí)選擇基本安全措施,依據(jù) 風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整 安全措施;b)應(yīng)以書(shū)面形式描述對(duì)系統(tǒng) 的安全保護(hù)要求、策略和措 施等內(nèi)容,形成系統(tǒng)的安全 萬(wàn)案;c)應(yīng)對(duì)安全方案進(jìn)行細(xì)化, 形成能指導(dǎo)安全系統(tǒng)建設(shè)、 安全產(chǎn)品采購(gòu)和使用的詳細(xì) 設(shè)計(jì)方案;d)應(yīng)組織相關(guān)部門(mén)和有關(guān)安 全技術(shù)專(zhuān)家對(duì)安全設(shè)計(jì)方案 的

11、合理性和正確性進(jìn)行論證 和審定,并且經(jīng)過(guò)批準(zhǔn)后, 才能正式實(shí)施。3產(chǎn)品采 購(gòu)和使 用a)應(yīng)確保安全產(chǎn)品采購(gòu)和使 用符合國(guó)家的有關(guān)規(guī)定;b)應(yīng)確保密碼產(chǎn)品采購(gòu)和使 用符合國(guó)家密碼主管部門(mén)的 要求;C)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén) 負(fù)責(zé)產(chǎn)品的采購(gòu)。4自行軟 件開(kāi)發(fā)a)應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn) 行環(huán)境物理分開(kāi);b)應(yīng)制定軟件開(kāi)發(fā)管理制 度,明確說(shuō)明開(kāi)發(fā)過(guò)程的控 制方法和人員行為準(zhǔn)則;c)應(yīng)確保提供軟件設(shè)計(jì)的相 關(guān)文檔和使用指南,并由專(zhuān) 人負(fù)責(zé)保管。5外包軟件開(kāi)發(fā)a)應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件 質(zhì)量;b)應(yīng)確保提供軟件設(shè)計(jì)的相 關(guān)文檔和使用指南;C)應(yīng)在軟件安裝之前檢測(cè)軟 件包中可能存在的惡意代 碼;d)應(yīng)要求開(kāi)

12、發(fā)單位提供軟件 源代碼,并審查軟件中可能 存在的后門(mén)。6工程實(shí) 施a)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén) 或人員負(fù)責(zé)工程實(shí)施過(guò)程的 管理;b)應(yīng)制定詳細(xì)的工程實(shí)施方 案,控制工程實(shí)施過(guò)程。7測(cè)試驗(yàn) 收a)應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試 驗(yàn)收;b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì) 方案或合冋要求等制訂測(cè)試 驗(yàn)收方案,在測(cè)試驗(yàn)收過(guò)程 中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié) 果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;C)應(yīng)組織相關(guān)部門(mén)和相關(guān)人 員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行 審定,并簽字確認(rèn)。8系統(tǒng)交付a)應(yīng)制定系統(tǒng)父付清單,并 根據(jù)交付清單對(duì)所交接的設(shè) 備、軟件和文檔等進(jìn)行清點(diǎn);b)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的 技術(shù)人員進(jìn)行相應(yīng)的技能培 訓(xùn);c)應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程 中

13、的文檔和指導(dǎo)用戶(hù)進(jìn)行系 統(tǒng)運(yùn)行維護(hù)的文檔。9安全服 務(wù)商選 擇a)應(yīng)確保安全服務(wù)商的選擇 符合國(guó)家的有關(guān)規(guī)定;b)應(yīng)與選定的安全服務(wù)商簽 訂與安全相關(guān)的協(xié)議,明確 約定相關(guān)責(zé)任;c)應(yīng)確保選定的安全服務(wù)商 提供技術(shù)支持和服務(wù)承諾, 必要的與其簽訂服務(wù)合同。系統(tǒng)運(yùn)維管理8自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1環(huán)境管理a)應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員 定期對(duì)機(jī)房供配電、空調(diào)、 溫濕度控制等設(shè)施進(jìn)行維護(hù) 管理;b)應(yīng)配備機(jī)房安全管理人 員,對(duì)機(jī)房的出入、服務(wù)器 的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管 理;c)應(yīng)建立機(jī)房安全管理制 度,對(duì)有關(guān)機(jī)房物理訪(fǎng)問(wèn), 物品帶進(jìn)、帶出機(jī)房和機(jī)房 環(huán)境安全等方面的管理作出

14、 規(guī)定;d)應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密 性管理,包括工作人員調(diào)離 辦公室應(yīng)立即交還該辦公室 鑰匙和不在辦公區(qū)接待來(lái)訪(fǎng) 人員等。2資產(chǎn)管理a)應(yīng)編制與信息系統(tǒng)相關(guān)的 資產(chǎn)清單,包括資產(chǎn)責(zé)任部 門(mén)、重要程度和所處位置等 內(nèi)容;b)應(yīng)建立資產(chǎn)安全管理制 度,規(guī)定信息系統(tǒng)資產(chǎn)管理 的責(zé)任人員或責(zé)任部門(mén),并 規(guī)范資產(chǎn)管理和使用的行 為。3介質(zhì)管理a)應(yīng)確保介質(zhì)存放在安全的 環(huán)境中,對(duì)各類(lèi)介質(zhì)進(jìn)行控 制和保護(hù),并實(shí)行存儲(chǔ)環(huán)境 專(zhuān)人管理;b)應(yīng)對(duì)介質(zhì)歸檔和查詢(xún)等過(guò) 程進(jìn)行記錄,并根據(jù)存檔介 質(zhì)的目錄清單定期盤(pán)點(diǎn);c)應(yīng)對(duì)需要送出維修或銷(xiāo)毀 的介質(zhì),首先清除其中的敏 感數(shù)據(jù),防止信息的非法泄 漏;d)應(yīng)根據(jù)所承載

15、數(shù)據(jù)和軟件 的重要程度對(duì)介質(zhì)進(jìn)行分類(lèi) 和標(biāo)識(shí)管理。4設(shè)備管 理a)應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種 設(shè)備(包括備份和冗余設(shè) 備)、線(xiàn)路等指定專(zhuān)門(mén)的部門(mén) 或人員定期進(jìn)行維護(hù)管理;b)應(yīng)建立基于申報(bào)、審批和 專(zhuān)人負(fù)責(zé)的設(shè)備安全管理制 度,對(duì)信息系統(tǒng)的各種軟硬 件設(shè)備的選型、采購(gòu)、發(fā)放 和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管 理;C)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、 便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備 的操作和使用進(jìn)行規(guī)范化管 理,按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè) 備(包括備份和冗余設(shè)備) 的啟動(dòng)/停止、加電/斷電等 操作;d)應(yīng)確保信息處理設(shè)備必須 經(jīng)過(guò)審批才能帶離機(jī)房或辦 公地點(diǎn)。5網(wǎng)絡(luò)安 全管理a)應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管 理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)

16、 控記錄的日常維護(hù)和報(bào)警信 息分析和處理工作;b)應(yīng)建立網(wǎng)絡(luò)安全管理制 度,對(duì)網(wǎng)絡(luò)安全配置、日志 保存時(shí)間、安全策略、升級(jí) 與打補(bǔ)丁、口令更新周期等 方面作出規(guī)定;c)應(yīng)根據(jù)廠(chǎng)家提供的軟件升 級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更 新,并在更新前對(duì)現(xiàn)有的重 要文件進(jìn)行備份;d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏 洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng) 安全漏洞進(jìn)行及時(shí)的修補(bǔ);e)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件 進(jìn)行定期備份;f)應(yīng)保證所有與外部系統(tǒng)的 連接均得到授權(quán)和批準(zhǔn)。6系統(tǒng)安 全管理a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安 全分析確定系統(tǒng)的訪(fǎng)問(wèn)控制 策略;b)應(yīng)定期進(jìn)行漏洞掃描,對(duì) 發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn) 行修補(bǔ);C)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程 序,在

17、安裝系統(tǒng)補(bǔ)丁前,應(yīng) 首先在測(cè)試環(huán)境中測(cè)試通 過(guò),并對(duì)重要文件進(jìn)行備份 后,方可實(shí)施系統(tǒng)補(bǔ)丁程序 的安裝;d)應(yīng)建立系統(tǒng)安全管理制 度,對(duì)系統(tǒng)安全策略、安全 配置、日志管理和日常操作 流程等方面作出規(guī)疋;e)應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn) 行維護(hù),詳細(xì)記錄操作日志, 包括重要的日常操作、運(yùn)行 維護(hù)記錄、參數(shù)的設(shè)置和修 改等內(nèi)容,嚴(yán)禁進(jìn)行未經(jīng)授 權(quán)的操作;f)應(yīng)定期對(duì)運(yùn)行日志和審計(jì) 數(shù)據(jù)進(jìn)行分析,以便及時(shí)發(fā) 現(xiàn)異常行為。7惡意代 碼防范 管理a)應(yīng)提高所有用戶(hù)的防病毒 意識(shí),告知及時(shí)升級(jí)防病毒 軟件,在讀取移動(dòng)存儲(chǔ)設(shè)備 上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文 件或郵件之前,先進(jìn)行病毒 檢查,對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ) 設(shè)備接入

18、網(wǎng)絡(luò)系統(tǒng)之前也應(yīng) 進(jìn)行病毒檢查;b)應(yīng)指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī) 進(jìn)行惡意代碼檢測(cè)并保存檢 測(cè)記錄;c)應(yīng)對(duì)防惡意代碼軟件的授 權(quán)使用、惡意代碼庫(kù)升級(jí)、 定期匯報(bào)等作出明確規(guī)定。8密碼管理a)應(yīng)使用符合國(guó)家密碼管理 規(guī)疋的密碼技術(shù)和產(chǎn)品。9變更管 理a)應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重 要變更,并制定相應(yīng)的變更 萬(wàn)案;b)系統(tǒng)發(fā)生重要變更前,應(yīng) 向主管領(lǐng)導(dǎo)申請(qǐng),審批后方 可實(shí)施變更,并在實(shí)施后向 相關(guān)人員通告。10備份與 恢復(fù)管 理a)應(yīng)識(shí)別需要定期備份的重 要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟 件系統(tǒng)等;b)應(yīng)規(guī)定備份信息的備份方 式、備份頻度、存儲(chǔ)介質(zhì)、 保存期等;c)應(yīng)根據(jù)數(shù)據(jù)的重要性及其 對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)

19、 據(jù)的備份策略和恢復(fù)策略, 備份策略指明備份數(shù)據(jù)的放 置場(chǎng)所、文件命名規(guī)則、介 質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸 方法。11安全事件處置a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn) 和可疑事件,但任何情況下 用戶(hù)均不應(yīng)嘗試驗(yàn)證弱點(diǎn);b)應(yīng)制定安全事件報(bào)告和處 置管理制度,明確安全事件 類(lèi)型,規(guī)定安全事件的現(xiàn)場(chǎng) 處理、事件報(bào)告和后期恢復(fù) 的管理職責(zé);c)應(yīng)根據(jù)國(guó)家相關(guān)管理部門(mén) 對(duì)計(jì)算機(jī)安全事件等級(jí)劃分 方法和安全事件對(duì)本系統(tǒng)產(chǎn) 生的影響,對(duì)本系統(tǒng)計(jì)算機(jī) 安全事件進(jìn)行等級(jí)劃分;d)應(yīng)記錄并保存所有報(bào)告的 安全弱點(diǎn)和可疑事件,分析 事件原因,監(jiān)督事態(tài)發(fā)展, 采取措施避免安全事件發(fā) 生。12應(yīng)急預(yù)-rrn 案官理a)應(yīng)在統(tǒng)一的

20、應(yīng)急預(yù)案框架 下制定不同事件的應(yīng)急預(yù) 案,應(yīng)急預(yù)案框架應(yīng)包括啟 動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處 理流程、系統(tǒng)恢復(fù)流程、事 后教育和培訓(xùn)等內(nèi)容;b)應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行 應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的 培訓(xùn)應(yīng)至少每年舉辦一次。應(yīng)用安全9自查項(xiàng)目序 號(hào)控制點(diǎn)基本要求自查結(jié)果備注是否不適用1身份鑒別a)應(yīng)提供專(zhuān)用的登錄控制 模塊對(duì)登錄用戶(hù)進(jìn)行身份 標(biāo)識(shí)和鑒別;b)應(yīng)提供用戶(hù)身份標(biāo)識(shí)唯 一和鑒別信息復(fù)雜度檢查 功能,保證應(yīng)用系統(tǒng)中不存 在重復(fù)用戶(hù)身份標(biāo)識(shí),身份 鑒別信息不易被冒用;c)應(yīng)提供登錄失敗處理功 能,可采取結(jié)束會(huì)話(huà)、限制 非法登錄次數(shù)和自動(dòng)退出 等措施;d)應(yīng)啟用身份鑒別、用戶(hù)身 份標(biāo)識(shí)唯一性檢查、用

21、戶(hù)身 份鑒別信息復(fù)雜度檢查以 及登錄失敗處理功能,并根 據(jù)安全策略配置相關(guān)參數(shù)。2訪(fǎng)問(wèn)控制a)應(yīng)提供訪(fǎng)問(wèn)控制功能,依 據(jù)安全策略控制用戶(hù)對(duì)文 件、數(shù)據(jù)庫(kù)表等客體的訪(fǎng) 問(wèn);b)訪(fǎng)冋控制的覆蓋范圍應(yīng) 包括與資源訪(fǎng)問(wèn)相關(guān)的主 體、客體及它們之間的操 作;c)應(yīng)由授權(quán)主體配置訪(fǎng)問(wèn) 控制策略,并嚴(yán)格限制默認(rèn) 帳戶(hù)的訪(fǎng)問(wèn)權(quán)限;d)應(yīng)授予不冋帳戶(hù)為完成 各自承擔(dān)任務(wù)所需的最小 權(quán)限,并在它們之間形成相 互制約的關(guān)系。3安全審計(jì)a)應(yīng)提供覆蓋到每個(gè)用戶(hù) 的安全審計(jì)功能,對(duì)應(yīng)用系 統(tǒng)重要安全事件進(jìn)行審計(jì);b)應(yīng)保證無(wú)法刪除、修改或 覆蓋審計(jì)記錄;C)審計(jì)記錄的內(nèi)容至少應(yīng) 包括事件日期、時(shí)間、發(fā)起 者信息、類(lèi)型、

22、描述和結(jié)果 等。4通信完整性a)應(yīng)米用校驗(yàn)碼技術(shù)保證 通信過(guò)程中數(shù)據(jù)的完整性。5通信保密性a)在通信雙方建立連接之 前,應(yīng)用系統(tǒng)應(yīng)利用密碼技 術(shù)進(jìn)行會(huì)話(huà)初始化驗(yàn)證;b)應(yīng)對(duì)通信過(guò)程中的敏感 信息字段進(jìn)行加密。6軟件容 錯(cuò)a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn) 功能,保證通過(guò)人機(jī)接口輸 入或通過(guò)通信接口輸入的 數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng) 設(shè)定要求;b)在故障發(fā)生時(shí),應(yīng)用系統(tǒng) 應(yīng)能夠繼續(xù)提供一部分功 能,確保能夠?qū)嵤┍匾拇?施。7資源控制a)當(dāng)應(yīng)用系統(tǒng)的通信雙方 中的一方在一段時(shí)間內(nèi)未 作任何響應(yīng),另一方應(yīng)能夠 自動(dòng)結(jié)束會(huì)話(huà);b)應(yīng)能夠?qū)?yīng)用系統(tǒng)的最 大并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限 制;C)應(yīng)能夠?qū)蝹€(gè)帳戶(hù)的多 重并發(fā)會(huì)話(huà)進(jìn)行限制。主機(jī)安全10自查項(xiàng)目

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論