《网络安全策略.docx》由会员分享,可在线阅读,更多相关《网络安全策略.docx(6页珍藏版)》请在第一文库网上搜索。
1、网络安全策略文档信息单位名称烟台市教育装备与技术研究中心文档名称网络安全策略文档编号YTEDU-CS-2受控状态受控文件扩散范围内部使用制作人尹磊审核人姜静批准人冷作福页数共7页发布日期2018.10.10生效日期2018.10.10版本历史版本日期说明修订人1.02018.10.10创建文件尹磊2.02019.07.17修订尹磊网络安全策略第一章总则第一条为满足烟台市教育城域网网络安全管理、网络安全保障和合规的需要,根据网络安全总体方针,特制订本策略。目的是通过实行各项管理制度,并采取适当的补救措施,处置网络安全风险到可以接受的程度。第二条本策略适用于烟台市教育城域网的所有信息系统及工作人员
2、。第三条网络安全策略由网络安全职能部门负责制定和解释,由网络安全领导小组提出指导思想,网络安全工作组负责具体制定体系化的网络安全管理策略,包括总体策略和具体策略,并每年对策略进行一次修订,经过组织机构负责人签发,按照有关文件管理程序发布。第二章制度管理策略第四条目的建立一套完善的、能够确保网络安全、稳定、可靠运行,抵御黑客、病毒、恶意代码等各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播的文档体系。第五条制定管理制度体系的程序包括:立项、起草、征集意见、协商、审核、签发、公布、备案、解释、修改、废止。第六条制定管理制度体系,应当遵循下列原则:(一) 坚持依据法律、法规和规章
3、的制定原则;(二) 坚持从实际出发,认真调查研究,确保制度的可操作;(三)坚持以可持续发展的原则制定制度,避免因环境的快速变化而频繁修改;(四)坚持从全局出发制定制度,避免制度间相互冲突。第七条管理制度制定管理制度体系由安全方针、管理制度、操作规程和记录四部分组成。由网络安全工作组负责制订管理制度体系,并以文档形式表述。在已有制度基础上,制定工作制度保证各项工作有章可循,并以文档形式表述。管理制度内容一般用条文表述,每条可分为款、项、目,款不编序号,另起自然段,项的序号用中文数字加括号依次表述,目的序号用阿拉伯数字依次表述。内容较多的,可以分章,章下设节。管理规章制度应当条理清楚、结构严谨、用
4、词准确、文字简明、标点符号正确。管理规章制度草案应对起草目的、适用范围、具体规范和施行日期等作出明确规定。管理规章制度应注意与有关法律、法规、规章的衔接和协调。对同一事项,如果做出与法律、法规、规章等不一致的规定,应在报送草案时说明。第八条管理制度审查管理制度起草完成后,草案送网络安全领导小组审查,审查结果主要包含以下几项:(一) 是否符合宪法、法律、法规、规章和国家有关规定;(二) 是否符合本部门实际情况;(三)是否与现行管理规章制度相冲突、重复;(四)格式是否符合要求;(五) 发布范围界定是否准确;(六)其他应当说明的情况。第九条管理制度发布经网络安全领导小组审查管理制度,报请小组组长统一
5、编号以烟台市教育装备与技术研究中心名义签发,应注明发布范围并有收发文登记;另外需做好制度解释和组织学习工作。第十条管理制度评审和修订应由烟台市教育装备与技术研究中心负责文档的评审和修订;应对安全策略和制度的有效性进行程序化、周期性评审,每年修订一次,在发生变化时及时修订,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,每年修订一次,在发生变化时及时修订,并保留修订记录。第十一条管理制度保管策略和制度文档,以及相关的操作规程文档由文档管理员专人保管。借阅相关文档,限定借阅范围,并经过相应级别负责人审批和登记。第三章安全管理机构及人员第十二条安全管理机构及人员为了确保网络安全工作有一
6、个明确的方向,应在管理层成立网络安全领导小组,是网络安全的最高决策机构,下设网络安全职能部门。网络安全职能部门负责处理网络安全管理的日常工作,且至少要有一位专职的安全管理人员负责信息系统安全工作。人员安全管理包括人员录用、人员离岗、人员考核、网络安全教育培训及考核等内容。第十三条职责(一)网络安全领导小组网络安全领导小组是本部门网络安全管理工作的最高领导机构,承担以下方面的工作:1根据国家和行业有关网络安全的政策、法律和法规,批准机构信息系统的安全策略和发展规划;2 .确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;3 .监督安全措施的执行,并对重要安全事件的处理进行决策;4 .
7、指导和检查信息系统安全职能部门及应急处理小组的各项工作;5 .建设和完善信息系统安全的集中控管的组织体系和管理机制。(二)网络安全职能部门网络安全职能部门在网络安全领导小组领导下,负责网络安全的具体工作:1 .根据国家和行业有关网络安全的政策法规,起草组织机构信息系统的安全策略和发展规划;2 .管理机构信息系统安全日常事务;3 .负责安全措施的实施或组织实施,组织并参加对安全重要事件的处理;4 .监控信息系统安全总体状况,提出安全分析报告;5 .指导和检查各部门和下级单位信息系统安全人员及关键岗位人员的信息系统安全工作;6 .建立应急处理小组实施相关应急处理工作(三)网络安全工作组1配备必要的
8、领导和技术管理人员,选用熟悉安全技术、网络技术、系统应用等方面技术人员,明确责任协同工作,统一管理信息系统的安全运行,进行安全机制的配置与管理,对与安全有关的信息进行汇集与分析,对与安全有关的事件进行响应与处置;7 .应对分布在信息系统中有关的安全机制进行集中管理;8 .应接受网络安全职能部门的直接领导。第四章信息化建设策略第十四条对信息化工作实行统一领导,按照上级部门的信息化工作方针、政策,协调跨部门的信息系统项目建设,对信息化工作进行统一领导和管理。制定和发布信息化建设的发展规程、信息标准及信息化规范、规章制度。第十五条各部门信息化建设项目应从本部门实际情况出发,按照信息化建设总体规划和有
9、关要求,遵循“统筹规划、分布实施、满足需求、经济有效、资源共享、安全可靠”的原则,坚持标准化、规范化、通用化、系列化建设。第十六条为了加强信息化建设项目的统一管理,合理利用资源、统一信息标准,避免重复开发和盲目建设,信息化建设项目的立项、审批实行分级管理,各部门将完整需求书面提交到项目负责人,进行规划、论证,报上级立项审批。第十七条上级部门对建设项目的立项报告、可行性研究报告及建设方案等提出书面审查意见。未经审核的项目,不予立项,不得实施。第十八条立项通过审批后,由负责人统一管理、协调并提出需求分析,提供技术支持,并将项目纳入信息化建设框架内,进行资源整合。项目建设完成后,应用系统的运行、设备
10、维护和技术支持交由网络安全领导小组统一负责。第十九条信息化项目建设必须根据标准化要求,执行国家、行业和地方统一的信息标准,自定信息标准(信息编码)的使用需经网络安全领导小组审定批准。第五章物理安全策略第二十条教育城域网核心机房必须选择在经过防震、防火、防雷击验收合格的办公大楼内部,机房的窗户需要有防雨水渗透的能力。第二十一条机房的位置不能是大楼的地下室、一楼房间或是大楼的顶层,机房的正上方不能是用水量大的房间。第二十二条进入机房的工作人员必须由安全管理员全程陪同。第二十三条机房内部必须划分重要设备区、一般设备区、过渡区等区域,对不同区域分别进行管理,区域与区域之间进行物理隔离。第二十四条机房内
11、部必须部署基础防护系统和设备,如电子门禁系统、监控报警系统、防雷设备、消防灭火系统、防水监控系统、温湿度控制系统、UPS供电系统。第六章网络安全策略第二十五条网络中必须部署合理的网络设备和必需的安全设备,并配置合理策略。第二十六条网络设备除接入交换机之外,原则上必需双机热备或存在冷备设备,除接入交换机链接工作终端的线路外,其他线路双线冗余。第二十七条整体网络不能出现流量瓶颈,保证带宽充足。第二十八条重要部门和关键网段必须划分不同网段的IP地址。第二十九条划分网络带宽,突出优先级。第三十条网络边界处必须部署合理的安全设备。第三十一条网络设备必须开启日志审计功能,日志记录留存6个月以上。第七章主机
12、安全策略第三十二条必须对登录操作系统和数据库系统的用户进行身份标识和鉴别。第三十三条操作系统和数据库系统管理用户身份标识不能出现同名用户,口令应有复杂度要求并定期更换。第三十四条操作系统和数据库系统必须启用登录失败处理功能。第三十五条对服务器进行远程管理时,必须采取必要措施,防止鉴别信息在网络传输过程中被窃听。第三十六条为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性,做到专人专号。第三十七条操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在。第三十八条主机必须开启日志审计功能。第三十九条主机必须安装防恶意代码产品,并进行统一管理。第八章应用安全策略第四十
13、条应用系统在登录时必须要求进行身份验证。第四十一条登录应用系统需要符合规范的复杂密码身份验证。第四十二条应用系统中设置的用户都必须是唯一用户名,用户名不能相同,且不能出现多人使用同一账户的情况。第四十三条应用系统必须开启登录失败处理功能。第四十四条应用系统必须开启登录连接超时自动退出等措施。第四十五条应用系统必须开启身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。第四十六条应用系统必须开启日志审计功能。第四十七条应用系统存储用户信息的设备在销毁、修理或转做其他用途时,必须清除内部存储的信息。第九章数据安全策略第四十八条业务应用数据和设备配置信息都必须进行备份,以便发生问题时进行恢复。第四十九条数据备份至其他设备上时,必须使用专门的备份通道,保证数据传输的完整性。第五十条数据本机备份时应检测其完整性。第五十一条数据备份时必须使用专业的备份设备和工具,在数据传输和数据存储时,必须采用加密传输和加密存储。第五十二条数据进行异地备份时,必须利用通信网络将关键数据定时批量传送至备用场地。第八章附则第五十三条本策略由烟台市教育装备与技术研究中心教育技术中心负责解释和修订。第五十四条本策略自印发之日起执行。