信息安全框架及管理制度

第一章 资源界定

第一条 业务系统信息安全包括托管在联通机房的所有服务器、网络线路、网络设备、安装在服务器上的操作系统、业务系统、应用系统、软件、网络设备上的OS、配置等软硬件设施

第二条 任何人未经允许不得对业务系统所包含的软硬件进行包括访问，探测，利用，更改等操作

第二章 网络管理

第一条 网络结构安全管理

1 网络物理结构和逻辑结构定期更新，拓扑结构图上应包含IP地址，网络设备名称，专线供应商名称及联系方式，专线带宽等，并妥善保存，未经许可不得对网络结构进行修改

2 网络结构必须严格保密，禁止泄漏网络结构相关信息

3 网络结构的改变，必须提交更改预案，并经过信息总监的批准方可进行            

第二条 网络访问控制

1 网络访问控制列表包括ASA5510和联想网御的ACL

2 妥善保管现有的网络访问控制列表，其中应包含网络设备及型号，网络设备的管理IP，当前的ACL列表，更新列表的时间，更新的内容等

3 定期检查网络访问控制列表与业务需求是否一致，如不一致，申请更新ACL

4 未经许可不得进行ACL相关的任何修改

5 更新ACL时，必须备份原有ACL，以防误操作

6 ACL配置完成以后，必须测试

7 禁止泄漏任何ACL配置

第三条 网络设备安全

1 妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单

2 定期检查设备配置是否与业务需求相符，如有不符，申请更新配置

3 配置网络设备时，必须备份原有配置，以防误操作

4 配置完成之后，必须进行全面测试

5 禁止在网络设备上进行与工作无关的任何测试

6 未经许可不得进行任何配置修改

7 禁止泄漏网络设备配置

第四条 IP地址管理

1 妥善保管现有IP地址清单，其中应包含服务器型号，操作系统版本，是否支持远程登录及远程登录方式，IP地址，子网掩码，网关，dns信息

2 实时更新IP地址清单，并制定检查计划，如有多余的IP，及时清理和更新

3 禁止泄漏IP地址清单

第三章 操作系统管理

第一条 操作系统安装运行及更新

1 操作系统安装过程必须遵循操作系统安装部署规定

2 不得安装与业务系统无关的其他系统功能和服务

3 定期检查操作系统的端口开放情况，并维护操作系统端口开放列表，制定定期检查端口计划

4 系统安装完成后加入域，并登录域检查服务启动情况，并进行必要的授权

5 安装完成后必须完成补丁的安装

6 操作系统的重要补丁应及时更新，其他补丁可定期更新

7 禁止泄漏操作系统版本及相关任何信息

第二条 应用软件更新

1 维护应用软件的安装列表，列表中应包含，IP地址，应用软件名称，版本，更新网址，安装时间，异常记录和更新记录

2 制定定期扫描应用软件的版本更新的时间计划

3 在不影响业务系统的情况下，及时更新应用软件版本

4 对应用软件的更新做好记录

第三条 域帐号和系统权限管理

1 维护域帐号及每台系统的权限清单，其中应包含IP，操作系统版本，系统帐号及权限分配，安全组

2 制定定期检查域帐号计划，以保证及时做到帐号在系统中的权限是最新的

3 禁止泄漏域帐号信息

4 每个用户只能使用自己的帐号，如需权限，填写申请表

5 每个系统需维护3个系统管理组：moniter、log、backup

第四条 系统操作日志和登录日志审计

1 制定计划定期检查系统日志是否正常工作，日志审核是否开启

2 检查日志容量大小，是否需要增加容量

3 定期备份日志，并记录备份时间

4 维护和更新日志检查和备份清单

5 禁止泄漏日志信息

第四章 业务系统管理

第一条 业务系统的运行管理

1 建立并维护业务系统运行清单，其中应包含操作系统版本，IP地址，业务系统及版本，业务系统供应商及联系方式，异常记录，更新记录，检查记录

2 制定计划对业务系统的健康检查

3 及时报告业务系统存在的任何异常情况，并记录

4 禁止泄漏任何业务系统相关信息

第二条 业务系统日志管理

1 开启业务系统的日志

2 制定计划定期检查业务系统的日志

3 制定计划定期备份业务系统的日志

4 分析业务系统的日志，并及时报告

5 禁止泄漏日志信息

第三条 业务系统帐号及权限管理

1 维护业务系统帐号及权限列表，其中应包括操作系统版本，IP地址，业务系统版本，帐号，权限及帐号和权限变更记录

2 制定计划定期检查帐号与业务需求是否匹配

3 对异常情况及时报告

第四条 机密文件及数据管理

1 文件管理分为3个等级，秘密、机密、绝密

2 秘密级别的采用权限管理的方式

3 机密级别的采用加密方式管理

4 绝密级别的采用加密和离线并行的方式管理，比如使用加密U盘

5 定期做好备份，每个人的机密数据自己负责备份，部门的机密数据由部门负责人指定人员备份

第五条 业务系统版本更新

1 对业务系统的版本定期进行检查，与供应商定期沟通是否有新版本需要更新

2 更新版本前做好备份，并测试备份的可用性和可靠性

3 完成版本备份后应全面测试新版本的安全可靠和稳定，并密切关注新版本的运行情况

第五章 服务器管理

第一条 服务器性能

1 监控服务器性能，并分析制约服务器性能的瓶颈

2 对服务器硬盘、cpu或内存的使用率超过80%并持续半个小时以上，必须向信息总监汇报

3 对服务器性能状态进行记录，并保存至少一个月

第二条 服务器保修及售后服务 

1 维护和更新服务器清单，其中应包含服务器型号，供应商及其联系方式，采购时间，维修记录，更换零部件记录，IP地址，业务系统等

2 制定服务器检查计划，对超过5年的服务器应缩短硬盘和数据的备份时间间隔

第六章 备份和恢复管理

第一条 备份软件和媒介管理

1 备份软件及相关license应妥善保管

2 对备份软件的操作应形成文档

3 对备份的媒介应选择安全性高的场所保存，比如银行，保险箱等

第二条 备份系统状态、日志、数据库 

1 制定备份计划，并选择在业务相对空闲时进行备份

2 对备份的命名应严格按照既定的命名规则，以防恢复出错

3 备份完成后及时检查备份日志是否健康，备份是否成功

4 对异常情况进行记录

5 维护备份列表

第三条 数据恢复管理

1 备份完成后，测试数据备份的可靠性

2 恢复数据测试，并及时查看恢复日志

3 对异常情况进行记录

第七章 远程访问管理

第一条 远程访问的方式 

1 远程访问必须采用加密方式，如ssh和vpn

2 如发现有其他方式被允许或可能被允许登录，必须第一时间向信息总监报告

第二条 远程访问管理 

1 通过Key或者数字证书进行身份验证

2 定期检查和核实登录权限的分配是否与业务需求和系统管理相符

3 维护远程访问帐号列表

第八章 变更管理

第一条 鉴定和记录重大变更

1 鉴定变更的重要性，是否影响业务，是否需要供应商支持，是否有技术难点，是否有遗留问题

2 记录重大变更，包括变更内容，变更背景，操作人，责任人，影响，恢复时间，是否成功，是否有遗留问题，是否有供应商支持，联系方式等

3 变更完成后，形成变更文档，技术相关文档，以备类似变更的借鉴

第二条 计划和测试变更

1 计划变更的时间，预估变更的操作时间和结束时间

2 制定变更预案，操作步骤

3 对变更进行测试

第三条 变更的流程

1 制定变更的流程，包括审批流程，操作流程，变更结果报告

第四条 变更失败的回退流程

1 制定变更失败的回退流程，从失败的变更和不可预见的事故中恢复

第九章 突发事故管理

第一条 报告信息安全事故

1 建立报告流程，应包括处理人，所有采取的行动，恢复完成后的反馈，时间记录等

第二条 突发事故中采取的行为

1 注意到所有的现场相关细节，并记录

2 不采取自己的任何行动，但立即汇报给信息总监

第三条 收集突发事故的数据，日志，证据

1 保存所有有关的日志数据等证据

2 根据日志进行内部问题分析

3 根据分析结果采取必要措施，以改进和规范系统的运行，以防止再次发生

第四条 恢复业务

1 采取行动，恢复安全漏洞和系统故障，并审查业务恢复情况

2 确认和测试业务系统的完整性

第十章 权限管理

第一条 管理所有密码，汇总密码清单，清单中应包括业务系统，操作系统，数据库，网络设备，vpn，ssh等所有用户和所有密码

第二条 密码应保存3次更新记录，并记录每次更新的时间和计划下次更新的时间

第三条 所有密码必须符合复杂度要求：三种不同字符，7位字符以上

第四条 定期对密码进行修改

第五条 此清单为绝密，未经允许任何人不得私自访问此文件

此清单必须加密保存