【文章內(nèi)容簡介】 名稱改進(jìn)動作改進(jìn)對象網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；配置登錄身份鑒別通過堡壘主機(jī)進(jìn)行強(qiáng)制管理網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)b應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制配置登錄地址限制通過堡壘主機(jī)進(jìn)行強(qiáng)制管理網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)e身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；配置口令復(fù)雜度與更換要求通過堡壘主機(jī)進(jìn)行強(qiáng)制管理網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)f應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施配置登錄失敗處理功能通過堡壘主機(jī)進(jìn)行控制網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)g當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽管理采用SSH等加密方式通過堡壘主機(jī)實現(xiàn)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)h應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。用戶權(quán)限分離通過堡壘主機(jī)進(jìn)行配置網(wǎng)絡(luò)設(shè)備主機(jī)安全訪問控制e應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。清理帳戶通過堡壘主機(jī)進(jìn)行強(qiáng)制管理操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全訪問控制b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限管理用戶權(quán)限最小化通過堡壘主機(jī)進(jìn)行配置操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全訪問控制d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令限制默認(rèn)帳戶通過堡壘主機(jī)進(jìn)行強(qiáng)制管理操作系統(tǒng)與數(shù)據(jù)庫主機(jī)安全資源控制b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定主機(jī)安全配置通過堡壘主機(jī)進(jìn)行配置操作系統(tǒng) 數(shù)據(jù)安全及備份恢復(fù)建設(shè)數(shù)據(jù)是資本運維監(jiān)控平臺保護(hù)的核心內(nèi)容。數(shù)據(jù)的安全防護(hù)要求包括機(jī)密性、完整性、可用性。機(jī)密性則通過加密方式對敏感數(shù)據(jù)進(jìn)行加密操作。數(shù)據(jù)完整性通過數(shù)字摘要技術(shù)結(jié)合應(yīng)用系統(tǒng)保證數(shù)據(jù)交換傳輸過程的完整。數(shù)據(jù)可用性則通過數(shù)據(jù)備份冗余操作實現(xiàn)。在分析了應(yīng)數(shù)據(jù)安全及備份恢復(fù)的需求以后，數(shù)據(jù)安全及備份恢復(fù)層的安全需求可以分為以下幾種類型：216。 數(shù)據(jù)完整性216。 數(shù)據(jù)保密性216。 備份和恢復(fù)數(shù)據(jù)的保密性和完整性需要通過備份機(jī)制來實現(xiàn)，備份機(jī)制是針對可能發(fā)生的計算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)(重點包括：網(wǎng)站系統(tǒng)、基礎(chǔ)物理環(huán)境、網(wǎng)絡(luò)故障、病毒的預(yù)案等)突發(fā)（災(zāi)難）事件進(jìn)行預(yù)先防范安排，通過部署數(shù)據(jù)備份設(shè)備和備份系統(tǒng)來保證安全事件發(fā)生時以最快速度做出反應(yīng)，控制和減輕破壞造成的影響，提高數(shù)據(jù)的安全性。 管理設(shè)計方案除了采用信息安全技術(shù)措施控制信息安全威脅外，安全管理措施中國證監(jiān)會XXXX運行監(jiān)測系統(tǒng)等級保護(hù)建設(shè)中必不可少的內(nèi)容，所謂“三分技術(shù)，七分管理”就是這個道理。安全技術(shù)措施和安全管理措施可以相互補充，共同構(gòu)建全面、有效的信息安全保障體系。根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，安全管理體系主要從如下內(nèi)容考慮：u 安全管理機(jī)構(gòu)u 安全管理制度u 人員安全管理u 系統(tǒng)建設(shè)管理u 系統(tǒng)運維管理 安全管理機(jī)構(gòu)《信息系統(tǒng)安全等級保護(hù)基本要求》在崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對安全管理機(jī)構(gòu)提出了具體的要求。針對XXXX運行監(jiān)測系統(tǒng)應(yīng)該建立專門的安全職能部門，配備專門的安全管理人員，管理應(yīng)用系統(tǒng)的信息安全管理工作，同時對安全管理人員的活動進(jìn)行指導(dǎo)。 安全管理制度《信息系統(tǒng)安全等級保護(hù)基本要求》在管理制度、制定和發(fā)布、評審和修訂等三個方面對安全管理制度提出了要求。中國證監(jiān)會在XXXX運行監(jiān)測系統(tǒng)建設(shè)過程中應(yīng)根據(jù)實際情況，在系統(tǒng)負(fù)責(zé)人的領(lǐng)導(dǎo)下，組織相關(guān)人員制定和發(fā)布相關(guān)安全管理制度、安全運維制度和安全操作規(guī)程等，并做好相關(guān)制度的培訓(xùn)和落實，在系統(tǒng)運行過程中，要定期對相關(guān)制度進(jìn)行評審和修訂。 人員安全管理人員安全管理要求在人員的錄用、離崗、考核、培訓(xùn)以及第三方人員管理上，都要考慮安全因素。n 人員入職管理：從信息安全角度對在人員錄用過程中各流程提出安全需求。n 人員在職管理：從員工信息安全守則、系統(tǒng)用戶信息安全考核、教育培訓(xùn)三個方面提高在職人員的信息安全意識。n 人員離職管理：分析員工在離職過程中存在的信息安全風(fēng)險。n 第三方人員安全管理：對第三方人員進(jìn)行定義，闡述第三方人員管理中存在的信息安全風(fēng)險，并需要采取的管理方法。 系統(tǒng)建設(shè)管理《信息系統(tǒng)安全等級保護(hù)基本要求》在系統(tǒng)建設(shè)管理階段針對系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付 、系統(tǒng)備案、安全測評、安全服務(wù)商選擇等等方面提出了具體的要求。目前，系統(tǒng)定級、系統(tǒng)備案的工作已經(jīng)或即將完成。工程實施、測試驗收、系統(tǒng)交付等方面需要在產(chǎn)品購買后進(jìn)行。而其他的一些方面，如自行軟件開發(fā)、外包軟件開發(fā)等，這里不涉及。在安全服務(wù)商選擇方面，我們建議系統(tǒng)的相關(guān)領(lǐng)導(dǎo)，選擇有實力，有信譽的專業(yè)安全服務(wù)廠商。關(guān)于安全方案的設(shè)計，請詳見本文《安全技術(shù)體系建設(shè)》章節(jié)。 系統(tǒng)運維管理《信息系統(tǒng)安全等級保護(hù)基本要求》在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等13個方面對系統(tǒng)運維管理進(jìn)行了詳細(xì)的要求，是等級保護(hù)管理體系建設(shè)最為重要的部分。系統(tǒng)運維管理方面，本方案建議通過內(nèi)部管理人員維護(hù)和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實現(xiàn)。在一定程度上說，安全服務(wù)是一種專業(yè)經(jīng)驗服務(wù)。安全服務(wù)提供商長期的服務(wù)經(jīng)驗積累、對行業(yè)的深刻理解、處理安全問題（事件）的最佳做法、科學(xué)的安全思維方式、正確的安全思維方法都是為用戶提供完善安全解決方案的動力來源。針對以上五個方面的管理合規(guī)性建設(shè)，建議考慮在系統(tǒng)建設(shè)過程中，首先考慮制訂和完善信息安全管理制度，達(dá)到合規(guī)性的要求，再逐步不斷完善和落實安全這些管理制度，并不斷完善和修訂，建議建設(shè)完善以下管理制度?！∥臋n編號名稱主要內(nèi)容信息安全策略MAN001中國證監(jiān)會XXX機(jī)構(gòu)信息安全策略本文檔是一個總體的策略性架構(gòu)文件，作為各個分項安全制度設(shè)計的指導(dǎo)文件RM002中國中國證監(jiān)會XXX機(jī)構(gòu)風(fēng)險管理策略本文檔規(guī)定了中國證監(jiān)會XXX機(jī)構(gòu)采用的信息安全風(fēng)險管理方法和過程，通過識別風(fēng)險分析和控制措施實施將信息安全風(fēng)險控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理的要求。信息安全組織ORG001中國證監(jiān)會XXX機(jī)構(gòu)安全管理組織架構(gòu)本文檔明確信息安全管理體系的組織，對信息相關(guān)人員職責(zé)進(jìn)行規(guī)范。ORG002中國證監(jiān)會XXX機(jī)構(gòu)系統(tǒng)運維崗位職責(zé)本文檔說明了信息安全管理組織內(nèi)部各角色的定義，角色日常工作職責(zé)，日?；顒拥氖跈?quán)和審批要求。 資產(chǎn)管理ASS001中國證監(jiān)會XXX機(jī)構(gòu)資產(chǎn)分類與分級管理規(guī)范本文檔說明了有效管理和正確識別中國證監(jiān)會XXX機(jī)構(gòu)的各種信息資產(chǎn)，提供統(tǒng)一的分類分級方法和編號原則ASS002中國證監(jiān)會XXX機(jī)構(gòu)移動介質(zhì)管理規(guī)定本文檔說明了如何對介質(zhì)進(jìn)行管理，包括介質(zhì)的定義、使用、維護(hù)和銷毀管理。ASS003中國證監(jiān)會XXX機(jī)構(gòu)辦公電腦管理辦法本文檔說明了辦公電腦的分類、領(lǐng)用、更換、歸還、維護(hù)和外來人員電腦的管理規(guī)范。ASS004中國證監(jiān)會XXX機(jī)構(gòu)郵件系統(tǒng)使用規(guī)范本文檔說明了郵件系統(tǒng)的使用規(guī)范和運行維護(hù)職責(zé)等內(nèi)容。ASS005中國證監(jiān)會XXX機(jī)構(gòu)秘密保護(hù)管理規(guī)定本文檔說明了泄密危害級別、秘密等級、秘密標(biāo)識、定級管理、授權(quán)管理等相關(guān)內(nèi)容ASS006中國證監(jiān)會XXX機(jī)構(gòu)資產(chǎn)轉(zhuǎn)移管理規(guī)范本文檔針對設(shè)備、信息或軟件在授權(quán)之前帶出和轉(zhuǎn)移場所提供相關(guān)管理規(guī)定人力資源安全HR001中國證監(jiān)會XXX機(jī)構(gòu)安全崗位管理規(guī)定本文檔員工的崗位管理制度，包括定崗、招聘、入職、崗位變動、離職等。HR002中國證監(jiān)會XXX機(jī)構(gòu)信息安全培訓(xùn)管理制度本文檔說明了職責(zé)要求、培訓(xùn)要求、培訓(xùn)組織、培訓(xùn)項目和考核方式。HR003中國證監(jiān)會XXX機(jī)構(gòu)信息安全違規(guī)處罰制度本文檔對違反相關(guān)信息安全管理制度，未按照相關(guān)規(guī)范或流程操作的責(zé)任人，進(jìn)行處罰的相關(guān)規(guī)定。物理與環(huán)境Pamp。E001 中國證監(jiān)會XXX機(jī)構(gòu)機(jī)房安全管理制度本文檔說明了機(jī)房安全管理要求，如機(jī)房建設(shè)要求、機(jī)房環(huán)境、機(jī)房工作制度和機(jī)房巡檢制度等。Pamp。E002中國證監(jiān)會XXX機(jī)構(gòu)重點部委管理規(guī)定本文檔說明了重點部位的環(huán)境、進(jìn)入等管理規(guī)定。Pamp。E003中國證監(jiān)會XXX機(jī)構(gòu)機(jī)房與監(jiān)控室參觀規(guī)定本文檔說明了機(jī)房、監(jiān)控室等保密部位的參觀規(guī)定Pamp。E004中國證監(jiān)會XXX機(jī)構(gòu)辦公區(qū)安全管理制度本文檔說明了辦公區(qū)域的防火、出入、安全保密、安全檢查等規(guī)定。通信與操作Camp。O001中國證監(jiān)會XXX機(jī)構(gòu)計算機(jī)病毒與移動代碼防護(hù)管理制度本文檔說明了中國證監(jiān)會XXX機(jī)構(gòu)防病毒體系建立、防病毒日常管理、應(yīng)急出來等相關(guān)制度。Camp。O002中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)備份與恢復(fù)管理制度本文檔說明了中國證監(jiān)會XXX機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)的核心業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)管理。Camp。O003中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)中心平臺系統(tǒng)維護(hù)程序本文檔對數(shù)據(jù)中心平臺系統(tǒng)的維護(hù)提供簡要說明Camp。O004中國證監(jiān)會XXX機(jī)構(gòu)系統(tǒng)安全系統(tǒng)運行維護(hù)程序本文檔對安全系統(tǒng)的維護(hù)工作內(nèi)容和流程提供簡要說明Camp。O005中國證監(jiān)會XXX機(jī)構(gòu)核心交換機(jī)（服務(wù)器）維護(hù)程序本文檔核心交換機(jī)（服務(wù)器）的維護(hù)工作內(nèi)容和流程提供簡要說明Camp。O006中國證監(jiān)會XXX機(jī)構(gòu)備份介質(zhì)安全管理規(guī)定本文檔對各類備份介質(zhì)的管理進(jìn)行說明，防止介質(zhì)被破壞和被盜、被毀及信息的非法泄露Camp。O007中國證監(jiān)會XXX機(jī)構(gòu)供應(yīng)商管理規(guī)范本文檔規(guī)范第三方（如供應(yīng)商）在拜訪組織辦公場所的工作行為，以及規(guī)范供應(yīng)商在交付服務(wù)時的項目驗收以及監(jiān)督等環(huán)節(jié)的行為，有效的規(guī)范對包括供應(yīng)商等在內(nèi)第三方在與系統(tǒng)有業(yè)務(wù)交互時的權(quán)力義務(wù)以及行為準(zhǔn)則Camp。O008中國證監(jiān)會XXX機(jī)構(gòu)信息交換安全管理規(guī)定本文檔是對各類信息和軟件在組織內(nèi)以及與外部組織交換過程中的安全管理，防止在交換過程中被非法竊取、篡改以及交換后對行為的抵賴訪問控制ACL001中國證監(jiān)會XXX機(jī)構(gòu)設(shè)備入網(wǎng)管理規(guī)范本文檔對設(shè)備入網(wǎng)工作流程進(jìn)行規(guī)范ACL002中國證監(jiān)會XXX機(jī)構(gòu)口令管理規(guī)定本文檔對帳號口令的注冊、生成、保存、使用、更換、密鑰等的管理進(jìn)行規(guī)范ACL003中國證監(jiān)會XXX機(jī)構(gòu)第三方人員計算機(jī)接入管理制度本文檔對第三方接入的要求和流程進(jìn)行管理ACL004中國證監(jiān)會XXX機(jī)構(gòu)安全審計制度本文檔規(guī)定了安全審計的內(nèi)容、審計工具、審計流程和審計記錄保護(hù)等。ACL005中國證監(jiān)會XXX機(jī)構(gòu)數(shù)據(jù)庫權(quán)限管理規(guī)定本文檔主要說明了中心數(shù)據(jù)庫的權(quán)限管理規(guī)定。ACL006中國證監(jiān)會XXX機(jī)構(gòu)移動計算和通信設(shè)施使用規(guī)定本文檔說明了對移動計算與通信設(shè)施（筆記本電腦、掌上電腦、移動電話等）的安全管理規(guī)定。ACL007中國證監(jiān)會XXX機(jī)構(gòu)無人值守設(shè)備管理規(guī)定本文檔對個人辦公電腦、打印機(jī)、復(fù)印機(jī)等設(shè)備在辦公室、會議室或控制的區(qū)域外等位置處于無人值守狀態(tài)時的安全保護(hù)措施進(jìn)行規(guī)定。ACL008中國證監(jiān)會XXX機(jī)構(gòu)互聯(lián)網(wǎng)使用管理規(guī)定本文檔用于規(guī)范中國證監(jiān)會XXX機(jī)構(gòu)對互聯(lián)網(wǎng)的安全使用。ACL009中國證監(jiān)會XXX機(jī)構(gòu)日常監(jiān)控管理制度本文檔主要用于加強(qiáng)對網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)日志以及系統(tǒng)運行狀況的安全監(jiān)控管理，在信息安全事件爆發(fā)的第一時間能夠及時發(fā)現(xiàn)并為迅速響應(yīng)提供記錄及技術(shù)數(shù)據(jù)。信息系統(tǒng)獲取、開發(fā)和維護(hù)ISADM001中國證監(jiān)會XXX機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度本文檔說明了在網(wǎng)絡(luò)規(guī)劃、建設(shè)、調(diào)整、廢棄等各階段的安全保障要求。ISADM002中國證監(jiān)會XXX機(jī)構(gòu)系統(tǒng)安全管理制度本文檔說明了服務(wù)器、應(yīng)用系統(tǒng)、操作系統(tǒng)等系統(tǒng)在規(guī)劃、建設(shè)、調(diào)整、變更、廢棄等各階段的安全保障要求ISADM003中國證監(jiān)會XXX機(jī)構(gòu)信息安全測試規(guī)范本文檔說明了常規(guī)信息安全檢查、滲透測試、日常出口檢查等相關(guān)工作規(guī)范，如信息安全常規(guī)檢查、滲透測試、端口檢查等。ISADM004中國證監(jiān)會XXX機(jī)構(gòu)項目驗收管理規(guī)范本文檔說明了信息系統(tǒng)項目驗收方面的管理要求信息安全事件管理SIM001中國證監(jiān)會XXX機(jī)構(gòu)信息安全事件與脆弱性報告和處置制度本文檔說明了信息安全事件定義、分類、分級，明確安全事件報告責(zé)任和流程等內(nèi)容SIM002中國證監(jiān)會XXX機(jī)構(gòu)信息安全事件應(yīng)急預(yù)案本文檔主要內(nèi)容是中國證監(jiān)會XXX機(jī)構(gòu)總體和專項應(yīng)急預(yù)案，規(guī)范了信息安全事件應(yīng)急工作機(jī)制和應(yīng)急處理流程。業(yè)務(wù)連續(xù)性管理BCM001中國證監(jiān)會XXX機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理制度本文檔用于說明中國證監(jiān)會XXX機(jī)構(gòu)業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃等相關(guān)內(nèi)容。BCM002中國證監(jiān)會XXX機(jī)構(gòu)業(yè)務(wù)影響分析主要說明關(guān)鍵業(yè)務(wù)活動影響、業(yè)務(wù)恢復(fù)目標(biāo)、業(yè)務(wù)恢復(fù)所需資源等相關(guān)內(nèi)容。符合性管理COM001