北京交通大學(xué)網(wǎng)絡(luò)安全方針和策略

第一章  總則

第一條  為貫徹國家總體安全觀，落實國家對網(wǎng)絡(luò)安全的相關(guān)規(guī)定和要求，指導(dǎo)和規(guī)范北京交通大學(xué)信息系統(tǒng)建設(shè)、使用、維護(hù)和管理，提高信息系統(tǒng)的技術(shù)保障能力，防范和控制系統(tǒng)故障和風(fēng)險，確保學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)的安全穩(wěn)定運行，營造健康綠色的網(wǎng)絡(luò)學(xué)習(xí)環(huán)境，特制定本制度。

第二條 本制度根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》等國家網(wǎng)絡(luò)安全相關(guān)政策法規(guī)制定。

第三條 本制度適用于北京交通大學(xué)網(wǎng)絡(luò)安全管理活動所涉及的所有人員、重要信息資產(chǎn)及網(wǎng)絡(luò)安全管理過程。

第二章  網(wǎng)絡(luò)安全工作原則

第四條  北京交通大學(xué)網(wǎng)絡(luò)安全工作的目標(biāo)是：全面提高學(xué)校各級領(lǐng)導(dǎo)和師生員工的網(wǎng)絡(luò)安全意識，構(gòu)建與學(xué)校信息化發(fā)展相適應(yīng)的網(wǎng)絡(luò)和信息系統(tǒng)安全組織保障體系和技術(shù)支撐體系，建立健全學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)安全管理的規(guī)章制度并嚴(yán)格執(zhí)行，全面提升學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)安全的技術(shù)保障能力和防護(hù)水平，確保學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)的安全穩(wěn)定運行，服務(wù)學(xué)校教學(xué)、科研和管理工作，支撐學(xué)校信息化建設(shè)可持續(xù)發(fā)展。

第五條 北京交通大學(xué)網(wǎng)絡(luò)安全工作的總體方針是：預(yù)防為主、管理與技術(shù)并重、從實際出發(fā)、保障重點、全方位實施、全員參與。

第六條 北京交通大學(xué)網(wǎng)絡(luò)安全工作的總體網(wǎng)絡(luò)安全防護(hù)策略是：依照“分級、分區(qū)域、分類、分階段”的策略，執(zhí)行網(wǎng)絡(luò)安全等級保護(hù)制度。

第七條  北京交通大學(xué)的網(wǎng)絡(luò)安全工作遵循以下原則：

1. 統(tǒng)籌規(guī)劃，規(guī)范管理。統(tǒng)籌規(guī)劃全校網(wǎng)絡(luò)安全工作，建立健全學(xué)校網(wǎng)絡(luò)安全工作體系和制度體系，明確網(wǎng)絡(luò)安全工作的職責(zé)分工，建立網(wǎng)絡(luò)安全責(zé)任制。從組織機構(gòu)、人員、物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)、運維等方面制定統(tǒng)一的網(wǎng)絡(luò)安全規(guī)章制度、建設(shè)標(biāo)準(zhǔn)和管理規(guī)范，提高學(xué)校的網(wǎng)絡(luò)安全管理水平、防護(hù)能力和全校師生員工的網(wǎng)絡(luò)安全意識、防范水平。

2. 分步實施，嚴(yán)格執(zhí)行。堅持分步驟有序?qū)嵤┑脑瓌t，循序漸進(jìn)地開展網(wǎng)絡(luò)安全宣傳培訓(xùn)、基礎(chǔ)設(shè)施、技術(shù)防護(hù)、規(guī)范管理等方面的建設(shè)。嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全工作各項管理制度和技術(shù)措施，增強網(wǎng)絡(luò)和信息系統(tǒng)安全預(yù)警、防范、應(yīng)急處置和災(zāi)難恢復(fù)能力。規(guī)范網(wǎng)絡(luò)和信息系統(tǒng)安全管理。

3. 基于需求，持續(xù)改進(jìn)。依據(jù)網(wǎng)絡(luò)安全擔(dān)負(fù)的使命、信息資產(chǎn)的重要性以及可能受到的安全威脅及面臨的安全風(fēng)險來分析安全需求，按照網(wǎng)絡(luò)安全等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。隨著網(wǎng)絡(luò)安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的變化，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等，及時復(fù)查、修改、調(diào)整現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施，持續(xù)改進(jìn)網(wǎng)絡(luò)安全管理體系的有效性。

第八條 北京交通大學(xué)網(wǎng)絡(luò)安全總體策略、網(wǎng)絡(luò)安全技術(shù)框架、網(wǎng)絡(luò)安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等文件均需經(jīng)過有關(guān)部門和有關(guān)安全技術(shù)專家進(jìn)行合理性和正確性的論證和審定，經(jīng)過批準(zhǔn)后，才能實施。

第三章  網(wǎng)絡(luò)安全體系框架

第九條 根據(jù)北京交通大學(xué)網(wǎng)絡(luò)安全體系建設(shè)目標(biāo)和總體安全策略，建立了與之對應(yīng)的WP2DRR網(wǎng)絡(luò)安全模型，該模型由預(yù)警（Warning）、策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）六個要素環(huán)節(jié)構(gòu)成了一個完整的、動態(tài)的網(wǎng)絡(luò)安全體系。預(yù)警、防護(hù)、檢測、響應(yīng)、恢復(fù)等環(huán)節(jié)都由技術(shù)內(nèi)容和管理內(nèi)容所構(gòu)成。

1. Policy（策略）：根據(jù)風(fēng)險分析和評估產(chǎn)生的安全策略描述了保護(hù)哪些資源，如何實現(xiàn)保護(hù)目標(biāo)等。在WP2DRR安全模型中，策略處于核心地位，預(yù)警、防護(hù)、檢測、響應(yīng)、恢復(fù)都依據(jù)安全策略展開實施，安全策略為安全管理提供管理方向和支持手段。

2. Warining（預(yù)警）：根據(jù)已掌握的系統(tǒng)弱點和當(dāng)前的犯罪趨勢預(yù)測未來可能受到的攻擊和及危害。包括風(fēng)險分析、病毒預(yù)報、黑客入侵趨勢預(yù)報和情況通報、系統(tǒng)弱點報告等。

3. Protection（防護(hù)）：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計開發(fā)和安裝安全系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)弱點；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)控等手段來防止惡意威脅。

4. Detection（檢測）：檢測是動態(tài)響應(yīng)和加強防護(hù)的依據(jù)，它也是強制落實安全策略的有力工具，通過檢測和監(jiān)控網(wǎng)絡(luò)和信息系統(tǒng)，發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應(yīng)。

5.Response（響應(yīng)）：響應(yīng)是對安全事件做出反應(yīng)，包括對檢測到的系統(tǒng)異常或者攻擊行為做出響應(yīng)動作，以及處理突發(fā)的安全事件。恰當(dāng)?shù)捻憫?yīng)動作和響應(yīng)流程可以降低安全事件的不良影響，加強對重要資源的保護(hù)。

6.Recovery（恢復(fù)）：災(zāi)難恢復(fù)能力直接決定了業(yè)務(wù)應(yīng)用的持續(xù)可用性，任何意外的突發(fā)事件都可能造成服務(wù)中斷和數(shù)據(jù)受損，優(yōu)秀的災(zāi)難恢復(fù)計劃能夠針對災(zāi)難事件做到未雨綢繆，即使系統(tǒng)和數(shù)據(jù)遭受破壞，也能夠在最短的時間內(nèi)，完成恢復(fù)操作。

第十條  根據(jù)網(wǎng)絡(luò)安全保障目標(biāo)模型，制定了北京交通大學(xué)網(wǎng)絡(luò)安全體系框架，宏觀指導(dǎo)和管理網(wǎng)絡(luò)安全體系的建設(shè)和運營。在此框架中，以安全策略為指導(dǎo)，融合安全技術(shù)、安全管理和運行保障三個層次的安全體系，以達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。各保障要素之間相互關(guān)聯(lián)、相互作用、相互彌補、相互推動、相互依賴、不可分割。

第十一條  安全策略是指導(dǎo)，與安全技術(shù)體系、安全組織和管理體系以及運行保障體系之間相互作用，安全技術(shù)體系、安全組織和管理體系以及運行保障體系將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實現(xiàn)方法和管理、運行保障手段，全面實現(xiàn)安全策略中所制定的目標(biāo)。安全策略本身也包括草案設(shè)計、評審、實施、培訓(xùn)、部署、監(jiān)控、強化、重新評估、修訂等步驟在內(nèi)的生命周期，需要采用一些技術(shù)方法和管理手段進(jìn)行管理，保證安全策略的及時性和有效性。

第十二條  安全技術(shù)體系是整個網(wǎng)絡(luò)安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這三個部分，以統(tǒng)一的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施平臺為支撐，以統(tǒng)一的安全應(yīng)用系統(tǒng)平臺為輔助，使用統(tǒng)一的安全綜合管理平臺，以形成技術(shù)體系框架。

1. 安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)，從物理和通信安全防護(hù)、主機系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機制，建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。

2. 安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，使信息系統(tǒng)能通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。

3. 安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機制與安全設(shè)備，對這些安全機制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機制，確保安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運作，可靠運行。安全綜合管理平臺在信息系統(tǒng)應(yīng)用體系與各類安全手段之間搭起橋梁，使得各類安全手段能與信息系統(tǒng)應(yīng)用體系緊密結(jié)合，實現(xiàn)無縫連接。統(tǒng)一的安全綜合管理平臺有助于各種安全管理技術(shù)手段的相互補充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。

第十三條  安全組織與管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全組織與管理體系的設(shè)計立足于總體安全策略，并與安全技術(shù)體系相互配合，增強技術(shù)防護(hù)體系的效率和效果，同時也彌補當(dāng)前技術(shù)無法完全解決的安全缺陷。安全防護(hù)技術(shù)措施需要安全管理措施來加強，安全防護(hù)技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。安全組織與管理體系的設(shè)計充分參考和借鑒了國際信息安全管理標(biāo)準(zhǔn)《BS7799（ISO17799）》的建議要求。北京交通大學(xué)網(wǎng)絡(luò)安全組織與管理體系由若干網(wǎng)絡(luò)安全管理類組成，每項網(wǎng)絡(luò)安全管理類可分解為多個安全目標(biāo)和安全控制。每個安全目標(biāo)都有若干安全控制與其相對應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。

1. 安全策略與制度，確保北京交通大學(xué)擁有明確的網(wǎng)絡(luò)安全方針以及配套的策略和制度，以實現(xiàn)對網(wǎng)絡(luò)安全工作的支持和承諾，保證網(wǎng)絡(luò)安全的資金投入。

2. 安全風(fēng)險管理，網(wǎng)絡(luò)安全建設(shè)不是避免風(fēng)險的過程，而是管理風(fēng)險的過程。沒有絕對的安全，風(fēng)險總是存在。網(wǎng)絡(luò)安全體系建設(shè)的目標(biāo)就是要把風(fēng)險控制在可以接受的范圍之內(nèi)。風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。

3. 人員和組織安全管理，建立組織機構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對第三方人員進(jìn)行管理、協(xié)調(diào)網(wǎng)絡(luò)安全監(jiān)管部門與學(xué)校其它部門之間的關(guān)系，保證網(wǎng)絡(luò)安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的網(wǎng)絡(luò)安全風(fēng)險。

4. 環(huán)境和設(shè)備安全管理，控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。

5. 網(wǎng)絡(luò)和通信安全管理，控制和保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對業(yè)務(wù)系統(tǒng)的損害。

6. 主機和系統(tǒng)安全管理，控制和保護(hù)計算機主機及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。

7. 應(yīng)用和業(yè)務(wù)安全管理，對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其收到破壞和濫用。

8. 數(shù)據(jù)安全和加密管理，采用數(shù)據(jù)加密和完整性保護(hù)機制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。

9. 項目工程安全管理，保護(hù)信息系統(tǒng)項目工程過程的安全，確保項目的成果是可靠的安全系統(tǒng)。

10. 運行和維護(hù)安全管理，保護(hù)信息系統(tǒng)在運行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。

11. 業(yè)務(wù)連續(xù)性管理，通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。

12. 合規(guī)性（符合性）管理，確保北京交通大學(xué)的網(wǎng)絡(luò)安全工作符合國家法律、法規(guī)的要求，且網(wǎng)絡(luò)安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。

第十四條  運行與保障體系包括系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等，對北京交通大學(xué)網(wǎng)絡(luò)和信息系統(tǒng)的可持續(xù)性運營提供了重要的保障手段。

第四章  網(wǎng)絡(luò)安全策略

第十五條  網(wǎng)絡(luò)安全總體策略是網(wǎng)絡(luò)安全建設(shè)的核心和總的指導(dǎo)原則，從宏觀整體的角度明確了防護(hù)的內(nèi)容和手段。北京交通大學(xué)網(wǎng)絡(luò)安全總體策略堅持管理與技術(shù)并重，采用多重保護(hù)、最小授權(quán)、和嚴(yán)格管理等措施，包括物流環(huán)境安全策略、通信網(wǎng)絡(luò)安全策略、區(qū)域邊界安全策略、計算環(huán)境安全策略、安全管理中心策略。

第十六條  物理環(huán)境安全策略包括以下內(nèi)容：

1. 計算機機房的建設(shè)必須遵循國家在計算機機房場地選擇、環(huán)境安全、布線施工方面的標(biāo)準(zhǔn)，保證物理環(huán)境安全。

2. 關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器主機和前置機服務(wù)器、主要的網(wǎng)絡(luò)設(shè)備必須放置于計算機機房內(nèi)部的適當(dāng)位置，通過物理訪問控制機制，保證這些設(shè)備自身的安全性。

3. 應(yīng)當(dāng)建立人員出入訪問控制機制，嚴(yán)格控制人員出入計算機機房和其它重要安全區(qū)域，訪問控制機制還需要能夠提供審計功能，便于檢查和分析。

4. 進(jìn)入機房的工作人員必須由安全管理員或機房管理員全程陪同。

5. 機房內(nèi)部必須部署基礎(chǔ)防護(hù)系統(tǒng)和設(shè)備，如電子門禁系統(tǒng)、監(jiān)控報警系統(tǒng)、防雷設(shè)備、防鼠設(shè)備、消防滅火系統(tǒng)、防水監(jiān)控系統(tǒng)、溫濕度控制系統(tǒng)、UPS供電系統(tǒng)和電磁屏蔽設(shè)備。

6. 建立計算機機房管理制度，對設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問控制管理等做出詳細(xì)的規(guī)定。

7. 網(wǎng)絡(luò)安全和信息化辦公室應(yīng)當(dāng)定期對計算機機房各項安全措施和安全管理制度的有效性和實施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)。

第十七條  通信網(wǎng)絡(luò)安全策略包括以下內(nèi)容：

1. 網(wǎng)絡(luò)架構(gòu)

（1）應(yīng)核查業(yè)務(wù)高峰時期一段時間內(nèi)主要網(wǎng)絡(luò)設(shè)備（如路由器、交換機和防火墻提供網(wǎng)絡(luò)通信功能的設(shè)備）的 CPU 使用率和內(nèi)存使用率是否滿足需要（如主要網(wǎng)絡(luò)設(shè)備近一年內(nèi)的CPU負(fù)載值均低于60%）并且網(wǎng)絡(luò)設(shè)備從未出現(xiàn)過宕機情況； 

（2）核查網(wǎng)管系統(tǒng)各通信鏈路帶寬是否滿足高峰時段的業(yè)務(wù)流量需要（如接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)帶寬在業(yè)務(wù)高峰期占用低于60%） ；  

（3）依據(jù)安全保護(hù)等級等原則劃分不同的網(wǎng)絡(luò)區(qū)域；  

（4）重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻 和設(shè)備訪問控制列表（ACL）等 ；

（5）主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余和通信線路冗余。

2. 通信傳輸

（1）數(shù)據(jù)傳輸過程中使用校驗碼技術(shù)或密碼技術(shù)來保證其完整性。如客戶端到服務(wù)器、服務(wù)器到服務(wù)器之間要使用SSL等通信； 

（2）通信過程中對敏感信息字段或整個報文進(jìn)行加密。使用加密設(shè)備對數(shù)據(jù)加密后傳輸。

第十八條  區(qū)域邊界安全策略包括以下內(nèi)容：

1. 邊界防護(hù)

（1）端口級訪問控制：網(wǎng)絡(luò)邊界處部署訪問控制設(shè)備，指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，該端口配置并啟用了安全策略;  

（2）控制非法聯(lián)入內(nèi)網(wǎng)、非法聯(lián)入外網(wǎng)；

（3）無線和有線的邊界應(yīng)該有邊界防護(hù)設(shè)備防護(hù)。

2. 訪問控制

（1）啟用邊界訪問控制策略（網(wǎng)閘、防火墻、路由器和交換機等提供訪問控制功能的設(shè)備）； 

（2）防火墻對應(yīng)用識別，并對應(yīng)用的內(nèi)容進(jìn)行過濾。

3. 入侵防范：關(guān)鍵節(jié)點部署入侵保護(hù)系統(tǒng)、入侵檢測系統(tǒng)、抗APT攻擊、抗DDoS攻擊和網(wǎng)絡(luò)回溯等系統(tǒng)或設(shè)備。對內(nèi)外部的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測、防止或限制。

4. 惡意代碼和垃圾郵件防護(hù)

（1）關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署防惡意代碼技術(shù)措施（防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的設(shè)備或系統(tǒng)）；

（2）部署防垃圾郵件設(shè)備或系統(tǒng)。

5. 安全審計

（1）部署綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺，對網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；    

（2）部署上網(wǎng)行為管理系統(tǒng)或綜合安全審計系統(tǒng) ，對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審計和數(shù)據(jù)分析 。

第十九條  計算環(huán)境安全策略包括以下內(nèi)容：

1. 根據(jù)信息系統(tǒng)的等級情況，將服務(wù)器配置在不同等級的網(wǎng)絡(luò)區(qū)域，并應(yīng)當(dāng)對關(guān)鍵服務(wù)器主機設(shè)備提供冗余設(shè)計，防止單點故障造成網(wǎng)絡(luò)服務(wù)中斷；

2. 應(yīng)當(dāng)建立主機弱點分析機制，發(fā)現(xiàn)和彌補系統(tǒng)軟件中存在的不當(dāng)配置和安全漏洞，及時進(jìn)行自我完善；

3. 應(yīng)當(dāng)建立主機系統(tǒng)軟件版本維護(hù)機制，及時升級系統(tǒng)版本和補丁程序版本，保持系統(tǒng)軟件的最新狀態(tài)；

4. 應(yīng)當(dāng)建立主機系統(tǒng)軟件備份和恢復(fù)機制，在災(zāi)難事件發(fā)生之后，能夠快速實現(xiàn)系統(tǒng)恢復(fù)；

5. 可以建立主機入侵檢測機制，發(fā)現(xiàn)主機系統(tǒng)中的異常操作行為，以及對主機發(fā)起的攻擊行為，并及時向管理員報警；

6. 應(yīng)當(dāng)指定專門的部門和人員，負(fù)責(zé)主機系統(tǒng)的管理維護(hù)；

7. 應(yīng)當(dāng)建立主機系統(tǒng)管理規(guī)范，包括系統(tǒng)軟件版本管理、主機弱點分析、主機審計日志檢查和分析、以及系統(tǒng)軟件的備份和恢復(fù)等內(nèi)容；

8. 應(yīng)當(dāng)建立桌面系統(tǒng)使用管理規(guī)范，約束和指導(dǎo)用戶使用桌面系統(tǒng)，并對其進(jìn)行正確有效的配置和管理；

9. 管理機構(gòu)應(yīng)當(dāng)定期對各項系統(tǒng)安全管理制度的有效性和實施狀況進(jìn)行檢查，發(fā)現(xiàn)問題，進(jìn)行改進(jìn)；

10. 應(yīng)用系統(tǒng)必須在登錄時要求輸入用戶名和口令。登錄應(yīng)用系統(tǒng)必須進(jìn)行兩種或兩種以上的復(fù)合身份驗證（如用戶名口令+Ukey或用戶名口令+IP與MAC地址綁定方式）；

11. 應(yīng)用系統(tǒng)中設(shè)置的用戶都必須是唯一用戶，不能名稱相同，且不能出現(xiàn)多人使用同一賬戶的情況；應(yīng)用系統(tǒng)必須開啟登錄失敗處理功能；應(yīng)用系統(tǒng)必須開啟登錄連接超時自動退出等措施；

12. 應(yīng)用系統(tǒng)必須開啟身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)；

13. 應(yīng)用系統(tǒng)必須開啟日志審計功能；應(yīng)用系統(tǒng)存儲用戶信息的設(shè)備在銷毀、修理或轉(zhuǎn)其他用途時，必須清楚內(nèi)部存儲的信息；

14. 在業(yè)務(wù)系統(tǒng)主要應(yīng)用服務(wù)器中采用硬件冗余技術(shù)，避免硬件的單點故障導(dǎo)致服務(wù)中斷；

15. 綜合考慮性能和管理等因素，采用先進(jìn)的系統(tǒng)和數(shù)據(jù)備份技術(shù)，在范圍內(nèi)建立統(tǒng)一的系統(tǒng)和數(shù)據(jù)備份機制，防止數(shù)據(jù)出現(xiàn)邏輯損壞；

16. 業(yè)務(wù)應(yīng)用數(shù)據(jù)和設(shè)備配置文檔都必須進(jìn)行備份，以便發(fā)生問題時進(jìn)行恢復(fù)；數(shù)據(jù)備份至其他設(shè)備上時，必須使用專門的備份通道，保證數(shù)據(jù)傳輸?shù)耐暾裕粩?shù)據(jù)本機備份時應(yīng)檢測其完整性；數(shù)據(jù)備份時必須使用專業(yè)的備份設(shè)備和工具，在數(shù)據(jù)傳輸和數(shù)據(jù)存儲時，都必須是加密傳輸和存儲；

17. 建立災(zāi)難恢復(fù)計劃，提供災(zāi)難恢復(fù)手段，在災(zāi)難事件發(fā)生之后，快速對被破壞的信息系統(tǒng)進(jìn)行恢復(fù)。對人員進(jìn)行災(zāi)難恢復(fù)培訓(xùn)，定期進(jìn)行災(zāi)難恢復(fù)的模擬演練；

18. 應(yīng)當(dāng)建立專門崗位，負(fù)責(zé)用戶權(quán)限管理，以及授權(quán)和訪問控制系統(tǒng)的建設(shè)、運行、維護(hù)；

19. 建立日常數(shù)據(jù)備份管理制度，對備份周期和介質(zhì)保管進(jìn)行統(tǒng)一規(guī)定；

20. 應(yīng)當(dāng)建立全面網(wǎng)絡(luò)病毒查殺機制，實現(xiàn)全網(wǎng)范圍內(nèi)的病毒防治，抑止病毒的傳播。

第二十條  安全管理中心策略包括以下內(nèi)容：

1. 配備集中系統(tǒng)和設(shè)備管理功能的工具或平臺，系統(tǒng)或平臺需要有三權(quán)分立（系統(tǒng)管理員、審計管理員、安全管理員），份角色通過管理工具或平臺進(jìn)行相關(guān)審計安全審計操作 。（運維堡壘機、SOC平臺、日志審計系統(tǒng)等）

2. 劃分安全管理運維區(qū)，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控。（堡壘機、SC 等）

3. 網(wǎng)絡(luò)中劃分單獨的管理VLAN用于對安全設(shè)備或安全組件進(jìn)行管理；使用獨立的帶外管理網(wǎng)絡(luò)對安全設(shè)備或安全組件進(jìn)行管理（如運維堡壘機等）；

 4. 部署具備運行狀態(tài)監(jiān)測功能的系統(tǒng)或設(shè)備，能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進(jìn)行集中監(jiān)測（APM，堡壘機、綜合網(wǎng)管系統(tǒng)等）；

5. 部署日志審計系統(tǒng)，日志至少保留6個月且不間斷；       

6. 部署網(wǎng)絡(luò)版防病毒系統(tǒng)和補丁統(tǒng)一更新系統(tǒng)；

7. 部署安全感知平臺對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析；  

8. 確保范圍內(nèi)統(tǒng)一使用了唯一確定的時鐘源（如部署NTP時鐘服務(wù)器）。

第五章  附則

第二十一條 本制度由網(wǎng)絡(luò)安全和信息化辦公室負(fù)責(zé)解釋。

第二十二條  本制度自發(fā)布之日起生效。