网上银行系统信息安全通用规范word版
附件
网上银行系统信息安全通用规范
(试行)
中国人民银行
目录
1使用范围和要求 (4)
2规范性引用文件 (4)
3术语和定义 (5)
4符号和缩略语 (6)
5网上银行系统概述 (6)
5.1系统标识 (6)
5.2系统定义 (7)
5.3系统描述 (7)
5.4安全域 (8)
6安全规范 (9)
6.1安全技术规范 (9)
6.2安全管理规范 (22)
6.3业务运作安全规范 (26)
附1 基本的网络防护架构参考图 (30)
附2 增强的网络防护架构参考图 (31)
前言
1
本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求
本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
GB/T 20984-2007 信息安全技术信息系统风险评估规范
GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求
GB/T 22080-2008 信息技术安全技术信息安全管理体系要求
GB/T 22081-2008 信息技术安全技术信息安全管理使用规则
GB/T 14394-2008 计算机软件可靠性和可维护性管理
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)
《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)
《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)
3术语和定义
GB/T 20274确立的以及下列术语和定义适用于本规范。
3.1 网上银行
商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。3.2 互联网
因特网或其他类似形式的通用性公共计算机通信网络。
3.3 敏感信息
任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4 客户端程序
为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USBKey
一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6 USB Key固件
影响USB Key安全的程序代码。
3.7 强效加密
一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统(例如3DES),应不低于80 位。对于基于因子的公用密钥算法(例如RSA),应不低于1024 位。
4符号和缩略语
以下缩略语和符号表示适用于本规范:
CA数字证书签发和管理机构(Certification Authority)
Cookies 为辨别客户身份而储存在客户本地终端上的数据
COS 卡片操作系统(Card Operating System)
C/S 客户机/服务器(Client/Server)
DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed of Service)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion Detection System/ Intrusion Prevention System)
IPSEC IP安全协议
OTP 一次性密码(One Time Password)
PKI 公钥基础设施(Public Key Infrastructure)
SSL 安全套接字层(Secure Socket Layer)
SPA/DPA简单能量分析/差分能量分析(Simple Power Analysis/ Differential Power Analysis)
SEMA/DEMA简单电磁分析/差分电磁分析(Simple Electromagnetism Analysis/ Differential Electromagnetism Analysis)
TLS 传输层安全(Transfer Layer Secure)
VPN 虚拟专用网络(V irtual Private Network)
5网上银行系统概述
5.1系统标识
在系统标识中应标明以下内容:
―名称:XX 银行网上银行系统
―所属银行
5.2系统定义
网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。
5.3系统描述
网上银行系统主要由客户端、通信网络和服务器端组成。
5.3.1客户端
网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。
因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。
基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。
专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。
5.3.2通信网络
网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。
5.3.3服务器端
网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.4安全域
网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。
安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。具体而言,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。如图1所示:
图1网上银行系统子安全域划分示例图
外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统;
安全区域一:网上银行访问子网,主要提供客户的Web访问;
安全区域二:网上银行业务系统,主要进行网上银行的业务处理;
银行内部系统:银行处理系统,主要进行银行内部的数据处理。
6安全规范
作为金融机构IT业务应用系统之一,网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出;安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出,业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个方面提出。下面将分别对其进行阐述。
6.1安全技术规范
6.1.1客户端安全
6.1.1.1客户端程序
A. 基本要求:
a)客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机
构开发的,金融机构应要求开发商进行代码安全测试。金融机构应建立定期对客户端程序进行安全检测的机制。
b)客户端程序应通过指定的第三方中立测试机构的安全检测。
c)客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端
程序的调试、分析和篡改。
d)客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于Cookies。客户
端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
e)客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows键盘消息等方式
进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。
f)客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进
行防范。
B. 增强要求:
a)客户端程序应保护在客户端启动的用于访问网上银行的进程,防止非法程序获取该
进程的访问权限。
b)进行转账类交易时,客户端程序应采取防范调试跟踪的措施,例如开启新的进程。
c)客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息。
6.1.1.2密码保护
A. 基本要求:
a)禁止明文显示密码,应使用相同位数的同一特殊字符(例如*和#)代替。
b)密码应有复杂度的要求,包括:
?长度至少6位,支持字母和数字共同组成。
?在客户设置密码时,应提示客户不使用简单密码。
c)如有初始密码,首次登录时应强制客户修改初始密码。
d)应具有防范暴力破解静态密码的保护措施,例如在登录和交易时使用图形认证码,
图形认证码应满足:
?由数字和字母组成。
?随机产生。
?包含足够的噪音干扰信息,避免恶意代码自动识别图片上的信息。
?具有使用时间限制并仅能使用一次。
e)使用软键盘方式输入密码时,应对整体键盘布局进行随机干扰。
f)应保证密码的加密密钥的安全。
g)应提醒客户区分转账密码与其他密码。
B. 增强要求:
a) 采用辅助安全设备(例如USB Key或专用密码输入键盘)输入并保护密码。
b) 密码输入后立即加密,敏感信息在应用层保持端到端加密,即保证数据在从源点到终
点的过程中始终以密文形式存在。
6.1.1.3登录控制
A. 基本要求:
a)设置连续失败登录次数为10次以下,超过限定次数应锁定网上银行登录权限。
b)退出登录或客户端程序、浏览器页面关闭后,应立即终止会话,保证无法通过后退、
直接输入访问地址等方式重新进入登录后的网上银行页面。
c)退出登录时应提示客户取下专用辅助安全设备,例如USB Key。
B. 增强要求:
屏蔽客户端使用Ctrl+N等快捷键等方式重复登录。
6.1.2专用辅助安全设备安全
6.1.2.1USB Key
A. 基本要求:
a)金融机构应使用指定的第三方中立测试机构安全检测通过的USB Key。
b)应在安全环境下完成USB Key的个人化过程。
c)USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作在
USB Key内进行。
d)USB Key的主文件(Master File)应受到COS安全机制保护,保证客户无法对其进
行删除和重建。
e)应保证私钥在生成、存储和使用等阶段的安全:
?私钥应在USB Key内部生成,不得固化密钥对和用于生成密钥对的素数。
?禁止以任何形式从USB Key读取或写入私钥。
?私钥文件应与普通文件类型不同,应与密钥文件类型相同或类似。
?USB Key在执行签名等敏感操作前应经过客户身份鉴别。
?USB Key在执行签名等敏感操作时,应具备操作提示功能,包括但不限于声音、指示灯、屏幕显示等形式。
f)参与密钥、PIN码运算的随机数应在USB Key内生成,其随机性指标应符合国际通
用标准的要求。
g)密钥文件在启用期应封闭,禁止以添加新密钥文件的方式对密钥进行删除操作。
h)签名交易完成后,状态机应立即复位。
i)应保证PIN码和密钥的安全:
?采用安全的方式存储和访问PIN码、密钥等敏感信息。
?PIN码和密钥(除公钥外)不能以任何形式输出。
?经客户端输入进行验证的PIN码在其传输到USB Key的过程中,应加密传输,并保证在传输过程中能够防范重放攻击。
?PIN码连续输错次数达到错误次数上限(不超过6次),USB Key应锁定。
?同一型号USB Key在不同银行的网上银行系统中应用时,应使用不同的根密钥,且主控密钥、维护密钥、传输密钥等对称算法密钥应使用根密钥进行分散。
j)USB Key使用的密码算法应经过国家主管部门认定。
k)应设计安全机制保证USB Key驱动的安全,防止被篡改或替换。
l)对USB Key固件进行的任何改动,都必须经过归档和审计,以保证USB Key中不含隐藏的非法功能和后门指令。
m)USB Key应具备抵抗旁路攻击的能力,包括但不限于:
?抗SPA/DPA攻击能力
?抗SEMA/DEMA攻击能力
n)在外部环境发生变化时,USB Key不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于:
?高低温
?高低电压
?强光干扰
?电磁干扰
?紫外线干扰
?静电干扰
?电压毛刺干扰
B. 增强要求:
a)USB Key应能够防远程挟持,例如具有屏幕显示、语音提示、按键确认等功能,可
对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入和确认。
b)未经按键确认,USB Key不得签名和输出,在等待一段时间后,可自动清除数据,
并复位状态。
c)USB Key应能够自动识别待签名数据的格式,识别后在屏幕上显示签名数据或对其
进行语音提示。
6.1.2.2文件证书
此部分要求仅针对C/S模式客户端。
A. 基本要求:
a)应强制使用密码保护私钥,防止私钥受到未授权的访问。
b)用于签名的公私钥对应在客户端生成,禁止由服务器生成。私钥只允许在客户端使
用和保存。
c)私钥导出时,客户端应对客户进行身份认证,例如验证访问密码等。
d)应支持私钥不可导出选项。
e)私钥备份时,应提示或强制放在移动设备内,备份的私钥应加密保存。
B. 增强要求:
在备份或恢复私钥成功后,金融机构应通过第二通信渠道(例如,手机短信)向客户发送提示消息。
6.1.2.3OTP令牌
A. 基本要求:
a)金融机构应使用指定的第三方中立测试机构检测通过的OTP令牌设备。
b)口令生成算法应经过国家主管部门认定。
c)动态口令的长度不应少于6位。
d)应防范通过物理攻击的手段获取设备内的敏感信息,物理攻击的手段包括但不限于
开盖、搭线、复制等。
e)OTP令牌应具备抵抗旁路攻击的能力,包括但不限于:
?抗SPA/DPA攻击能力
?抗SEMA/DEMA攻击能力
f)在外部环境发生变化时,OTP令牌不应泄漏敏感信息或影响安全功能。外部环境的
变化包含但不限于:
?高低温
?强光干扰
?电磁干扰
?紫外线干扰
?静电干扰
B. 增强要求:
a)采用基于挑战应答的动态口令,以防范中间人攻击。
b)OTP认证系统应提供双因素认证功能。
c)OTP令牌设备应使用PIN码保护等措施,确保只有授权客户才可以使用。
d)PIN码和种子应存储在OTP令牌设备的安全区域内或使用其他措施对其进行保护。
e)PIN码连续输入错误次数达到错误次数上限(不超过6次),OTP令牌应锁定。
6.1.2.4动态密码卡
基本要求:
a)动态口令的长度不应少于6位。
b)服务器端应随机产生口令位置坐标。
c)应设定动态密码卡使用有效期,超过有效期应作废。
d)应使用涂层覆盖等方法保护口令。
e)动态密码卡应与客户唯一绑定。
6.1.2.5其他专用辅助安全设备
本部分规定的是已使用的其他专用辅助安全设备,如出现新的专用辅助安全设备,可参照6.1.2节的要求。
a)手机短信动态密码:
基本要求:
?开通手机动态密码时,应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时,应对客户的身份进行有效验证。
?手机动态密码应随机产生,长度不应少于6位。
?应设定手机动态密码的有效时间,最长不超过10分钟,超过有效时间应立即作废。
?交易的关键信息应与动态密码一起发送给客户,并提示客户确认。
b)指纹识别:
基本要求:
?如果通过指纹鉴别客户身份,应防止指纹数据被记录和重放。
?禁止在远程身份鉴别中采用指纹识别。近距离身份鉴别(例如,使用专用辅助安全设备对使用者的身份鉴别)可采用指纹识别。
6.1.3网络通信安全
本部分内容指数据在网络传输过程中采用的通讯协议和安全认证方式,不包括网络基础设施方面的内容。
6.1.3.1通讯协议
基本要求:
a)应使用强壮的加密算法和安全协议保护客户端与服务器之间所有连接,例如,使用
SSL/ TLS和IPSEC协议。
b)如果使用SSL协议,应使用3.0及以上相对高版本的协议,取消对低版本协议的支
持。
c)客户端到服务器的SSL加密密钥长度应不低于128位;用于签名的RSA密钥长度应
不低于1024位,用于签名的ECC密钥长度应不低于160位。
d)应可防止对交易报文的重放攻击。
6.1.3.2安全认证
A. 基本要求:
a)网上银行服务器与客户端应进行双向身份认证。
b)整个通讯期间,经过认证的通讯线路应一直保持安全连接状态。
c)网上银行系统应可判断客户的空闲状态,当空闲超过一定时间后,自动关闭当前连
接,客户再次操作时必须重新登录。
d)应确保客户获取的金融机构Web服务器的根证书真实有效,可采用的方法包括但不
限于:在客户开通网上银行时分发根证书,或将根证书集成在客户端控件下载包中分发等。
B. 增强要求:
a)网上银行系统应判断同一次登录后的所有操作必须使用同一IP地址和MAC地址,
否则服务器端自动终止会话。
b)金融机构应使用获得国家主管部门认定的具有电子认证服务许可证的CA证书及认
证服务。
6.1.4服务器端安全
6.1.4.1网络架构安全
基本要求:
a)合理部署网上银行系统的网络架构:
?合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。
?维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。
?采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。
?部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进行监控。
?在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤。
?采取措施保障关键服务器时间同步,例如,设置网络时间协议(NTP)服务器。
?互联网接入应采用不同电信运营商线路,相互备份且互不影响。
?核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如,核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。
?保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要。
b)访问控制:
?在网络结构上实现网间的访问控制,采取技术手段控制网络访问权限。
?应对重要主机的IP地址与MAC地址进行绑定。
?禁止将管理终端主机直接接入核心交换机、汇聚层交换机、服务器群交换机、网间互联边界接入交换机和其他专用交换机。
?明确业务必需的服务和端口,不应开放多余的服务和端口。
?禁止开放远程拨号访问。
c)网络设备的管理规范和安全策略:
?将关键或敏感的网络设备存放在安全区域,应使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。
?应更改网络安全设备的初始密码和默认设置。
?在业务终端与服务器之间通过路由控制建立安全的访问路径。
?指定专人负责防火墙、路由器和IDS/IPS的配置与管理,按季定期审核配置规则。
?所有设备的安全配置都必须经过审批。
?在变更防火墙、路由器和IDS/IPS配置规则之前,确保更改已进行验证和审批。
d)安全审计和日志:
?应对网络设备的运行状况、网络流量、管理员行为等信息进行日志记录,日志至少保存3个月。
?审计记录应包括但不限于:事件发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。
?应根据记录进行安全分析,并生成审计报表。
?应对审计记录进行保护,避免被未授权删除、修改或者覆盖。
e)入侵防范:
?应严格限制下载和使用免费软件或共享软件,应确保服务器系统安装的软件来源可靠,且在使用前进行测试。
?所有外部存储设备(软盘、移动硬盘、U盘等)在使用前应进行病毒扫描。
?制订合理的IDS/IPS的安全配置策略,并指定专人定期进行安全事件分析和安全策略配置优化。
?应在网络边界处监视并记录以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
?当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标和攻击时间,在发生严重入侵事件时应提供报警或自动采取防御措施。
基本型网络防护架构参考图和增强型网络防护架构参考图分别见附1和附2。
6.1.4.2系统设计安全
A. 基本要求:
a)敏感客户参数修改(包括但不限于密码、转账限额、地址以及电话联系方式)应在
一次登录过程中进行二次认证(包括但不限于静态密码+动态密码)。
b)网上银行系统应具有保存和显示客户历史登录信息(例如时间、IP地址、MAC地址
等)的功能,支持客户查询登录(包括成功登录和失败登录)、交易等历史操作。
c)网上银行系统应根据业务必需的原则向客户端提供数据,禁止提供不必要的数据。
d)在显示经认证成功后的客户身份证件信息时,应屏蔽部分关键内容。
e)网上银行系统应具有详细的交易流水查询功能,包括但不限于日期、时间、交易卡
号、交易金额和资金余额等信息。
f)网上银行系统应具有账户信息变动提醒功能,可使用手机短信、电子邮件等方式实
时告知客户其账户的资金变化、密码修改等重要信息。
g)网上银行系统应具有防网络钓鱼的功能,例如显示客户预留信息等。
B. 增强要求:
a)网上银行系统应具有设置交易限额的功能并且具有默认的金额上限。
b)网上银行系统应支持批量银行账号查询功能和线索排查功能。
6.1.4.3Web应用安全
A. 基本要求:
a)资源控制:
?应能够对系统的最大并发会话连接数进行限制。
?应能够对单个用户的多重并发会话进行限制。
?应能够对一个时间段内可能的并发会话连接数进行限制。
?当应用系统通信双方中的一方在指定时间内未作任何响应,另一方应能够自动结束会话。
b)编码规范约束:
?应依据安全规范编写代码,例如,在应用系统开发中,不能在程序中写入固定密钥。
?在应用系统上线前,应对程序代码进行代码复审,识别可能的后门程序、恶意代码和安全漏洞,例如,缓冲区溢出漏洞。
c)会话安全:
?会话标识应随机并且唯一。
?会话过程中应维持认证状态,防止客户通过直接输入登录后的地址访问登录后的页面。
?转账交易后,应确保使用浏览器的“后退”功能无法查看上一交易页面的重要客户信息。
?网上银行系统Web服务器应用程序应设置客户登录网上银行后的空闲时间,当超过指定时间,应自动终止会话。
d)源代码管理:
?源代码应备份在只读介质中(例如光盘)。
?应严格控制对生产版本源代码的访问。
?应对生产库源代码版本进行控制,保证当前系统始终为最新的稳定版本。
e)防止敏感信息泄漏:
?在网上银行系统上线前,应删除Web目录下所有测试脚本、程序。
?如果在生产服务器上保留部分与Web应用程序无关的文件,应为其创建单独的目录,使其与Web应用程序隔离,并对此目录进行严格的访问控制。
?禁止在Web应用程序错误提示中包含详细信息,不向客户显示调试信息。
?禁止在Web应用服务器端保存客户敏感信息。
?应对网上银行系统Web服务器设置严格的目录访问权限,防止未授权访问。
?统一目录访问的出错提示信息,例如,对于不存在的目录或禁止访问的目录均以“目录不存在”提示客户。
?禁止目录列表浏览,防止网上银行站点重要数据被未授权下载。
f)防止SQL注入攻击:
?网上银行系统Web服务器应用程序应对客户提交的所有表单、参数进行有效的合法性判断和非法字符过滤,防止攻击者恶意构造SQL语句实施注入攻击。
?禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。
?数据库应尽量使用存储过程或参数化查询,并严格定义数据库用户的角色和权限。
g)防止跨站脚本攻击:
?应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。
h)防止拒绝服务攻击:
应防范对网上银行服务器端的DOS/DDOS攻击。可参考的加固措施包括但不限于:?与电信运营商签署DOS/DDOS防护协议。
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息安全管理系统
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
网上银行信息系统安全通常规范标准
附件 网上银行系统信息安全通用规范 (试行) 中国人民银行
目录 1 使用范围和要求 (4) 2 规范性引用文件 (4) 3 术语和定义 (5) 4 符号和缩略语 (6) 5 网上银行系统概述 (6) 5.1 系统标识 (6) 5.2 系统定义 (7) 5.3 系统描述 (7) 5.4 安全域 (8) 6 安全规范 (9) 6.1 安全技术规范 (9) 6.2 安全管理规范 (22) 6.3 业务运作安全规范 (26) 附l 基本的网络防护架构参考图 (30) 附2 增强的网络防护架构参考图 (31)
前言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/'IT20983-2008信息安全技术网上银行系统信息安全保障评
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
系统与信息安全管理
一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线 路、网络设备、安装在服务器上的操作系统、业务系统、应用系 统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问, 探测,利用,更改等操作。 二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新,拓扑结构图上应包含 IP地址,网络设备名称,专线供应商名称及联系方式,专 线带宽等,并妥善保存,未经许可不得对网络结构进行修 改。 B、网络结构必须严格保密,禁止泄漏网络结构相关信息。 C、网络结构的改变,必须提交更改预案,并经过信息总监的 批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。
E、妥善保管现有的网络访问控制列表,其中应包含网络设备 及型号,网络设备的管理IP,当前的ACL列表,更新列表 的时间,更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致,如不一 致,申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时,必须备份原有ACL,以防误操作。 I、ACL配置完成以后,必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本,设备当前配置清单。 L、定期检查设备配置是否与业务需求相符,如有不符,申请更新配置。 M、配置网络设备时,必须备份原有配置,以防误操作。 N、配置完成之后,必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。
信息安全管理规范标准
信息安全管理规公司
版本信息 修订历史
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(级别)规定 (7) 1.6现行级别与原有级别对照表 (8) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (10) 1.10信息资产处理和保护要求对应表 (10) 1.11口令使用策略 (12) 1.12桌面、屏幕清空策略 (13) 1.13远程工作安全策略 (14) 1.14移动办公策略 (14) 1.15介质的申请、使用、挂失、报废要求 (15) 1.16信息安全事件管理流程 (17) 1.17电子安全使用规 (19) 1.18设备报废信息安全要求 (20) 1.19用户注册与权限管理策略 (20) 1.20用户口令管理 (21) 1.21终端网络接入准则 (21) 1.22终端使用安全准则 (22) 1.23出口防火墙的日常管理规定 (23) 1.24局域网的日常管理规定 (23) 1.25集线器、交换机、无线AP的日常管理规定 (23) 1.26网络专线的日常管理规定 (24) 1.27信息安全惩戒 (24) 2. 信息安全知识 (25) 2.1什么是信息? (25) 2.2什么是信息安全? (25) 2.3信息安全的三要素 (25)
2.4什么是信息安全管理体系? (26) 2.5建立信息安全管理体系的目的 (27) 2.6信息安全管理的PDCA模式 (28) 2.7安全管理-风险评估过程 (28) 2.8信息安全管理体系标准(ISO27001标准家族) (29) 2.9信息安全控制目标与控制措施 (30)
公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
网上银行安全与隐私保护管理办法及策略
网上银行安全与隐私保护管理办法及策略 一、网上银行业务风险管理体系及主要内容 依据中国银监会《内部控制评价办法》、《电子银行业务管理办法》、《电子银行安全评估指引》的要求,本行网上银行业务风险管理的主要内涵包括以下方面内容: (一)网上银行业务风险管理的主要内容 根据网上银行业务的自身特点,结合本行实际情况,本行的网上银行业务风险体系的构成包括: 1制定明确的网上银行业务风险管理政策 ·本行网上银行业务风险涉及的范围和领域; ·本行网上银行业务风险控制的目标和能够承担的风险水平; ·网上银行业务风险管理的组织结构、权限结构和责任机制; ·网上银行业务风险的识别、计量、监测和控制程序; ·网上银行业务风险的报告体系; ·网上银行业务风险管理信息系统 ·内部控制和外部审计; ·网上银行业务风险资本的分配; ·对重大网上银行业务风险情况的应急处理方案。 2网上银行业务风险的识别、计量、监测和控制程序 传统银行所面临的各类风险如信用风险、流动性风险、利率风险
和市场风险等,这些在网上银行业务中仍然存在,但是其表现形式上则有所变化,对网上银行业务风险进行全面的识别目前还存在一定的困难,还需要不断摸索规律、积累经验,因此本行将努力引入有效的方法来识别网上银行业务的风险,同时逐步根据新资本协议的要求来计量和监测网上银行业务风险: ·加强对防范网上银行业务风险的规章制度建设; ·加强对业务合规性的控制; ·加强对员工管理,防范道德风险; ·完善信息系统,提高通过技术手段防范网上银行业务风险的能力;·研究和引入有效的定性或定量的计量和评估网上银行业务风险的模式或方法; ·制定应急准备; 3实行对网上银行业务风险管理的独立的内、外部审计 内、外部审计应包括:本行组织结构、所有业务和管理管理流程、人员的工作状况、各部门的运行情况、人事变动、客户投拆、系统运行状况等各个环节。 (二)网上银行业务风险管理职能的分布 1董事会 ·承担对网上银行业务风险管理实施监控的最终责任,确保本行有效地识别、计量、监测和控制业务所承担的各类风险,包括:
网络信息安全管理系统
网络信息安全管理系统 网络信息安全管理系统主要用以内部人员的上网行为进行管理,对其所发布的信息进行审计,防止不良信息散发到互联网上,阻止学生访问不良网站,阻断不必要的网络应用,合理利用网络资源,创造一个绿色的上网环境。 技术要求如下: 1、产品基本要求: 产品部署产品可通过旁路、透明桥接、网关三种对网络数据流进行采集、分析和识别, 实时监视网络系统的运行状态,记录网络事件、发现安全隐患,并对网络活动的相关信息进行存储、分析和协议还原; 在旁路方式下,系统可以支持多个网口同时采集数据。 产品资质必须具备中华人民共和国公安部的《计算机信息系统安全专用产品销售许可 证》,通过以下检测标准: 1) GA658-2006 互联网公共上网服务场所信息安全管理系统信息代码 2) GA659-2006 互联网公共上网服务场所信息安全管理系统数据交换格式 3) GA660-2006 互联网公共上网服务场所信息安全管理系统上网服务场所端功 能要求 4) GA661-2006 互联网公共上网服务场所信息安全管理系统远程通讯端功能要 求 5) GA663-2006 互联网公共上网服务场所信息安全管理系统远程通讯端接口技 术要求
6) MSTL_JBZ_04-024 互联网公共上网服务场所信息安全管理系列标准检验实 施细则 网络接口产品为硬件形态具有2个以上1000M网络接口 2、系统封堵功能: 系统提供的不良网站1、系统提供百万条以上网址列表,并支持网址库的自动在线升级; 数量和分类 2、网址库具有不良网站的分类,包括不良言论、暴力、毒品、色情等不良网址。用户可以自定义网站支持用户根据学校内部的网络应用特点自行定义网站分类和网站站点,系统可分类以对自定义的网站进行按管理策略进行封堵或放行等监控。对IM类软件的控管 IM类协议的识别: QQ |--文件传输 |--音视频 |--网络硬盘 |--游戏 |--远程协助 |--聊天 MSN |--聊天 |--文件传输 |--音视频 |--游戏 Yahoo |--文件传输 |--视频
完整word版信息安全管理办法
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管 理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管 理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障建设、信 息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信息安全指 导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助IT 中心 开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。 2、负责落实相关信息安全管理工作在部门内的实施。
3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高人员的 信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是"后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包 括拓扑结构(含分支网络)、网络设备配置等相关文档,网络技术文档由网络管理员保管。 第五章主机安全管理
企业内部信息安全管理体系
企业内部信息安全管理体系 建议书 太极英泰信息科技XX
目录 1理昌科技网络现状和安全需求分析:2 1.1概述2 1.2网络现状:3 1.3安全需求:3 2解决方案:4 2.1 总体思路:4 2.2TO-KEY主动反泄密系统:5 2.2.1系统结构:5 2.2.2系统功能:6 2.2.3主要算法:6 2.2.4问题?7 2.3打印机管理错误!未定义书签。 2.3.1打印机管理员碰到的问题错误!未定义书签。 2.3.2产品定位错误!未定义书签。 2.3.3产品目标错误!未定义书签。 2.3.4概念—TO-KEY电子钥匙预付费错误!未定义书签。 2.3.5功能错误!未定义书签。 3方案实施与成本分析错误!未定义书签。 1企业网络现状和安全需求分析: 1.1 概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要
解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2 网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3 安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求,和目前的网络现状,我们可以从下面几个方面去考虑信息泄露的途径: ●通过网络方式将信息发送出去,包括MAIL、QQ、MSN、FTP等多种文件传输方 式。 ●通过对内部网络的窃听来非法获取信息 ●内部人员在其他人的计算机上种植木马,引导外部人员获取XX信息。可以有效逃 避网络督察的监控。 ●内部人员将文件以密文方式发送出去,也能逃避网络督察的监控,网络上的加密工 具太多了。 ●通过COPY方式将文件传送出去。 ●非法获取内部非自己权限内的信息,包括获取他人计算机上的信息以及越权访问服 务器上的信息等。 ●网络管理人员将服务器上的信息复制出去。 ●制造计算机硬盘故障,将硬盘以维修的理由携带出去。 ●制造计算机故障,以维修的理由,将计算机带出公司 ●内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。
信息安全管理操作规范
信息安全管理操作规范(初稿) 一、目的 为了保护圆融光电公司的自主知识产权,保证圆融光电公司所有数据的安全、信息系统和计算机本身的稳定以及规范管理员工的行为操作,特制定本操作规范。 二、定义 1.信息系统:指网络系统、软件及软件系统、硬件及服务器等,不包括公司内生产专用设 备自带的控制系统 2.信息安全:指物理安全、数据安全、信息系统安全; 3.合同方:是指与圆融光电公司签订相关合作合同的外部单位或组织; 4.外来信息化设备:非圆融光电公司(资产的信息化设备,如供应商及员工个人的笔记本 电脑、台式电脑等。 三、范围 1.适用范围:圆融光电公司所有部门; 2.网络组成部分包括下述内容: 2.1.可以输出话音和电子信息的所有电缆; 2.2.可以控制话音通讯和电子信息通讯的,以及所有可用于控制信息流的计算机; 2.3.所有计算机部件,包括(但不仅限于)--显示器、机箱、存储计算机、调制解调器、内 存芯片、键盘、鼠标、网卡和电缆; 2.4.所有计算机软件; 2.5.所有输出计算机,包括便携式计算机、台式机及图形工作站、打印机和传真机; 四、职责 1.信息部: 1.1.负责圆融光电公司信息网络的整体安全体系设计及需求分析、整体网络安全项目实施、 策略部署及信息安全项目相关文件的归档管理; 1.2.负责圆融光电公司信息安全相关制度及流程的建设; 1.3.负责对计算机信息系统安全保密方面的薄弱环节进行评估,并提出整改措施。 2.圆融光电公司各部门 2.1.将信息安全作为工作的一部分,纳入年度及月度工作中; 2.2.负责执行公司相关信息安全制度及流程;
2.3.负责配合完成各项信息安全建设工作。 五、内容 1.信息机房管理 1.1.日常管理 工作人员应认真阅读机房管理条例,执行机房的各项规章制度和管理办法; 定期检查安全保障计算机,确保其处于正常工作状态; 建立并严格执行机房管理制度,无关人员未经安全责任人批准严禁进出机房; 注意安全用电,任何人启动计算机前应检查通电情况,若有不正常现象应立即通知管理 人员; 使用计算机应按其性能正规操作,严禁用湿物接触电源、电器、以免发生意外; 经常检查门窗、插销、门锁是否完好,发现问题及时处理,做好防盗工作; 加强计算机的安全防范工作,保持室内清洁、干燥、空气疏通、安全用电、注意防火、 防盗、防尘; 保持机房安静,严禁在机房内大声喧哗、吵闹; 对出现意外、设备及安全事故的,按公司《安全生产管理手册》中相应规定执行; 2.用户操作安全管理 本规定是对网络用户在使用企业信息网络时需要遵守的安全规范进行定义。 2.1.操作人员不得利用国际互联网从事危害国家安全、泄露国家秘密、泄漏公司秘密等违法 犯罪活动; 2.2.严格遵守上机操作规范,不得携带非法、盗版及未经网络管理人员许可的光盘及各种软 件上机使用; 2.3.进入互联网后,上网人员应遵守国家有关法律和公司保密管理制度: 不得擅自进入未经许可的计算机系统或改动他人信息; 不得在网络上散发恶意信息、冒用他人名义发送信息、侵犯他人隐私; 不得制作、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动; 不得浏览、发布、拷贝有关淫秽、迷信、反动等不健康的内容或无故向他人发送恶意的 挑衅性的邮件和商业广告;由此造成的一切法律责任均由用户本人负责; 2.4.所有的网络维护操作,包括对桌面系统配置的修改,都只能由信息部相关技术工程师执行,其他各部门员工或合同方,都不允许修改系统及公司提供其使用的工作站;下列行为是违规的,且被认为是对系统修改的行为:
信息安全管理系统建设方案
XXX有限公司 信息安全管理系统 建设方案 天津市国瑞数码安全系统有限公司 二○一三年八月
目录 1.................................................................................... 项目背景和必要性3 2........................................................................................ 系统现状和需求分析4 3....................................................................................................... 建设方案5 3.1................................................................................................. 建设原则 5 3.2................................................................................................. 系统设计 6 3.2.1 ............................................................................... 系统总体逻辑架构 6 3.2.2 ................................................................... IDC信息安全管理系统架构 9 3.2.3 ............................................................................ 系统部署及网络拓扑 10 3.2.3.1................................................................................... 总体网络部署 10 3.2.3.2................................................................................ 系统管理端部署 12 3.2.3.3......................................................................... 执行单元(EU)部署 13 3.2.4 ............................................................................... 项目实施所需资源 14 3.3................................................................................................. 建设内容 16 3.3.1 ..................................................................... ICP/IP地址备案管理系统