1. 背景の概要
随着信息技术的不断发展和应用,对网络安全管理提出了新的挑战。为加强和规范的网络安全工作,提高我单位网络的 整体安全防护水平,实现网络安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。
本文件的目的是为网络安全管理提供一个总体的框架,将指导单位网络安全管理体系的建立。安全管理体系的建立为我单位信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与网络安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。
2. 全体の枠組み
三分技术,七分管理,任何技术措施都需要在完善的管理下才可以发挥最大的作用;木桶效应也可以充分说明,威胁总是会利用最脆弱的方面攻破安全的堡垒。企业网络安全只有做到全面提升,才能有效防控可能发生的安全事件。
在对网络安全等级保护基本要求的内容进行梳理,总结各层面内容的基础上,绘制出了我单位网络安全保障体系架构图(如图1)。此安全架构是在我单位总体方针和安全策略的指引下来规划全面的网络安全管理内容。大的层面分为三个体系,即管理体系、运营体系和技术体系。管理体系主要以机构、人员和具体各方面的管理制度为管理目标;运营体系包括系统建设和系统运维两方面中分别的相关阶段或方面的管理内容;技术体系遵从一个中心,三重防护的理念,对安全物理环境、安全通信网络、安全区域边界、安全计算环境各层面相关控制点进行了梳理总结。
3.文書管理
3.1 国内法規制
法律カテゴリー:「中華人民共和国ネットワークセキュリティ法」
規制: 「コンピュータ情報システムのセキュリティ保護に関する中華人民共和国の規制」
《关键信息基础设施安全保护条例》
《网络安全等级保护条例》
ファイルクラス:
「情報セキュリティ保証の強化に関する国家情報化指導グループの意見」
「情報セキュリティレベルの保護に関する実施意見」
「国家重要情報システムのセキュリティレベル保護及び格付けの実施に関するお知らせ」
「情報セキュリティレベル保護登録実施規程」
「情報セキュリティレベル保護セキュリティ構築・是正工事の実施に関する指導意見」
「電子政府土木工事事業における情報セキュリティリスク評価の強化に関するお知らせ」
「情報セキュリティレベル保護評価制度の構築推進について」
「公安機関情報セキュリティレベル保護検査業務仕様書」
3.2 社内規程および管理措置
信息系统的安全管理需要明确信息系统的安全管理目标和范围,针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,制定包括系统设施和操作等内容的系统安全目标与范围计划文件。
信息系统安全管理策略包括:制定规划策略、机构策略、人员策略、管理策略、安全技术策略、生命周期策略等,形成体系化的信息系统安全策略。
管理制度包括:根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度。涉及到文档管理、管理职责、人员安全管理规定、安全意识与安全技术教育、安全审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定、灾难恢复管理规定、网络安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定以及相关的操作规定、设备使用管理规定、安全配置、测试和脆弱性评估、系统信息安全备份和相关的操作规程、网络连接检查评估、网络使用授权、网络检测、网络设施(设备和协议)变更控制和相关的操作规程等方面的网络安全管理规定;应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定;存储介质管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等。
3.3 安全な操作手順
安全操作规程是指各项具体活动的步骤或方法,可以是一个操作手册,一个流程表表单或一个实施方法,但必须能够明确体现或执行网络安全策略或网络安全所要求的策略或原则。提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施,从整体上保护信息免遭非授权的泄露和破坏,保证信息系统安全正常运行。
需要针对重要等级保护对象中部署的关键网络安全设备、主机操作系统、数据库管理系统等建立安全配置规范。应包含《ORACLE安全配置基线》、《SQL Server 2008安全配置基线》、《Windows 7操作系统安全配置基线》、《Windows Embedded Standard操作系统安全配置基线》、《Windows Server 2012操作系统安全配置基线》、《Windows2008操作系统安全配置基线》、《摩莎MOXA交换安全配置基线》等。
3.4 台帳管理
各类设备、软件或是服务类信息都应建立台账(附件1),以便于查询、利用和管理。各项台账由涉及的责任部门负责对其进行登记、增减、修改,每季度对各项台账进行更新。已录入的信息未经部门领导的审批,不得随意更改数据。由信息中心监督各部门的台账数据的落实工作,确保台账数据的准确性、及时性和完整性。
4.組織体制
4.1 組織の説明と安全責任
図 1: ネットワーク セキュリティ組織図
4.2 企業レベル
明确公司网络安全和信息化委员会为网络安全最高领导组织,网络安全和信息化委员会办公室设在公司信息中心。网络依据《网络安全等级保护定级指南》进行自主定级,已定级网络分别在规划设计、建设、使用阶段由相关主管部门对该网络安全负责。
4.3 サブブランチレベル
子会社および支店は、独自の情報管理部門を設置し、会社の情報センターによる子会社および支店の関連するネットワーク セキュリティ業務の管理を支援します。
4.4 システムレベル
ネットワーク セキュリティの責任は、「担当する者が責任を負い、構築する者が責任を負い、使用する者が責任を負い、維持する者が責任を負う」という原則に基づいており、さまざまな期間におけるネットワーク セキュリティの責任は、当期の主管部門に遡ります。 、各ネットワークの責任者は部門自体が決定します。各部門の責任者は、部門内のネットワークセキュリティの第一責任者とします。
5. ネットワークセキュリティレベルの保護管理措置
5.1 評価
異なる時期のネットワークについては、国家安全保障、経済建設、社会生活におけるネットワークの重要性を踏まえ、建設部門または運営部門が「ネットワークセキュリティレベル保護格付けガイド」を参照して格付け作業を実施する必要がある。ネットワークレベルは、破壊後の国家安全保障、社会秩序、公共の利益、関連する国民、法人、その他の組織の正当な権利と利益などの要因に基づいて決定されます。機能が失われたり、データが改ざん・漏洩・紛失・破損した場合。
5.2 ファイリング
针对不同时期的网络,备案材料由承建或运行部门组织编制备案材料,然后统一提交监管部门进行复审,由监管部门负责统一向市公安局进行备案,并指定专人负责与市局的联系。
5.3 評価
レベル評価は、「ネットワークセキュリティレベル保護の基本要件」に基づき、企業の実態と合わせて、レベル2以上のネットワークに対するレベル保護セキュリティ評価を実施します。企業は、関連する国家技術資格とセキュリティ資格を有する経験豊富な第三者評価機関に委託し、ネットワーク分類の申請状況に基づいて、ネットワークセキュリティ法、規制、基準に厳密に従って等級保護評価を実施し、等級保護を発行する必要があります。評価報告書。
評価プロセス中、評価業務を組織した部門は、成績評価業務の時間計画、実施計画などを検討し、システム内のすべての部門を調整して成績評価業務の開発に積極的に協力する責任を負う必要があります。 、成績評価作業の円滑な進行を調整します。
6. 緊急時の対応
应提高处置网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,确保网络的实体安全、运行安全和数据安全,最大限度地减轻网络安全突发事件的危害,保护网络安全,维护公司间的正常通讯渠道。
应急工作应遵守“预防为主、快速反应、分级负责、常备不懈”的原则。应制定安全事件报告和处置管理制度,明确安全事件分级管理、不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
7. ネットワークセキュリティ保護
7.1 全体的な保護
多層防御システムを確立し、防御、検出、回復メカニズムを確立します。
(1) 総合的かつ徹底した防御体制:各種防御機構の構築を可能な限り万全にし、各種攻撃に対する防御手段、すなわちネットワークファイアウォール、侵入防止システムの導入を検討すること、アンチウイルスゲートウェイ、インターネット挙動管理・ネットワーク監査 システム、データベースファイアウォール、(WEB)アプリケーションファイアウォール、ホストファイアウォール、端末セキュリティ管理、OS強化、ウイルス対策ソフトを含む総合的な防御体制を構築します。
(2) セキュリティ戦略の最適化と強化: ネットワークの防御線と防御メカニズムを整理し、洗練された制御戦略を採用し、さまざまなサービスのオープン、マッピング、アクセス ポリシーの構成を最小限に抑えます。インターフェイスはすべての通信を拒否し、制御の粒度はポート レベルまで正確です。
(3) 監視と対応メカニズム:ネットワーク/ホストの脆弱性スキャン、データベースの脆弱性スキャン、アプリケーションの脆弱性スキャン、ペネトレーションテスト、侵入検知システム、APT攻撃対策システム、ログ分析システム、その他のスケジュールされた/リアルタイムのスキャンを総合的に使用して、システムのセキュリティリスクを検出/インシデントが発生した場合、IP制限、接続数または時間の制限、ネットワークの隔離、システムの回復、脆弱性の修復、データの回復などを含む、タイムリーな強化または緊急メカニズムが実装されます(緊急事態への備えは必要です)随時作成);
(4) バックアップとリカバリの仕組み:回線バックアップ、ホストバックアップ、データバックアップとリカバリ、Webページ改ざん防止などを総合的に活用し、被害を受けたシステムをタイムリーに復旧します。
7.2 ユニットの保護
防御システムの実効性を確保するための装備強化
(1) ファームウェアのアップグレードと脆弱性修復:ネットワーク機器、セキュリティ機器、オペレーティングシステム、データベースシステム、ミドルウェアシステム、アプリケーションシステムの最新バージョンと脆弱性情報をメーカーコンサルティングと脆弱性スキャンを通じて確認し、各システムのアップグレードと修復を行います。各システムが最も安全なバージョンであり、最新のパッチがインストールされていることを確認します。
(2) シグネチャ データベースの更新: 侵入防御システム、ウイルス対策ゲートウェイ、データベース ファイアウォール、(WEB) アプリケーション ファイアウォール、ウイルス対策ソフトウェア、脆弱性スキャン システム、侵入検知システムなどのシグネチャ データベースを更新します。
(3) 機器制御: ネットワーク機器、セキュリティ機器、ホスト オペレーティング システム、データベース システム、ミドルウェア システム、アプリケーション システムのパスワード セキュリティ ポリシーを改善し、パスワードの長さ/複雑さ (大文字と小文字を含めて 8 文字以上を推奨) を強化します。 + 数字 + 特殊文字の混合配置)、ログイン失敗の処理 (5 回を超えないようにすること、アカウントをロックするか接続を 10 分以上制限することをお勧めします)、最小限のアカウント権限およびその他のポリシー。デフォルトのアカウントと空/弱いパスワードは固く禁止されています。
7.3 その他
防止内部操作失误隐患,谨慎点击外来链接,谨慎点击外来文件,严禁外来电脑、U盘接入。
8. ネットワークセキュリティチェック
定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。常规的安全检查一般是半年,一年或者每季度开展,汇总一段时间内的系统状态。
除常规的安全检查外还应每半年或是一年进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。全面的安全检查可自行组织或通过第三方机构进行,无论哪种方式,检查内容均应涵盖技术和管理各方面安全措施的落实情况。
无论是日常检查还是定期全面的安全检查都需要制定安全检查表格,记录全面检查结果,并形成安全检查报告,同时应将安全检查结果通知给相关人员,尤其是运营层的各岗位管理员。
9.サイバーセキュリティの広報
9.1 プロモーションチャネル
在全公司范围内集中开展网络安全宣传教育活动,增强员工的网络安全意识,提升基本防护技能,营造安全健康文明的网络环境,保障员工在网络空间的合法权益,切实维护网络安全。
每年九月为网络安全宣传月,在网络安全和信息化委员会领导下,由信息中心牵头,公司各个部门共同举办。公司根据实际举办本公司网络安全宣传教育活动。
(1) ネットワークの安全性に関する公共サービスの広告は、企業の Web サイト、パブリック アカウント、広告画面、エレベーター、レストランのテレビ システム、および建物のテレビ システムにプッシュできます。
(2) ネットワークセキュリティ知識コンテストの実施、ウェブサイト上にオンラインネットワークセキュリティ知識回答欄を設置、または各種ネットワークセキュリティスキルコンテストを開催する。
(3) ネットワークセキュリティ科学普及資料の配布、または専門家による知識講演会の開催。パンフレット、チラシ、ポスター、一般的な科学書籍、サイバーセキュリティのプロモーションのヒントを含む小さなギフトなど、サイバーセキュリティのプロモーション資料を社内で配布または投稿します。サイバーセキュリティの専門家を雇って、サイバーセキュリティ教育キャンペーンを実施しましょう。