《2022年网络信息安全管理规范的示例 .pdf》由会员分享,可在线阅读,更多相关《2022年网络信息安全管理规范的示例 .pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、戴威尔网络安全培训http:/ 网络信息安全管理规范的示例1.1 总则1)信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。2)信息安全管理将不同层次(网络、操作系统、数据库管理系统、应用系统)上进行。3)信息安全管理由专门的信息安全管理部门来负责。4)信息安全管理规范包括:(1)机房出入管理(2)人员管理(3)系统维护管理(4)数据备份管理(5)事件处理管理(6)数据恢复管理(7)安全审计管理(8)用户模型管理1.2 机房出入管理1)必须对出入机房的人员进行身份鉴别(如佩带机房出入证或安装自动识别系统)。2)必须登记出入机房的情况,机房出入记录包括:身份标识(如名称或卡号)
2、、进入时间、离开时间、进入事由、违规记录。1.3 人员管理在以下活动中,需要定义专门的岗位:1)访问控制使用证件的发放与回收。2)信息处理系统使用的媒介发放与回收。3)处理保密信息。4)硬件和软件的维护。5)系统软件的设计、实现和修改。6)重要程序和数据的删除和销毁等。在人员定岗时可以采用以下原则:名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 8 页 -戴威尔网络安全培训http:/ 系统维护管理系统维护是对系统配置进行修改或升级的过程。系统配置包括:1)网络的拓朴、构件、布线和参数。2)主机、服务器、终端及各类外设的构件和参数。3)操作系统、编译系统、数据库管理系统、系统工具
3、的选件与参数。4)业务应用系统的选件与参数。对系统进行维护时,应遵守以下原则:名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 8 页 -戴威尔网络安全培训http:/ 中给出:维护原因、维护的内容、维护前系统情况、维护后系统情况、维护起止时间、维护者、批准者。1.5 数据备份管理数据中心定期定时备份业务现场:1)对数据备份及其存储介质的保管设立专门的岗位。2)数据备份方式为:场地内增量式冷备份。3)数据备份周期取决于:业务数据的流量和业务数据的重要性,因此将随系统运行情况灵活调整数据备份周期。4)数据备份周期为:每月执行一次完全备份,每周执行一次差分备份,每天执行一次增量备份。5
4、)对保存数据备份的存储介质(磁盘/磁带/光盘/硬盘),应统一编码,并存放在专门的保密箱/柜中。6)在数据备份记录 中给出:备份方式、备份内容、原数据的存储路径、备份数据存储介质的标识、备份起止时间、备份者。1.6 事件处理管理事件处理指:当业务系统的运行平台发生故障或遭受攻击时,为保障业务系统能够处于正常状态,数据中心与业务部门按照约定方式采取相应措施。为了能及时处理事件,应遵循以下原则:1)数据中心和业务部门均设立专门岗位来负责事件处理。双方应保证能够随时(24 小时*7 日)建立联络,以确保对事件的快速响应能力。2)数据中心和业务部门双方共同建立和维护事件处理岗位定义表,其中定义以下内容:
5、人员所在方、人员名称、岗位责任、到岗时间、离岗时间、电话、手机、呼机、传真、电子邮箱。双方应将本方变更情况及时通知给对方。所有变更情况都应被保存。3)数据中心应能及时感知并记录事件的现场情况,在事件状态记录上给出以下内容:发现时间、发现地点、发现者、系统异常状态、记录时间、记录者。4)在发现业务中断或业务流程不畅时,业务部门应及时向数据中心发出事件状态记录,描述现场情况。5)数据中心应及时判断事件原因,并采取措施以使业务处理尽快恢复正常名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 8 页 -戴威尔网络安全培训http:/ 数据恢复管理数据中心在恢复业务现场时,应遵循以下原则:1
6、)对数据恢复设立专门的岗位,亦可与数据备份岗位合并。2)数据恢复时要首先经主管部门批准,并有安全管理人员在场。3)数据恢复前应通知相应业务部门的事件处理人员。4)若需要业务部门参与(如模拟重演某个时段的业务处理),则数据中心应为相应的业务部门提供详细的操作流程,双方协同完成数据恢复。5)在数据恢复记录 中给出:恢复原因、恢复内容、原数据的存储路径、备份数据存储介质的标识、恢复起止时间、恢复者、批准者。1.8 安全审计管理安全审计的内容包括:1)网络运行日志2)操作系统运行日志3)数据库访问日志4)业务应用系统运行日志对安全审计进行如下管理:1)针对不同内容(网络、操作系统、数据库、业务应用)的
7、安全审计工作分别设立不同的岗位。2)按需要选择将被记录和被远程收集的访问行为或执行行为。3)按需要授予或取消对所选行为进行审计跟踪日志记录的能力。4)给出安全审计记录,详细给出访问行为或执行行为的:起止时间、对象(IP 地址、执行单位或数据单位)、实体(用户或进程)、实体所在 IP 地址、操作、结果。5)当日志超过设定的统计阀值(依据时间或容量)时,统计出安全审计名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 8 页 -戴威尔网络安全培训http:/ 用户模型管理“用户模型”是指:关于某类(或某个)资源的权限管理机制(角色、资源、权限的关联)、身份鉴别机制(用户识别、鉴别标识的关
8、联)和访问控制机制(用户、角色、资源、权限的关联)。在网络应用系统中,可以建立各级不同网络资源(网络设备、节点设备、操作系统、系统工具、数据库管理系统、业务系统)的用户模型。用户模型是概念上的、逻辑上的信息集合,其中的各种内容可以表现为:文档、数据表、数据、或隐含于系统部件中的规则和约束。为了明确表达一个资源的用户模型,可以使用以下表格:1)角色定义表,定义:角色标识、角色名、角色等级、角色描述。2)资源定义表,定义:资源标识、资源名、资源描述。3)权限定义表,定义:权限标识、权限名、权限描述。4)角色资源权限矩阵,定义:角色标识、资源标识、权限标识。5)用户定义表,定义:用户标识,用户名、用
9、户描述。6)用户识别定义表,定义:用户标识、鉴别标识。7)用户角色矩阵,定义:用户标识、角色标识。8)用户资源权限矩阵,定义:用户标识、资源标识、权限标识。需要说明的是,用户模型中的大部分内容应由特定的人员来制定和维护、并按特定的保密等级来保存和管理。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 8 页 -戴威尔网络安全培训http:/ 信息安全的法规与标准2.1 信息安全的国家法规1)中华人民共和国宪法2)中华人民共和国刑法3)中华人民共和国保守国家秘密法4)中华人民共和国国家安全法5)中华人民共和国人民警察法6)中华人民共和国治安管理处罚条例7)中华人民共和国专利法8)中华
10、人民共和国反不正当竞争法9)中华人民共和国商标法10)中华人民共和国海关法11)中华人民共和国标准化法12)科学技术保密规定13)电子出版物管理规定14)中国计算机信息网络国际联网管理暂行规定15)中国计算机信息网络国际联网管理暂行规定实施办法16)计算机信息系统国际联网保密暂行规定17)计算机信息系统安全专用产品检测和许可证管理办法18)计算机信息网络国际联网安全保护管理办法19)计算机软件保护条例20)商用密码管理条例21)中华人民共和国计算机信息系统安全保护条例22)关于对中华人民共和国计算机信息系统安全保护条例中涉及的“有害数据”问题的批复23)计算机信息网络国际联网出入口信道管理办法
11、24)中国公用计算机互联网国际联网管理办法25)中国公众多媒体通信管理办法26)中国互联网络域名注册暂行管理办法27)从事放开经营电信业务审批管理暂行办法28)公安部关于对国际联网的计算机信息系统进行备案工作的通知2.2 信息安全的地方法规1)深圳经济特区计算机信息系统公共安全管理规定2)黑龙江省计算机信息系统安全管理规定名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 8 页 -戴威尔网络安全培训http:/ 信息安全的技术标准1)信息处理系统-开放系统互连-基本参考模型-第 2 部分:安全体系结构2)电子计算机机房设计规范(GB50173-93)3)电子计算机机房施工及验收规范
12、4)计算机机房用活动地板技术条件5)计算站场地安全要求(GB9361-88)6)计算站场地技术条件(GB2887-89)7)计算机信息系统安全专用产品分类原则8)信息技术设备的无线电干扰极限值和测量方法9)测量、控制和试验室用电气设备的安全要求10)DOS 操作系统环境中计算机病毒防治产品测试方法11)基于 DOS 的信息安全产品评级准则12)信息处理 64bit 分组密码算法的工作方式13)信息技术安全技术带消息恢复的数字签名方案14)军用通信设备及系统安全要求15)军队通用计算机系统使用安全要求16)指挥自动化计算机网络安全要求17)军用计算机安全评估准则18)军用计算机安全术语名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 8 页 -戴威尔网络安全培训http:/ 相关网站1)公安部安全产品信息中心,http:/ 8 页,共 8 页 -