(二)网络安全策略
1.保证主要网络设备的业务处理能力具备冗余空间,保证网络各个部分的带宽,以满足业务高峰期需要。
2.根据业务需要,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
3.重要网段与其他网段之间采取可靠的技术隔离手段,不能将重要网段部署在网络边界处且直接连接外部网络。
4.在网络边界部署访问控制设备,根据实际安全需求设置访问控制策略启用访问控制功能。
5.对网络系统中的网络设备运行状况、网络流量、用户行为等进行审计,并对审计记录数据进行分析,生成审计报表,且保护审计数据。
6.对非授权联接行为进行检查,准确定出位置,并对其进行有效阻断。
7.在网络边界处监视攻击行为,记录发生的攻击行为。
8.在网络边界处监视,并维护恶意代码库的升级和检测系统的更新。
9.对登录网络设备的用户进行身份标识和鉴别,并设置身份标识和鉴别方式。
(三)主机安全策略
1.对入网的设备主机进行准入控制,未经审批的设备主机不得入网。
2.对登录操作系统和数据库系统的用户进行身份标识和鉴别,并设置身份标识和鉴别方式。
3.启用访问控制功能,设置访问控制策略,依据安全策略控制用户对资源的访问。
4.对服务器和重要客户端的重要用户行为、系统资源的异常使用和重要系统命令的使用等内容进行安全审计,并对审计记录数据进行分析,生成审计报表,且保护审计数据。
5.确保操作系统和数据库系统用户的鉴别信息,系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
6.能够对重要服务器进行入侵的行为和对重要程序的完整性进行检测。
7.安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库,并支持恶意代码库的统一管理。
(四)应用安全策略
1.提供专用的登录控制模块对登录用户进行身份标识和鉴别,并设置身份标识和鉴别方式。
2.提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。
3.提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,形成审计记录,并对审计记录数据进行分析,生成审计报表,且保护审计数据。
4.确保应用系统用户的鉴别信息,系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
5.具有在请求的情况下为数据原发者或接收者提供数据原发、接收证据的功能。
6.应用系统须具有软件容错功能,提供数据有效性检验功能和自动保护功能。
(五)数据安全策略
1.能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
2.采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。
3.应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。
第四章建立健全安全管理机构
(一)组织机构
1.公司技术部为网络信息安全管理工作职能部门。
2.配备一定数量的系统管理员、网络管理员、安全管理员等。
3.针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。
4.加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。
5.制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
6.定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。
(二)职能
1.系统建设管理
1)明确信息系统的边界和安全保护等级,并组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。