資訊安全管理 通信與操作安全控制要點與管理政策

資訊安全管理

通信與操作安全控制要點與管理政策

通信與操作安全目的是保障資訊處理設施及網絡中資訊的安全性，以及確定正确、安全地操作資訊處理設施。内容涉及網絡隔離與管理、網絡服務安全管理及資訊傳遞安全管理，以及資訊系統及基礎設施的安全運作與維護等。

01.網絡隔離與安全管理

應采取有效措施對網絡進行必要的安全隔離，保證系統之間的互相獨立，使系統之間的互相影響最小化，保證各個系統的穩定運作。

網絡應根據業務安全需求和支撐的業務進行安全區域的劃分，不同的網絡區域之間應采用适當的技術手段實施安全隔離，安全政策應參考業務需求和資訊安全風險。應對網絡實施控制措施，以保證網絡上資訊的安全性，防止未授權通路的發生。采取的控制措施包括但不限于以下措施：

• 對網絡實施符合業務要求的通路控制措施。

• 采用必要的安全裝置對網絡的流量、病毒等進行控制。

• 密切監視網絡的性能、安全與日志，及時發現隐患及問題。

應根據業務需求及資訊安全風險對網絡安全機制、服務級别以及網絡服務進行管理，網絡服務安全控制包括：

• 為網絡服務應用的安全技術，例如鑒别、加密和網絡連接配接控制。

• 按照安全和網絡連接配接規則，網絡服務的安全連接配接需要的技術參數。

• 對網絡服務使用進行控制，以限制對網絡服務或應用的通路。

02.資訊系統操作規範

與資訊系統運作維護及操作相關的活動應形成固定程式，重要程式應該形成檔案，例如應用系統運作維護、網絡系統管理、資料備份、媒體管理、系統監控、機房管理等。

制定的各項管理制度應包括每項工作管理職責、工作流程等内容，所有相關人員應要求能夠獲得并遵循相關管理制度。

03.資訊系統容量管理

應對資訊系統未來的容量、功能和性能等要求進行預測，這些預測要考慮資訊系統容量的目前狀況和未來發展趨勢。

基于采購成本和使用年限的考慮，對于重要應用系統的容量規劃需要重點關注，相關的系統管理者應當對主要應用系統資源的使用情況進行監視，包括處理器、記憶體、儲存系統、網絡系統等。

04.資訊系統變更管理

開發、測試和生産環境應進行網絡隔離，生産環境下的權限應進行嚴格控制，開發測試人員嚴禁擁有生産環境權限。

對影響資訊安全方面的變更應加以控制。控制措施包括建立變更方案、進行變更測試、評估變更的潛在影響并制定回退計劃、建立變更的審批流程、向相關人員傳達變更的内容與影響等。

05.防範惡意軟體

電子郵件伺服器與網際網路的聯結應通過技術手段進行監控。郵件監控系統應可設定規則，并根據設定的規則對來自網際網路的郵件進行分析、确定是否将郵件抛棄、隔離、過濾處理或接受。監控規則包括對郵件附件的檢查規則和防止垃圾郵件的白名單和黑名單設定。郵件監控系統應能及時加以更新，以保證可預防已被業界發現的病毒類别。

在采用儲存設備進行檔案交換時，須對儲存設備通過标準病毒檢查程式進行檢查。儲存設備包括軟碟、CD光牒、U盤等。對因業務需要從網際網路上下載下傳的檔案，下載下傳後須對檔案通過标準病毒檢查程式進行檢查。

對所有伺服器須定期進行病毒檢查，檢查的周期間隔不得長于30日。對所有支援業務應用的終端電腦（包括桌面桌上型電腦和便攜機）須通過标準病毒檢查程式進行定期檢查。檢查的周期間隔不得長于30日。

06.資料備份管理

重要的網絡裝置、安全裝置、伺服器、作業系統、中間件、資料庫和應用系統，均應建立正式的備份政策，且按照指定的備份政策進行備份。

所有備份資料存儲媒體應進行妥善保管，避免由于管理不善造成資料損壞、資訊洩露等資訊安全事故。應根據存儲備份資料的重要性及媒體類型，定期進行備份資料的恢複測試，以驗證備份資料及備份媒體的有效性。

07.資訊系統日志管理

關鍵網絡安全事件和關鍵伺服器安全事件應記錄在事件日志中，并建立定期審計機制。

根據實際情況對系統日志進行激活設定，發生問題時可檢視分析作業系統、故障日志等内容，所有日志均應得到适當保護，任何人在沒有相關負責人的授權下，嚴禁私自删除或更改系統日志。所有相關資訊處理設施的時鐘應使用已設的精确時間源進行同步。正确設定計算機時鐘以確定稽核記錄準确性，稽核日志可用于調查或作為法律、法律案例證據。

08.移動媒體安全管理

對移動媒體應進行統一管理，并嚴格控制移動媒體使用過程中的資訊安全風險，應采取有效控制措施確定在辦公環境内使用移動媒體安全滿足以下要求：

• 移動媒體在使用的過程中應注意防病毒保護，在進行檔案操作時應進行病毒掃描操作。

• 移動媒體使用人如離開辦公場所，如媒體中存在敏感資訊資料，必須将移動媒體存放至安全環境。

• 應根據存儲資訊的重要程度，對長期存儲資訊的移動媒體采用加密手段進行防護。

不再需要的移動媒體，應使用安全的方式進行處置，以防止敏感資訊的洩露。移動媒體處置政策定義如下：

• 紙質類移動媒體不再需要時，應采用碎紙機進行銷毀。

• 電子類移動媒體應在報廢前需要進行資料安全清除；不能進行資料清除的存儲媒體應進行實體銷毀。

09.資訊系統審計安全

應定期評估資訊系統技術脆弱性，評價這些脆弱性的暴露程度，并采取适當的措施來處理相關的風險。

對資訊系統進行安全評估前應先制定安全評估的計劃，且得到相關系統管理負責人的準許後方可執行。安全評估應盡量選在業務低峰期間進行，以免對系統造成破壞影響。資訊系統監控和管理工具、安全掃描工具及網絡管理工具必須在授權後方能使用。這些軟體均應儲存在僅允許相關人員使用的電腦中，以防止非授權使用。非IT運作維護人員，應禁止使用網絡掃描、網絡嗅探、網絡監聽等網絡管理及黑客工具。