信息系统安全策略
信息系统安全策略
类别:计算机信息管理制度编码:CI01-2011 起草单位:信息管理部下发日期:2011.2
第一章总则
第一条为了保证中煤张家口煤矿机械有限责任公司(以下简称张煤机)信息系统的安全和发展、保证信息系统的正常运行,特制定本安全策略。
第二条信息系统应用、服务支撑和管理的相关人员应该遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等相关法律、法规以及和张煤机有关安全管理规定的要求。
第三条信息系统包括业务支撑系统(BSS)、运营支撑系统(OSS)、管理支撑系统(MSS)和信息系统基础设施以及内网信息安全体系。
第四条张煤机所属各单位的信息系统管理工作,均应严格遵照本管理办法执行。各单位可以根据本办法,结合实际情况制定本单位实施细则。
第五条信息系统相关部门一般分为信息系统管理部门、信息系统应用部门和信息系统服务支撑部门。
(一)信息管理部作为张煤机信息系统管理部门以及信息系统服务支撑部门;
(二)凡是操作、使用信息系统的单位为信息系统应用部门;
第六条本管理办法由张煤机信息管理部负责解释。
第七条本管理办法自发布之日起执行
第二章总体要求
第八条信息系统的安全实行集中管理制。张煤机信息管理部是信息系统安全的管理部门,负责解决运行管理中的安全问题,并对信息系统应用部门安全管理负有指导、监督和检查责任。
第九条信息系统服务支撑部门负责人必须指定专门的信息系统管理人员和文档管理人员。信息系统管理人员是系统安全的具体责任人,负责所辖系统
机房、信息系统及网络的日常管理和信息安全工作,应经常对信息系统的软件、硬件进行检查和服务支撑,做好安全防范,保证网络能够持续有效地运行,并结合工作需要及时对信息系统上的信息进行更新服务支撑,及时对发布的信息进行复核,公布有效信息,清除垃圾信息等。文档管理人员负责对信息系统安全的关键配置、用户权限变更、重要日志等文档进行保存。
第十条信息系统服务支撑部门应结合本部门的具体情况,负责落实信息安全责任制,定期(至少每月一次)进行信息安全检查,杜绝各类信息安全隐患,做好信息系统安全管理工作,保证信息系统的安全,使其正常高效地运行。
第十一条信息系统服务支撑部门应定期(至少每6个月一次)对所属工作人员进行有关信息系统安全的教育和培训,提高系统管理队伍的整体素质和操作能力。
第十二条各级人员严格遵守通信纪律,增强保密意识,保守通信机密,不能向无关人员泄漏系统及其数据结构、容量配置、统计数据等相关技术资料。
第十三条严格遵守保密制度,有关业务系统数据、报表数据、用户资料数据等均属秘密,不得任意抄录、复制及带出,也不得转告与工作无关人员,不用的草稿、报表应及时销毁。
第十四条信息系统服务器及网络设备必须使用经正式授权的正版软件,不得安装使用任何盗版及与提供服务无关的软件;软件使用部门和个人取得新软件前必须确认其购买与安装是否符合公司的软件使用政策。
第十五条信息系统服务支撑单位应建立信息系统安全事件应急流程预案(包括机房环境、DCN网络、信息系统、终端等)并且进行定期(至少每年一次)演练,发生紧急安全事件时应依照预案流程进行,快速恢复信息系统正常运行。
第三章用户和密码管理
第十六条信息系统服务支撑部门系统管理员为系统中的每一个用户创建唯一的用户帐号。在特定情况下可以使用共享的用户ID,但必须经过授权,并采取额外的控制措施来保证责任到人。用户ID不得体现用户的权限级别。对所有在线的系统无论是本地或远程操作,系统用户都必须通过系统的密码认证。
第十七条帐号密码设置需符合以下安全要求:
(一)密码不得包含常用可以识别的名称或单词、易于猜测的字母或数字序列或者容易同用户发生联系的数据,比如自己、配偶或者子女的生日和姓名等内容;
(二)密码长度至少是六个字符,组成上可以包含大小写字母、数字、标点等不同的字符;
(三)同一密码不得被给定账户在一年内重复使用;
(四)如果在30分钟之内连续出现3次无效的登录尝试,登录界面自动关闭。
(五)厂商默认密码必须在提供该密码的软件安装完毕后马上进行修改。
(六)用户取得各种应用的初始密码后应立即进行更改。
第十八条系统管理员的密码更新后,应将新密码记录送交指定人员封存,并销毁旧密码。当系统管理员发生变化时,新的系统管理员应立即更改密码。
第十九条应制定用户帐号的注册和注销程序,用户申请帐号和权限时,由用户所在部门帐号管理人员提交《用户权限申请表》(见附件一),由用户所在部门主管领导和信息系统服务支撑部门主管领导对用户权限和申请原因等内容进行审批,系统管理员根据审批后的申请表,设置用户的帐号和权限。
第二十条超级权限用户的分配应遵循以下标准:
(一)确定不同系统的超级权限以及需要获得此类特权的人员类型;
(二)超级权限应基于“使用需要”,逐个事件进行分配,即以完成其岗位职责的最低要求为依据,如某些超级权限在完成特定任务后应被收回;
(三)保留所有超级权限分配授权流程的记录。在授权流程结束之前,不得授予特权;
(四)当某用户需要超级权限时,应在其原有的用户ID之外,另行设置一个授予了超级权限的特殊帐户(超级权限应是不同于一般商业用途的用户ID 的另一个ID);
(五)超级用户密码应进行有效和安全的备份,并交由专人保管。
第二十一条系统管理员掌握的超级管理员密码正常情况下应每90天修改一次,由系统管理员修改密码并将修改后的系统管理员帐号密码记录,销毁旧
密码,将修改情况填写在《系统管理员密码记录表》中封存,签封后交信息系统服务支撑部门领导保管,以备紧急情况下使用。
第二十二条应严格执行超级权限用户帐号和密码的登记备案制度,建立在紧急、无法通过正常授权的情况下,备份帐号密码的使用流程。系统管理员将密码记录在纸质的密码记录表上封存,签封后交部门指定人员集中保管,以备急需之用。一旦封存密码使用后,系统管理员应按照要求及时变更密码并重新封存,每次系统管理员更改系统密码时应填写《系统管理员密码记录表》。
第二十三条在发生紧急情况并且不能联系到系统管理员时,经信息系统服务支撑部门领导同意,可以启用封存的密码。一旦封存密码使用后,由系统管理员按照要求及时变更密码,并封存进行集中保管。
第二十四条需定期核查用户的访问权限,并出具《用户权限复核表》(见附件二)。具体要求如下:
(一)用户访问权限应由用户所在部门的管理人员、系统所有人及系统服务支撑人一起确认;
(二)用户帐户的访问权限应至少每6个月检查一次,特殊功能帐户应至少每3个月检查一次,超级帐户应至少每1个月检查一次;
(三)任何变化发生后应进行核查;
(四)定期搜索、检查多余、闲置或非法的账户,并予以冻结或删除;
(五)对核查中发现的问题,应督促相关人员采取必要措施予以纠正。
第二十五条当系统用户由于岗位变动或离职等原因离开原工作岗位时,由用户原所在部门帐号管理人员填写《用户权限申请表》,送信息系统服务支撑部门领导进行审批,审批通过后,系统管理员进行帐号、权限变更。
第二十六条员工有责任和义务保管好个人的各类账号和密码,由于密码泄漏造成的不良后果由员工本人承担。员工不得在任何场合随意公开各种应用的用户名和密码。
第四章机房安全管理
第二十七条信息系统所辖机房的电源系统、空调系统、监控系统、门禁系统、报警系统、消防系统的服务支撑以及对电源电压,地线、接地,环境温、
湿度,各种电缆走线,清洁度,防静电,防霉,防虫害,防火,防水,防易燃、易爆品,防电磁波等方面应当符合国家标准及国家、集团和公司有关规定。
第二十八条信息系统所辖机房的环境管理、内部管理以及进出管理应符合集团和公司有关规定。
第二十九条信息系统安全管理部门定期(至少每6个月一次)检查信息系统所辖机房环境控制机制的效果,并评估对企业信息资源实体的潜在威胁及影响。
第三十条承载公司核心应用系统的机房(即企业数据中心,EDC)应建立异地备份中心和相应的流程预案,能够为信息系统和网络的持续性运转提供持续性的机房环境。
第五章网络安全管理
第三十一条需要全面、系统地考虑整个网络的安全控制措施,并紧密协调,一致实施,以便优化公司运维;明确规定有关网络的规划、实施、运作、更改和监控的安全技术要求,对网络安全状态进行持续监控,保存有关错误、故障和补救措施的记录。
第三十二条网络管理员负责网络的安全管理,网络管理员必须掌握网络管理和网络安全方面的知识。
第三十三条网络管理员必须使用安全工具或技术进行系统间的访问控制,并根据系统的安全等级,相应的在系统的接入点部署防火墙,IDS(入侵检测)等网络安全产品,保证网络安全。
第三十四条除网络安全人员进行网络维护或安全检测外,任何人员不得以任何理由在内部网络利用各类工具或其他手段进行攻击尝试(攻击尝试包括扫描、探嗅网络、架设dhcp或代理服务器、暴力猜测主机或网络设备的用户名和密码等攻击行为)。
第三十五条核心网络设备应有备份设备,采取热备方式,骨干链路应有备份路由,重要的服务器设备应具备冗余网络链路。网络管理员在新的网络设备接入网络前,修改设备的默认密码。
第三十六条公司内部网与互联网等其他网络相连必须采取设立硬件防火墙等隔离措施,进行访问控制,限制外网用户访问内网信息,要求防火墙系统日志
必须记录相关访问信息。相关部门需要通过内部网络访问外网资源时,需经信息系统管理部门主管领导审批同意后,由网络管理员进行配置并记录。网络管理员应定期(至少每月一次)监控是否有不合法的用户访问内网资源。
第三十七条需更改网络配置或进行网络调整前,信息系统服务支撑部门必须提交申请并经主管领导批准。调整网络前后,应对网络配置信息做好备份。
第三十八条将网络管理权限赋予给网络管理人员,明确网络管理员的管理范围(包括所管理的设备清单和管理内容),网络管理员职责如下:(一)至少每月一次监测网络设备资源(CPU、MEM等)的占用情况;
(二)至少每月一次对网络设备配置进行检查;
(三)管理网络设备系统权限,观测系统的安全状况,发现不良入侵,立即采取措施予以制止;
(四)管理网络设备软件版本,以及软件和配置修改工作,进行相应操作时,应做出详细记录,并接受网络管理部门主管定期(至少每月一次)审核;
(五)根据网络系统的运行情况,协助部门领导提出系统的优化、更新方案;
(六)建立并管理网络组织、结构、路由等网络技术档案;
(七)负责对IP地址等网络资源进行分配和管理;
(八)负责对网络结构等进行相应优化、调整,以进一步提高网络效率及安全可靠性;
(九)负责绘制网络拓朴图,并及时更新。
第三十九条IP地址资源由信息系统管理部门统一规划和管理,IP地址、主机名等参数应按照公司所规定的标准进行统一编码和分配。各接入单位应当在规定的范围内,设置计算机及网络设备IP地址。
第四十条网络的IP地址是网络中的重要的资源,严禁盗用他人IP地址、用户名及密码;不得擅自进入未经许可的信息系统或利用网络设备、软件技术更改或者盗用其他单位的网络信息,严禁修改任何网络设备的技术参数。
第四十一条禁止私自将系统内的计算机和其他单位的网络互联,如确实需要和其他单位网络互联,应由双方的系统管理人员和网络管理人员相互配合,设计出切实可行的互联方案(该方案中必须考虑双方的网络和系统安全),取得
相关部门审批同意后方可实施。与其它网络进行互联时,必须在边界处设置防火墙,防止非法数据包的入侵,阻止未授权或未检测的数据向外泄露。
第四十二条严格禁止同一台终端在使用公司内部网络的同时采用拨号、无线、LAN等方式连接其他网络,有业务需要,需要取得信息管理部审批同意后方可实施。
第四十三条网络管理员必须定期(每3个月)对网络设备进行安全漏洞检测,升级或安装必要的系统补丁,预防网络安全漏洞,并记录操作内容。
第四十四条未经允许,任何单位或个人不得擅自外借、移动、拆除和接入网络设备,不得随意变更网络设备及网络结构,确需变更的,严格履行审批手续后,在确保不影响现有系统运行的情况下,由相关技术人员实施或监督实施。
第四十五条采取加密机或加密软件等控制措施,保护通过公共网络传输的数据的机密性和完整性,敏感数据(特别是与财务相关的数据)通过外部网络传输时,必须经过加密处理。
第四十六条网络系统管理部门必须对网络系统管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,网络管理员帐号的使用流程。
第四十七条网络管理部门根据系统和数据的重要程度,应对网络用户的出口信息进行审计。
第六章操作系统安全管理
第四十八条操作系统管理员由信息系统服务支撑部门领导指定专人担任。
第四十九条操作系统管理员主要责任包括:
(一)对操作系统登录帐号、权限、帐号持有人进行登记分配管理;
(二)制定并实施操作系统的备份和恢复计划;
(三)管理系统资源,根据实际需要提出系统变更、升级计划;
(四)监控系统安全状况,发现不良侵入立即采取措施制止;
(五)每1个月检查系统漏洞,根据实际需要提出版本升级计划,需要时按变更流程安装系统补丁,并记录;
(六)检查系统CPU、内存、文件系统空间的使用情况等;
(七)检查服务器端口的开放情况,保证系统的安全;
(八)每月分析系统日志和告警信息,根据分析结果提出解决方案。
第五十条在信息系统正式上线前,由操作系统管理员删除操作系统中所有测试帐号,对操作系统中无关的默认帐号进行删除或锁定。
第五十一条操作系统管理员与应用系统管理员不可兼职,当操作系统管理员变化时,应及时更换管理员口令。操作系统管理员必须创建专门的服务支撑帐号进行日常服务支撑。
第五十二条在本地或远程登录主机操作系统进行配置等操作时,操作完成后或临时离开配置终端时,必须退出操作系统。在操作系统设置上,操作系统管理员将操作系统帐号自动退出时间参数设置为10分钟以内。
第五十三条操作系统管理员执行重要操作时,应开启操作系统日志,对于一些系统无法自动记录的重要操作,由操作系统管理员将操作内容记录在《操作系统服务支撑日志》上,并由部门领导每月进行抽查复核。
第五十四条操作系统的用户权限必须和用户的岗位需求一致。至少每6个月由用户所在部门领导和信息系统服务支撑部门操作系统管理员对系统登录帐号、权限、帐号持有人进行复核,复核用户的权限范围、性质等内容,并将复核结果记录在《用户权限复核表》中。
第五十五条操作系统管理员根据实际情况对系统采用用户名、密码、访问控制列表等方式,设置操作系统的安全参数,保证系统安全。
第五十六条为了防止一些不合法的用户利用操作系统提供的服务,对操作系统进行非法访问和操作,限制FTP、TELNET、WEB、X-Window等网络服务,关闭系统中无须开放的服务和端口。对这些端口的使用要进行审批和记录,并采取必要的安全措施对端口进行监控、管理和防护。
第五十七条操作系统管理员在执行影响操作系统安全和性能的操作时,首先提出修改操作的方案,内容包括:修改原因、修改方法、回退方法、修改时间、业务影响程度等,提交部门领导审批,审批通过后,操作系统管理员进行修改并记录,修改后一周内由操作系统管理员更新《系统配置表》。
第五十八条操作系统中的系统配置参数和关键操作的正确设置是系统安全运行的保障,操作系统管理员每月根据《系统配置表》对系统设置进行复核,记录复核情况到《操作系统服务支撑日志》,并提交部门主管审核。
第五十九条操作系统管理员必须定期(至少每3个月一次)检测操作系统漏洞,发现问题及时修正。
第六十条操作系统管理员必须使用一定的信息安全工具或启用操作系统的安全日志等功能,记录系统中的安全事件。将未经授权而试图访问信息资源等安全事件记录到《操作系统服务支撑日志》,每月交部门领导审阅。
第六十一条操作系统帐号开通、注销以及相关权限的授予应有严格的申请、开通、审核流程。系统管理员必须为每一个用户创建唯一的用户名,以区别身份和划分职责。
第六十二条操作系统管理部门必须对系统管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,系统管理员帐号的使用流程。
第七章数据安全管理
第六十三条数据库管理员由信息系统服务支撑部门领导根据工作需要指定专人担任。数据库管理员与应用系统管理员不能为同一个人,不可兼职。数据库管理员必须创建专门的服务支撑帐号进行日常服务支撑。
第六十四条数据库管理员的职责:
(一)数据库用户注册管理及其相关安全管理;
(二)对数据库系统存储空间进行管理,根据实际需要提出扩容计划。对数据库系统性能进行分析、监测,优化数据库的性能。必要时进行数据库碎片整理、重建索引等;
(三)根据应用系统的需求创建数据库表、索引,修改数据库结构等;
(四)制定并实施数据库的备份及恢复计划,根据备份计划进行数据库数据和配置备份,并检查数据库备份是否成功;
(五)至少每3个月对数据库版本进行管理,提出版本升级计划,需要时安装数据库系统补丁,并做好记录;
(六)监测有关数据库的告警,检查并分析数据库系统日志,及时提出解决方案,并记录服务支撑日志;
(七)检查数据库对主机系统CPU、内存的占用情况;
(八)每月对数据库日志进行分类、归纳,总结当月安全及生产运行情况,编写数据库服务支撑月报,交部门领导审阅并归档。
第六十五条在系统正式使用前,数据库管理员应修改系统默认密码,并对不需要的帐号进行删除或锁定。数据库管理员为每一个数据库用户根据需要的权限建立专门的帐号,以区分责任,提高系统的安全性,用户必须使用自己的帐号登录数据库。
第六十六条数据库系统的关键设备应冗余配置;关键部件在达到标称的使用期限时,不管其是否正常工作,必须予以更换。
第六十七条数据库在安装时一般使用默认端口提供服务,为了提高数据库的安全性,防止被恶意攻击,在安装数据库时,应将重要数据库的端口使用情况进行记录。数据库管理员在对重要数据库端口进行修改或执行影响数据库安全和性能的操作前应提交申请,经主管部门领导审批后方可实施,并及时(至少在一周内)更新记录。
第六十八条数据库系统管理部门必须设置并定期复核(至少每6个月一次)用户权限的性质和范围。
第六十九条数据库系统管理部门必须对数据库管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,数据库管理员帐号的使用流程。
第七十条数据库管理员拥有数据库的最高权限,数据库管理员执行的重要操作都必须进行记录(自动或手动),部门领导每月对记录进行检查。
第七十一条数据库的用户权限和用户的岗位需求必须保持一致。对用户权限的管理本着最低范围、最低权限、本人专用、出现问题本人负完全责任的原则进行管理。
第七十二条数据库管理员定期(至少每月一次)检查数据库配置参数,并由数据库管理部门主管人员定期(至少每月一次)审核安全参数等措施的实施和配置,保证系统参数设置正确。
第七十三条数据库管理员每3个月对数据库进行安全检查与漏洞扫描,及时安装数据库补丁,并出具安全检测报告。
第七十四条为了防止由于单点硬件存储设备的故障,导致数据库的损坏,对于要求持续、无故障运行的数据库,在设计时应使用双机、主备式等技术手段,配置冗余部件,提高系统的可靠性。
第七十五条数据库系统服务支撑人员必须按照信息安全策略使用信息安全工具来记录及报告安全事件(如安全违反记录、非法访问报告),数据库系统管理部门管理人员定期审阅(至少每月一次)这些报告。
第七十六条信息具有不同的敏感度和重要性,信息使用部门应从其机密性、完整性和可用性等安全属性对其进行分级,反映不同的保护要求、优先级和程度。应明确规定信息处于不同载体的标注方法。信息的密级必须被明确标注。根据存储和输出方式的不同,可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出(如:打印、屏幕显示等)时,必须以可视的方式显示其密级。
第七十七条数据库管理员必须每季检查数据库的逻辑结构,数据元素的关联及数据内容,对数据库中数据的完整性进行周期性确认,至少包括实体完整性、域完整性、参照完整性、用户定义的完整性等方面,同时适时进行数据库系统优化工作,如参数调整、重建索引、碎片整理等等。应定时检查数据库表锁,如发现异常的表锁应分析异常表锁原因及相关语句,及时解开表锁。同时根据系统重要程度,应定期(至少每周一次)检查回滚段的使用情况,根据实际使用情况对回滚段进行调整,保证数据库系统的运行效率。对于无用数据的排查结果,应通知相关信息系统应用部门进行确认,对方认可后方能清除。
第七十八条数据库中的数据来自于不同的业务,根据不同业务的性质对数据进行分级。信息系统服务支撑部门应对信息资源进行分类定位,将涉及到企业财务、计费、大客户、资源等数据列为1级数据,其余数据列为2级数据,对1级数据进行外网传输、离线存储操作时应采取加密措施。
第七十九条原则上不允许直接访问数据,如确有需要,应严格申请、审批流程,并且需有人监督访问过程;系统责任人应定期(至少每季一次)回顾直接访问数据的日志记录。
第八十条数据库管理员对重要日志每天进行检查并记录检查结果,发现异常情况立即上报领导,并采取相应措施进行防范。
第八十一条根据数据的安全级别不同建立不同级别的容灾备份机制,同时建立应急流程预案并定期(至少每年一次)进行演练,以确保灾难发生时,能够按照预案流程进行恢复。
第八章应用系统安全管理
第八十二条应用系统管理员由信息系统服务支撑部门领导根据工作需要指定专人担任,应用系统管理员与操作系统管理员、数据库管理员不可兼职。
第八十三条禁止非工作人员操纵系统主机,应用系统管理员不使用系统主机时,应注意锁屏。
第八十四条应用系统正式投入使用前,由应用系统管理员把开发所涉及的应用系统的测试帐号删除,对需要保留的应用系统帐号口令重新进行设置。同时应用系统使用人员在第一次登陆时应对默认密码进行修改。
第八十五条应用系统管理员在执行影响系统安全和性能的关键操作前,必须向信息系统服务支撑部门领导提交《应用系统参数修改申请表》(见附件三),部门领导对修改的内容、时间、原因、方法、人员进行审批,审批通过后,才能对参数进行修改。系统管理员根据修改内容立即更新《系统配置表》。
第八十六条应用系统服务支撑人员必须定期(至少每3个月一次)与系统供应商进行沟通。必要时请系统外包厂商对系统进行检测,如果需要打补丁,及时更新。
第八十七条应用系统服务支撑部门必须根据系统的重要性及其它技术环境, 选择性地启动系统日志功能。应用系统管理员应该检查这些系统安全日志,并分类、归纳,总结当月安全和生产运行情况,编写《应用系统服务支撑月报》,交管理人员审阅。
第八十八条应用系统管理员应记录自己的重要操作活动,按规定的保存期限保存该操作日志。对于系统无法自动记录的重要操作,由人工进行记录。应用系统管理部门主管领导定期(至少每月一次)审核系统管理员的操作日志。
第八十九条应用系统管理部门必须设置并定期复核(至少每6个月一次)用户权限的性质和范围。
第九十条应用系统管理部门必须对应用系统管理员帐号和密码采取备份保护措施,并必须建立在紧急的、无法通过正常授权的情况下,应用系统管理员帐号的使用流程。
第九十一条应用系统管理员必须通过设置应用系统的安全参数等安全措施来限制对应用系统和信息的访问;并定期(至少每月一次)检查应用系统配置参数,并由应用系统管理部门主管人员定期(至少每月一次)审核安全参数等措施的实施和配置,保证系统参数设置正确。
第九章主机安全管理
第九十二条主机系统管理员由信息系统服务支撑部门领导指定专人负责,主机系统管理员与应用系统管理员不可兼职。主机的访问权限由主机系统管理员统一管理,并为系统应用人员分配与其工作相适应的权限。
第九十三条主机系统管理员必须每日检查主机机房工作环境是否满足主机的工作条件,包括24小时不间断电源、温度、湿度、洁净程度等。若主机机房的工作条件不能满足主机的工作要求,应及时向上级主管部门反映,提出改善主机机房的要求,以保障主机设备的安全。
第九十四条主机系统管理员负责系统安全措施的设置,系统用户管理和授权,制定系统安全检查规则,实施对生产系统服务器的访问控制、日志监测、系统升级,防止非法入侵。
第九十五条为保证系统安全性,主机系统管理员负责定期进行系统重要配置文件、数据文件的备份,并做比较检查,如发现数据、文件被更改,须及时上报上级主管,并实施恢复。
第九十六条生产系统禁止安装不必要的服务,关闭不必要的服务端口,安装必要的安全软件,进行必要的安全性配置,使系统具备一定的安全防范和被监控能力。
第九十七条严格控制对服务器的远程拨号接入,特殊情况下应取得上级审批意见,由系统管理员进行临时授权帐号的开放,并对临时开放帐号原因、时间、期限、安全管理员的姓名、外部人员的姓名、所做的操作、对外部人员的监控方法等进行详细记录。严格限制通过超级用户的远程登录,对于需要远程接入进行服务支撑的情况,应提供专门的数据连接通道并通过认证授权。
第九十八条生产系统与测试系统必须严格分开。
第九十九条主机系统管理员必须每日监测主机系统(包括CPU及内存的利用率、主机相关进程等)、主机存储(特别是系统卷的可用空间)、网络设备等工作是否正常。如有异常,查找原因,并进行相应记录处理。
第一百条主机系统管理员必须每日查看主机系统日志和告警信息,分析出错原因,及时解决问题,避免日后出现类似情况。定期(至少每月一次)整理主机系统日志,总结系统的运行和出错情况,分析原因,优化系统。
第一百零一条根据实际情况,在不影响系统性能和正常运转的情况下,具备条件的主机系统应开启审计功能,跟踪监听主要的操作及参数。
第一百零二条如有升级、补丁、更改系统配置等对操作系统的改动,应先对系统进行全备份后执行。主机的磁带机应定期(至少每月一次)清洗。
第一百零三条系统升级扩容以及参数修改等,需制定可行性方案,报信息系统服务支撑部门领导审批,审批通过后按扩容方案进行操作。并跟踪记录修改后的实际效果。
第十章终端安全管理
第一百零四条各计算机终端用户在互联网和DCN网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动。
第一百零五条计算机终端设备为公司生产设备,不得私用,转让借出,除笔记本电脑外,其它设备严禁无故带出生产工作场所。
第一百零六条计算机终端设备均应用于与公司办公生产相关的活动,不得安装与办公生产无关的软件和进行与办公生产无关的活动。
第一百零七条所有计算机终端设备必须统一安装网络防病毒软件,接受公司病毒服务器的统一管理,不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。长期在外使用的计算机终端设备,必须及时升级操作系统补丁和防病毒软件。
第一百零八条计算机服务支撑部门应采取必要的管理工具或手段,检查终端设备是否及时升级操作系统补丁、是否及时更新防病毒软件的病毒库信息。
第一百零九条计算机服务支撑部门应定期检查办公用机器上是否安装或使用游戏、炒股、盗版等非办公软件及任何与工作无关的软件,定期检查是否访问反动、色情网站。
第一百一十条计算机服务支撑部门应定期检查终端设备是否采取了必要的安全管理措施:是否采取了登录密码控制、是否采取了带密码保护的屏幕保护程序。
第一百一十一条各计算机用户应做好自己所拥有的一切口令的保密,并根据密码管理的要求及时修改口令;保管好自己在信息系统上所拥有系统帐号的安全,不得将自己所拥有系统帐号转借他人使用。
第一百一十二条禁止在计算机终端上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但应设置共享的口令,并在使用完之后立刻取消共享。在下班时将自己使用的个人计算机关机。
第一百一十三条禁止在个人计算机上存放重要数据,以及以软盘、移动存储设备、红外设备或手提电脑等形式将重要数据带出系统。
第一百一十四条各终端用户应遵守《中煤张家口煤矿机械有限责任公司信息系统安全策略》中的相关规定。
第十一章防病毒
第一百一十五条所有信息系统的主机和终端必须统一建设防病毒体系和病毒事件应急预案,并进行定期(至少每年一次)演练。
第一百一十六条各部门应在信息系统的主机和各类终端上统一安装性能优良的防病毒软件,并通过人工或系统自动提醒的方式及时对其进行更新。因硬件或操作系统比较生僻而无法安装防病毒软件的主机应注意升级系统补丁、关闭不使用的系统服务和配置相应的访问控制规则。
第一百一十七条防病毒安全管理部门根据病毒警讯在公司发布病毒预警通知及病毒的防范措施,并制定一套流程,确保最新的病毒定义能够及时得到应用。信息系统安全管理部门有责任在公司内部网站首页或大屏幕或公告栏等媒介上及时发布《病毒通告》。公告发布后,各单位应立即安排组织修补。系统安全管理员应了解最新的病毒信息和病毒动向,及时下载杀毒防毒补丁。
第一百一十八条任何主机系统和终端在加载任何软件或数据前,先对该软件或数据进行病毒检查。
第一百一十九条防病毒安全管理部门定期(至少每月一次)对系统中的程序或数据文件进行病毒检查。防病毒安全管理部门主管领导定期(至少每月一次)审阅病毒检查结果。
第一百二十条由于个人计算机系统漏洞或者误操作导致计算机感染病毒程序的,应及时切断本机网络连接。在病毒发作时,应进行相应的诊断、分析和记录,对于因计算机病毒而引起的重要信息系统瘫痪、程序和数据损坏等
重大事故,信息系统应用部门必须及时进行处理。重大疫情应及时上报上级部门或主管领导。
附件一、用户权限申请表
附件二、用户权限复核表
/*
附件三、应用系统参数修改申请表
信息系统安全管理方案措施.doc
信息系统安全管理方案措施1 信息系统安全管理方案措施 为保证医院信息系统的安全性、可靠性,确保数据的完整性和准确性,防止计算机网络失密、泄密时间发生,制定本方案。信息中心安全职责 信息中心负责医院信息系统及业务数据的安全管理。明确信息中心主要安全职责如下: (一)负责业务软件系统数据库的正常运行与业务软件的安全运行;(二)保证业务软件调存数据的准确获取与运用; (三)负责医院办公网络与通信的正常运行与安全维护; (四)负责医院服务器的正常运行与上网行为的安全管理; (五)负责公司杀毒软件的安装与应用维护; (六)信息中心负责管理医院各服务器管理员用户名与密码,不得外泄。 (七)定期监测检查各服务器运行情况,如业务软件系统数据库出现异常情况,首先做好系统日志,并及时向信息室负责人及主管领导汇报,提出应急解决方案。如其他业务服务器出现异常,及时与合作方联系,协助处理。 (八)数据库是公司信息数据的核心部位,非经信息中心负责人同意,不得擅自进入数据库访问或者查询数据,否则按严重违纪处理。(九)信息中心在做系统需求更新测试时,需先进入
备份数据库中测试成功后,方可对正式系统进行更新操作。 (十)业务软件系统服务器是公司数据信息的核心部位,也是各项数 据的最原始存储位置,信息中心必须做好设备的监测与记录工作,如遇异常及时汇报。 (十一)信息中心每天监测检查数据库备份系统,并认真做好日志记录,如遇异常及时向信息中心主管领导汇报。 (十二)机房重地,严禁入内。中心机房环境要求严格,摆放设备异常重要,非经信息中心负责人同意严禁入内。外单位人员进入机房需由信息中心人员专人陪同进入。如需要进行各项操作须经信息中心负责人同意后方可进行操作。 (十三)信息中心负责医院网络与各终端机IP地址的规划、分配和管理工作。包括IP地址的规划、备案、分配、IP地址和网卡地址的绑定、IP地址的监管和网络故障监测等。个人不得擅自更改或者盗用IP地址。 (十四)医院IP地址的设置均采用固定IP分配方式,外来人员的电脑需要在信息中心主管领导的批准下分配IP进行办公。 (十五)用户发现有人未经同意擅自盗用、挪用他人或本人的IP地址,应及时向信息中心报告。 (十六)信息中心负责医院办公网络与通信网络的规划与实施,任何个人或科室不得擅自挪动或关闭科室内存放的信息设备(交换机、网络模块)。
信息系统及其安全对抗-结课论文
研究生课程结课论文论文名称: 课程名称:信息系统及其安全对抗任课教师: 学生姓名: 学号: 学院:信息与电子学院 专业:
目录 1引言 (3) 2课程核心内容 (3) 3系统架构 (4) 4系统不安全因素分析 (4) 5信息安全保障体系设计 (8) 6信息安全与对抗基础层和系统层原理分析 (8) 7信息安全与对抗原理性技术性方法分析 (13) 8参考文献 (15)
1引言 校园网络是实现高校教育信息化的重要设施。一个良好的校园网络不仅成为学校内部管理、培养高素质人才的基础平台,也成为高校提高自身科研效率和创新能力的必备条件。经过多年的建设,国内大多数高校都建成了自己的校园网络,由于高校的环境特别适合以太交换网技术的应用,所以几乎所有高校在网络建设时都采用了高带宽的以太交换机"基于二层或三层组网技术来组建自己的园区网络,具有低延时、高带宽的校园网络应用起来本该一帆风顺,然而实际情况并非如此。 随着近几年高校扩招,各个高校的学生和师生人数急剧扩张,使得初期相对简单的校园网络架构已无法满足其需求学校内部的网络在某种程度上已经超越了一般意义上的校园内网。随着计算机病毒传播及黑客攻击手段越来越智能,影响范围也越来越广,破坏力也越来越大。计算机病毒和局域网中常见的ARP攻击等破坏,随时都可能导致部分或整个网络中断或瘫痪,严重影响高校网络的有效使用。 因此本文详细分析了现在校园网络存在的不安全因素,同时,针对这些不足,结合信息安全与对抗的原理性和技术性方法,本着结合实际、讲求使用,高标准、低投入、易管理和维护的原则,设计了一种信息安全保障体系,该体系同时保持系统的可扩充性,具有实际价值。 2课程核心内容 信息安全及其安全对抗这门课程从是基于现代系统理论,结合自组织、耗散结构以及从定性到定量综合集成的研讨方法,主要突出了安全与对抗领域的基本概念、基本原理和基本方法,重点构建并讲授了现代系统理论的基本内容、信息及信息系统、信息安全与对抗的系统概述、信息安全与对抗的基本原理、信息安全与对抗的原理与技术性方法等,并多以实例说明这些原理和方法在信息系统安全对抗中的具体体现和应用。而本文正好就以校园建设为例,详细的介绍了信息安全与对抗在改进校园网建设的过程中的重要作用。其中著名的“在共道基础上反其道而行之(相反相成)”原理,也在设计校园网信息安全保障体系中彰显。
企业管理信息系统合作建设协议
企业管理信息系统合作建设协议甲方:_________ 地址:_________ 电话:_________ 邮编:_________ 乙方:_________ 地址:_________ 电话:_________ 邮编:_________ 甲乙双方在平等互利的基础上,遵循诚实信用的原则,通过友好协商就甲乙双方合作建设甲方的企业管理信息系统,达成如下协议: 一、本协议的合作原则: 本协议为甲乙双方的初步合作协议,目的是甲乙双方就甲方的企业管理信息系统的管理需求、业务流程、数据处理流程等进行考察、研讨,制定基于乙方产品的系统解决方案,并就项目的建设实施等有关问题达成协议。 二、系统涉及的软件产品及相关服务的价格清单 乙方许可甲方使用的软件产品清单、提供的服务项目及其费用见附件一。 三、质量标准 乙方保证所许可的软件产品符合中华人民共和国有关法律、法
规规定及所附文档的功能说明。 四、软件版权及使用权 本协议中授权许可指的是软件使用权许可,许可使用的软件产品版权属乙方所有,并受《中华人民共和国著作权法》和其他有关法律、法规的保护。 甲方按本 合同 条款规定支付 协议书 上所列软件产品的全部软件使用许可费,乙方授予甲方上述软件产品的合法使用权。 五、软件使用许可费及相关费用 甲方预计向乙方支付的软件使用许可费总计为_________元(大写:_________元整),详细清单见附件。 六、付款 甲方须按下述付款期限,将相关费用支付给乙方。 1、甲方于合同签订当日向乙方支付_________元,作为本项目的定金。 2、甲方应于系统投入使用前,向乙方支付所用软件的使用许可费的50%,并于系统运行3个月内付清余款。 3、甲方于签字后1周内向乙方支付二次开发费的50%,并于
企业信息安全系统管理系统问题研究
实用标准文档录目 I要 ............................................................................................................... 摘....................................................................................................... 1 一、绪论....................................................................... 1 .(一)研究背景和意义....................................................................................... 1 研究背景 1........................................................................................ 3 研究意义 2............................................................................. 4 (二)国外研究综述....................................................................................... 4 国外研究1.2.国研究 . (4) 二、企业信息安全管理现状 (5) 三、企业信息安全管理存在的问题及原因分析 (6) (一)存在问题 (6) 1.企业信息安全意识淡薄 (6) 2.信息安全技术不够先进 (7) 3.企业信息安全相关法律法规不够完善 (7) (二)原因分析 (7) 1.需要提升企业信息安全意识 (7) 2.需要提升信息安全技术 (8) 3.需要落实现有企业信息安全相关法律法规 (8)
IT运维信息安全方案
8.3I T运维信息安全解决方案 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧密结合,体现其价值所在。
安全的概念 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”
企业信息管理系统实施方案
企业信息管理系统实施方案建议书
第1章项目实施方案 (2) 1.1项目建设总体策略................................................................................... 2.. 1.2实施管理体系....................................................................................... 6.. 1.3实施规划......................................................................................... 1.0. 1.4项目协作与沟通机制 .1.1 1.5项目实施主计划与人天概算 (13)
第1章项目实施方案 1.1项目建设总体策略 ECM项目实施的成功与三个方面紧密相关:系统的成功应用=有准备的企业+优秀的实施团 队+专业的项目管理。 在实施阶段用友集团将和“紧密合作,优势互补,共同推动和保证项目成功”,经双方协商后共同组成项目实施团队,分别承担一定的实施任务,发挥相关业务部门特别是实施小组的关键性作用,共同管理项目的实施过程,共同推动项目实施工作,共同完成项目的实施。 在整个项目实施过程中,充分考虑与的实施合作,以项目目标为方向,用友集团提供优秀的软 件系统、优秀的实施团队和成熟的项目管理经验,将充分发挥技术服务能力,双方共同制定项目实施计划,共同推动整个项目的进程。 基于以上总体思路,用友结合的应用和用友项目管理方法论、实施方法论提出本项目设计管理 1.1.1项目实施原则 ECM项目遵循以下实施原则: 基于标准化的流程与规范 对于的管理信息系统实施工作,用友建议遵循标准化、规范化的实施原则,在双方项目实施团队的合作下,用友提供行业及领域专家团队,通过咨询实施过程,形成数据标准化方案,并在此基础上,进行基础数据规范、标准应用模式、业务流程规范的梳理与设计工作,这是标准化管理推进与实施落地的基础,也是管理策略在系统中的固化与优化。 基于知识转移的能力建设 在项目实施期间,项目实施团队及各级企业管理者、关键用户在方案及建设过程的投入与专业性,是项目成功的必要保障。项目期间,建议采用核心实施组+关键用户双层实施组织体系,用友团 队将对实施项目组、机关关键用户群体进行系统培训,转移产品及方案知识,并对项目管理方法及能力进行转移,通过知识及技能转移,对内部项目体系完成能力提升过程,形成项目全公司范围内推广实施能力及知识的有效资源保障。 基于用友方法论的项目管理 项目遵循用友项目管理方法论与实施方法论。方法论提供对项目管控工作的指导原则、流程和方法,规范项目过程、保障项目质量及目标实现,并有效规避风险。在项目实施过程中,将基于用友项目管理方法论,建立项目实施合理目标及相应资源管理体系,规范项目管理流程及方法,确定项目质量目标及控制体系,有效管理项目实施过程及风险。 基于本次项目解决方案的推广复制 基于本次项目解决方案的成果进行归纳、总结、形成标准化体系,并承接数据标准化内容,进行适合管控特点的方案推广应用。推广过程遵循“标准、高质、快速”的原则,依据本次项目管理目标的标准化咨询成果,以标准化解决方案为基础,采取标准解决方案差异分析、快速复制方式进行实施与推广,建立内部有效的能力转移体系与内部运维体系,实现高效、高质
企业信息系统安全防护措施
企业信息系统安全防护措施 企业信息安全现状: 信息安全是随着企业信息化建设面临的最大问题,在普华永道最新发布的全球信息安全状况调查显示,最近一年中国内地和香港企业检测到的信息安全事件平均数量高达1245次,与前次调查记录的241次事件相比,攀升517%。信息安全逐渐成为企业良性发展的最大制约,企业发生信息安全事件后会遭受难以估算的名誉及经济损失,也许一次信息安全事件就可以将一个企业置于“死地”。 企业信息安全的主要威胁及来源: 信息安全主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 从威胁源上划分主要为内部威胁、外部威胁和自然因素威胁。 主要威胁包括: 1.信息泄露:信息被泄露或透露给某个非授权的实体; 2.破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受 到损失; 3.非法使用(非授权访问):某一资源被某个非授权的人,或以非授权 的方式使用; 4.计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害 功能的程序。 主要威胁来源:
1.人为疏忽,比如员工对信息数据使用不当,安全意识差等 2.黑客行为,网络环境被黑客入侵,关键数据被黑客窃取 3.内部泄密,员工为获取非法利益将企业信息资产出售 企业信息系统的安全防护措施: A.内部制度: 建立完善的信息资产管控制度,如关键技术人员的竞业限制,信息数据的分级授权,信息数据的使用规定等 B.网络防护: 1.安装防火墙:防火墙在某种意义上可以说是一种访问控制产品。 它在内部网络与不安全的外部网络之间设置障碍,阻止外界对 内部资源的非法访问,防止内部对外部的不安全访问。主要技 术有:包过滤技术,应用网关技术,代理服务技术。防火墙能 够较为有效地防止黑客利用不安全的服务对内部网络的攻击, 并且能够实现数据流的监控、过滤、记录和报告功能,较好地 隔断内部网络与外部网络的连接。但它其本身可能存在安全问 题,也可能会是一个潜在的瓶颈。 2.网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实 现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于 对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两 者的区别可参见参考资料。网络安全隔离与防火墙的区别可参 看参考资料。
信息安全策略总纲
信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度,为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 (一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。
(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据 (三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 (四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。 (五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
信息系统安全方案(加密机制)
物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。
制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。 本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技
企业管理体系现代建立方案
企业管理体系建立方案 一、建立体系管理所要解决的问题 1、管理大杂烩现象 管理一个企业,就像管理一支军队,必须成系统、成建制,必须有清晰的战略目标,有严密的组织结构,有明确的奖惩机制,一个接一个战役地打,一个接一个山头地攻,来不得半点虚假和花俏,这样企业才能够令行禁止、攻无不克、战无不胜。 随着市场经济的发展,很多企业领导越来越重视企业管理,为了加强企业管理,不惜投资大量的费用进行CI形象策划、广告宣传、产品促销、IS9000认证、5S、绩效考核、甚至建立ERP系统,东一榔头,西一棒子,投入越来越多,花费越来越高,拼凑了一盘“管理大杂烩”,结果企业的管理仍然是危机重重,这里的关键问题是,企业管理缺乏“目标”,企业管理不成“体系”,虽然搞了那么多的办法、制度,但由于没有考虑整个企业各条块之间管理上的互相支持、互相依赖和互相关联!其“事与愿违、成效甚微”,自然也就是情理之中,毫不奇怪了。缺乏系统的管理体系,企业依然缺乏发展后劲。 2、老总文化就是企业文化? 据管理学家统计,中国企业平均寿命只有4.5年,民营企业则更短,只有2.5年。创业者辛苦成立一个企业,历经千难万险,企业却突然之间轰然倒塌,在给公司造成巨大经济损失的同时,对社会也产生极大的负面影响。所以中国企业普遍面临的严峻问题就是如何做强、做大、做长? 企业只靠一两个人的聪明或勤奋是远远不够的,没有一个不断完善的管理体系,企业依然不能持续发展。因此,建立健全管理体系,对企业来说是至关重要的。 3、制度难以执行问题 好的制度总是无法实施。原因在什么地方呢?就在于我们许多公司总是在“人治人”、“人斗人”
的怪圈里运转,靠个人的行为去维系企业的生存,并没有真正建立一套法制的系统来管理我们的企业。 讲到规范化管理,人们会想到:管理规范化就是制度管理,于是就开始定规章制度,公司的制度越定越多,就能说明公司的管理越规范。许多企业导入一个IS9000就认为自己公司的管理已经规范了,但实际情况绝不仅仅只是制定规章制度这么简单。规范化管理就是给企业的管理打好地基。企业规范化管理系统应该包含七个子系统,这是企业管理的六根地基桩:(1)企业发展战略规划系统;(2)企业流程设计系统;(3)组织结构系统;(4)部门及岗位描述系统;(5)规章制度设计系统;(6)企业管理控制系统;(7)企业文化系统;(8)考核系统。要把八根桩深深打入企业地基,在八根桩的基础上经营管理企业,企业大厦就稳了。企业要想做大做强,战略与执行力缺一不可。企业虽有好的战略,会因缺乏执行力而最终失败,因此,很多企业已经认识到执行的重要性。而规范、健全的管理体系正是企业高效执行的关键。相反,管理基础薄弱、管理系统不规范只能造成执行力缺失,使企业腾飞的“翅膀”脆弱不堪。 这就要求企业在重视制度规范的同时,通过建立、健全企业管理体系,不断提升管理系统的水平来完善、发展自己,惟有这样,企业才有能力持续发展、长久生存。 4、没有明确的目标,“摸着石头过河” 无明确工作目标,无明确工作计划,无明确工作程序,无明确工作标准。许多企业的每一个层级的管理人员和基层员工并不明白,也不会制定自己的工作计划,因为总是习惯于等待由上级来下达任务,制定计划。更为严重的是,一些企业的中层管理人员工作几年甚至十几年,却从来不会写自己的工作计划和工作总结。 企业的管理必须要明确的目标,必须配合公司整体战略目标去逐步实施。如果没有互相的支持与联系,企业的管理系统最终还是会瘫痪的。无论是管理人员,还是操作人员,必须在事
企业信息系统安全防护措施
企业信息系统安全防护 措施 标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
企业信息系统安全防护措施 企业信息安全现状: 信息安全是随着企业信息化建设面临的最大问题,也逐渐成为企业良性发展的最大制约,企业发生信息安全事件后会遭受难以估算的名誉及经济损失; 企业信息安全的主要威胁及来源: 信息安全主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。从威胁源上划分主要为内部威胁、外部威胁和自然因素威胁。 主要威胁包括: 1.信息泄露:信息被泄露或透露给某个非授权的实体; 2.破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失; 3.非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用; 4.计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。 主要威胁来源: 1.人为疏忽,比如员工对信息数据使用不当,安全意识差等 2.黑客行为,网络环境被黑客入侵,关键数据被黑客窃取 3.内部泄密,员工为获取非法利益将企业信息资产出售 企业信息系统的安全防护措施:
A.内部制度: 建立完善的信息资产管控制度,如关键技术人员的竞业限制,信息数据的分级授权,信息数据的使用规定等 B.网络防护: 1.安装防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不 安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。 2.网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网 络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。 3.安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络 传输。通常采用访问控制列表技术来控制网络信息流。 4.虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技 术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。 C.数据加密:
企业国有资产信息管理系统方案
企业国有资产信息管理方案 企业国有资产信息管理方案主要提供国有资产产权信息全过程管理,国有企业财务状况管理和监督,以及对企业综合的绩效进行分析和评价,生成企业的绩效评价分析报告。加强对国有企业的产权、资产、财务、绩效等方面的监督管理,满足国有资产保值增值的目标。 一、产权信息管理 通过各级国资委之间,国资委与各监管企业之间的互联,实现国有资产产权登记,记载国有资本从占有、变动到注销的全部过程,加强产权管理,加强国有资产监督管理,实现网上完成各级各类报表生成和管理,对数据进行在线分析,增强决策的科学性和一致性。 1、产权登记备案 国有资产产权登记是国有产权管理的重要基础工作,对直属企业的产权进行登记、跟踪和维护,建立清晰详细的国有产权记录。 2、产权登记情况汇总 对企业产权登记数据进行分类汇总,形成产权登记信息,对文件进行归档。 3、统计分析管理 利用产权登记数据,根据业务需求制定相关统计报表,完成各类汇总统计报表和分析报告,并可对这些数据进行在线分析,增强决策的科学性和一致性,推动产权管理工作的信息化进程,为领导决策提供及时、准确的依据,全面实时了解和掌握企业国有资产分布和变动情况,理顺产权关系。 二、财务状况监督
1、快报管理 1)业务流程 企业财务快报管理用于收集各企业月度财务数据。通过系统将数据进行汇总、分析,从而客观反映企业的整体运营情况,为国资委进一步监督与管理企业提供参考。 企业财务快报管理为月度报表,每月初由咸阳市国资委进行下发,各个企业进行填报,并上报至咸阳市国资委。国资委对所有企业数据进行汇总分析。具体流程如下: ①系统每月下发财务快报; ②企业登录系统,填录报表; ③企业上报报表; ④国资委将审核有问题的报表退回给企业; ⑤企业重新上报给国资委; ⑥所有企业报表审核通过后,国资委汇总本月报表。 2)数据填报 系统可以实现本企业的各项财务数据填报功能。 ①数据保存:保存填写的数据,保存时会自动检查钩稽关系,不满足钩稽关系的数据将无法保存; ②数据重置:将所有报表数据清除,返回未上报的状态; ③数据上报:填报完成并保存后,通过数据上报,即可将报表报送到上级单位,上报之后,本单位的数据将不能再修改。 ④数据导出:可以数据以Excel形式导出并保存到本地计算机上;
企业信息系统安全治理思考
企业信息系统安全治理思考 姜晓亮律师国际法学硕士响应式网站https://www.360docs.net/doc/b612153719.html, 每年都有一些企业发生服务器被挟持,网络瘫痪,密码被盗等网络信息安全案件。企业的正常营运离不开信息系统的支持,而信息安全案件一旦发生,可能会对企业造成灾难性的后果。企业加强网络运行安全与信息安全的防范,做好应对网络与信息安全突发公共事件的应急处理工作,从而最大限度地减轻或消除网络与信息安全突发事件的危害和影响,确保网络运行安全与信息安全。 企业网络和信息安全主要是设备的信息安全,涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统;计算机病毒的防范、入侵的监控;以用户(包括公司职工和外部相关机构人员)为中心的安全管理,包括用户的身份管理、身份认证、授权、审计等等。
1. 信息安全案件的分类和风险分析 1.1 网络安全风险 1)网络体系结构的安全风险。网络平台是一切应用系统建设的基础平台,网络体系结构是否按照安全体系结构和安全机制进行设计,直接关系到网络平台的安全保障能力。企业的网络由内网与外网组成。内网与外网之间应当进行隔离及如何进行隔离。外网的路由是否正确,网络的容量、带宽是否考虑客户上网的峰值,网络设备有无冗余设计等都与安全风险密切相关。 2)网络通信协议的安全风险。网络通信协议存在安全漏洞,网络黑客就能利用网络设备和协议的安全漏洞进行网络攻击和信息窃取。例如未经授权非法访问内部网络和应用系统;对其进行监听,窃取用户的口令密码和通信密码;对网络的安全漏洞进行探测扫描;对通信线路和网络设备实施拒绝服务攻击,造成线路拥塞和系统瘫痪。 3) 漏洞及后门的安全风险。网络操作系统都存在安全漏洞;一些重要的网络设备,如路由器、交换机、电脑、其他存储设备,防火墙等,由于操作系统存在安全漏洞及后门,导致网络设备的不安全。 1.2 系统安全风险 1)操作系统安全风险。操作系统的安全性是系统安全管理的基础。数据库服务器、中间层服务器,以及各类业务和办公客户机等设备所使用的操作系统,都存在信息安全漏洞,由操作系统信息安全漏洞带来的安全风险是较为普遍的安全风险。同时,计算机病毒的传播会破坏数据信息,占用系统资源,影响计算机运行速度,引起网络堵塞甚至瘫痪。
信息安全策略模板
信息安全策略
变更履历
*变化状态:C——创建,A——增加,M——修改,D——删除
目录 1. 目的和范围......................... 错误!未指定书签。 2. 术语和定义......................... 错误!未指定书签。 3. 引用文件........................... 错误!未指定书签。 4. 职责和权限......................... 错误!未指定书签。 5. 信息安全策略....................... 错误!未指定书签。 5.1. 信息系统安全组织............. 错误!未指定书签。 5.2. 资产管理..................... 错误!未指定书签。 5.3. 人员信息安全管理............. 错误!未指定书签。 5.4. 物理和环境安全............... 错误!未指定书签。 5.5. 通信和操作管理............... 错误!未指定书签。 5.6. 信息系统访问控制............. 错误!未指定书签。 5.7. 信息系统的获取、开发和维护安全错误!未指定书签。 5.8. 信息安全事故处理............. 错误!未指定书签。 5.9. 业务连续性管理............... 错误!未指定书签。 5.10. 符合性要求.................. 错误!未指定书签。1附件............................... 错误!未指定书签。
信息系统安全设计方案模板
XX公司 ××项目 安全设计方案 (模板)
<备注:模板中斜体部分用于指导用户填写内容,在采用该模板完成交付物时,需要删除所有斜体内容> XX公司 二〇一X年X月 批准: 审核: 校核: 编写:
版本记录
目录 1编写依据 (1) 2安全需求说明 (1) 2.1风险分析 (1) 2.2数据安全需求 (1) 2.3运行安全需求 (1) 3系统结构及部署 (1) 3.1系统拓扑图 (1) 3.2负载均衡设计 (3) 3.3网络存储设计 (3) 3.4冗余设计 (3) 3.5灾难备份设计 (4) 4系统安全设计 (4) 4.1网络安全设计 (4) 4.1.1访问控制设计 (4) 4.1.2拒绝服务攻击防护设计............................ 错误!未定义书签。 4.1.3嗅探(sniffer)防护设计 (5) 4.2主机安全设计 (6) 4.2.1操作系统 (6) 4.2.2数据库 (7) 4.2.3中间件 (9) 4.3应用安全设计 (11)
4.3.1身份鉴别防护设计 (11) 4.3.2访问控制防护设计 (12) 4.3.3自身安全防护设计 (13) 4.3.4应用审计设计 (13) 4.3.5通信完整性防护设计 (14) 4.3.6通信保密性防护设计 (14) 4.3.7防抵赖设计 (15) 4.3.8系统交互安全设计 (15) 4.4数据及备份安全设计 (16) 4.4.1数据的保密性设计 (16) 4.4.2数据的完整性设计 (16) 4.4.3数据的可用性设计 (17) 4.4.4数据的不可否认性设计 (17) 4.4.5备份和恢复设计 (18) 4.5管理安全设计..................................................... 错误!未定义书签。 4.5.1介质管理.................................................... 错误!未定义书签。 4.5.2备份恢复管理............................................ 错误!未定义书签。 4.5.3安全事件处置............................................ 错误!未定义书签。 4.5.4应急预案管理............................................ 错误!未定义书签。
华扬企业信息管理系统设计方案.
课题名称:华扬企业信息管理系统设计方案
目录 前言 (1) 一、可行性分析报告 (2) 1、目前状况描述 (3) 2、可行性分析 (3) 2.1经济上可行 (3) 2.2技术上可行 (4) 2.3管理上可行 (4) 3、项目目标 (5) 4、设备及平台选择 (5) 5、ROI(投资回报率)分折 (5) 二、需求分析说明书 (5) 1、系统功能结构图(HIPO图) (6) 2、采购系统功能说明 (6) 2.1功能描述 (6) 2.2系统硬件需求 (8) 2.3系统软件配置 (8) 3、现有系统的业务流程图及说明 (8) 4、新系统的业务流程图及说明 (9) 4.1图表 (9) 4.2系统模块说明 (9) 附、课程设计任务书 (11) 课程小组成员一览表 (12)
华扬塑料有限公司信息管理系统设计方案随着华扬公司的高速发展,随着市场竞争的日益激烈、网络信息技术的飞速发展,以及武汉公司的投产,本公司与市场之间的信息传递速成度慢,总部很难及时了解各地产品销售、库存和货款回收的准确数据,在企业营销需要的人、财、物力需求的不断增加,产品的销售费用加速增加,为了公司的企业信息能实现一体化,公司急切需要一个实用、科学、先进、安全及可靠的系统,实行财务、经营、质管、仓库、模具及生产车间统一网络管理,并具有系统的伸缩性,达到资源共享,形成统一高效的系统,可以加强华扬公司对外扩展并管理好远程的分公司。 一、可行性分析报告 1、目前状况描述 广州市华扬塑料有限公司是一家主要从事汽车、摩托车塑料配件的生产,现有员工700多人,年产值3亿人民币,生产产品品种500多种,往来客户有200多家的较具规模的专业公司,广州市华扬塑料广州总部已建成独立的局域网,并于2000年使用金算盘财务软件,但财务和仓库都是单独使用,资源不能共享,没有形成统一高效的系统。2.可行性分析 2、1经济上可行性分析 本项目的针对企业信息一体化的要求设计,建立一个能同时管理多个分公司的资料,也能同时做到集中统计所有分公司资料或统计其中一家或多家分公司的资料的管理系统,必须有足够的资金,故公司领导对建立该管理系统做了一次详细的预算,预算分析表如下:
有关企业信息系统安全问题的研究
有关企业信息系统安全问题的研究 发表时间:2009-12-07T15:56:37.640Z 来源:《中小企业管理与科技》2009年11月上旬刊供稿作者:余凯[导读] 信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在余凯(广东电网公司东莞供电局) 摘要:本文阐述了企业的管理信息系统在运行维护过程中所遇到的各类信息安全问题,以及所采取的对策。总结了解决企业信息系统安全问题的需采取管理手段和技术手段相结合的综合解决方案。 关键词:企业信息系统安全 0 引言 信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,信息系统连续正常运行。 信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言,不可能试图单凭利用一些集成了信息安全技术的安全产品来解决,而必须考虑技术、管理和制度的因素,全方位地、综合解决系统安全问题,建立企业的信息系统安全保障体系。 1 企业管理信息系统安全存在的普遍问题分析 随着信息科技的发展,计算机技术越来越普遍地被应用于企业,而企业的信息系统普遍都经历了由点及面,由弱渐强的发展过程,并在企业内形成了较为系统的信息一体化应用。随着企业信息系统建设的全面开展以及各种业务系统的逐步深入,企业的经营管理等对信息系统的依赖也越来越强,甚至成了企业生存发展的基础和保证。因此企业信息系统的安全可靠性越来越重要,信息系统安全成为企业迫切需要解决的问题。因为信息专业人员面对的是一个复杂多变的系统环境,如:设备分布物理范围大,设备种类繁多;大部分终用户信息安全意识贫乏;系统管理员对用户的行为缺乏有效的监管手段;少数用户恶意或非恶意滥用系统资源;基于系统性的缺陷或漏洞无法避免;各种计算机病毒层出不穷等等,一系列的问题都严重威胁着信息系统的安全。因此,如何构建完善的信息系统安全防范体系,以保障企业信息系统的安全运行成为企业信息化建设过程中发展必须面对并急需解决的课题。 2 企业信息安全解决方案的模型分析 2.1 从关于对信息系统安全的几个认识上的问题: 2.1.1 解决信息系统的安全问题要有系统的观念。解决信息系统的安全问题必须是系统性的不能指望只从任何一方面来解决。从系统的角度来看信息系统由计算机系统和用户组成,因此信息系统安全包括人和技术的因素; 2.1.2 信息系统的安全问题是动态的、变化的; 2.1.3 信息系统的安全的相对的; 2.1.4 信息安全是一项目长期的工作,需制定长效的机制来保障,不能期望一劳永逸。 2.2 企业信息系统安全所采取的策略:根据以上的分析结合多年的实际系统管理经验我认为企业信息系统安全管理系统就是一个在充分分析影响信息系统安全的因素的基础上,通过制定系统完备的安全策略并采取先进、科学、适用的安全技术能对信息系统实施安全监控和防护,使系统具有灵敏、迅速的恢复响应和动态调整功能的智能型系统安全体系。其模型可用公式表示为:系统安全=风险评估+安全策略+防御体系+实时检测+数据恢复+安全跟踪+动态调整 其中,风险评估是指经过充分的分析找出各种可能影响信息系统安全的各种因素(包括技术的和管理的因素),以及这些因素可能对对信息系统安全产生的风险存在的安全风险及可能影响信息系统安全的各种因素进行的分析和报告,是安全策略制定的依据;安全策略是系统安全的总体规划和具体措施,是整个安全保障体系的核心和纲要:防御体系是根据系统存在的各种安全漏洞和安全威胁所采用的相应的技术防护措施,是安全保障体系的重心所在;实时检测是随时监测系统的运行情况,及时发现和制止对系统进行的各种攻击;数据恢复是在安全防护机制失效的情况下,进行应急处理和响应,及时地恢复信息,减少被攻击的破坏程度,包括备份、自动恢复、确保恢复、快速恢复等:安全跟踪是指记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反企业信息系统安全保障体系的目标。动态调整旨在为改善系统性能而引入的智能反馈机制,使系统表现出动态免疫力,取得较好的安全防护效果。在此安全体系模型中,“风险评估+安全策略”体现了管理因素,“防御体系+实时检测+数据恢复”体现了技术因素,“安全跟踪”则体现了制度因素,并且系统还具备动态调整的反馈功能,使得该体系模型能够适应系统的动态性,支持信息系统安全性的动态提升。 3 信息安全管理中管理因素的应用 在安全保障体系中,“风险评估+安全策略”体现了管理因素 3.1 为保障企业信息系统的安全,企业必须成立专门的信息系统安全管理组织。由企业主要领导负责,通过信息安全领导小组对企业的信息安全实行总体规划及管理。具体的实施由企业的信息主管部门负责。 3.2 企业应该出台关于保证信息系统安全管理标准。标准中应该规定信息系统各类型用户的权限和职责、用户在操作系统过程中必须遵守的规范、信息安全事件的报告和处理流程、信息保密;系统的帐号和密码管理、信息安全工作检查与评估、数据的管理、中心机房管理等信息安全的相关的标准,而且在系统运行管理过程中应该根根据发展的需要不断地补充及完善。 3.3 积极开展信息风险评估工作。定期对系统进行安全评估工作,主动发现系统的安全问题。 3.3.1 信息网的网络基础设施(拓扑、网络设备、安全设备等) 3.3.2 信息网网络中的关键主机、应用系统及安全管理 3.3.3 当前的威胁形势和控制措施。 通过对企业信息网内支撑主要应用系统的IT资产进行调查,对存在的技术和管理弱点进行识别,全面评估企业的信息安全现状,得出企业当前的全面风险视图,为下一步的安全建设提供参考和指导方向。为企业信息安全建设打下了扎实的基础。 3.4 加强信息系统(设备)的运维管理,包括如下几方面的措施: 3.4.1 建立完善的设备、系统的电子台帐,包括设备的软、硬件配置以及其它相关的技术文档; 3.4.2 规范系统管理的日常各项工作,包括设备安装、系统安装以及各项操作都进行闭环管理;