信息系统安全管理要求.docx

信息系统安全管理规定 TOC \o 1-3 \h \z \u 1. 概述 4 2. 系统安全管理 4 1.1. 操作系统安全 4 1.2. 顾客安全 4 1.3. 服务器定期巡检 5 1.4. 安全监控 5 1.5. 系统安全测试 5 3. 设备安全管理 5 3.1. 防火墙安装与维护 5 3.2. 防火墙布署方略 6 3.3. 3.防火墙配置原则 6 3.4. 其他配置 7 3.4.1. 日志监控 7 3.4.2. 日志管理 8 3.4.3. 更新服务 8 4. 应用安全管理 8 4.1. 概述 8 4.2. 商业风险 8 4.3. 规范要素 9 4.3.1. XSS 9 4.3.2. 注入式袭击 9 4.3.3. Insecure Remote File Include 9 4.3.4. Insecure Direct Object Reference 9 4.3.5. CSRF 9 4.3.6. Information Leakage and Improper Error Handling 10 4.3.7. Broken Authentication and Session Management 10 4.3.8. Insecure Cryptographic Storage 10 4.3.9. 不安全通道 10 4.3.10. Failure to Restrict URL Access URL 10 5. 数据安全管理 11 5.1. 日志管理方略 11 5.1.1. 合用范围 11 5.1.2. 日志搜集 11 5.1.3. 日志内容规定 12 5.1.4. 日志审计 12 5.2. 数据管理方略 13 5.2.1. 方略合用范围 13 5.2.2. 数据的分类 13 5.2.3. 隐私数据的保留与销毁政策 13 5.2.4. 数据备份方略 16 5.2.5. 概述 16 5.2.6. 数据备份的存储规定 16 5.2.7. 数据备份的使用规定 16 5.2.8. 数据备份的销毁 16 6. 应急机制管理 16 6.1. 概述 16 6.2. 组织及分工 17 6.2.1. 应急响应组 17 6.2.2. 应急响应组职责 17 6.2.3. 安全事件的分类 17 6.3. 统一应急响应流程 18 6.3.1. 事件的识别 18 6.3.2. 事件的汇报与公布 18 6.3.3. 事故波及泄密。 19 6.3.4. 汇报安全事故 19 6.3.5. 事件的分类 19 6.3.6. 事件处理流程 19 6.3.7. 事件分析及总结 20 6.4. 应急响应流程测试和培训 20 6.5. 事件后处理及应急汇报 20 6.5.1. 善后处置 20 6.5.2. 处置评价及内审 21  概述 信息系统的安全管理是工程化的系统课题，随科技的发展迅速更替方案和工具。本文重要从信息系统安全管理最重要的几种方面，分别简介详细的安全管理，管控和应用的有关措施和方案。 系统安全管理 操作系统安全 在保证硬件设施稳定运行的同步，系统自身的清洁高效是我们追求的目的。信息安所有门或系统工程师必须更新系统供应商30天之内公布的所有安全补丁，热修复程序和Service Pack。 订阅Microsoft的安全汇报，定期更新安全补丁(每周/次) 升级Linux服务器的内核版本，弥补系统漏洞 调试完毕流量监控服务器，监控整个网络内时事数据流量 安装防病毒软件，集中管理病毒库，保证病毒库版本的实时性 在当地服务器上运行测试完毕后，再更新生产环境的程序 上传ftp使用完毕后，关闭ftp服务 定期重启服务器 合理配置iis的安全 卡数据交易、后台服务器属专用服务器，不得做其他用途 每周定期分析服务器日志，发现问题及早处理 在企业内部服务器和托管机房服务器中运行监控程序，碰到突发问题，将有短消息发送至相映负责人 订阅安全警报邮件,及时发现和弥补最新的漏洞和潜在袭击行为 系统所有组件包括无线进行扫描（至少每个季度一次) 顾客安全 提高个人安全意识，增强对个人pc的安全控制 定期更改服务器口令，并且对口令强度进行严格规定，在服务器安全方略中设置强制每3个月，必须更改Administrator口令，并且修改口令不能和前四次的密码相似。Linux root口令也制定方略，定期更改。并且口