安全管理网

信息安全反事故措施

  
评论: 更新日期:2018年09月09日

一、关于加强互联网出口严格管控
        1.互联网出口管理:各区域(省)电力公司和公司直属单位要对其所辖范围内的下属单位互联网出口进行排查清理并纳入统一管理,地(市)级公司统一设置本级及下属单位的互联网出口,新的出口不再建设。有条件的区域(省)电力公司要统一设置互联网出口。考虑带宽容量和备用问题,每单位统一集中设置的互联网出口原则上不多于3个。所有出口必须向公司信息化主管部门进行备案后方可使用。(自《信息系统安全保障重点工作要求》)
        2. 互联网出口审计:各单位要严格信息外网与互联网交互信息的审核,加强对互联网出口的内容监测、流量分析与记录,与互联网交互记录要保留6 个月以上。(自《关于贯彻落实网络信息安全工作要求的通知》)
        二、关于加强网络边界安全防护
        1. 信息内外网逻辑强隔离:各单位要确保本单位信息内、外网已通过部署隔离设备进行内外网逻辑强隔离,未部署的要保证物理断开。(自《信息系统安全保障重点工作要求》)
        2. 信息内网网络边界安全防护:各单位要按照公司总体防护方案要求,加强上、下级单位和同级单位信息内网网络边界的安全防护,保持信息内网纵向边界的安全管理要求,严格访问控制策略,控制开放服务和端口的个数,强化纵向边界的网络访问行为和信息流量的监测与分析,限制网络最大流量数及网络连接数。(自《信息系统安全保障重点工作要求》)
        3. 信息内、外网专线安全管理:各单位要加强信息内、外网专线安全管理,对于与银行等外部单位互联的专线要部署逻辑隔离措施,设置访问控制策略,进行内容监测与检查,确保只有指定的、可信的网络及用户才能进行数据交换。(自《信息系统安全保障重点工作要求》)
        4. 信息内网远程维护管理:严禁通过互联网接入信息内网进行远程维护。(自《信息系统安全保障重点工作要求》)
        5. 无线网络安全防护:各单位要强化无线网络安全防护措施。无线网络要启用网络接入控制和身份认证,进行IP/MAC地址绑定,要用高强度加密算法、禁止无线网络名广播和隐藏无线网络名标识等有效措施,防止无线网络被外部攻击者非法进入,确保无线网络安全。信息内网禁止使用无线网络组网。(自《关于进一步强化信息安全工作的有关要求》)
        6. 网络设备安全管理:网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽,建立业务终端与业务服务器之间的访问控制。(自《国家电网公司信息系统安全管理办法》)
        三、关于加强信息内外网网站统一发布与管控
        1. 对外门户网站管理:各单位要加强所辖范围内下属单位所有对外门户网站的统一管理,进行统一备案,没有履行报批备案手续的网站要关停。地市公司下属单位门户网站信息及要用需统一到地市公司或区域(省)电力公司(或公司直属单位)进行集中管理、集中发布。各单位要关闭直管、控股县级公司对外门户网站。严禁任何单位、个人在信息内网设立与工作无关的娱乐、论坛、视频等网站。严禁利用公司资源在互联网上设立网站。对于非本企业网站或与公司业务无关的经营性网站,原则上要予以关闭,确因工作需要必须开放的,要从信息外网中彻底剥离。严禁将承担安全责任的对外网站托管于公司外部单位。95598 网站必须与已有对外网站进行整合,最终实现网站统一管理。(自《信息系统安全保障重点工作要求》、《关于近期两起安全事件的通报》、《进一步加强信息内外网网站管理的意见》)
        2. 内网网站整合:内网宣传网站要与企业门户进行整合,在企业门户登录前设置内网宣传网站。门户登录前(内网网站)原则上不链接业务系统,业务系统要通过单点登录方式接入门户(登录后)。业务系统不得单独设置系统入口,要通过企业门户单点登录访问。(自《进一步加强信息内外网网站管理的意见》)
        3. 网站标识管理:各单位所有对外网站要在醒目位置显示本单位符合公司要求的标识,要标注版权声明、ICP备案号、隐私与安全、网站维护单位及联系方式等内容,同时主色调必须采用公司组合标识标准色。(自《进一步加强信息内外网网站管理的意见》)
        4. 网站发布内容审查:各单位要按照国家及公司有关规定加强对外发布内容的审查,严禁在互联网和信息内网上发布涉及国家秘密和企业秘密的信息。所有信息发布必须严格按照审核发布流程,经审核批准后才能上网。(自《信息系统安全保障重点工作要求》)
        5. 网站安全防护:各单位要加强网站基础防护,特别做好网站服务器、中间件的安全防护与配置安全,细化安全设备访问控制策略,关闭不必要的服务和端口,采用网页防篡改措施保证对外发布的网站不被恶意篡改或植入木马。(自《关于近期两起安全事件的通报》)
        四、关于加强内外网邮件统一管理与监控审计
        1. 内外网邮件系统管理:公司各单位信息外网邮件系统要整合至公司集中统一外网邮件系统,在京直属单位的信息内网邮件系统集中整合至公司内网统一邮件系统,通过加强对邮件系统的统一管理和审计,消除潜在安全隐患,提高邮件系统的安全性。各单位地市公司及下属单位与网省要共用一套信息内网邮件系统,地市公司邮件系统不再单独建设,鼓励各单位信息内网邮件系统均与总部复用一套。(自《关于上海世博会供电敏感信息泄露的通报》)
        2. 邮件内容审查:严禁使用未进行内容审计的信息内外网邮件系统,严禁用户使用弱口令,默认口令要强制清除,严禁开启自动转发功能,严禁使用社会电子邮箱处理公司办公业务的行为,及时清理注销废旧邮件帐号。各单位要加强现有邮件系统收发日志审计和敏感内容拦截功能,要安排专职人员定期对内外网邮件发送信息进行检查。审计关键字要进行动态更新,邮件系统日志原则上要保留6 个月以上。同时要协同各级保密部门对在信息外网和互联网上违规传送公司秘密及敏感信息的情况进行通报与处理。(自《关于贯彻落实网络信息安全工作要求的通知》、《关于上海世博会供电敏感信息泄露的通报》)
        3. 内外网邮件信息加密:在信息内网涉及公司商业秘密和敏感信息应采用信息加密压缩方式,使用公司已统一采购的WinRAR正版压缩软件对文件进行加密压缩。对于在信息外网和互联网上传输的非涉及公司秘密和敏感信息的内容,也应采用WinRAR加密压缩方式进行传输。加密口令要求12位以上并包含字母数字,同时要采用不同的口令传递方式如电话等。(自《关于贯彻落实网络信息安全工作要求的通知》)
        五、关于加强信息系统安全开发与运行维护
        1. 在运信息系统备案:各单位要将所有在运信息系统向总部备案,未报公司备案的信息系统严禁接入公司信息内外网运行。(自《国家电网公司信息系统安全管理办法》)
        2. 统一域名管理:各单位要加强信息系统域名统一管理,完成原有域名系统与公司统一域名系统的切换,使用公司统一域名(sgcc.com.cn),关闭各单位原有域名解析。公司将对统一域名工作执行情况进行通报并纳入考核,如出现执行不力而引发的信息安全等问题,将严肃追究责任。(自《关于上海世博会供电敏感信息泄露的通报》)
        3. 信息系统级联:各单位要确保一体化信息系统级联贯通和持续稳定运行,将级联贯通情况纳入日常巡检,加强变更管理,对权限调整、链接变更、DNS 调整、策略调整、系统升级等影响级联贯通访问的变更操作,报公司审批,确保变更后能及时恢复级联贯通。(自《关于进一步强化信息安全工作的有关要求》)
        4. 信息系统帐号管理:各单位要定期清理信息系统临时账号,复查账号权限,核实安全设备开放的端口和策略,时间间隔不得超过3 个月。对因信息系统开发、升级、维护、联调等原因而授权开放的临时账户、临时开通的防火墙访问控制策略与端口,在操作结束后必须立即履行注销手续。(自《关于进一步强化信息安全工作的有关要求》)
        5. 在运业务系统操作审计:各单位在运业务系统禁止出现共用帐户及口令情况,禁止跨权限操作,要开启操作审计功能,确保每一步操作内容可追溯,操作人员可追溯。(自《关于进一步强化信息安全工作的有关要求》)
        6. 应用软件安全开发管理:应用软件的开发应在专用的开发环境中进行,开发人员严禁对外泄漏开发内容、程序及数据结构等内容。(自《国家电网公司应用软件通用安全要求》)
        7. 项目开发与推广环境管理:各单位要将信息化建设和推广项目开发与工作环境纳入信息内网统一管理,在信息内网划分独立的安全域。项目开发、调试、实施和信息传递必须在信息内网进行。要加强该安全域的安全访问控制措施与安全防护措施,严格访问策略与权限管理,与其他域仅进行必要的信息交互。(自《关于印发信息安全保密专项督查情况与整改要求的通知》)
        8. 业务信息系统上线测评:公司要组织对统一开发的业务信息系统进行安全测评,测评合格后方可上线。各单位自行组织研发的信息系统,要严格按照《国家电网公司应用软件通用安全要求》,对应用系统设计方案进行安全评审,在系统上线前进行安全性测评,消除安全隐患。(自《关于进一步强化信息安全工作的有关要求》)
        9. 信息系统操作管理:各单位要严格执行《国家电网公司信息系统上下线管理办法》,在信息系统运行维护、数据交互和调试期间,认真履行相关流程和审批制度,执行工作票和操作票制度,不得擅自进行在线调试和修改,相关维护操作在测试环境通过后再部署到正式环境。对合作单位有关人员的操作,各单位要指定专人监控。(自《关于进一步强化信息安全工作的有关要求》)
        10.信息系统安全审计:各单位要加强网络与信息系统安全审计工作,安全审计系统要定期生成审计报表,自动进行备份,审计记录应受到保护,避免删除、修改或破坏。(自《国家电网公司信息系统安全管理办法》)
        六、关于做好桌面计算机基础防护
        1. 内网计算机与相关外设管理:严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网计算机存储、处理国家秘密信息,严禁在连接互联网的计算机上处理、存储涉及国家秘密和企业秘密信息;严禁信息内网办公计算机配置使用无线上网卡等无线设备;严禁信息内网和信息外网计算机交叉使用;严禁普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用。(自《出自国家电网公司办公计算机信息安全和保密管理规定》、《国家电网公司信息系统安全管理办法》)
        2. 桌面终端管理系统管理:各单位要加强对内网桌面终端管理系统应用,确保桌面终端计算机注册率达到100%并与总部级联畅通,要加强桌面终端管理系统实时监测、终端安全情况分析与问题处置,严禁基线策略不全,关闭默认共享,杜绝终端空口令、弱口令和非法外联的情况,计划内和计划外的级联切断操作必须报总部审批。严禁私自卸载桌面终端管理系统客户端。(自《国家电网公司信息内网计算机桌面终端系统管理规定(试行)》)
        3. 桌面终端安全域管理:信息内外网桌面终端安全域要要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理等措施进行安全防护。(自《国家电网公司办公计算机信息安全和保密管理规定》)
        4. 计算机安全接入管理:各单位所有计算机及外设要统一管理,统一登记、统一配置属性参数;严禁私自修改计算机及外设的配置属性参数。各单位运行维护部门要对接入信息内外网的办公计算机IP地址进行统一管理、分配,并将IP地址与MAC地址进行绑定,如需修改要报知计算机运行维护部门,按照相关流程进行维护。(自《国家电网公司办公计算机信息安全和保密管理规定》、《国家电网公司信息系统安全管理办法》)
        5. 内外部研发技术支持人员桌面计算机管理:各单位要加强对内外部研发技术支持人员的管理。所有在信息内网开展工作的内外部研发技术人员的计算机要安装公司统一部署的桌面终端管理系统。(自《关于印发信息安全保密专项督查情况与整改要求的通知》)
 

网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们