第一章 总则
第一条 目的
为了加强北京思度文库股份有限公司(以下简称“公司”) 系统安全管理,明确岗位职责,规范操作流程,维护系统正常运行,确保计算机信息系统的安全,特制订本制度。
第二条 适用范围
本办法适用于公司涉及服务器的操作系统安全、数据库安全以及应用系统安全。
第二章 术语定义
第三条 安全保障措施
确定系统的安全保障措施,包括技术保障和管理保障。
第四条 安全运营规范
确定企业系统的安全运营规范,包括系统账号安全、密码安全、系统硬件配置安全等。
第五条 安全审计
对企业网络系统进行安全检查和实践,发现安全问题和漏洞,提出改进意见,确保系统的安全性和完整性。
第六条 安全漏洞管理
发现系统中的安全漏洞和隐患,统一管理和修复,避免安全漏洞的持续存在和影响。
第七条 系统审计
对系统日志和事件进行审计,保障系统的操作和访问审计以及系统日志的完整性。
第三章 岗位职责
第八条 网络管理员
负责企业的网络架构和维护,包括网络设备管理、网络优化和维护,确保网络的连通性、可用性和安全性。
第九条 安全管理员
负责企业的网络安全策略和规定制定,并负责实施、监督、评估和改进网络安全规定。
第十条 系统管理员
负责管理和维护企业的系统设施、软件和硬件设备,确保系统的安全性、完整性和可用性。
第十一条 安全审计员
负责对企业的网络系统和安全措施进行检查和审计,发现和排除可能存在的风险和漏洞,确保安全合规性。
第四章 系统安全管理
第十二条 基本要求
系统日常安全管理由系统管理员负责,系统管理员包括操作系统管理员、数据库管理员、应用系统管理员。
(一)操作系统管理员负责管理服务器的操作系统、中间件。
(二)数据库管理员负责管理数据库。
(三)应用系统管理员负责Web应用、业务系统。
第十三条 三权分立原则
原则上禁止系统管理员对公司业务数据进行任何操作,如确因工作原因需要对公司业务数据进行操作,应经基础技术部负责人、业务运营部负责人等审批,并留存详细操作记录,包括但不限于系统管理员操作内容、时间信息。
第十四条 配置管理
服务器的操作系统、数据库以及应用系统的初始配置分别由操作系统管理员、数据库管理员、应用系统管理员或系统集成商根据业务需求分析、系统安全分析以及管理制度规定完成并填写《系统配置表》,报基础技术部负责人审核批准后,进行系统参数配置。
第十五条 日常运维
系统安全日常管理分别由操作系统管理员、数据库管理员、应用系统管理员执行,内容包括系统的日常巡检、配置维护、解决系统故障等。
第十六条 系统运维
系统管理员对操作系统、应用软件、数据库的运行情况每周进行一次例行检查,并填写《系统安全巡检登记表》:操作系统管理员定期检查运行状态、操作系统日志、存储空间等操作系统配置情况,分析是否有异常用户行为;数据库管理员定期检查运行状态、数据库日志、存储空间、数据库配置情况,分析是否有异常用户行为;应用系统管理员定期检查运行状态、应用系统日志、存储空间、应用系统配置情况,分析是否有异常用户行为。
第十七条 操作系统运维
操作系统管理员负责每月检查或下载操作系统升级包,应用管理员负责每月检查或下载应用软件升级包,数据库管理员负责每月检查或下载数据库升级包,操作系统管理员负责定期检查或下载杀毒软件升级包,并及时进行补丁升级,升级前需对升级包进行杀毒处理,应用系统、操作系统、数据库系统升级前须获得应用系统开发商确认并首先在测试环境中测试通过。在升级前需对重要文件进行备份。
第十八条 漏洞扫描
在网络管理员协助下系统管理员每月对服务器进行漏洞扫描,并持续对漏洞风险进行跟踪,在经过测试环境验证测试后,对发现的网络系统安全漏洞由系统管理员进行及时的修补,具体修补操作应按照《变更管理制度》中的细则执行;进行漏洞扫描和修补须形成《漏洞扫描和修补报告》。
第十九条 病毒查杀
操作系统管理员每月对服务器进行全盘杀毒,应由管理员进行手动选择病毒处理方式,病毒查杀结果需及时备份,并及时将备份介质交资料管理员保管。应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对发现的恶意代码进行及时分析处理,并填写《系统拦截病毒报表》。
第二十条 口令管理
系统管理员定期修改系统管理员和应用系统用户的口令,按照《密码使用管理制度》中的系统级密码管理细则、普通用户密码管理细则执行。
第二十一条 系统巡检
系统管理员依据业务需求分析、系统安全分析以及管理制度规定对系统的配置每年至少维护一次,并填写《系统安全巡检登记表》,如需要进行系统配置修改填写《系统修改记录》,报基础技术部主管批准后进行配置。
第二十二条 备份管理
系统管理员应做好备份工作,按照《备份与恢复管理制度》中细则执行。
第二十三条 事件管理
系统管理在日常巡检、或解决系统故障过程中发现任何异常均应及时进行分析并记录,按照《信息安全事件管理制度》,采取必要的应对措施,形成《信息安全事件记录》。
第五章 日常管理规定
第二十四条 准入管理
便携式和移动式设备不能擅自接入内部重要安全区域,如接入后需访问应用系统,需经主管领导审批后,由系统管理员授予相关权限。接入结束后及时通知系统管理员及时收回相关授权。
第二十五条 账号维护
各系统的账号、口令、权限等直接由系统管理员负责维护,账户的审批和权限分配需要相关部门负责人进行申请,系统管理员不得擅自将账号信息等告知未获得批准人员;当人员变更时需要对相关账户进行注销或重新申请处理。
第二十六条 维护记录
系统管理员对于主要系统的设置、修改应当做好登记、备案工作。
第二十七条 第三方管理
严禁厂家通过技术手段对已投入运行的系统进行遥控和远程维护。已经投入运行的系统数据未经批准严禁向厂家或第三方提供。
第二十八条 文档管理
各种系统设计及配置相关资料要注意妥善保存,任何非相关人员查看需经审批,否则一律拒绝提供。
第二十九条 保密管理
严格遵守通信纪律,增强保密意识,保守通信机密,不能向无关人员泄露信息系统的结构、容量、配置等技术资料。
第六章 操作系统安全管理
第三十条 正版系统
应使用成熟、正版的操作系统。
第三十一条 配置管理
在首次使用操作系统时,应对操作系统进行配置管理、网络访问控制、口令管理控制以及屏幕加锁控制。
第三十二条 最小安装原则
系统安装应遵循最少化安装原则,只安装必需的组件。
第三十三条 修改初始密码
在系统安装后应检查系统默认账户。删除非必须的默认账户。保留的默认账户应修改默认密码。
第三十四条 权限管理
账户权限授予依据最小化原则,仅授予账户所需的最小权限,应做到权责分离,用户仅被赋予完成工作所需的权限;确保用户在系统中仅存在一个可使用账户,应定期对账户进行审查,确保用户的权限符合岗位要求且无多余权限。
第三十五条 病毒管理
对于易受攻击的重要服务器应安装防病毒软件,并定期更新病毒库。
第三十六条 口令管理
重要系统账户密码定期修改,密码设置应符合《密码使用管理制度》。应及时删除多余、过期的账户,并定期检查及清理。
第三十七条 变更管理
对于账户名称、权限更改应及时更新操作系统权限分配清单,以及记录操作系统账户权限修改记录。填写《系统修改记录》。
第三十八条 补丁管理
应及时安装系统和应用系统的补丁包,定期检查账户和审计文件。
第三十九条 审计管理
重要系统应开启系统审计功能。记录系统登录日期、时间、类型等相关信息。审计信息不应被随意删除或修改。在审计信息被删除前应存档保存至少3年。
第七章 数据库安全
第四十条 权限管理
应严格控制系统用户的新增,对于应用用户应只授予connect,resource权限,超出此范围的权限应单独申请,并提出明确原因;不允许对应用程序用户赋予DBA权限。详细内容见《系统修改记录》。
第四十一条 资产登记
新安装数据库系统应及时记录数据库相关信息,在相关信息修改后应及时修改数据库基础信息。详细内容见《数据库档案》。
第四十二条 口令管理
数据库用户密码应定期修改,密码设置应符合《密码使用管理制度》。应及时删除多余、过期的用户,并定期检查及清理。
第四十三条 备份管理
重要数据库应根据需要定期备份,详细内容见《备份与恢复管理制度》。
第八章 应用系统安全
第四十四条 输入验证
系统应具备输入数据的确认功能,以确保输入数据的正确性和适用性。
第四十五条 身份鉴别
重要系统应有专门的登录控制模块对登录用户进行身份标识和鉴别。
第四十六条 验证失败管理
重要系统应提供登录失败处理功能,限制非法登录次数。采取结束会话或自动退出等措施。
第四十七条 访问控制
应具有访问控制功能,用户仅能访问其必须的数据、文件。
第四十八条 最小授权
用户权限授予最小化原则。仅授予其完成承担任务所需的最小权限。应做到权责分离,用户仅被赋予完成工作所需的权限;确保用户在系统中仅存在一个可使用账户,应定期对账户进行审查,确保用户的权限符合岗位要求且无多余权限。
第四十九条 安全审计
重要系统安全事件应进行审计。审计自动与应用同时启动,审计信息不能随意删除,删除前应做存档处理。
第五十条 会话安全终止
确保用户会话结束后,程序自动清除访问痕迹,并清除访问的cookie。
第九章 附则
本制度自发布之日起生效。