【文章內(nèi)容簡(jiǎn)介】 時(shí)間與被確認(rèn)身份的用戶身份所使用。防止被惡意用戶不正當(dāng)?shù)脑L問(wèn)。 備份安全 指遵照相關(guān)的數(shù)據(jù)備份管理規(guī)定，對(duì)園區(qū)信息化 系統(tǒng) 及其產(chǎn)品的數(shù)據(jù)信息進(jìn)行備份和還原操作。根據(jù)園區(qū)信息化 系統(tǒng) 及其產(chǎn)品的數(shù)據(jù)重要性和應(yīng)用類別，把需要備份的數(shù)據(jù)分為數(shù)據(jù)庫(kù)、系統(tǒng)附件、應(yīng)用程序三部分。 1. 每周檢查 NBU 備份系統(tǒng)期備份結(jié)果檢查，處理相關(guān)問(wèn)題。備份系統(tǒng)狀態(tài)、備份策略檢查，對(duì)備份策略以及備份狀態(tài)檢查以及調(diào)優(yōu)，主要服務(wù)器變更、應(yīng)用統(tǒng)一接入等 防病毒安全 1. 導(dǎo)出防病毒安全檢查報(bào)告、對(duì)有風(fēng)險(xiǎn)和中毒的文件與數(shù)據(jù)進(jìn)行檢查 2. 對(duì)病毒分析處理 3. 定期檢測(cè)病毒，防止病毒對(duì)系統(tǒng)的影響 系統(tǒng)安全 1. 定期修改系統(tǒng) Administrator 密碼：主要修改 AD、 Cluster、服務(wù)器密碼； 2. 安裝操作系統(tǒng)補(bǔ)丁，系統(tǒng)重啟，應(yīng)用系統(tǒng)檢查測(cè)試 3. 數(shù)據(jù)庫(kù)的賬號(hào)、密碼管理，保證數(shù)據(jù)庫(kù)系統(tǒng)安全和數(shù)據(jù)安全 4. 對(duì)系統(tǒng)用戶的系統(tǒng)登錄、使用情況進(jìn)行檢查，對(duì)系統(tǒng)日志進(jìn)行日常審計(jì) 主動(dòng)安全 1. 監(jiān)控 Agent 的配置與管理，對(duì)端對(duì)端監(jiān)控產(chǎn)生檢查結(jié)果核實(shí)，處理相應(yīng)問(wèn)題 2. 園區(qū)信息化所有系統(tǒng)需有詳盡故障應(yīng)急預(yù)案 3. 應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行一次演練 4. 根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留 3 年 系統(tǒng)及網(wǎng)絡(luò)安全 1. 流量分析（ scount） 深信通根據(jù)南方基地的安全及分析需求，提供 scount 分析服務(wù)支撐，對(duì)各系統(tǒng)性能提供全面分析。并提供優(yōu)化建議及方案。 2. 應(yīng)用分析（ splunk） 深信通根據(jù)南方基地的園區(qū)信息化系統(tǒng)安全，建立 splunk 的日志分析服務(wù)，并針對(duì)日志進(jìn)行全面分析。對(duì)系統(tǒng)的安全、保障提供優(yōu)化建議及優(yōu)化方案。 3. 提供流量分析和應(yīng)用分析 提供 10 個(gè)以上的專題分析報(bào)告，并根據(jù)報(bào)告提供具體的實(shí) 施方案及優(yōu)化手段。 4. 根據(jù)優(yōu)化建議及方案對(duì)平臺(tái)及網(wǎng)絡(luò)進(jìn)行安全整改，以全面提升平臺(tái)的性能、安全， 解決瓶頸。 防篡改防攻擊 1. 網(wǎng)頁(yè)文件保護(hù)，通過(guò)系統(tǒng)內(nèi)核層的文件驅(qū)動(dòng)，按照用戶配置的進(jìn)程及路徑訪問(wèn)規(guī)則 設(shè)置網(wǎng)站目錄、文件的讀寫(xiě)權(quán)限，確保網(wǎng)頁(yè)文件不被非法篡改。 2. 網(wǎng)絡(luò)攻擊防護(hù)， Web 核心模塊對(duì)每個(gè)請(qǐng)求進(jìn)行合法性檢測(cè)，對(duì)非法請(qǐng)求或惡意掃描 請(qǐng)求進(jìn)行屏蔽，防止 SQL 注入式攻擊。 3. 集中管理，通過(guò)管理服務(wù)器集中管理多臺(tái)服務(wù)器，監(jiān)測(cè)多主機(jī)實(shí)時(shí)狀態(tài)，制定保護(hù) 規(guī)則。 4. 安全網(wǎng)站發(fā)布，使用傳輸模塊從管理服務(wù)器的鏡像站點(diǎn)直接更新受保護(hù)的網(wǎng)站目錄，數(shù)據(jù)通過(guò) SSL 加密傳輸，杜絕傳輸過(guò)程的被篡改的可能。 5. 網(wǎng)站備份還原，通過(guò)管理控制端進(jìn)行站點(diǎn)備份及還原。 6. 網(wǎng)頁(yè)流出檢查，在請(qǐng)求瀏覽客戶端請(qǐng)求站點(diǎn)網(wǎng)頁(yè)時(shí)觸發(fā)網(wǎng)頁(yè)流出檢查，對(duì)被篡改的 網(wǎng)頁(yè)進(jìn)行實(shí)時(shí)恢復(fù)，再次確保被篡改的網(wǎng)頁(yè)不會(huì)被公眾瀏覽。 7. 實(shí)時(shí)報(bào)警，系統(tǒng)日志，手機(jī)短信，電子郵件多種方式提供非法訪問(wèn)報(bào)警。 8. 管理員權(quán)限分級(jí)，可對(duì)管理員及監(jiān)控端分配不同的權(quán)限組合。 9. 日志審計(jì)，提供管理員行為日志，監(jiān)控端保護(hù)日志查詢審計(jì)。 10. 對(duì)站點(diǎn)主機(jī)進(jìn)行監(jiān)控，對(duì) CPU，內(nèi)存，流量的作統(tǒng)計(jì)，以便實(shí)時(shí)監(jiān)控站點(diǎn)服務(wù)器 的運(yùn)作情況。 11. 站點(diǎn)系統(tǒng)賬號(hào)監(jiān)控，對(duì)站點(diǎn)服務(wù)器的賬號(hào)進(jìn)行監(jiān)控，對(duì)賬號(hào)的修改，添加等改動(dòng)有 阻攔和日志記錄及報(bào)警，使站點(diǎn)服務(wù)器更加安全。 合理授權(quán) 1. 合理授權(quán)的定義：合理授權(quán)是指對(duì) IT 管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問(wèn)設(shè)定嚴(yán)格的授權(quán)審批機(jī)制，確保 IT 管理支撐應(yīng)用系統(tǒng)的安全性。 2. 為了保證南方基地 IT 管理支撐應(yīng)用系統(tǒng)的安全性，確保相關(guān) IT 資源的訪問(wèn)經(jīng)過(guò)合理授權(quán)，所有 IT 管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問(wèn)必須遵照申請(qǐng) → 評(píng)估 → 授權(quán) 的合理授權(quán)管理流程。 3. 需要合理授權(quán) 的 IT資源包括但不局限于應(yīng)用系統(tǒng)的測(cè)試環(huán)境、程序版本管理服務(wù)器、正式環(huán)境（包括應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器等）。 4. 申請(qǐng)：由訪問(wèn)者（一般是應(yīng)用開(kāi)發(fā)商、應(yīng)用系統(tǒng)管理員等）提交書(shū)面的訪問(wèn)申請(qǐng)表（書(shū)面訪問(wèn)申請(qǐng)表，包括但不局限于紙質(zhì)、 Word 文檔以及電子郵件等），提交安全管理員（一般是系統(tǒng)管理員或者專職的安全管理員）進(jìn)行風(fēng)險(xiǎn)評(píng)估。 5. 評(píng)估：安全管理員對(duì)接到的訪問(wèn)申請(qǐng)書(shū)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)訪問(wèn)者及被訪問(wèn) IT資源的具體情況，進(jìn)行靈活處理。 6. 授權(quán)：在訪問(wèn)申請(qǐng)表通過(guò)安全風(fēng)險(xiǎn)評(píng)估后，安全管理員會(huì)對(duì)訪問(wèn)者進(jìn)行合理授權(quán)。原則上，對(duì)程序版本 管理服務(wù)器和正式環(huán)境的訪問(wèn)申請(qǐng)，安全管理員必需根據(jù)有關(guān)管理流程給出正式授權(quán)，以滿足安全審計(jì)的要求。 7. 各系統(tǒng)超級(jí)管理員帳號(hào)的分配，必須由系統(tǒng)負(fù)責(zé)人員提出書(shū)面申請(qǐng)，申請(qǐng)內(nèi)容應(yīng)包括系統(tǒng)名稱、帳號(hào)、帳號(hào)有效期、帳號(hào)使用負(fù)責(zé)人、帳號(hào)權(quán)限等內(nèi)容，由部門副經(jīng)理或以上的管理人員進(jìn)行審核批準(zhǔn)后，超級(jí)管理員帳號(hào)方可生效。 8. 系統(tǒng)超級(jí)管理員密碼設(shè)置應(yīng)符合本管理辦法中用戶密碼管理的相關(guān)規(guī)則；各系統(tǒng)應(yīng)最少每 90 天對(duì)超級(jí)管理員帳號(hào)進(jìn)行審查，并且將審查結(jié)果寫(xiě)入書(shū)面記錄，由部門副經(jīng)理或以上管理人員審核存檔。 9. 各應(yīng)用層超級(jí)管理員帳號(hào) 的分配，必須由系統(tǒng)負(fù)責(zé)人員提出書(shū)面申請(qǐng)，申請(qǐng)內(nèi)容應(yīng)包括應(yīng)用系統(tǒng)名稱、帳號(hào)、帳號(hào)有效期、帳號(hào)使用負(fù)責(zé)人、帳號(hào)權(quán)限等內(nèi)容，由部門副經(jīng)理或以上的管理人員進(jìn)行審核批準(zhǔn)后，超級(jí)管理員帳號(hào)方可生效。 10. 應(yīng)用層超級(jí)管理員密碼設(shè)置應(yīng)符合本管理辦法中用戶密碼管理的相關(guān)規(guī)則；各系統(tǒng)應(yīng)最少每 90 天對(duì)超級(jí)管理員帳號(hào)進(jìn)行審查，并且將審查結(jié)果寫(xiě)入書(shū)面記錄，由部門副經(jīng)理或以上管理人員審核存檔。 11. 為了保證帳號(hào)安全管理，各系統(tǒng)應(yīng)最少每 90 天對(duì)本系統(tǒng)涉及的帳號(hào)（包括各類管理員帳號(hào)和普通用戶帳號(hào)）進(jìn)行檢查，對(duì)已經(jīng)超過(guò)有效期的帳號(hào) 進(jìn)行清理，對(duì)不符合管理規(guī)范的帳號(hào)進(jìn)行補(bǔ)充授權(quán)與審批。 12. 各系統(tǒng)私有測(cè)試帳號(hào)和代維人員帳號(hào)：由各系統(tǒng)管理員自行管理。 13. 關(guān)于帳號(hào)申請(qǐng)、授權(quán)、登記、變更等管理表格詳見(jiàn)附件八《帳號(hào)管理相關(guān)表格》 安全隔離 14. 安全隔離的定義：安全隔離是指對(duì) IT 應(yīng)用系統(tǒng)的相關(guān)數(shù)據(jù)（包括應(yīng)用系統(tǒng)的程序代碼、數(shù)據(jù)文件等）進(jìn)行邏輯隔離、物理隔離等，以確保應(yīng)用系統(tǒng)的安全性。如果開(kāi)發(fā)商在開(kāi)發(fā)、維護(hù)合作過(guò)程當(dāng)中可能接觸到我公司的敏感數(shù)據(jù)，必須與南方基地簽訂安全保密協(xié)議。 15. 對(duì)安全等級(jí)為機(jī)密的 IT 應(yīng)用系統(tǒng)（包括但不局限于企業(yè)內(nèi)部的機(jī)密檔案信息等），我們需 要對(duì)它的有關(guān)數(shù)據(jù)進(jìn)行物理隔離，以提高應(yīng)用系統(tǒng)的安全防范能力；對(duì)安全等級(jí)為秘密的 IT應(yīng)用系統(tǒng)以及應(yīng)用系統(tǒng)的基礎(chǔ)數(shù)據(jù)（如綜合應(yīng)用平臺(tái)的基礎(chǔ)數(shù)據(jù)、組織架構(gòu)等），需要進(jìn)行邏輯隔離。系統(tǒng)應(yīng)用層面的訪問(wèn)必須通過(guò)帳號(hào)進(jìn)行訪問(wèn)，系統(tǒng)的帳號(hào)及口令管理參照本規(guī)定的帳號(hào)管理部分。 16. 應(yīng)用系統(tǒng)管理員或者專職的安全管理員應(yīng)根據(jù)具體應(yīng)用系統(tǒng)的數(shù)據(jù)的敏感度制定相應(yīng)的安全隔離措施，具體措施包括但不限于訪問(wèn)控制列表、安全加固、文件系統(tǒng)權(quán)限設(shè)定等。 安全審計(jì) 17. 安全審計(jì)的定義：安全審計(jì)是指出于安全考慮，通過(guò)對(duì) IT 應(yīng)用系統(tǒng)的異動(dòng)記錄、操作過(guò)程、數(shù)據(jù) 轉(zhuǎn)換等進(jìn)行詳細(xì)記錄，為事后的偵察和取證提供依據(jù)。 18. 安全審計(jì)的范圍：我們需要對(duì)一些重要的具有較高安全風(fēng)險(xiǎn)的操作進(jìn)行安全審計(jì)，操作系統(tǒng)層、應(yīng)用系統(tǒng)層以及數(shù)據(jù)庫(kù)層的所有重要操作，特別是管理層認(rèn)定對(duì)財(cái)務(wù)報(bào)表有關(guān)的操作留有系統(tǒng)日志。系統(tǒng)日志由系統(tǒng)主管部門根據(jù)風(fēng)險(xiǎn)和重要性的原則確定檢查內(nèi)容（如超級(jí)管理員的帳戶登陸操作、正式環(huán)境的訪問(wèn)、數(shù)據(jù)轉(zhuǎn)換的操作活動(dòng)、版本升級(jí)的操作活動(dòng)、補(bǔ)丁升級(jí)操作活動(dòng)等等）負(fù)責(zé)每月進(jìn)行審核。系統(tǒng)所需的自動(dòng)或手動(dòng)批處理作業(yè)應(yīng)制定作業(yè)安排計(jì)劃，留有電子或紙質(zhì)文檔操作說(shuō)明。自動(dòng)批處理作業(yè)應(yīng)在系統(tǒng)中留有運(yùn) 行日志記錄，手工批處理作業(yè)的執(zhí)行結(jié)果由批處理操作人員負(fù)責(zé)檢察確認(rèn)。只有授權(quán)的系統(tǒng)維護(hù)人員可以在系統(tǒng)中維護(hù)作業(yè)安排計(jì)劃或安排手工作業(yè)安排計(jì)劃，批處理計(jì)劃上線前都必需通過(guò)測(cè)試，并由相關(guān)人員簽字審批。 19. 安全審計(jì)的管理流程：每年至少舉行一次全范圍的安全審計(jì)活動(dòng)，具體操作可以結(jié)合管理支撐系統(tǒng)的年終巡檢等活動(dòng)，由南方基地管理信息部根據(jù)實(shí)際情況自行決定。 20. 統(tǒng)一用戶管理的安全審計(jì)：用戶帳戶信息（包括組織單元屬性、崗位屬性等）是所有應(yīng)用系統(tǒng)最基礎(chǔ)的數(shù)據(jù)，用戶帳戶所對(duì)應(yīng)的應(yīng)用系統(tǒng)訪問(wèn)權(quán)限（這里特指是否對(duì)應(yīng)用系統(tǒng)具有訪問(wèn)權(quán)限，而 不考慮在應(yīng)用系統(tǒng)本身的具體授權(quán)）是安全管理的重要內(nèi)容，因此原則上需要對(duì)用戶的異動(dòng)信息及應(yīng)用系統(tǒng)訪問(wèn)權(quán)限進(jìn)行安全審計(jì)，以提高整個(gè) IT 管理支撐應(yīng)用系統(tǒng)的安全性。 21. 安全審計(jì)的目的：在指定周期內(nèi)對(duì)信息系統(tǒng)的系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫(kù)）用戶、系統(tǒng)管理員、應(yīng)用層面的用戶、系統(tǒng)批處理任務(wù)等涉及財(cái)務(wù)報(bào)表的操作進(jìn)行安全審計(jì)。 22. 流程： 23. 信 息 系 統(tǒng) 安 全 審 計(jì) 流 程審 計(jì) 通 知 審 計(jì) 實(shí) 施 處 理 分 析 確 認(rèn)應(yīng)用管理員相關(guān)部門安全管理員工具安全審計(jì)員系 統(tǒng) 審 計(jì)用 戶 審 計(jì)S T 0 3 審計(jì) 準(zhǔn) 備權(quán) 限 矩 陣 表 及 用戶 清 單 列 表 （ 系統(tǒng) 用 戶 ）郵 件 / 公 文 通 知審 計(jì) 內(nèi) 容用 戶 權(quán) 限 清 單表 （ 審 計(jì) 后 ）S T 0 2 系 統(tǒng) 審 計(jì)/ 用 戶 審 計(jì)C F 0 2 根 據(jù)審 計(jì) 結(jié) 果 處理 用 戶S J 0 2 用 戶權(quán) 限 審 計(jì)權(quán) 限 矩 陣 表 及清 單 列 表 （ 應(yīng)用 用 戶 ）S J 0 1 日志 審 計(jì)結(jié) 束S J 0 3 發(fā) 送審 計(jì) 結(jié) 果S T 0 1 審計(jì) 通 知開(kāi) 始Q R 0 1 簽字 確 認(rèn)信 息 系 統(tǒng) 安全 審 計(jì) 報(bào) 告C F 0 1