在线数据处理与交易处理业务网络与信息安全保障措施.docx
《在线数据处理与交易处理业务网络与信息安全保障措施.docx》由会员分享,可在线阅读,更多相关《在线数据处理与交易处理业务网络与信息安全保障措施.docx(20页珍藏版)》请在冰点文库上搜索。
在线数据处理与交易处理业务网络与信息安全保障措施
信息安全负责人
联系电话(手机)
网络与信息安全保障措施
信息
安全
管理组织机构设置及工作职责
一. 组织机构设置
1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。
职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
1.3信息安全领导小组下设两个工作组:
信息安全工作组、应急处理工作组。
组长均由公司负责人担任。
1.4信息安全工作组的主要职责包括:
1.4.1贯彻执行公司信息安全领导小组的决议,
协调和规范公司信息安全工作;
1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
1.5应急处理工作组的主要职责包括:
1.5.1审定公司网络与信息系统的安全应急策略及应急预案;
1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
1. 5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
1.6公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
二. 关键岗位及职责
2. 1设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。
要
害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
网络与信息安全保障措施
2.2系统管理员主要职责有:
2.2.1负责系统的运行管理,实施系统安全运行细则;
2.2.2严格用户权限管理,维护系统安全正常运行;
2.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件;
2.2.4对进行系统操作的其他人员予以安全监督。
2.3网络管理员主要职责有:
2.3.1负责网络的运行管理,实施网络安全策略和安全运行细则;
2.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
2.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
2.3.4对操作网络管理功能的其他人员进行安全监督。
2.4应用开发管理员主要职责有:
2.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
2.4.2系统投产运行前,完整移交系统相关的安全策略等资料;
2.4.3不得对系统设置“后门";
2.4.4对系统核心技术保密等。
2.5安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:
2.5.1按操作员证书号进行审计;
2.5.2按操作时间审计;
2.5.3按操作类型审计;
2.5.4事件类型进行审计;
2.5.5日志管理等。
2.6安全保密管理员负责日常安全保密管理活动,主要职责有:
2.6.1监视全网运行和安全告警信息
2.6.2网络审计信息的常规分析
2.6.4安全设备的常规设置和维护
2.6.5执行应急中心制定的具体安全策略
2.6.6向应急管理机构和领导机构报告重大的网络安全事件等。
网络与信息安全管理人员配备情况及相应资质
1、 网络与信息安全管理人员:
2名,
2, 、全部具有工业和信息化部颁发《网络通信安全管理员三级》以上资质。
信息安全管理责任
第一条为进一步提高我司的网络与信息安全,更好地履行保障国家安全、社会稳定和人民群众利益的义务,强化我司的社会责任感,依据《计算机信息网络国际互联网安全保护管理办法》、《互联网信息服务管理办法》、《互联网站禁止传播淫秽、色情等不良信息自律规范》、《互联网安全保护技术措施规定》等制度,特制定我司网络与信息安全管理制度。
网络与信息安全保障措施
制
第二条建立信息安全责任人制度,我司负责人为网络与信息安全负责人。
第三条应定期组织员工认真学习《计算机信息网络国际互联网安全保护管理办法》等上述制度,提高员工的网络安全警惕性和自觉性,并采取切实有效的管理制度和技术手段,防止本单位发生或涉及重大网络安全事件或信息安全事件。
第四条应加强本单位的网络与信息安全应急管理工作,并制定网络与信息安全预警方案,加强网络安全事件的预防和监测预警,做好应急准备工作,发现重大问题或隐患后应当立即采取先期处置措施,同时上报省通信管理局。
第五条本制度所指的网络安全事件是影响网络及其子系统可用性、畅通性、稳定性的事件,例如黑客攻击、病毒破坏、设备故障、线路中断等;信息安全事件是指网络及其子系统传输、存储、处理、发布的公共信息涉及违法违规内容的事件,如传播发动信息、散布谣言和进行欺诈等。
第六条一旦发现从事下列危害计算机信息网络安全的活动的:
(一) 未经允许进入计算机信息网络或者使用计算机信息网络资源;
(二) 未经允许对计算机信息网络功能进行删除、修改或者增加;
(三) 未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(四) 故意制作、传播计算机病毒等破坏性程序的;
(五) 从事其他危害计算机信息网络安全的活动。
应做好记录并立即向有关部门报告。
第七条如发现有以下违规信息的:
(一) 煽动抗拒、破坏宪法和法律、行政法规实施;
(二) 煽动颠覆国家政权,推翻社会主义制度;
(三) 煽动分裂国家、破坏国家统一;
(四) 煽动民族仇恨、民族歧视、破坏民族团结;
(五) 捏造或者歪曲事实、散布谣言,扰乱社会秩序;
(六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
(七) 公然侮辱他人或者捏造事实诽谤他人;
(八) 损害国家机关信誉;
(九) 其他违反宪法和法律、行政法规。
将一律给予屏蔽,并保留有关原始记录,在二十四小时内向有关部门报告。
第八条我司在提供网络应用服务时,应当特别提醒用户要自觉遵守国家法律法规,不得利用电信服务传播有害信息或从事其他违法犯罪活动;并在不违反法律法规的前提下,以合同形式单方面保留对用户传播违法有害信息的处置权。
有害
信息
发现
1为了加强网络安全保护,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》及其他有关法律、行政法规的规定,制定本机制。
2有害信息时间是指单位和个人利用网络资源制作、复制、查阅及传播下列的事件:
2.1煽动抗拒、破坏宪法和法律、行政法规实施的;
受理处置机制
2.2煽动颠覆国家政权、推翻社会主义制度的;
2.3煽动分裂国家、破坏国家统一的;
2.4煽动民族仇恨、民族歧视、破坏民族团结的;
2.5捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
2.6宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
2.7公然侮辱他人或者捏造事实诽谤他人的;
2.8损害网站形象和网站利益的;
2.9其他违反宪法和法律、行政法规的。
信息安全小组负责对公司所有网络资源进行实时监控,做到及时发现、即时处理的原则办理,并对处理结果备案,对重大有害信息事件,应在第一时间上报主管领导及相关部门。
信息安全小组负责界定、监控、受理有害信息事件,要做到即接快办;夜间、节假日值班期间接到、发现的,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记(如遇紧急情况,可直接关闭服务器等设备,暂停网络运行)。
负责查办的相关人员接到交办的事件后,应及时安排办理,要求在最短时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明情况,可适当延长处理时间,处理结果应及时反馈给信息安全小组组长。
在处理有害信息事件时,应按照处理流程,及时填写相应表单,并随处理结果报告一并存档。
处理人员应对重大有害信息事件的举报人、发现人要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。
有害信息投诉受理处置机制
公司信息部设立举报投诉中心。
举报投诉的受理和回复工作统一由信息部设专人负责,向社会公开投诉举报电话号码,设置举报箱。
受理的有害信息投诉事件主要指单位和个人利用安徽报业公司网制作、复制、查阅和下载下列信息的事件:
1. 煽动抗拒、破坏宪法和国家法律、行政法规实施;
2. 煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;
3. 捏造或者歪曲事实,散布谣言扰乱社会秩序;
4. 侮辱他人或者捏造事实诽谤他人;
5. 宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。
6. 公然侮辱他人或捏造事实诽谤他人的;
7. 损害网站形象和网站利益的;
8. 其他违反宪法和法律、行政法规的。
举报投诉受理中心对公众举报、投诉事件,按集中管理、登记的原则办理,由信息部带领网络安全小组集中处理,并将处理结果备案。
对较重大有害信息事件,应立即上报主管领导。
举报投诉受理中心受理的事件,要做到即接快办;夜间、节假日值班期间接到的投诉举报,应于次日或节假日后的第一个工作日办理,对需紧急办理的重大信息安全事件可先处理后登记。
负责查办的相关人员接到交办的投诉举报事件后应及时安排办理,要求在法定时限内处理完毕,如遇特殊情况不能按时处理完毕的,应报主管领导说明理由,可适当延长处理时间;处理结果应及时反馈给举报投诉受理中心,由举报投诉受理中心反馈给举报人。
在处理有害信息投诉事件的记录、登记、交办工作流程时,应填写相应表单,并
随结果报告一同存档。
处理人员应对重大有害信息事件举报人或要求保密者做到保密,有关重大的有害信息事件及处理过程不得泄密。
重大信息安全事件应急处置和报告制度
网络与信息安全事件是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因,我司网络与信息系统正常运行受到严重影响,出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象,以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动,或者对我司通信网络或信息设施、网站进行大规模的破坏活动,在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。
信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。
信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。
依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
一、 工作原则
1、 预防为主。
立足安全防护,加强预警,重点保护基础信息网络和重要信息系统。
2、 快速反应。
及时获取充分而准确的信息,果断决策,迅速处置,最大程度地减少危害和影响。
3、 常备不懈。
规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
二、 组织机构
设立我司信息安全事故应急工作领导小组,组长由我司负责人担任,成员由我司相关人员组成。
三、 运行机制
1、 预警和预防。
主要包括三个方面:
一是通过安全日志管理和安全审计等手段实施监控,发现漏洞和隐患及时提出预警报告;二是加强监管,做好信息安全事故预防工作,同时,收集和发布国内外信息安全事故预警预测信息;三是加强信息安全的普及推广和宣传,发挥社会公众力量,发现问题及时向有关部门报告,以便及时开展预防。
2、 应急处理程序。
信息事故发生后,根据其性质、等级和危害程度,逐及上报。
发生信息安全突发事件后应当立即对发生的事件进行调查核实、保存相关证据,并在事件被发现或应当被发现时起5小时内将有关材料上报。
应急处置结束后,要对事故组织调查,同时上报上级管理部门以及相关的国家执法机关。
同时,提出恢复方案和整改措施,修订应急预案,经有关部门同意后实施。
四、 实施应急预案的技术处理方案
(一) 黑客攻击事件紧急处置措施
1、 隔离被攻击服务器或关闭网站;
2、 更改密码,改变安全策略;
3、 清查系统,防止黑客留下后门程序。
(二) 病毒大规模爆发应急处置措施
1、 锁定病毒源或病毒发作区,并及时对病毒发作区域进行隔离,防止病毒扩散;
2、 启动查杀病毒系统。
(三) 应用软件安全事故的应急处置措施
1、立即停止应用软件运行;
2、联系应用软件开发商,研究解决问题。
(四) 数据库(中心)安全事故应急处置措施
1、 立即关闭主机系统,启动备用系统;
2、 如果两套系统均崩溃无法恢复,应立即向有关厂商请求紧急动支援;
3、 必要时可以启动数据手工纪录方式,待数据库修复后,重新录入系统。
(五) 信息失密、泄漏事故应急处置措施
1、暂停涉密系统及有关设备运行;
(六) 网络线路突然中断事故应急处置措施
1、 判断事故节点,查明故障原因;
2、 启动备用线路或搭建临时线路;
3、 抢修线路。
(七) 不可抗拒因素引发的重大、特大事故应急处置措施
不可抗拒因素引发的事故主要指因地震、台风、火灾、水灾等不可预测的自然力引发的事故。
1、 对网络与系统进行必要物理加固,增强对事故的抵抗能力;
2、 可以按先重要、后次要,先数据、后硬件的顺序将网络和系统撤离危险区域。
(八) 其它原因引发的重大、特大事故应急处置措施
按照当时最先进的技术、救助方式和手段实施应急处置。
五、保障措施
(一) 应急装备保障
重要信息系统在建设时应预留一定的应急设备,建立硬件、软件、救援设备等应急物质库。
(二) 技术支撑保障
建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:
从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(三) 应急队伍保障
选择若干经有关部门资质认可的、管理规范、具有较高技术能力IT企业,作为信息安全事故应急支撑和技术支持单位。
加强信息安全人才培养,强化信息安全宣传教育,建设一支素质高、技术过硬的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。
大力发展信息安全服务业,增强社会应急支援能力。
(四) 物质条件保障
从我司资金中安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。
(五) 监督管理
要定期、不定期组织应急处置演练,并根据演练中发现的问题,及时修改完善方案,用以确保应急预案的有效实施。
同时,还要做好涉及预案实施人员的技术、应用等方面的培训。
信息安全管理政策
和业
主要相关管理政策包括:
《我司信息安全管理制度》、《我司网络与信息安全工作方案》、《我司维护人员保密协议》、《我司维护人员值班制度》等。
业务培训制度包括:
1、 定期学习网络安全相关技术。
2、 参加其他行业和部门举办的专业培训,鼓励参加业务交流和学习培训,先后
务培训制度
参加了两批通信管理局组织的网络通信安全管理员培训,参加的两人分别获得国家三级和四级证书。
3、支持、鼓励工作人员结合业务自学。
网络安全管理责任制度
第一条为进一步提高我司的网络与信息安全,更好地履行保障国家安全、社会稳定和人民群众利益的义务,强化我司的社会责任感,依据《计算机信息网络国际互联网安全保护管理办法》、《互联网信息服务管理办法》、《互联网站禁止传播淫秽、色情等不良信息自律规范》、《互联网安全保护技术措施规定》等制度,特制定我司网络与信息安全管理制度。
第二条建立信息安全责任人制度,我司负责人为网络与信息安全负责人。
第三条应定期组织员工认真学习《计算机信息网络国际互联网安全保护管理办法》等上述制度,提高员工的网络安全警惕性和自觉性,并采取切实有效的管理制度和技术手段,防止本单位发生或涉及重大网络安全事件或信息安全事件。
第四条应加强本单位的网络与信息安全应急管理工作,并制定网络与信息安全预警方案,加强网络安全事件的预防和监测预警,做好应急准备工作,发现重大问题或隐患后应当立即采取先期处置措施,同时上报省通信管理局。
第五条本制度所指的网络安全事件是影响网络及其子系统可用性、畅通性、稳定性的事件,例如黑客攻击、病毒破坏、设备故障、线路中断等;信息安全事件是指网络及其子系统传输、存储、处理、发布的公共信息涉及违法违规内容的事件,如传播发动信息、散布谣言和进行欺诈等。
第六条一旦发现从事下列危害计算机信息网络安全的活动的:
(一) 未经允许进入计算机信息网络或者使用计算机信息网络资源;
(二) 未经允许对计算机信息网络功能进行删除、修改或者增加;
(三) 未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(四) 故意制作、传播计算机病毒等破坏性程序的;
(五) 从事其他危害计算机信息网络安全的活动。
应做好记录并立即向有关部门报告。
第七条如发现有以下违规信息的:
(一) 煽动抗拒、破坏宪法和法律、行政法规实施;
(二) 煽动颠覆国家政权,推翻社会主义制度;
(三) 煽动分裂国家、破坏国家统一;
(四) 煽动民族仇恨、民族歧视、破坏民族团结;
(五) 捏造或者歪曲事实、散布谣言,扰乱社会秩序;
(六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪;
(七) 公然侮辱他人或者捏造事实诽谤他人;
(八) 损害国家机关信誉;
(九) 其他违反宪法和法律、行政法规。
将一律给予屏蔽,并保留有关原始记录,在二十四小时内向有关部门报告。
第八条我司在提供网络应用服务时,应当特别提醒用户要自觉遵守国家法律法规,不得利用电信服务传播有害信息或从事其他违法犯罪活动;并在不违反法律法规的前提下,以合同形式单方面保留对用户传播违法有害信息的处置权。
网络
网络与信息安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会
安全防护制度
的稳定。
我公司将认真开展网络和信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,严格最受国家有关法律法规和政策规定,确保网络与信息安全。
为加强我司网络管理,保障网络畅通,杜绝利用网络进行非法活动,使之更好地服务社会,制定网络安全防护制度,具体如下:
1. 我司的所有服务器,具有合法权限的用户才能进行相应权限范围内的操作,任何其他非法操作都属于入侵行为。
2. 我司的所有用户,不准扫描端口、不准猜测和扫描其他用户的密码、不准猜测和扫描服务器和交换设备的口令。
3. 我司的所有服务器,系统管理员必须配置好安全审计策略,加强对各种访问的审计。
4. 系统管理员应定期检查服务器的系统日志,如发现有入侵情况,应及时采取措施,保留原始数据,以便进行调查取证,并向主管部门汇报。
同时,做好我司入侵情况登记。
5. 服务器如果发现漏洞要及时修补漏洞或进行系统升级。
6. 定期进行网络数据包的监控,及时发现和检测网络运行情况,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,阻止网络内外的入侵。
7. 网络信息安全员履行对所有上网信息进行审查的职责,根据需要采取措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。
8. 网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。
9. 对我司用户进行有效的级别和权限划分,建立相应帐号与权限审查制度。
10. 各上网主机采取责任到人的方法,严格上网管理制度,如所管主机上发生不良活动,将首先追查主机负责人的责任,并按规定取消该主机的上网账号。
11. 上网IP地址是上网主机在网上的合法用户身份标志,所有上网主机必须进行登记注册,将本机的重要网络技术资料(包括主机型号,技术参数,用户名,主机名,所在域名或工作组名,网卡类型,网卡的MAC地址,网管部门分配的IP地址)
详尽备案,以备核查。
为保障网络安全具体的防护技术手段如下:
:
1、 各个应用系统的服务器,凡不需要使用公网地址的均使用内网地址
2、 服务器仅开放必要的端口,或必要访问的IP地址,对input和output包均做严格限制。
3、 对重要系统,均采用Ivs进行负载分担,并隐藏真实的服务器地址
4、 对我司首页更新时,除使用内网的新闻发布系统外,发布的文件并未真实发布到首页服务器上,而是必须使用单独的平台进行二次发布,极大的提高了系统的安全性。
5、 对系统日志,采用rsyslog进行集中管理,至少保留60天。
即使系统被黑,日志文件也保持完整性。
6、 使用cacti和nagios对重要系统进行监测。
7、 对提供web访问的系统,尽量动态程序和静态页面分离,不必要安装php等程序的彻底清除;对php的安装配置严格限制webserver的权限。
8、 对接入互联网的办公终端均进行登记,绑定mac和ip地址后方能访问互联网。
为保障信息安全具体保障措施如下:
1、 使用cacti和nagios等监控软件进行自动化监控,值班人员定期查看,重点观测网络异常情况(在一级巡检中进行)。
2、 值班人员每天进行一级巡检(8点、10点、11点、14点、17点、20点、22点各一次),人工查看网站是否有异常,并记录在我司ITIL平台中;每周进行两次二级巡检(每周二、周五各一次),查看设备硬件、防火墙等配置是否正确,并记录在我司IT1L平台中
3、 完善值班记录,要求值班期间一切问题均在值班记录上进行登记(记录在我司ITIL平台中的服务台日志)
4、 重要系统服务器的安全保障,由系统管理员负责,定期查看各个系统的运行情况,尤其对各类大的安全漏洞进行及时修补。
定期检查网络系统是否被感染了计算机病毒,对软件和文档应加以安全控制,对外来软件在使用前应进行病毒诊断。
同时要注意不断更新病毒诊断软件版本,及时掌握、发现正在流行的计算机病毒动向,并采取相应的有效措施。
5、 数据备份的安全保障,由系统管理员负责,定期备份数据并测试数据是否可恢复。
6、 制定好各个重要系统的应急预案,要求系统管理员、值班人员能够熟练处理。
7、 及时安装各种安全补
升级会员 